Какая бизнес-логика подразумевается?
Понятие очень растяжимое
Например, если ты хочешь сделать какое-то действие над моделью через контроллер, то проверки в части контроля прав юзера выносить лучше в Policy
А если бизнес-логика в части смены статуса в БД после save/update/delete - то в контроллерах ей делать нечего.
Имхо, контроллеры должны быть очень тонкими, основной пласт логики должен лежать в моделях, так и тестировать и управлять изменениями проще