想象一下,你给员工发工牌,却忘了根据他们每天要进哪些房间、操作哪些系统来动态调整权限——这就是传统权限管理在今天的尴尬处境。
在美国举办的Gartner身份与访问管理峰会上,Axiomatics公司首席技术官大卫·布罗萨德指出,现代应用早已超越了“基于角色”的权限控制模式。随着企业应用、服务和数据量爆炸式增长,组织正面临权限泛滥、监管缺失、控制不一致等严峻挑战。
布罗萨德强调,虽然基于角色的访问控制(RBAC)仍是基础,但属性驱动(ABAC)和政策驱动(PBAC)的新模式更贴合业务实际。他说:“政策驱动的最大优势在于,授权配置直接反映原始业务需求,无需人工设计角色或虚构权限。”
这种新模式能实时评估用户身份、上下文关系和具体需求,实现动态授权。布罗萨德还分享了AI智能体带来的新挑战——它们需要更精细的身份认证、同意管理和权限委托机制。
布罗萨德拥有20余年网络安全经验,曾在Salesforce和BT担任要职,现为Axiomatics技术战略负责人。他建议企业在现代架构中合理部署策略决策点,将细粒度授权能力外置化。
对全球安全行业而言,这标志着从静态权限向动态智能授权的范式转变。对中国企业来说,这意味着在数字化转型中必须升级安全架构,避免用旧工具解决新问题。随着AI应用普及,谁能率先掌握政策驱动授权技术,谁就能在数据安全竞争中占据先机。