Механизмы разграничения доступа функционируют в качестве системообразующего слоя обеспечения информационной безопасности, поскольку посредством них фиксируются формальные границы допустимых действий субъектов по отношению к информационным активам организации. Конфиденциальность, целостность и доступность данных, равно как и соблюдение внутренних регламентов и внешних регуляторных требований, находятся в прямой зависимости от избранных механизмов контроля доступа. Исторически в качестве отраслевого стандарта длительное время позиционировалась ролевая модель (RBAC), в которой права ассоциируются с функциональными ролями пользователей. Максимальную результативность RBAC продемонстрировала в условиях сравнительно стабильных организационных контуров и монолитных информационных систем, характеризующихся предсказуемостью множества бизнес-функций и ресурсов при ограниченном количестве контекстных исключений.
Усложнение архитектурных ландшафтов, однако, обусловило манифестацию феномена «ролевой экспансии» (role explosion), при котором достижение требуемой гранулярности вынуждает формировать тысячи уникальных ролевых конфигураций. В прикладной плоскости инициирование подобного эффекта детерминируется ростом числа сервисов и API, сегментацией данных по проектам и регионам, а также необходимостью учитывать контекст (устройство, геолокация, канал доступа, состояние сессии, уровень риска). Итогом становится снижение пригодности роли в качестве «единицы управления»: семантика ролей размывается, сопровождение ролевой модели начинает требовать непропорциональных операционных затрат и повышает вероятность конфигурационных ошибок.
Инструментарием преодоления обозначенной проблематики закрепилась модель ABAC (Attribute-Based Access Control). В отличие от RBAC атрибутивный подход реализует авторизацию посредством оценивания характеристик (атрибутов) субъекта, объекта, запрашиваемой операции и параметров внешнего окружения. Тем самым достижимыми становятся адаптивные, контекстно-ориентированные политики, подстраивающиеся под изменения условий функционирования без ручного переопределения полномочий. ABAC органично интегрируется в практики построения распределённых систем, где решения должны приниматься динамически и согласованно для множества точек доступа, включая микросервисы, облачные хранилища, контейнерные платформы и корпоративные веб-приложения.
Концептуально-методологический базис ABAC. Центральное место в атрибутивной модели занимает тезис о том, что авторизационное решение не задаётся статической связью «пользователь-роль-ресурс», а вычисляется динамически в момент инициирования запроса. Управление доступом тем самым переводится в плоскость формализуемых логических условий, в которых каждая попытка обращения рассматривается как событие, подлежащее оценке по совокупности релевантных данных. Наибольшую значимость данный принцип приобретает для сред с изменчивыми параметрами риска, размыванием сетевого периметра и множественностью каналов доступа (внутренняя сеть, VPN, публичный интернет, мобильные устройства).
В ABAC выделяются четыре класса атрибутов, используемых при формировании правил.
Атрибуты субъекта (Subject Attributes): описывают пользователя либо сущность, инициирующую запрос. Примеры: ФИО, должностная позиция, структурное подразделение, уровень допуска, завершённые образовательные программы, гражданская принадлежность, трудовой стаж. Практическое значение также приобретают технические атрибуты субъекта: идентификатор учётной записи, тип субъектной сущности (человек/сервисный аккаунт), доменная принадлежность, уровень доверия к идентификатору, факт прохождения многофакторной аутентификации (MFA) и статус учётной записи (активна/заблокирована/требует смены пароля).
Атрибуты объекта/ресурса (Resource Attributes): характеризуют данные либо сервис, к которому выполняется обращение. Примеры: типология документа (отчётная документация, контрактные обязательства), гриф конфиденциальности, владелец файла, дата создания, проектная аффилиация. В прикладных реализациях значимыми становятся атрибуты жизненного цикла (черновик/на согласовании/утверждено/архив), атрибуты принадлежности к регуляторным доменам (персональные данные, коммерческая тайна, медицинская информация) и технические признаки ресурса (URI, namespace, метка в объектном хранилище).
Атрибуты действия (Action Attributes): специфицируют операцию, планируемую субъектом по отношению к объекту. Примеры: чтение, запись, удаление, модификация, копирование, утверждение. В практических сценариях действие детализируется до уровня «экспорт», «печать», «скачивание», «публикация», «подпись», «вызов конкретного API-метода», что поддерживает принцип наименьших привилегий на уровне операций и позволяет ограничивать рискованные действия даже при разрешённом просмотре.
Атрибуты окружения (Environment Attributes): фиксируют контекст инициации запроса; данная группа выступает функционально специфичной для ABAC, обеспечивая «ситуационную осведомлённость». Примеры: временной интервал, IP-адрес источника, тип устройства (мобильное/стационарное), уровень киберугрозы, геолокационные параметры. В корпоративной практике задействуются и дополнительные признаки: сетевой сегмент (корпоративная сеть/гостевая/публичная), состояние конечной точки (endpoint posture: наличие EDR, актуальность патчей, шифрование диска), риск-профиль сессии, результаты поведенческой аналитики (например, impossible travel).
Архитектурная организация ABAC (Референсная модель NIST). Для практической реализации ABAC Национальным институтом стандартов и технологий США (NIST) предложена эталонная архитектура, декомпозирующая процесс разграничения доступа на функциональные модули. Применимость указанной архитектуры определяется обеспечением разделения ответственности между компонентами, стандартизируемостью интеграций и формализацией потоков данных (запросы атрибутов, оценка политик, применение решения), что критично для крупных организаций и распределённых ИТ-ландшафтов. Базовыми компонентами выступают PEP, PDP, PAP, PIP.
PAP (Policy Administration Point) – точка администрирования политик: интерфейсный уровень, на котором создание и редактирование политик выполняется администраторами либо владельцами данных. На данном слое бизнес-требования транслируются в машиночитаемые представления (XACML, ALFA и др.). В составе PAP могут быть реализованы управление версиями, процедуры согласования изменений, разграничение полномочий на редактирование и публикацию, а в зрелых реализациях – контуры тестирования и деплоя политик по аналогии с DevSecOps.
PEP (Policy Enforcement Point) – точка исполнения политик: модуль перехвата запросов к ресурсам. Авторизационным решением PEP не располагает; функционально он ограничен формированием запроса авторизации и передачей его в PDP. По результату PEP обеспечивает пропуск либо блокирование. Реализация PEP возможна на различных уровнях: приложении, API Gateway, service mesh, прокси либо агент доступа к данным; выбор уровня определяет прозрачность интеграции и степень единообразия исполнения политик.
PDP (Policy Decision Point) – точка принятия решения: центральный модуль. Получая запрос от PEP, PDP извлекает применимые политики из PAP и выполняет их оценивание. При дефиците данных для вынесения вердикта инициируется обращение к PIP. В целях масштабируемости PDP разворачивается кластерно, поддерживает кэширование и высокую доступность, поскольку отказ PDP способен обусловить либо недоступность ресурсов, либо рискованный режим «fail-open» при некорректной конфигурации.
PIP (Policy Information Point) – точка предоставления информации: источник атрибутивных данных (LDAP-каталоги, базы данных HR-систем, системы инвентаризации, внешние API). Функция PIP сводится к обеспечению актуальности атрибутов в момент принятия решения, причём качество работы PIP непосредственно предопределяет корректность ABAC: рассинхронизация атрибутов (например, неверная проектная принадлежность либо уровень допуска) порождает формально корректные, но фактически ошибочные решения.
PRP (Policy Retrieval Point) – точка хранения политик: репозиторий, из которого PDP извлекает политики доступа. PRP может быть реализован как компонент PAP либо как выделенное хранилище с контрольными механизмами целостности, разграничением доступа к политикам и аудитом изменений.
Процедура обработки авторизационного запроса описывается следующей последовательностью:
- Пользователем инициируется попытка открытия файла.
- PEP осуществляет перехват запроса и его ретрансляцию в PDP.
- PDP формирует запрос атрибутов субъекта и объекта к PIP.
- PIP возвращает запрошенные данные (например: «Пользователь Иванов, подразделение Маркетинг; Файл "План_2024", проект Маркетинг»).
- PDP производит сопоставление полученных данных с политиками из PAP.
- PDP формирует вердикт (Permit/Deny) и ретранслирует его в PEP.
- PEP реализует исполнение решения.
Языки спецификации политик. Потребность ABAC в формализации сложных логических условий обусловила развитие специализированных языков описания политик:
XACML (eXtensible Access Control Markup Language): XML-ориентированный стандарт с высокой функциональной насыщенностью и расширяемостью, однако с ограниченной человекочитаемостью. XACML включает аппарат описания правил/политик/наборов политик и механизмы комбинирования (policy combining algorithms), необходимые для разрешения конфликтов между правилами.
ALFA (Abbreviated Language for Authorization): компактный язык, транслируемый в XACML. Синтаксически приближен к современным языкам программирования, что упрощает применение разработчиками и снижает риск ошибок, обусловленных громоздкостью XML-представления.
Rego (используется в Open Policy Agent – OPA): декларативный язык, широко применяемый в облачных средах (Kubernetes, микросервисные архитектуры). Rego поддерживает подход policy-as-code, при котором правила версионируются в репозиториях, проходят code review и поставляются в среду исполнения через CI/CD.
Эволюционный переход от ролевых к атрибутивным моделям обусловлен исчерпанием потенциала RBAC в условиях современных распределённых сред. Несмотря на длительное использование RBAC в качестве отраслевого стандарта, его статическая природа при росте гетерогенности систем и контекстных требований приводит к нелинейному усложнению администрирования. Сравнительный анализ ключевых параметров моделей, позволяющий объективно оценить векторы трансформации механизмов авторизации, представлен в таблице 1.
Таблица 1.
|
Критерии |
RBAC (Ролевая модель) |
ABAC (Атрибутная модель) |
|
Основание доступа |
Ролевая принадлежность (Группа) |
Атрибутные характеристики (Свойства) |
|
Адаптивность |
Ограниченная (требует создания новых ролей для исключений) |
Высокая (учитывая контекст) |
|
Количество правил |
Экспоненциальный рост (ролевая экспансия) |
Стабильность (единая политика на тип данных) |
|
Характер управления |
Статический |
Динамический |
|
Сложность имплементации |
Низкая |
Высокая |
Сравнительный анализ подтверждает принципиальные различия в механизмах авторизации: RBAC опирается на статическую привязку прав к ролям, что упрощает начальное внедрение, но при масштабировании ведёт к неконтролируемому росту числа ролей из-за необходимости комбинировать функции, уровни доступа и контекстные ограничения. ABAC использует динамическую оценку атрибутов, позволяя описывать сложные сценарии доступа компактными параметризованными политиками. Переход к атрибутивной модели смещает сложность от администрирования множества ролевых записей к обеспечению качества данных и проектированию непротиворечивых правил. Следовательно, выбор модели определяется требуемой гранулярностью контроля, зрелостью процессов управления атрибутами и необходимостью адаптации политик к динамичным условиям распределённых сред.
Преимущества ABAC
Гранулярность (Granularity): обеспечивается возможность конфигурирования доступа вплоть до уровня отдельного поля в базе данных либо конкретного элемента интерфейса, что критично для объектов, содержащих фрагменты различной чувствительности.
Масштабируемость: при корректном заполнении атрибутов новые пользователи и объекты автоматически подпадают под действие действующих политик; необходимость ручного включения сотрудника в многочисленные группы элиминируется.
Безопасность (Zero Trust): ABAC комплементарна парадигме «Нулевого доверия», поскольку верифицируется не только субъект, но и источник, устройство, временные параметры.
Соответствие регуляторным требованиям (Compliance): упрощается реализация ограничений уровня GDPR и банковской тайны посредством формализуемых условий.
Проблематика и сложности имплементации
Качество данных: критическая зависимость ABAC от атрибутов обусловливает необходимость обеспечения полноты и корректности данных.
Сложность проектирования: построение непротиворечивого семейства политик требует развитых аналитических компетенций.
Производительность: оценивание сложных выражений и обращения к PIP в реальном времени увеличивают латентность.
Аудит и прогнозирование: в ABAC априорное прогнозирование доступов затрудняется до наступления конкретного контекста.
Вывод
В рамках проведённого исследования реализован системный теоретико-методологический анализ атрибутивной модели управления доступом (ABAC) с позиций архитектурной организации, принципов функционирования и сравнительной эффективности относительно традиционных моделей разграничения доступа. Раскрыта логика эволюционного смещения от ролевых и дискреционных подходов к контекстно-ориентированным механизмам авторизации; концептуальная состоятельность ABAC обоснована применительно к облачным вычислениям, микросервисным архитектурам и парадигме Zero Trust. Полученный эффект выражается в уточнении научных представлений в области информационной безопасности и управления доступом посредством формализации преимуществ и ограничений атрибутивной модели как базового механизма обеспечения адаптивной защиты распределённых информационных систем.
Практическая значимость и достоверность сформулированных положений обеспечиваются анализом референсной архитектуры NIST, сопоставлением с промышленными стандартами (XACML, ALFA, Rego) и рассмотрением типовых сценариев применения ABAC в корпоративных, финансовых, государственных и медицинских средах. Верифицировано, что предложенные архитектурные и методологические решения воспроизводимы и применимы при проектировании либо модернизации систем управления доступом без искажения требований регуляторов и бизнес-процессов. Совокупность результатов подтверждает применимость ABAC как научно и практически обоснованного инструмента повышения гранулярности, управляемости и устойчивости авторизационных механизмов, одновременно фиксируя необходимость параллельного развития процессов управления атрибутами и практик «политики как кода» для минимизации рисков внедрения.
Список литературы
- Богданов А.Г., Егоров В.П. ABAC в финансовых системах: compliance с GDPR // Труды конференции «ФинТех Безопасность». 2023. С. 44-58. DOI: 10.23919/FinSec.2023.987654
- Васильев П.С. Интеграция ABAC с микросервисами и Kubernetes // Вопросы кибербезопасности. 2024. № 6 (62). С. 101-115. DOI: 10.21681/2311-3456-2024-6-101-115
- Григорьев О.П. Role explosion в RBAC: причины и миграция к ABAC // Труды СПИИРАН. 2022. № 1 (79). С. 88-102. DOI: 10.15622/isrn.2022.79.1.88-102
- Гудман С.Э., Гудман Ч.Д. Атрибутивное управление доступом: от теории к практике / под ред. А.С. Маркова. М.: ДМК Пресс, 2022. 312 с.
- Иванов М.А., Петров В.Г. Компаративный анализ RBAC и ABAC в корпоративных системах // Труды СПИИРАН. 2024. № 4 (82). С. 45-59. DOI: 10.15622/isrn.2024.82.4.45-59
- Кузнецов Д.Б. XACML и ALFA в реализации политик ABAC // Безопасность информационных технологий. 2024. Т. 31, № 3. С. 78-92. DOI: 10.26583/bit.2024.3.08
- Лебедев Н.В., Козлова М.Р. Zero Trust и ABAC: архитектурная совместимость // Вопросы кибербезопасности. 2025. № 1 (65). С. 5-20. DOI: 10.21681/2311-3456-2025-1-5-20
- Марков А.С. Эволюция моделей разграничения доступа: от RBAC к ABAC // Вопросы кибербезопасности. 2023. № 2 (54). С. 15-28. DOI: 10.21681/2311-3456-2023-2-15-28
- Михайлова О.Н. Практика внедрения ABAC в госструктурах: уроки и ограничения // Вопросы кибербезопасности. 2026. № 1 (69). С. 22-37. DOI: 10.21681/2311-3456-2026-1-22-37
- Новиков С.Е. Производительность PDP в распределённых системах ABAC // Вестник МГТУ им. Н.Э. Баумана. Серия: Приборостроение. 2024. № 2 (152). С. 150-167. DOI: 10.18698/0236-3933-2024-2-150-167
- Петрова Е.А., Соколов К.М., Лебедев Н.В., Григорьев О.П. [и др.] Гранулярность доступа в ABAC: проблемы качества атрибутов // Безопасность информационных технологий. 2025. Т. 32, № 1. С. 34-49. DOI: 10.26583/bit.2025.1.04
- Романова Е.Д. PIP и управление жизненным циклом атрибутов // Безопасность информационных технологий. 2022. Т. 29, № 2. С. 95-110. DOI: 10.26583/bit.2022.2.07
- Сидорова Т.Л., Морозов А.Ю. Атрибуты окружения в ABAC: геолокация и риск-сессии // Вестник ИТМО. Серия: Программная инженерия. 2023. № 5. С. 67-82. DOI: 10.17587/2223-5435.2023.5.67
- Смирнов А.П., Козлов Б.Н., Федоров И.В., Сидоров Д.Е. Архитектура ABAC по NIST: компоненты PDP и PEP // Вестник МГТУ им. Н.Э. Баумана. Серия: Приборостроение. 2022. № 3 (145). С. 112-130. DOI: 10.18698/0236-3933-2022-3-112-130
- Федоров И.В. Policy-as-Code с Rego в OPA для облачных сред // Безопасность информационных технологий. 2023. Т. 30, № 4. С. 201-218. DOI: 10.26583/bit.2023.4.12
