前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >基于Casbin的Docker权限管理访问控制插件

基于Casbin的Docker权限管理访问控制插件

作者头像
FB客服
发布2018-07-31 10:05:11
1.7K0
发布2018-07-31 10:05:11
举报
文章被收录于专栏:FreeBuf

Docker是目前主流的一种容器技术。为了解决多用户同时访问Docker时产生的安全问题,Docker设计了访问控制插件(Authorization Plugin,见官方文档)这一机制,通过对Docker请求进行过滤,来实现对Docker的权限管理。

这里需要注意,Docker并没有自己设计一套权限管理机制,而是设计了一套权限管理插件的机制,允许第三方的开发者自行设计权限管理的架构、模型、策略格式,然后通过统一的插件接口接入Docker,为Docker提供权限管理的服务,非常的灵活。这个插件机制的设计思想其实很简单,就是每当Docker daemon接收到一个访问请求时,就会把这个请求的context信息(访问者、资源、动作三元组)发送给Authorization Plugin,Authorization Plugin自己判断一下是否允许这个请求,然后向Docker daemon返回结果,allow or deny,即是否允许这个请求的访问。具体的插件接口格式,大家可以参考上面的文档,这里不再赘述。

Casbin(https://github.com/casbin/casbin)作为目前Golang语言中最主流的访问控制、权限管理开源库,也实现了一个Docker的Authorization Plugin,叫做:Casbin-authz-plugin。

这里首先介绍一下Casbin项目。Casbin是一个国产开源项目,专注于解决Go语言中的权限管理问题。Casbin由北京大学罗杨博士在2017年4月发起,罗杨博士的研究方向为云计算访问控制,目前已发表数十篇相关学术论文,曾经在ICWS、IEEE CLOUD、ICICS等多个顶级学术会议进行论文宣讲。Casbin项目则是其研究成果的落地。目前经过一年多的发展,Casbin在GitHub上已经2500+ stars,已成为Go语言Access Control领域排名第一的项目。下面则是Casbin相关链接:

源码:https://github.com/casbin/casbin 官网:http://casbin.org/ 在线策略编辑器:http://casbin.org/editor/

下面列举了Casbin项目主要的一些特点:

支持多语言:Go + Java,Java版本的叫做jCasbin,保持与Casbin一致的接口; 获美国身份管理与认证创业公司 Auth0 ([2018年5月17日,该公司获得D轮5500万美元融资];(http://www.yidianzixun.com/article/0J5VMI4t))的赞助,并且有进一步合作意向; 支持多种访问控制模型:ACL、RBAC、ABAC、RESTful; 支持16种策略存储插件(Storage Adapter); 支持2种分布式插件(Watcher); 支持4种角色管理插件(Role Manager)。

目前,Casbin已在190+个开源项目获得应用,知名的有:

Intel的RMD项目:Intel公司的资源管理服务,用来管理Intel CPU相关的硬件资源; VMware的Dispatch项目:部署Serverless服务的应用框架平台; 法国电信公司Orange的Gobis项目:轻量级API网关项目。

更详细的应用情况,大家可以在这里看到:https://github.com/casbin/casbin#our-adopters。另外,在闭源、商业项目上的使用,因为无法统计,并没有计入。但是据作者了解,Casbin已经在Cisco(思科)、Verizon(美国电信)等公司得到大规模实际应用。

以上是对Casbin项目的介绍,本文下面部分主要介绍Casbin的Docker插件的用法。

举个例子:当你执行docker images这条命令时,其实你是执行了一条CLI命令,以images为参数执行了docker这个client。这个client会向Docker daemon发送一个类HTTP请求:

代码语言:javascript
复制
/v1.27/images/json, GET

其中/v1.27/images/json就是访问的URL路径,GET就是HTTP method。Casbin插件通过查询安全策略可以帮助你决定是否允许某用户以GET动作访问/v1.27/images/json路径。实际上,Casbin插件的本质就是做这样一个简单的事情。那么,该如何判断是否允许某个请求呢,这个具体逻辑就要涉及到Casbin的原理了,在Casbin插件的例子中,提供了一个策略文件:basic_policy.csv,这个文本文件只含有一行内容:

代码语言:javascript
复制
p, /v1.27/images/json, GET

下面是一个禁止访问的例子:

代码语言:javascript
复制
$ docker images
REPOSITORY          TAG                 IMAGE ID            CREATED             SIZE
hello-world         latest              48b5124b2768        3 months ago        1.84 kB

$ docker info
Error response from daemon: authorization denied by plugin casbin-authz-plugin: Access denied by casbin plugin

我们可以看到,当执行docker info命令的时候,提示了禁止访问错误。这就说明,我们的Casbin插件产生了效果。

Casbin其实远比上面的例子复杂,首先,可配置的内容就有两大块:模型文件和策略文件。在Casbin插件中,模型文件的内容是:

代码语言:javascript
复制
[request_definition]
r = obj, act

[policy_definition]
p = obj, act

[policy_effect]
e = some(where (p.eft == allow))

[matchers]
m = r.obj == p.obj && r.act == p.act

策略文件的内容是:

代码语言:javascript
复制
p, /_ping, GET
p, /v1.27/images/json, GET

模型文件,可以理解为一套Casbin自己的脚本语言,被Casbin解释执行,作为权限判断的逻辑。策略文件则提供具体的安全策略的文本。你可以把Casbin理解为一个程序,那么模型文件就是这个程序的代码段,策略文件就是这个程序的数据段。代码在执行过程中,接受输入,并对数据进行读写,最终产生输出,其实本质上Casbin的访问控制就是这样一个过程。

Casbin插件的安装步骤因为比较琐碎,这里就不在介绍了,大家可以去GitHub源码中查看README文档即可:https://github.com/casbin/casbin-authz-plugin

最后,列举一下使用Casbin插件进行Docker权限管理的好处:

Casbin权限管理灵活度高,可定制性强,几乎能满足任何苛刻、复杂的权限管理需求,这样就省的开发者自己编写一套权限管理的逻辑了,方便开发者把精力集中在其他业务逻辑的部分。

Casbin有完善的测试用例,产生的结果正确性有保证。自己手写权限控制的逻辑,则难免会有出错。

Casbin应用广泛,基本支持了所有的Golang Web框架,如Beego、Gin、Revel、Echo等等。同时Casbin还包含Java版本:jCasbin和PHP版本:PHP-Casbin。帮助开发者实现:learn once, use everywhere

Casbin支持图形化的Web策略编辑:Casbin Online Editor (http://casbin.org/editor/)。其支持对Casbin模型和策略的编辑,并且支持语法高亮、自动完成、实时语法检查,在线模拟执行等多个功能,基本达到了IDE的级别,对开发者非常友好。相比传统的安全策略复杂的配置过程,通过该GUI界面进行策略设计、编辑,可以显著降低学习Casbin难度。下面是Casbin Online Editor界面的截图:

最后,欢迎大家留言讨论,谢谢!

*本文作者:hsluoyz,转载请注明来自FreeBuf.COM

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2018-07-08,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 FreeBuf 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
容器镜像服务
容器镜像服务(Tencent Container Registry,TCR)为您提供安全独享、高性能的容器镜像托管分发服务。您可同时在全球多个地域创建独享实例,以实现容器镜像的就近拉取,降低拉取时间,节约带宽成本。TCR 提供细颗粒度的权限管理及访问控制,保障您的数据安全。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档