Содержание статьи
Что такое RBAC
Контроль доступа на основе ролей (RBAC), также известный как безопасность на основе ролей, - это механизм, ограничивающий доступ к системе. Он включает в себя настройку разрешений и привилегий, чтобы разрешить доступ авторизованным пользователям. Большинство крупных организаций используют ролевой контроль доступа, чтобы предоставить своим сотрудникам различные уровни доступа в зависимости от их ролей и обязанностей. Это защищает конфиденциальные данные и гарантирует, что сотрудники могут получить доступ только к информации и выполнять действия, которые им необходимы для выполнения своей работы.
Организация назначает каждому сотруднику роль контроля доступа на основе ролей; роль определяет, какие разрешения система предоставляет пользователю. Например, вы можете указать, является ли пользователь администратором, специалистом или конечным пользователем, и ограничить доступ к определенным ресурсам или задачам. Организация может разрешить одним лицам создавать или изменять файлы, предоставляя другим только разрешение на просмотр.
Одним из примеров управления доступом на основе ролей является набор разрешений, которые позволяют пользователям читать, редактировать или удалять статьи в приложении для записи. Есть две роли, Писатель и Читатель, и их соответствующие уровни разрешений представлены в этой таблице истинности. Используя эту таблицу, вы можете назначить разрешения каждому пользователю.
В некоторых случаях организации предоставляют разные уровни разрешений отдельным ролям или их уровни разрешений могут перекрываться. В приведенном выше примере одна роль (читатель) является подмножеством другой роли, которая имеет больше разрешений (писатель).
Типы контроля доступа: дополнительные механизмы контроля
Меры контроля доступа регулируют, кто может просматривать или использовать ресурсы в вычислительной системе, часто полагаясь на аутентификацию или авторизацию на основе учетных данных для входа в систему. Они необходимы для минимизации бизнес-рисков. Системы контроля доступа могут быть физическими, ограничивая доступ к зданиям, комнатам или серверам, или они могут быть логическими, контролирующими цифровой доступ к данным, файлам или сетям.
Контроль доступа на основе ролей может быть дополнен другими методами контроля доступа. Примеры таких типов контроля доступа включают:
Дискреционный контроль доступа (DAC)
Владелец защищенной системы или ресурса устанавливает политики, определяющие, кто может получить к ним доступ. DAC может включать физические или цифровые меры и является менее ограничительным, чем другие системы контроля доступа, поскольку предлагает людям полный контроль над ресурсами, которыми они владеют. Однако он также менее безопасен, поскольку связанные программы наследуют параметры безопасности и позволяют вредоносным программам использовать их без ведома конечного пользователя. Вы можете использовать RBAC для реализации DAC.
Обязательный контроль доступа (MAC)
Центральный орган регулирует права доступа на основе нескольких уровней безопасности. MAC включает в себя присвоение классификаций системным ресурсам и ядру безопасности или операционной системе. Только пользователи или устройства с необходимым уровнем допуска к защите информации могут получить доступ к защищенным ресурсам. Организации с разными уровнями классификации данных, такие как правительственные и военные учреждения, обычно используют MAC для классификации всех конечных пользователей. Вы можете использовать управление доступом на основе ролей для реализации MAC.
Типы контроля доступа: альтернативы RBAC
Другие механизмы контроля доступа могут служить альтернативой ролевому контролю доступа.
Список контроля доступа (ACL)
Список управления доступом (ACL) - это таблица, в которой перечислены разрешения, прикрепленные к вычислительным ресурсам. Он сообщает операционной системе, какие пользователи могут получить доступ к объекту и какие действия они могут выполнять. Для каждого пользователя существует запись, которая связана с атрибутами безопасности каждого объекта. ACL обычно используется для традиционных систем ЦАП.
RBAC против ACL
Для большинства бизнес-приложений RBAC превосходит ACL с точки зрения безопасности и административных издержек. ACL лучше подходит для реализации безопасности на уровне отдельных пользователей и для низкоуровневых данных, в то время как RBAC лучше обслуживает систему безопасности в масштабах компании с контролирующим администратором. ACL может, например, предоставить доступ на запись к определенному файлу, но не может определить, как пользователь может изменить файл.
Атрибутный контроль доступа (ABAC)
ABAC оценивает набор правил и политик для управления правами доступа в соответствии с определенными атрибутами, такими как окружающая среда, система, объект или информация о пользователе . Он применяет логическую логику для предоставления или отказа в доступе пользователям на основе комплексной оценки атомарных или многозначных атрибутов и отношений между ними.
На практике это позволяет вам писать правила на расширяемом языке разметки контроля доступа (XACML), используя пары ключ-значение, такие как Role = Manager и Category = Financial.
RBAC против ABAC
В то время как RBAC полагается на заранее определенные роли, ABAC более динамичен и использует управление доступом на основе отношений. Вы можете использовать RBAC для определения элементов управления доступом с помощью широких мазков, в то время как ABAC предлагает большую степень детализации. Например, система RBAC предоставляет доступ всем менеджерам, но политика ABAC будет предоставлять доступ только менеджерам, которые находятся в финансовом отделе. ABAC выполняет более сложный поиск, который требует большей вычислительной мощности и времени, поэтому вам следует прибегать к ABAC только тогда, когда RBAC недостаточно.
Реализация контроля доступа на основе ролей
Управление доступом на основе ролей позволяет организациям повысить уровень безопасности и соблюдать правила безопасности. Однако внедрение контроля доступа на основе ролей во всей организации может быть сложной задачей и может привести к противодействию со стороны заинтересованных сторон. Чтобы успешно перейти на RBAC, вы должны рассматривать процесс внедрения как серию шагов:
Ролевой контроль доступа
Система позволяет точно контролировать права пользователей с помощью гибких средств управления доступом на основе ролей. Пользователям может быть предоставлен доступ для редактирования, просмотра или ограниченный доступ к определенным объектам и функциям управления. Организации также могут иерархически управлять ИТ-активами и группировать их в логические категории для детального контроля доступа, даже в крупномасштабных корпоративных развертываниях и развертываниях с управляемым поставщиком услуг безопасности (MSSP).
- Что такое RBAC
- Типы контроля доступа: дополнительные механизмы контроля
- Типы контроля доступа: альтернативы RBAC
- Реализация контроля доступа на основе ролей
- Ролевой контроль доступа
Что такое RBAC
Контроль доступа на основе ролей (RBAC), также известный как безопасность на основе ролей, - это механизм, ограничивающий доступ к системе. Он включает в себя настройку разрешений и привилегий, чтобы разрешить доступ авторизованным пользователям. Большинство крупных организаций используют ролевой контроль доступа, чтобы предоставить своим сотрудникам различные уровни доступа в зависимости от их ролей и обязанностей. Это защищает конфиденциальные данные и гарантирует, что сотрудники могут получить доступ только к информации и выполнять действия, которые им необходимы для выполнения своей работы.
Организация назначает каждому сотруднику роль контроля доступа на основе ролей; роль определяет, какие разрешения система предоставляет пользователю. Например, вы можете указать, является ли пользователь администратором, специалистом или конечным пользователем, и ограничить доступ к определенным ресурсам или задачам. Организация может разрешить одним лицам создавать или изменять файлы, предоставляя другим только разрешение на просмотр.
Одним из примеров управления доступом на основе ролей является набор разрешений, которые позволяют пользователям читать, редактировать или удалять статьи в приложении для записи. Есть две роли, Писатель и Читатель, и их соответствующие уровни разрешений представлены в этой таблице истинности. Используя эту таблицу, вы можете назначить разрешения каждому пользователю.
| Разрешение / роль | Писатель | Читатель |
|---|---|---|
| Редактировать | да | нет |
| Удалить | да | нет |
| Читать | да | да |
Типы контроля доступа: дополнительные механизмы контроля
Меры контроля доступа регулируют, кто может просматривать или использовать ресурсы в вычислительной системе, часто полагаясь на аутентификацию или авторизацию на основе учетных данных для входа в систему. Они необходимы для минимизации бизнес-рисков. Системы контроля доступа могут быть физическими, ограничивая доступ к зданиям, комнатам или серверам, или они могут быть логическими, контролирующими цифровой доступ к данным, файлам или сетям.
| Роль | Корпоративная сеть | Электронное письмо | CRM | Клиентская БД | Unix | Информация о сотрудниках |
|---|---|---|---|---|---|---|
| Пользователь | да | да | нет | нет | нет | нет |
| Администратор ИТ-системы | да | да | да | да | да | да |
| Разработчик | да | да | нет | нет | да | нет |
| Консультант по продажам | нет | да | да | да | нет | нет |
| HR | да | да | нет | нет | нет | да |
Контроль доступа на основе ролей может быть дополнен другими методами контроля доступа. Примеры таких типов контроля доступа включают:
Дискреционный контроль доступа (DAC)
Владелец защищенной системы или ресурса устанавливает политики, определяющие, кто может получить к ним доступ. DAC может включать физические или цифровые меры и является менее ограничительным, чем другие системы контроля доступа, поскольку предлагает людям полный контроль над ресурсами, которыми они владеют. Однако он также менее безопасен, поскольку связанные программы наследуют параметры безопасности и позволяют вредоносным программам использовать их без ведома конечного пользователя. Вы можете использовать RBAC для реализации DAC.
Обязательный контроль доступа (MAC)
Центральный орган регулирует права доступа на основе нескольких уровней безопасности. MAC включает в себя присвоение классификаций системным ресурсам и ядру безопасности или операционной системе. Только пользователи или устройства с необходимым уровнем допуска к защите информации могут получить доступ к защищенным ресурсам. Организации с разными уровнями классификации данных, такие как правительственные и военные учреждения, обычно используют MAC для классификации всех конечных пользователей. Вы можете использовать управление доступом на основе ролей для реализации MAC.
Типы контроля доступа: альтернативы RBAC
Другие механизмы контроля доступа могут служить альтернативой ролевому контролю доступа.
Список контроля доступа (ACL)
Список управления доступом (ACL) - это таблица, в которой перечислены разрешения, прикрепленные к вычислительным ресурсам. Он сообщает операционной системе, какие пользователи могут получить доступ к объекту и какие действия они могут выполнять. Для каждого пользователя существует запись, которая связана с атрибутами безопасности каждого объекта. ACL обычно используется для традиционных систем ЦАП.
RBAC против ACL
Для большинства бизнес-приложений RBAC превосходит ACL с точки зрения безопасности и административных издержек. ACL лучше подходит для реализации безопасности на уровне отдельных пользователей и для низкоуровневых данных, в то время как RBAC лучше обслуживает систему безопасности в масштабах компании с контролирующим администратором. ACL может, например, предоставить доступ на запись к определенному файлу, но не может определить, как пользователь может изменить файл.
Атрибутный контроль доступа (ABAC)
ABAC оценивает набор правил и политик для управления правами доступа в соответствии с определенными атрибутами, такими как окружающая среда, система, объект или информация о пользователе . Он применяет логическую логику для предоставления или отказа в доступе пользователям на основе комплексной оценки атомарных или многозначных атрибутов и отношений между ними.
На практике это позволяет вам писать правила на расширяемом языке разметки контроля доступа (XACML), используя пары ключ-значение, такие как Role = Manager и Category = Financial.
RBAC против ABAC
В то время как RBAC полагается на заранее определенные роли, ABAC более динамичен и использует управление доступом на основе отношений. Вы можете использовать RBAC для определения элементов управления доступом с помощью широких мазков, в то время как ABAC предлагает большую степень детализации. Например, система RBAC предоставляет доступ всем менеджерам, но политика ABAC будет предоставлять доступ только менеджерам, которые находятся в финансовом отделе. ABAC выполняет более сложный поиск, который требует большей вычислительной мощности и времени, поэтому вам следует прибегать к ABAC только тогда, когда RBAC недостаточно.
Реализация контроля доступа на основе ролей
Управление доступом на основе ролей позволяет организациям повысить уровень безопасности и соблюдать правила безопасности. Однако внедрение контроля доступа на основе ролей во всей организации может быть сложной задачей и может привести к противодействию со стороны заинтересованных сторон. Чтобы успешно перейти на RBAC, вы должны рассматривать процесс внедрения как серию шагов:
- Понимание потребностей вашего бизнеса - перед переходом на RBAC вам следует провести всесторонний анализ потребностей, чтобы изучить должностные обязанности, вспомогательные бизнес-процессы и технологии. Вам также следует рассмотреть любые нормативные требования или требования аудита и оценить текущее состояние безопасности вашей организации. Вы также можете воспользоваться другими типами контроля доступа.
- Планирование объема реализации - определите объем требований RBAC и спланируйте реализацию в соответствии с потребностями организации. Сузьте область действия, чтобы сосредоточиться на системах или приложениях, хранящих конфиденциальные данные. Это также поможет вашей организации управлять переходом.
- Определение ролей - будет легче определить свои роли после того, как вы выполните анализ потребностей и поймете, как люди выполняют свои задачи. Остерегайтесь распространенных ошибок проектирования ролей, таких как чрезмерная или недостаточная детализация, перекрытие ролей и предоставление слишком большого количества исключений для разрешений RBAC.
- Реализация - заключительный этап включает развертывание RBAC. Делайте это поэтапно, чтобы избежать чрезмерной рабочей нагрузки и уменьшить нарушение работы бизнеса. Во-первых, обратитесь к основной группе пользователей. Прежде чем увеличивать степень детализации, начните с грубого контроля доступа. Собирайте отзывы пользователей и отслеживайте свою среду, чтобы спланировать следующие этапы внедрения.
Ролевой контроль доступа
Система позволяет точно контролировать права пользователей с помощью гибких средств управления доступом на основе ролей. Пользователям может быть предоставлен доступ для редактирования, просмотра или ограниченный доступ к определенным объектам и функциям управления. Организации также могут иерархически управлять ИТ-активами и группировать их в логические категории для детального контроля доступа, даже в крупномасштабных корпоративных развертываниях и развертываниях с управляемым поставщиком услуг безопасности (MSSP).
