Cerbos - sprachunabhängige, skalierbare Lösung für das Management von Benutzerberechtigungen

 (github.com/cerbos)
6 Punkte von GN⁺ 2024-12-17 | Noch keine Kommentare. | Auf WhatsApp teilen
  • Eine Berechtigungsschicht, mit der sich leistungsstarke, kontextbewusste Zugriffskontrollregeln für Anwendungsressourcen definieren lassen
  • Geschrieben als einfache YAML-Richtlinien und über eine GitOps-basierte Infrastruktur verwaltbar und ausrollbar
  • Cerbos Policy Decision Point (PDP) kann selbst gehostet werden und wertet Richtlinien über eine hochverfügbare API aus, um dynamische Zugriffsentscheidungen zu treffen

Wichtige Merkmale von Cerbos

  • Richtlinien erstellen und bereitstellen:
    • Richtlinien im YAML-Format definieren
    • Richtlinien auf Festplatte, in Cloud Object Storage, Git-Repositories oder Datenbanken speichern
  • Skalierbarkeit und Integration:
    • Bereitstellung in verschiedenen Umgebungen wie K8s-Services, Sidecars, systemd-Services und AWS Lambda
    • Einfach in Serverless- und Edge-Deployments integrierbar
  • Leistungsstarke Richtlinienverwaltung:
    • Implementiert ABAC (Attribute-Based Access Control) über einfaches RBAC (Role-Based Access Control) hinaus
    • Ermöglicht eine granulare Auswertung von Bedingungen mit Kontextdaten zur Laufzeit

Zentrale Konzepte

  • Principal: Die Entität, die eine Aktion ausführen möchte (z. B. Benutzer, Anwendung, Service)
  • Action: Die Aktion, die die Entität ausführen möchte (z. B. Erstellen, Lesen, Aktualisieren, Löschen)
  • Resource: Das Ziel, für das der Zugriff gesteuert wird (z. B. Berichte, Belege, Karteninformationen)
  • Policies: YAML-Dateien, die Zugriffsregeln pro Ressource definieren
  • Cerbos PDP:
    • Ein stateless Service, der Richtlinien ausführt und Zugriffsentscheidungen trifft
    • Wichtige APIs:
      • CheckResources: Prüft, ob eine bestimmte Entität auf eine Ressource zugreifen darf
      • PlanResources: Prüft, auf welche Ressourcen eine bestimmte Entität zugreifen darf
  • SDKs und Adapter:
    • Bietet SDKs für verschiedene Programmiersprachen
    • Bietet Adapter, die PlanResources-Antworten in Queries umwandeln

Anwendungsfälle

  • Erweiterung von RBAC zu ABAC:
    • Dynamisches Hinzufügen von Rollen durch Bedingungsauswertung zur Laufzeit
    • Detaillierte Policy-Overrides für bestimmte Benutzer möglich
  • Zusammenarbeit und Richtlinienbereitstellung:
    • Gemeinsames Erstellen von Richtlinien im Team über Cerbos Hub
    • Effizientes Ausrollen von Richtlinien-Updates über die gesamte PDP-Flotte
  • Integration in Cloud- und Edge-Umgebungen:
    • Geeignet für Cloud-basierte Services und Edge-Deployments

Verwandte Beiträge

Noch keine Kommentare.

Noch keine Kommentare.