Cerbos - giải pháp quản lý quyền người dùng mở rộng, không phụ thuộc ngôn ngữ

 (github.com/cerbos)
6 điểm bởi GN⁺ 2024-12-17 | Chưa có bình luận nào. | Chia sẻ qua WhatsApp
  • Lớp quản lý quyền cho phép định nghĩa các quy tắc kiểm soát truy cập mạnh mẽ và có nhận thức ngữ cảnh cho tài nguyên ứng dụng
  • Được viết bằng các chính sách YAML đơn giản, có thể quản lý và triển khai thông qua hạ tầng dựa trên GitOps
  • Cerbos Policy Decision Point (PDP) được self-host. Thông qua API có tính sẵn sàng cao, hệ thống đánh giá chính sách và thực hiện các quyết định truy cập động

Các tính năng chính của Cerbos

  • Soạn thảo và triển khai chính sách:
    • Định nghĩa chính sách ở định dạng YAML
    • Lưu trữ chính sách qua đĩa, cloud object store, kho Git hoặc cơ sở dữ liệu
  • Khả năng mở rộng và tích hợp:
    • Có thể triển khai trong nhiều môi trường như dịch vụ K8s, sidecar, dịch vụ systemd, AWS Lambda
    • Dễ dàng tích hợp cho triển khai serverless và edge
  • Khả năng quản lý chính sách mạnh mẽ:
    • Vượt qua RBAC (Role-Based Access Control) đơn thuần để triển khai ABAC (Attribute-Based Access Control)
    • Có thể đánh giá điều kiện chi tiết bằng dữ liệu ngữ cảnh khi chạy

Các khái niệm cốt lõi

  • Principal: Chủ thể muốn thực hiện hành động (ví dụ: người dùng, ứng dụng, dịch vụ)
  • Action: Hành động mà chủ thể muốn thực hiện (ví dụ: tạo, đọc, cập nhật, xóa...)
  • Resource: Đối tượng được kiểm soát truy cập (ví dụ: báo cáo, biên lai, thông tin thẻ...)
  • Policies: Các tệp YAML định nghĩa quy tắc truy cập theo từng tài nguyên
  • Cerbos PDP:
    • Dịch vụ stateless thực thi chính sách và đưa ra quyết định truy cập
    • API chính:
      • CheckResources: Kiểm tra xem một chủ thể cụ thể có thể truy cập tài nguyên hay không
      • PlanResources: Kiểm tra xem một chủ thể cụ thể có thể truy cập những tài nguyên nào
  • SDK và adapter:
    • Cung cấp SDK hỗ trợ nhiều ngôn ngữ lập trình
    • Cung cấp adapter chuyển phản hồi PlanResources thành truy vấn

Trường hợp sử dụng

  • Mở rộng RBAC -> ABAC:
    • Thêm vai trò động bằng đánh giá điều kiện khi chạy
    • Có thể override chính sách chi tiết cho người dùng cụ thể
  • Cộng tác và triển khai chính sách:
    • Soạn thảo chính sách và cộng tác với nhóm thông qua Cerbos Hub
    • Triển khai cập nhật chính sách hiệu quả trên toàn bộ fleet PDP
  • Tích hợp môi trường cloud và edge:
    • Phù hợp với dịch vụ nền tảng cloud và triển khai edge

Bài viết liên quan

Chưa có bình luận nào.

Chưa có bình luận nào.