为敏感云系统设计持续授权 (opens in new tab)

📌 One-Sentence Summary 本文主张，在云系统中，授权必须从单一的登录时决策转变为对每个敏感操作的持续、上下文感知评估，并提供了实现这一目标的实用架构。 📝 Summary 本文为敏感云系统中的持续授权提供了全面的论证和架构蓝图。文章首先通过一个真实场景说明了传统登录时授权（如 RBAC）的失败：一名拥有有效权限的支持代表导出了数千条患者记录。核心论点是，授权应该是对用户“是否应该”执行此操作的持续运行时评估，而不仅仅是“能否”执行。提出的架构引入了一个策略决策点（PDP），该决策点根据多种信号组合评估每个敏感操作：行为基线（查询量、时间）、环境上下文（IP、设备）、数据敏感性和角色特定规范。文章详细介绍了关键设计考量，包括风险评分引擎、可审计性（记录上下文证据而非原始数据）以及通过缓存和选择性评估进行性能优化。它概述了三个阶段部署策略（影子模式、有限执行、全面执行），以最大限度地减少运营中断。文章还讨论了实际生产模式，例如控制批量导出、跨租户访问和机器对机器活动。最后强调，真正的挑战不在于策略引擎本身，而在于在不破坏现有运营工作流程的情况下引入更强的控制，并且...