O que é autorização?
- Glossário do IAM
- O que é autorização?
A autorização é o processo de determinar se deve conceder ou negar aos usuários o direito de acessar os recursos. A autorização opera seguindo um conjunto de regras e políticas predefinidas. Essas regras são normalmente gerenciadas por um sistema de controle de acesso que estabelece permissões com base nos requisitos de conformidade da organização. Quando um usuário está tentando acessar um recurso, o sistema de autorização avaliará suas permissões e as políticas predefinidas da organização antes de permitir que o usuário acesse o recurso.
Autorização versus autenticação: qual é a diferença?
A autenticação é o processo de verificação de que um usuário é quem ele diz ser. A autorização, por outro lado, é o processo de concessão de acesso a recursos e quais ações o usuário pode realizar com esses recursos. Depois que um usuário é autenticado usando suas credenciais, o sistema passa pelo processo de autorização.
A autorização e a autenticação trabalham juntas para garantir que os usuários tenham acesso aos recursos de que precisam, mantendo a segurança e a integridade da organização.
A importância da autorização
Sem processos de autorização fortes, as organizações têm uma governança deficiente, resultando em falta de visibilidade e controle sobre as atividades dos funcionários e um risco maior de acesso não autorizado do usuário. Vamos ver como a autorização aborda esses problemas.
- Segue o princípio do menor privilégio (PoLP): O princípio do menor privilégio é um conceito de segurança cibernética no qual os usuários só têm acesso aos meios necessários para fazer seu trabalho. Seguir esse princípio garante maior segurança e controle sobre privilégios, pois reduz a superfície de ataque da organização. A autorização adere a este princípio pois concede estritamente o nível mínimo de direitos de acesso, limitando o acesso não autorizado.
- Fornece controle de acesso centralizado: a autorização permite que as organizações definam, gerenciem e atualizem direitos de acesso de usuários em um local centralizado. Com essa funcionalidade eficiente, é garantido que permissões de acesso específicas sejam aplicadas correspondentes a cada usuário e função.
Tipos de modelos de autorização
Aqui estão cinco tipos de modelos de autorização que as organizações usam para garantir o acesso a recursos.
Controle de acesso baseado em função (RBAC)
O controle de acesso baseado em função é um tipo de controle de acesso que define permissões com base no papel e nas funções do usuário dentro da organização. Por exemplo, funcionários de nível inferior não terão acesso a informações ou sistemas altamente confidenciais que usuários privilegiados teriam. Quando um usuário tenta obter acesso a um recurso, o sistema inspeciona a função do usuário para determinar se o recurso está associado às suas responsabilidades de trabalho.
Controle de acesso baseado em relação (ReBAC)
O controle de acesso baseado em relação é um tipo de controle de acesso que se concentra na relação entre o usuário e o recurso. Pense no Google Drive — um proprietário de um documento tem acesso para visualizar, editar e compartilhar o documento. Um membro da mesma equipe pode ter permissão apenas para visualizar o documento enquanto outro membro pode estar autorizado a visualizar e editar o documento.
Controle de acesso baseado em atributos (ABAC)
O controle de acesso baseado em atributos é um tipo de controle de acesso que avalia os atributos associados a um usuário para determinar se eles podem acessar os recursos. Esse modelo de autorização é uma forma mais detalhada de controle de acesso porque avalia o assunto, o recurso, a ação e o ambiente. O ABAC autorizará o acesso a recursos específicos associados a essas características.
Controle de acesso discricionário (DAC)
O controle de acesso discricionário é um tipo de controle de acesso no qual os proprietários de recursos assumem a responsabilidade de decidir como seus recursos serão compartilhados. Digamos que um usuário deseja acessar um documento específico. Em última análise, cabe ao critério do proprietário do documento autorizar o usuário e configurar suas permissões. Em alguns casos, os proprietários de recursos concederão a certos usuários privilégios maiores. Esses privilégios podem incluir a capacidade de gerenciar ou modificar direitos de acesso para outros usuários.
Controle de acesso obrigatório (MAC)
O controle de acesso obrigatório é um tipo de controle de acesso que gerencia permissões de acesso com base na sensibilidade do recurso e no nível de segurança do usuário. Quando um usuário está tentando acessar um recurso, o sistema irá comparar o nível de segurança do usuário com a classificação de segurança do recurso. Se o nível de segurança do usuário for igual ou maior que a classificação do recurso, ele estará autorizado a acessá-lo. O MAC é usado principalmente em ambientes governamentais ou militares que exigem segurança de alto nível.