Czym jest kontrola dostępu oparta na rolach (RBAC)?
- Słownik IAM
- Czym jest kontrola dostępu oparta na rolach (RBAC)?
Kontrola dostępu oparta na rolach (RBAC) wykorzystuje zdefiniowane role i uprawnienia do ograniczenia dostępu do systemów dla uprawnionych użytkowników. RBAC jest podstawą dostępu opartego na najmniejszych uprawnieniach i może być również wykorzystana do implementacji innych modeli dostępu, takich jak kontrola dostępu oparta na atrybutach (ABAC).
Jak działa kontrola dostępu oparta na rolach?
Idea kontroli dostępu opartej na rolach jest prosta: ograniczenie dostępu użytkowników do systemów i danych tylko do niezbędnego minimum, które jest im potrzebne do wykonywania pracy, i nie więcej. Koncepcja ta znana jest jako zasada najmniejszych uprawnień.
W środowisku dostępu opartego na rolach, rola użytkownika w organizacji określa konkretne uprawnienia sieciowe, które są mu przyznawane. Oznacza to uniemożliwienie pracownikom niższego szczebla dostępu do bardzo wrażliwych informacji i zasobów, ale poziomy dostępu oparte na rolach są zazwyczaj bardziej szczegółowe. Gdy RBAC jest wdrożona prawidłowo, użytkownicy nie powinni mieć dostępu do żadnych zasobów poza przypisanymi im obszarami pracy; na przykład, pracownicy działu marketingu nie powinni mieć dostępu do środowisk deweloperskich i odwrotnie.
Co więcej, dostęp oparty na rolach jest używany do ograniczenia tego, co użytkownicy mogą zrobić z systemem lub plikiem, do którego otrzymali dostęp. Użytkownik może mieć dostęp tylko do odczytu do niektórych plików lub systemów, takich jak bazy danych, ale dostęp do odczytu/zapisu do innych.
RBAC a ABAC
Kontrola dostępu oparta na rolach jest często używana synonimicznie z kontrolą dostępu opartą na atrybutach. Chociaż ABAC i RBAC się różnią, RBAC jest często używana w połączeniu z ABAC.
ABAC jest bardziej szczegółowa niż RBAC i może być traktowana jako rozszerzenie lub ulepszenie dostępu opartego na rolach. Podczas gdy RBAC zależy od roli użytkownika w organizacji, w modelu ABAC prawa dostępu użytkownika zależą od kombinacji atrybutów, a nie tylko od roli użytkownika. Obejmują one między innymi rolę użytkownika w organizacji, miejsce, z którego próbuje on uzyskać dostęp do zasobów, urządzenie, z którego korzysta oraz atrybuty związane z systemem lub aplikacją, do której próbuje uzyskać dostęp. Dzięki temu organizacje mogą przyznawać dostęp i egzekwować ograniczenia zgodnie z profilem ryzyka danego użytkownika.
Na przykład, administratorzy IT powinni mieć ograniczony dostęp do systemów zaplecza, chyba że korzystają z VPN lub menedżera połączeń pulpitu zdalnego. Można też zabronić wszystkim pracownikom dostępu do zasobów firmy, chyba że korzystają z urządzenia dostarczonego przez firmę.
RBAC a listy kontroli dostępu (ACL)
Lista kontroli dostępu (ACL) to lista użytkowników, którzy mają dostęp do określonego zasobu, wraz z uprawnieniami, jakie każdy z nich posiada dla tego zasobu (tylko do odczytu, do zapisu itd.). Listy ACL są podstawą modelu dyskretnej kontroli dostępu (DAC).
Najpopularniejszym przykładem ACL i DAC w działaniu jest system plików Windows, który pozwala użytkownikom i administratorom definiować indywidualne listy ACL dla każdego obiektu, takiego jak dokument tekstowy czy folder z plikami.
Listy kontroli dostępu, zwykle składające się z adresów IP, są również wykorzystywane przez administratorów sieci do filtrowania ruchu do sieci VPN, zapór aplikacji internetowych (WAF) oraz routerów i przełączników sieciowych. ACL może zawierać listę dozwolonych adresów IP lub listę zablokowanych adresów IP.
Jeśli myślisz, że wymaga to dużo pracy, to masz rację. Utrzymywanie masywnych list dozwolonych i zablokowanych jest czasochłonne i podatne na błędy, dlatego też listy ACL (i model DAC) są przydatne tylko w odosobnionych przypadkach dotyczących małej liczby użytkowników.
Podsumowując, podczas gdy RBAC definiuje uprawnienia dostępu na poziomie grupy, lista ACL definiuje je na poziomie indywidualnego użytkownika lub adresu IP. To sprawia, że RBAC jest znacznie mniej pracochłonna i podatna na błędy niż listy kontroli dostępu, a zatem znacznie bardziej wykonalna w środowisku biznesowym z dziesiątkami, setkami, a nawet tysiącami użytkowników.
Jakie są korzyści RBAC?
Istnieje wiele korzyści z wdrożenia kontroli dostępu opartej na rolach, takich jak:
Zwiększenie bezpieczeństwa
Ograniczenie dostępu pracowników do zasobów niezbędnych do wykonywania pracy zapobiega nieostrożnemu lub złośliwemu usuwaniu, przenoszeniu lub naruszaniu integralności plików i innych zasobów cyfrowych, takich jak bazy danych i kod źródłowy.
Dodatkowo, w przypadku, gdy zewnętrzna osoba atakująca skradnie zestaw działających poświadczeń logowania, RBAC i dostęp o najmniejszych uprawnieniach uniemożliwią mu poruszanie się po sieci i eskalację uprawnień.
RBAC i dostęp z najmniejszymi uprawnieniami są również kluczowymi elementami nowoczesnych modeli dostępu do sieci typu zero-trust.
Obsługa inicjatyw w zakresie zgodności
Dostęp oparty na rolach umożliwia firmom spełnienie wymogów zgodności z przepisami branżowymi i regulacyjnymi, w tym HIPAA, RODO i innych ram ochrony danych i prywatności, które nakazują kontrolę poufności i prywatności danych osobowych i innych danych wrażliwych. Jest to szczególnie ważne w wysoce regulowanych branżach, takich jak opieka zdrowotna i finanse, a także w agencjach rządowych.
Redukcja kosztów i nakładów administracyjnych
Wstępnie zdefiniowane role użytkowników w modelu RBAC minimalizują koszty administracyjne podczas przyjmowania i zwalniania pracowników, gdy pracownicy przyjmują nowe role lub obowiązki w firmie, bądź gdy organizacja musi przyznać dostęp dostawcy lub zewnętrznemu wykonawcy. Przyznanie dostępu nowemu użytkownikowi lub zmiana dostępu istniejącego użytkownika to po prostu kwestia przypisania mu odpowiedniej roli (ról). Podobnie, gdy użytkownicy opuszczają firmę, administratorzy IT i bezpieczeństwa mogą szybko odebrać im dostęp do systemów.
Dając administratorom wgląd w dostęp i aktywność użytkowników, RBAC umożliwia organizacjom identyfikację obszarów, w których mogą one bardziej ekonomicznie wykorzystać zasoby sieciowe, takie jak przepustowość i pamięć masowa.
Jak wdrożyć kontrolę dostępu opartą na rolach
1. Opracuj strategię, która odpowiada potrzebom Twojej firmy.
Przed rozpoczęciem definiowania ról należy przeprowadzić inwentaryzację systemów, aby określić, do jakich zasobów należy kontrolować dostęp. Zidentyfikuj systemy, które przetwarzają lub przechowują poufne informacje, takie jak bazy danych klientów i środowiska programistyczne, a także systemy, do których każdy musi mieć dostęp, takie jak firmowa poczta elektroniczna i systemy zgłoszeń pomocy technicznej.
Przeanalizuj również procesy biznesowe firmy, technologie, wymagania dotyczące zgodności z przepisami oraz aktualną postawę w zakresie bezpieczeństwa. Zidentyfikuj wszelkie istniejące luki, takie jak niespójne egzekwowanie zasad w całej organizacji.
Pamiętaj, że można użyć RBAC w połączeniu z ABAC lub innym modelem, szczególnie jeśli wdrażasz dostęp do sieci typu zero-trust.
2. Zdefiniuj role użytkowników.
Teraz nadeszła pora, aby przeanalizować swój personel i pogrupować użytkowników w role, które mają podobne potrzeby w zakresie dostępu. Zacznij od szerokiego spojrzenia, np. na użytkowników według działów, a następnie doprecyzuj role użytkowników.
Pamiętaj, aby nie definiować zbyt wielu ról, gdyż to zniweczy cel stosowania RBAC. Rozważ użycie mapowania zespołów do rół, gdzie użytkownicy są przydzielani bezpośrednio do zespołów, którym następnie można przypisać niestandardowe role. Pozwoli to zaoszczędzić czas, poprawić spójność zasad, zmniejszyć ilość błędów i ułatwić administratorom zasady dostępu oparte na rolach.
Uważaj również na inne typowe pułapki, takie jak niewystarczająca szczegółowość, nakładanie się ról i nadmierne wyjątki dla uprawnień RBAC.
3. Określ odpowiednią strukturę zarządzania.
Po zdefiniowaniu strategii RBAC i ról użytkowników potrzebny jest sposób egzekwowania nowych zasad, jak również proces zarządzania zmianami, który pozwoli na ich modyfikację w miarę zmieniających się potrzeb firmy.
Opracuj pisemne zasady kontroli dostępu zawierającą reguły i wytyczne dla Twojego modelu RBAC, w tym wskaźniki wydajności, strategie zarządzania ryzykiem, procedury ponownej oceny ról i mechanizmy egzekwowania. Jasny zestaw reguł pomaga zapobiegać „rozrostowi ról” i wewnętrznym konfliktom pomiędzy działami i poszczególnymi użytkownikami.
4. Zaimplementuj model RBAC.
Duża organizacja, szczególnie taka, w której nie ma modelu opartego na rolach, może wdrażać nowy plan etapami, aby uniknąć zamieszania wśród użytkowników i zakłóceń w codziennej pracy. Spodziewaj się, że po drodze pojawią się problemy, w tym takie, które wymagają modyfikacji pierwotnego planu. Jest to normalne, a dzięki etapowemu wdrażaniu planu można łatwiej sobie z nimi poradzić.
5. Obsługuj model RBAC.
Użytkownicy przychodzą i odchodzą. Zmieniają się potrzeby biznesowe. Zmienia się technologia. Zmienia się rynek. W tym wszystkim kontrola dostępu oparta na rolach nie utrzyma się sama. Zbieraj informacje zwrotne od użytkowników, stale monitoruj stan bezpieczeństwa i przeprowadzaj okresowe przeglądy ról, przypisania ról i dzienników dostępu, aby zrozumieć, co działa, a co wymaga korekty.