XACML è effettivamente utilizzato e implementato?

1

Ho lavorato per un bel po 'di tempo a un progetto di ricerca presso l'Università focalizzato sul controllo degli accessi. Nello specifico, sto studiando come proteggere l'accesso non autorizzato ai dati personali in un sistema distribuito e in generale in Internet.

In questo contesto, mi sono imbattuto in XACML ( wiki , official ), che sembrava abbastanza interessante. Dopo un po 'di tempo trascorso a scavare in esso, sembrava sempre più che nessuna azienda avrebbe speso molto (tempo, denaro) per realizzare l'architettura descritta (a mio avviso, ha bisogno di almeno tre entità diverse per archiviare le politiche , valutali e fai rispettare la decisione).

Sto ancora studiando, quindi non so molto sulle procedure industriali comuni: è qualcosa come XACML realmente implementato per la gestione e la protezione dei dati? In caso contrario, esiste una tecnologia alternativa (possibilmente efficace) che viene impiegata?

A me sembra che la maggior parte delle aziende non si preoccupi troppo della protezione dei dati personali (principalmente a causa del profitto e delle informazioni acquisite da analisi e pubblicità dei dati), quindi dubito che la protezione dei dati personali sia completamente utilizzata.

    
posta Giada S 13.02.2018 - 11:03
fonte

2 risposte

3

Sono l'autore della pagina wikipedia XACML e lavoro per uno dei principali fornitori, Axiomatics .

Sì, XACML è molto utilizzato in un'ampia gamma di verticali: dalla finanza (molte banche hanno persino implementato i propri motori già 12 anni fa) alla difesa (molti casi d'uso relativi al controllo delle esportazioni) e assistenza sanitaria (dopotutto devi impedire alla tua azienda di finire su HHS's Hall of Shame .

Negli ultimi due anni, abbiamo visto 2 nuovi fornitori e 2 nuove superfici di implementazione open source (AuthZForce per esempio fa parte di un progetto UE ed è supportato da Thales, una delle principali società di difesa a livello globale). Abbiamo anche visto la nascita di ALFA, il linguaggio abbreviato per l'autorizzazione, una notazione leggera per XACML e la definizione di un'API di autorizzazione JSON / REST basata su XACML (in realtà l'ho scritto io stesso). Axiomatics ha esteso l'uso di XACML a Big Data e Cloud.

It seems to me that most companies do not care so much about personal data protection (mostly because of the profit and insight gained from data analytics and ads), so I doubt that personal data protection is thoroughly employed.

Ci sono gravi conseguenze per non aver implementato le regole sulla privacy. GDPR è uno di questi esempi. Questa è la penalità:

If it is determined that non-compliance was related to technical measures such as impact assessments, breach notifications and certifications, then the fine may be up to an amount that is the GREATER of €10 million or 2% of global annual turnover (revenue) from the prior year.

Questo è un numero enorme. Hai sicuramente un incentivo a conformarti. E questo non include il danno di marca, ovviamente. Dai un'occhiata a Equifax . Chi si fida di loro al giorno d'oggi?

E negli Stati Uniti, HIPAA è un pezzo di legislazione che devi sincronizzare.

Ricorda che la privacy non è l'unica ragione per cui vorresti usare XACML. XACML è un linguaggio basato su criteri. È finalizzato all'autorizzazione, ovvero a determinare se un utente può o non può eseguire una determinata azione. Non deve essere sulla privacy dei dati. Potrebbe riguardare processi aziendali o segreti commerciali o protezione IP. Ad esempio, uno dei clienti di Axiomatics, uno dei principali produttori di scarpe, utilizza Axiomatics Policy Server per assicurarsi che i segreti del marchio siano condivisi solo con quei gestori con il portafoglio giusto.

Anche il punto di Ewan è eccellente: XACML è solo un pezzo nel tuo arsenale di sicurezza. Si tratta di decidere e imporre. Ma prima e dopo, vuoi fare governance, accedere a recensioni, identità e amp; gestione dei diritti. Dovrai implementare la protezione dei tuoi dati a riposo attraverso la gestione dei dati e amp; crittografia. C'è più sicurezza rispetto al semplice controllo degli accessi.

Spero che questo aiuti, David.

    
risposta data 14.02.2018 - 20:12
fonte
2

L'articolo di Wikipedia elenca le principali implementazioni: "SunXACML, Axiomatics, AuthzForce, InfoBeyond Technology" quindi è in uso.

Non penso che molte aziende gestiscano la conformità normativa con un singolo software. Credo che la maggior parte di do si preoccupi della protezione dei dati, dopotutto ci sono multe se vieni catturato. Ma nella mia esperienza il regime di conformità è gestito attraverso una serie di politiche e verifiche.

Ad esempio, potresti avere una politica di conservazione dei dati che dice "ogni volta che memorizzi i dati, compila un modulo che ti dice da quanto tempo lo memorizzi e perché, nota anche il processo che cancella i vecchi dati e il controllo di verifica da eseguire per verificare se è stato eliminato o no "

Ora ogni sistema in azienda avrà una soluzione tecnica diversa per la cancellazione dei dati. Lavori cron, chiavi private in scadenza, non memorizzare nulla ecc. Il bit di conformità però sta compilando il modulo e la traccia di controllo.

Dopo un po 'una persona di vendite lucida venderà alla società una "soluzione unica per la firma" per combinare tutti i controlli insieme, e questo potrebbe utilizzare una delle molte metodologie o standard di autenticazione possibili.

Ma in ogni caso, questa sarà sempre solo una delle molte soluzioni tecniche in uso in un dato momento e gli auditor torneranno alla traccia di "Mostrami il documento che dice qual è la tua politica", " Mostrami i documenti che mostrano che stai seguendo la tua politica ". A loro non interessa davvero come si generano quei documenti

    
risposta data 13.02.2018 - 13:23
fonte

Leggi altre domande sui tag