Czym jest autoryzacja?
- Słownik IAM
- Czym jest autoryzacja?
Autoryzacja to proces decyzji o przyznaniu użytkownikom prawa dostępu do zasobów lub odmowie jego przyznania. Autoryzacja wykorzystuje zestaw wstępnie zdefiniowanych reguł i zasad. Reguły te są zazwyczaj stosowane przez system kontroli dostępu, który nadaje uprawnienia na podstawie wymagań zgodności organizacji. Podczas próby uzyskania przez użytkownika dostępu do określonego zasobu system autoryzacji przed zezwoleniem użytkownikowi na dostęp określa jego uprawnienia na podstawie wstępnie zdefiniowanych zasad organizacji.
Autoryzacja a uwierzytelnianie: czym się różnią?
Uwierzytelnianie to proces potwierdzenia, że użytkownik jest tym, za kogo się podaje. Autoryzacja to proces przyznawania dostępu do zasobów oraz określanie, jakie działania dotyczące tych zasobów użytkownik może wykonać. Po uwierzytelnieniu użytkownika przy użyciu danych uwierzytelniania system przeprowadza proces autoryzacji.
Autoryzacja i uwierzytelnianie w połączeniu ze sobą zapewniają użytkownikom dostęp do niezbędnych zasobów przy jednoczesnym zachowaniu bezpieczeństwa oraz organizacji.
Znaczenie autoryzacji
Brak skutecznych procesów autoryzacji skutkuje złym zarządzaniem w organizacji, co prowadzi do braku wglądu w działania pracowników oraz kontroli nad nimi i zwiększa ryzyko nieautoryzowanego dostępu użytkowników. Przyjrzyjmy się, jak autoryzacja rozwiązuje te problemy.
- Jest zgodna z zasadą dostępu z najniższymi uprawnieniami (PoLP): zasada dostępu z najniższymi uprawnieniami to koncepcja cyberbezpieczeństwa, w której użytkownicy mają przyznawany dostęp wyłącznie do zasobów niezbędnych do wykonywania powierzonych zadań. Przestrzeganie tej zasady zapewnia kontrolę nad uprawnieniami i zwiększone bezpieczeństwo, ponieważ zmniejsza powierzchnię ataku organizacji. Autoryzacja jest zgodna z tą zasadą, ponieważ przyznaje minimalny poziom praw dostępu, ograniczając nieautoryzowany dostęp.
- Zapewnia scentralizowaną kontrolę dostępu: autoryzacja umożliwia organizacjom określanie i aktualizowanie praw dostępu użytkowników oraz zarządzanie nimi w jednej scentralizowanej lokalizacji. Ta wydajna funkcja umożliwia przyznawanie określonych uprawnień dostępu w zależności od użytkownika i roli.
Rodzaje modeli autoryzacji
Oto pięć typów modeli autoryzacji wykorzystywanych przez organizacje na potrzeby zabezpieczenia dostępu do zasobów.
Kontrola dostępu oparta na rolach (RBAC)
Kontrola dostępu oparta na rolach to rodzaj kontroli dostępu, który określa uprawnienia na podstawie roli i funkcji użytkownika w organizacji. Na przykład pracownicy niższego szczebla nie będą mieli dostępu do wysoce poufnych danych lub systemów, do których mają dostęp uprawnieni użytkownicy. Po próbie uzyskania przez użytkownika dostępu do zasobu system sprawdzi rolę użytkownika w celu ustalenia, czy zasób jest powiązany z obowiązkami służbowymi.
Kontrola dostępu oparta na relacjach (ReBAC)
Kontrola dostępu oparta na relacjach to rodzaj kontroli dostępu, który koncentruje się na relacji pomiędzy użytkownikiem a określonym zasobem. Można to porównać do Dysku Google, gdzie właściciel dokumentu ma uprawnienia do wyświetlania, edytowania i udostępniania dokumentu. Określony członek tego samego zespołu może mieć uprawnienia tylko do wyświetlania dokumentu, a inny członek do wyświetlania i edytowania dokumentu.
Kontrola dostępu oparta na atrybutach (ABAC)
Kontrola dostępu oparta na atrybutach to rodzaj kontroli dostępu, który ocenia atrybuty użytkownika w celu określenia, czy może on uzyskać dostęp do zasobów. Ten model autoryzacji jest bardziej szczegółową formą kontroli dostępu, ponieważ ocenia podmiot, zasób, działanie i środowisko. ABAC autoryzuje dostęp do określonych zasobów powiązanych z wymienionymi cechami.
Uznaniowa kontrola dostępu (DAC)
Uznaniowa kontrola dostępu to rodzaj kontroli dostępu, w którym to właściciele zasobów decydują o sposobie ich udostępniania. Załóżmy, że użytkownik chce uzyskać dostęp do określonego dokumentu. Decyzja o autoryzacji użytkownika i skonfigurowaniu jego uprawnień podejmowana jest wyłącznie według uznania właściciela dokumentu. W niektórych przypadkach właściciele zasobów przyznają określonym użytkownikom wyższe uprawnienia. Uprawnienia te mogą obejmować możliwość zarządzania prawami dostępu lub modyfikowania ich w odniesieniu do innych użytkowników.
Obowiązkowa kontrola dostępu (MAC)
Obowiązkowa kontrola dostępu to rodzaj kontroli dostępu, który zarządza uprawnieniami dostępu w oparciu o poziom poufności zasobu i poziom bezpieczeństwa użytkownika. Gdy użytkownik próbuje uzyskać dostęp do zasobu, system porównuje poziom bezpieczeństwa użytkownika z poziomem poufności zasobu. Jeśli poziom bezpieczeństwa użytkownika jest równy lub wyższy od poziomu poufności zasobu, użytkownik zostanie autoryzowany do uzyskania dostępu. Kontrola MAC jest wykorzystywana głównie w środowiskach rządowych lub wojskowych, które wymagają najwyższej klasy zabezpieczeń.