¿Qué es la autorización?
- Glosario IAM
- ¿Qué es la autorización?
La autorización es el proceso para determinar si se concede o se niega a los usuarios el derecho de acceder a los recursos. La autorización funciona siguiendo un conjunto de reglas y políticas predefinidas. Estas reglas suelen ser administradas por un sistema de control de acceso que establece permisos basados en los requisitos de cumplimiento de la organización. Cuando un usuario intenta acceder a un recurso, el sistema de autorización evaluará sus permisos y las políticas predefinidas de la organización antes de permitir que el usuario acceda a dicho recurso.
Autorización frente a autenticación: ¿cuál es la diferencia?
La autenticación es el proceso de verificar que un usuario es quien dice ser. La autorización, por otro lado, es el proceso de otorgar acceso a los recursos y qué acciones puede realizar el usuario con esos recursos. Una vez autenticado un usuario mediante sus credenciales, el sistema pasa por el proceso de autorización.
Tanto la autorización como la autenticación trabajan juntas para garantizar que los usuarios tengan acceso a los recursos que necesitan, manteniendo al mismo tiempo la seguridad e integridad de la organización.
La importancia de la autorización
Sin procesos de autorización sólidos, las organizaciones tendrían una gobernanza deficiente, que daría como resultado una falta de visibilidad y control sobre las actividades de los empleados y un mayor riesgo de acceso por parte de usuarios no autorizados. Veamos cómo la autorización aborda estos dilemas.
- Se basa en el principio de privilegios mínimos (PoLP): El principio de privilegios mínimos es un concepto de ciberseguridad en el que los usuarios solo tienen acceso a los recursos necesarios para realizar su trabajo. Ceñirse a las pautas de este principio garantiza una mayor seguridad y control sobre los privilegios, ya que reduce la superficie de ataque de las organizaciones. La autorización se adhiere a este principio, ya que otorga estrictamente el nivel mínimo de derechos de acceso, limitando el acceso no autorizado.
- Proporciona control de acceso centralizado: la autorización permite a las organizaciones definir, administrar y actualizar los derechos de acceso de los usuarios desde una ubicación centralizada. Gracias a esta eficiente funcionalidad, se garantiza la aplicación de permisos de acceso específicos para cada usuario y rol.
Tipos de modelos de autorización
Aquí tien cinco tipos de modelos de autorización que las organizaciones utilizan para proteger el acceso a los recursos.
Control de acceso basado en roles (RBAC)
El control de acceso basado en roles es un tipo de control de acceso que define los permisos según el rol y las funciones del usuario dentro de la organización. Por ejemplo, los empleados de nivel inferior no tendrán acceso a información altamente sensible o sistemas que los usuarios privilegiados sí tendrían. Cuando un usuario intenta obtener acceso a un recurso, el sistema inspeccionará el rol del usuario para determinar si el recurso está relacionado con sus responsabilidades laborales.
Control de acceso basado en relaciones (ReBAC)
El control de acceso basado en relaciones es un tipo de control de acceso que se centra en la relación entre el usuario y el recurso. Piense en Google Drive: el propietario de un documento tiene acceso para ver, editar y compartir el documento. Un miembro del mismo equipo solo puede tener permiso para ver el documento, mientras que otro miembro puede estar autorizado para ver y editar el documento.
Control de acceso basado en atributos (ABAC)
El control de acceso basado en atributos es un tipo de control de acceso que evalúa los atributos asociados con un usuario para determinar si puede acceder a los recursos. Este modelo de autorización es una forma más detallada de control de acceso porque evalúa al sujeto, el recurso, la acción y el entorno. ABAC autorizará el acceso a recursos específicos asociados con estas características.
Control de acceso discrecional (DAC)
El control de acceso discrecional es un tipo de control de acceso según el cual los propietarios de los recursos asumen la responsabilidad de decidir cómo se compartirán sus recursos. Pongamos que un usuario quiere acceder a un documento específico. En última instancia, depende del criterio del propietario del documento autorizar al usuario y configurar sus permisos. En algunos casos, los propietarios de los recursos otorgarán a ciertos usuarios privilegios más altos. Estos privilegios pueden incluir la capacidad de administrar o modificar los derechos de acceso para otros usuarios.
Control de acceso obligatorio (MAC)
El control de acceso obligatorio es un tipo de control de acceso que administra los permisos de acceso en función de la sensibilidad del recurso y el nivel de seguridad del usuario. Cuando un usuario intenta acceder a un recurso, el sistema comparará el nivel de seguridad del usuario con la clasificación de seguridad de los recursos. Si el nivel de seguridad del usuario es igual o superior al de clasificación de los recursos, entonces se le otorgará el acceso. MAC se utiliza principalmente en entornos gubernamentales o militares que requieren seguridad de primer nivel.