尽管基于属性的访问控制(ABAC)前景光明，但决策者仍因某些误解而对其投资回报率(ROI)心存疑虑。

　　技术发展日新月异，公司决策者和安全团队常迷惑于自己到底需要什么产品。进一步讲，他们想知道公司能从他们的投资中获得什么收益。

　　与其他投资相同，公司企业在安全投资上也会寻求ROI。安全操作者需要理解每个新产品的优势，知道该产品帮助降低风险的机制。

　　虽然Gartner预测，“到2020年，70%的企业将采用ABAC保护关键资产”，人们对企业到底能从ABAC中得到什么好处仍存有很多疑虑。

　　虽然ABAC可能作为安全工具得到更广泛的应用，但只要对ROI的疑问存在，这一天就不会真的到来。

　　ABAC是“下一代”授权模型，在结构化语言中使用属性作为构建基石来定义并实施访问控制，提供上下文相关的细粒度动态访问控制服务。

　　企业ABAC技术使用场景示例

　　如果加入到新数字化转型计划中，ABAC可帮助企业向客户、员工和合作伙伴，交付更为个性化、更便利、更可靠的移动体验，提供对云端应用和数据的安全访问。企业也需要更快适应不断改变的监管和安全要求。

　　ABAC不管理硬连接业务应用的控制，而是采用透明的策略方法。

　　当然，这些是该模型的既定特性。潜在客户还是会质疑(也应该质疑)该模型对自家企业的好处。

　　ABAC四大误解与真相

　　围绕ABAC有4个广泛存在的误解，理清真相有助理解不同意见，做出更好决策。

　　误解1——采用ABAC会影响系统性能

　　真相：错。ABAC最多会增加一点点极小的延迟，几毫秒而已。

　　误解2——ABAC需要客户强化其身份验证

　　真相：错。ABAC是身份验证的补充，即便你已经用了多重登录凭证也可以加上ABAC。

　　误解3——公司开发人员可以在做API时编写他们自己的访问控制

　　真相：并非如此。维护写入应用中的逻辑既没效率，代价还特别高昂。除了创建应用时的前期开发成本，未来修改过程中持续的开销才是大头。

　　误解4——角色和分组列表就是定制应用所需的全部访问控制

　　真相：未必。ABAC可解放你的开发团队，让他们可以专注在关键项目上，摒弃编写太多额外代码来处理复杂访问需求的麻烦。另外，你的应用未必具备做出恰当授权决策所需的全部上下文。

　　责任编辑：DJ编辑