Cos'è il controllo degli accessi in base al ruolo?
- Glossario IAM
- Cos'è il controllo degli accessi in base al ruolo?
Il controllo degli accessi in base al ruolo (Role-based Access Control, RBAC) fa leva su ruoli e privilegi definiti per limitare l'accesso ai sistemi agli utenti autorizzati. Il RBAC sta alla base dell'accesso con privilegi minimi e può anche essere utilizzato per implementare altri modelli di accesso, come il controllo degli accessi basato sugli attributi (ABAC).
Come funziona il controllo degli accessi in base al ruolo?
L'idea dietro al controllo degli accessi in base al ruolo è semplice: limitare l'accesso da parte degli utenti ai sistemi e ai dati al minimo indispensabile per lo svolgimento delle proprie mansioni e nient'altro, concetto noto come principio dei privilegi minimi (Principle of Least Privilege, PoLP).
In un ambiente con accessi in base al ruolo, il ruolo dell'utente all'interno dell'organizzazione determina le specifiche autorizzazioni di rete che gli vengono concesse. Ciò significa che si impedisce ai dipendenti dei livelli inferiori di accedere a informazioni e risorse altamente sensibili, ma di solito i livelli di accesso in base al ruolo sono più granulari. Quando il RBAC è implementato adeguatamente, gli utenti non dovrebbero poter accedere ad alcuna risorsa al di fuori delle aree di lavoro a loro assegnate: ad esempio, i dipendenti che si occupano di marketing non dovrebbero avere accesso agli ambienti per sviluppatori e viceversa.
Inoltre, l'accesso in base al ruolo viene utilizzato per limitare ciò che gli utenti possono fare con un sistema o con un file a cui hanno accesso. Un utente potrebbe avere un accesso di sola lettura a determinati file o sistemi, quali i database, ma un accesso di lettura/scrittura ad altri file.
Differenze tra RBAC e ABAC
Il controllo degli accessi in base al ruolo è spesso usato come sinonimo del controllo degli accessi in base all'attributo. Sebbene il RBAC e l'ABAC siano diversi, il primo è usato con frequenza in concomitanza con il secondo.
L'ABAC è più granulare del RBAC e può essere considerato una sorta di estensione o potenziamento dell'accesso in base al ruolo. Sebbene il RBAC dipenda dal ruolo dell'utente all'interno dell'organizzazione, in un modello ABAC i diritti di accesso degli utenti dipendono da una combinazione di attributi, non solo dal ruolo. Tali attributi includono, ma non solo, il ruolo dell'utente nell'organizzazione, con il quale provano ad accedere alle risorse, il dispositivo che utilizzano e gli attributi associati al sistema o all'applicazione a cui provano ad accedere. In questo modo le organizzazioni possono concedere gli accessi e imporre delle limitazioni a seconda del profilo di rischio di un singolo utente.
Ad esempio, nel caso in cui vogliate limitare l'accesso da remoto da parte dei vostri amministratori IT ai sistemi di back-end qualora non utilizzassero una VPN o un gestore di connessioni per desktop remoto, oppure se volete impedire a tutti i dipendenti di accedere alle risorse aziendali qualora non usassero un dispositivo fornito dall'azienda.
Differenze tra RBAC e liste di controllo degli accessi
Le liste di controllo degli accessi (Access Control List, ACL) sono elenchi di utenti che hanno accesso a una risorsa particolare, insieme ai privilegi che ogni utente detiene per quella risorsa (sola lettura, lettura/scrittura, ecc.). Le ACL costituiscono il fondamento di quel modello chiamato controllo degli accessi discrezionale (Discretionary Access Control, DAC).
L'esempio più diffuso di ACL e DAC in azione è il file system di Windows, il quale consente a utenti e amministratori di stabilire singole liste per ogni oggetto, come un documento di testo o una cartella di file.
Le liste di controllo degli accessi, che di solito sono composte da indirizzi IP, vengono utilizzate anche dagli amministratori di rete per filtrare il traffico verso le VPN, dai firewall delle applicazioni web (WAF) e da router e switch di rete. Le liste possono contenere un "elenco di autorizzazioni" per gli IP consentiti oppure un "elenco di blocco" per gli IP non consentiti.
Se pensate che si tratti di tanto lavoro, avete ragione. Occuparsi di corpose liste di autorizzazioni e di blocco porta via tempo e il rischio di qualche errore esiste, ecco perché le ACL (e il modello DAC) sono utili solo in casi isolati che vedono coinvolti piccoli gruppi di utenti.
In sintesi: sebbene il RBAC stabilisca i privilegi di accesso a livello di gruppo, una ACL li stabilisce a livello di singolo utente o IP. Il RBAC è però meno impegnativo e con rischi di errore ridotti rispetto alle liste di controllo degli accessi, pertanto più fattibile in un ambiente aziendale con decine, centinaia se non migliaia di utenti.
Quali sono i vantaggi del RBAC?
Sono tanti i vantaggi che porta l'implementazione del controllo degli accessi in base al ruolo, tra cui:
Potenziare la sicurezza
Limitando l'accesso dei dipendenti alle sole risorse di cui hanno bisogno per svolgere le loro mansioni si impedisce a persone interne all'azienda superficiali o con cattive intenzioni di eliminare, filtrare o compromettere l'integrità dei file e di altre risorse digitali, come i database e il codice sorgente.
Inoltre, qualora un aggressore esterno riuscisse a sottrarre un set di credenziali di accesso attive, il RBAC e l'accesso con privilegi minimi gli impedirà di spostarsi lateralmente all'interno della rete e di aumentarsi i privilegi.
Il RBAC e l'accesso con privilegi minimi sono parti essenziali anche dei moderni modelli zero-trust di accesso alla rete.
Supporto per iniziative di conformità
L'accesso in base al ruolo consente alle aziende di soddisfare i requisiti di conformità del settore e delle normative, tra cui l'HIPAA, il RGPD e altri quadri di protezione dei dati e della privacy che impongono controlli sulla riservatezza e sulla privacy per le informazioni di identificazione personale (PII) e altri dati sensibili. Questo aspetto è particolarmente importante nei settori altamente regolamentati, come quello sanitario e finanziario, e negli enti governativi.
Riduzione dei costi e delle spese generali di amministrazione
I ruoli utente predefiniti di un modello RBAC riducono le spese generali di amministrazione quando si concedono o si revocano i diritti ai dipendenti, quando i dipendenti acquisiscono nuovi ruoli o responsabilità lavorative all'interno dell'azienda o quando l'organizzazione deve concedere l'accesso a un fornitore o a un collaboratore di terza parte. Concedere l'accesso a un nuovo utente o modificare l'accesso a un utente esistente è semplicemente una questione di assegnazione del ruolo o dei ruoli giusti. Allo stesso modo, quando gli utenti lasciano l'azienda, gli amministratori IT e di sicurezza possono revocare loro l'accesso ai sistemi in modo rapido.
Offrendo agli amministratori visibilità sull'accesso e sulle attività degli utenti, il RBAC consente alle organizzazioni di identificare le aree in cui possono utilizzare in modo molto più conveniente le risorse di rete, come la banda larga e lo spazio di archiviazione.
Come implementare il controllo degli accessi in base al ruolo
1. Sviluppate una strategia che soddisfa le esigenze della vostra azienda.
Prima di passare alla definizione dei ruoli, è bene fare l'inventario dei vostri sistemi per stabilire di quali risorse è necessario controllare l'accesso. Identificare i sistemi che elaborano o conservano informazioni sensibili, quali i database dei clienti e gli ambienti di sviluppo, nonché i sistemi a cui tutti devono accedere, come la casella di posta aziendale o le richieste di assistenza all'help desk.
Esaminate anche i processi aziendali, le tecnologie, i requisiti di conformità e le attuali condizioni di sicurezza della vostra azienda. Identificate qualsiasi lacuna esistente, come l'applicazione incoerente delle regole in tutta l'organizzazione.
Tenete in considerazione che potreste usare il RBAC in concomitanza con l'ABAC o un altro modello, in particolare se avete intenzione di implementare l'accesso zero-trust alla rete.
2. Stabilite i ruoli degli utenti.
Ora è il momento di esaminare la vostra forza lavoro e raggruppare gli utenti in ruoli che abbiano esigenze di accesso simili. Iniziate con raggruppamenti generici, come quelli per reparto, poi partendo da questi, affinate a poco a poco i ruoli utente.
Fate in modo che non ci siano troppi ruoli, in quanto ciò andrebbe contro lo scopo dell'utilizzo del RBAC. Prendete in considerazione l'uso della mappatura team-a-ruolo, dove gli utenti vengono assegnati direttamente ai team, i quali possono poi essere assegnati a ruoli personalizzati. In questo modo risparmierete tempo, migliorerete la coerenza delle regole, ridurrete gli errori e faciliterete il compito degli amministratori di stabilire le regole di accesso in base al ruolo.
Fate anche attenzione ad altre insidie, come una granularità insufficiente, la sovrapposizione dei ruoli e un numero eccessivo di eccezioni alle autorizzazioni RBAC.
3. Stabilite una struttura di governance adeguata.
Dopo aver stabilito la vostra strategia RBAC e i ruoli utente, avrete bisogno di applicare le nuove regole, nonché modificare la procedura di gestione per adattarla alle nuove esigenze della vostra attività.
Sviluppate una regola scritta di controllo degli accessi contenente disposizioni e direttive per il vostro modello RBAC, che includa gli indicatori di prestazioni, le strategie di gestione del rischio, le procedure di rivalutazione dei ruoli e il meccanismo di applicazione. Un chiaro set di regole aiuta a evitare la proliferazione dei ruoli e i conflitti interni tra reparti e singoli utenti.
4. Implementate il vostro modello RBAC.
Un'ampia organizzazione, in particolare una senza un modello basato sui ruoli, potrebbe dover mettere in atto il nuovo piano a tappe per evitare di mandare in confusione gli utenti e di interrompere le attività giornaliere. Aspettatevi dei problemi lungo il percorso, tra cui quelli che vi richiederanno di modificare il piano originario. È una cosa normale e, procedendo a tappe, sarà più facile affrontarli uno a uno.
5. Procedete con il vostro modello RBAC.
Gli utenti vanno e vengono. Alle attività servono dei cambiamenti. La tecnologia cambia, e con essa il mercato. Detto questo, il controllo degli accessi basati sul ruolo non si mantiene da solo. Raccogliete feedback dai vostri utenti, monitorate costantemente le condizioni della vostra sicurezza ed effettuate periodiche revisioni dei ruoli, delle loro assegnazioni e dei registri degli accessi per capire cosa funziona e cosa necessita di essere adeguato.