Hvad er rollebaseret adgangskontrol (RBAC)?

rollebaseret adgangskontrol (RBAC) er et sikkerhedsparadigme, hvor brugerne får adgang til ressourcer baseret på deres rolle i virksomheden. RBAC, hvis implementeret korrekt, kan være en effektiv måde at håndhæve princippet om mindst privilegium.

det grundlæggende princip om rollebaseret adgangskontrol er enkelt: økonomiafdelingen kan ikke se HR-data og vice versa.,

når implementeret korrekt, vil RBAC være gennemsigtig for brugerne. Rolletildeling sker bag kulisserne, og hver bruger har adgang til de applikationer og data, de har brug for for at udføre deres job.

i denne vejledning forklarer vi, hvad RBAC er mere detaljeret, og viser dig hvornår og hvordan du kan bruge dette paradigme.,

• Fordelene ved RBAC
• 5 Trin til at RBAC Gennemførelsen
• RBAC Eksempler
• Azure RBAC
• Alternativer til RBAC

Rolle-Baseret adgangskontrol: Det Grundlæggende

de Fleste RBAC systemer er baseret på anvendelse af tre grundlæggende principper. Hvordan disse anvendes i individuelle organisationer kan variere, men disse principper forbliver uændrede:

1. rolletildeling: et emne kan kun udøve en tilladelse, hvis emnet har valgt eller fået tildelt en rolle.,
2. Rollegodkendelse: et fags aktive rolle skal godkendes. Det vil sige, Jeg kan ikke bare tildele mig en rolle. Jeg har brug for tilladelse.
3. tilladelse Tilladelse: et emne kan kun udøve en tilladelse, hvis tilladelsen er godkendt til fagets aktive rolle. Med regler 1 og 2 sikrer denne regel, at brugere kun kan udøve tilladelser, som de er autoriseret til.

RBAC er vigtig for cybersikkerhed, fordi statistikker over dataovertrædelser indikerer, at tildeling af upassende adgangsniveauer til medarbejdere er en førende årsag til tab af data og datatyveri., Uden et system til at beslutte, hvem der kan få adgang til data, kan nogle data blive udsat.

I oktober 2019, cybersecurity forskere Diachenko og Troia fundet en guldgrube af data, synlige og let tilgængelige for offentligheden på et ikke-sikret server, der indeholdt 4 terabyte af personlige OPLYSNINGER, eller omkring 4 milliarder registreringer. Et samlet antal unikke mennesker på tværs af alle datasæt nåede mere end 1.2 milliarder mennesker, hvilket gør dette til en af de største datalækager fra en enkelt kildeorganisation i historien.de lækkede data indeholdt navne, e-mailadresser, telefonnumre, LinkedIn og Facebook-profiloplysninger., Den opdagede ElasticSearch-server indeholdende alle oplysninger var ubeskyttet og tilgængelig via en browebbro .ser. Ingen adgangskode eller godkendelse af nogen art var nødvendig for at få adgang til eller Do .nloade alle data, fordi de organisationer, der var i besiddelse af data (to forskellige, unavngivne data berigelse virksomheder) ikke havde taget skridt til at begrænse adgangen til dem.

Dette er et ekstremt eksempel: de pågældende data havde overhovedet ingen adgangskontrol. Det ser ud til, at din organisation aldrig ville begå en sådan fejl., I praksis er det dog nemt at lave fejl–især når kritiske oplysninger gemmes mange steder med forskellige adgangskontrolsystemer og nemme slutbrugerdelingsfunktioner.implementering af et RBAC-paradigme kan være vanskeligt, hovedsageligt fordi det kræver, at du definerer – detaljeret – alle roller i din organisation og beslutter, hvilke ressourcer medarbejdere i denne rolle skal tildeles. I store organisationer med mange bevægelige dele og sammenkoblede teams kan selv skitsering af et organisatorisk kort af denne art være en stor virksomhed.,

i nogle tilfælde betyder det, at de beslutninger, der understøtter RBAC, kan blive næsten “filosofiske” spørgsmål.

• har assistenter, der arbejder på vegne af deres ledere, brug for det samme adgangsniveau?
• bør et juridisk teammedlem blive en del af finansrollen for midlertidigt at få adgang til en delmængde af filer?
• har sikkerhedspersonale brug for adgang til alle de data, de forsøger at sikre?
• hvis en medarbejder forfremmes, arver de adgangstilladelser fra en tidligere rolle?
• eller har juniorpersonale brug for mere adgang end de ledere, de rapporterer til?,

svarene på disse spørgsmål kan være ekstremt komplicerede, fordi de vedrører den grundlæggende måde, hvorpå din organisation fungerer. Og som sikkerhedsarkitekt er det usandsynligt, at du kan have denne form for panorganisatorisk tilsyn.

af denne grund anbefaler vi her på Varonis, at du ikke forsøger at implementere et “rent” RBAC-system. I stedet foreslår vi, at du bruger en hybrid tilgang, der inkorporerer RBAC principper, men ikke stole på disse helt.,

Fordelene af Rolle-Baseret adgangskontrol

På det bredeste niveau, RBAC hjælper med at maksimere den operationelle effektivitet, beskytter dine data fra at blive lækket eller stjålet, reducerer admin, og DET at støtte arbejdet, og gør det lettere at opfylde revisionskrav.selvom RBAC ikke er perfekt, er det en meget bedre model end vilkårligt at beslutte, hvem der skal få adgang til hvilke ressourcer. Hvis du har en god RBAC implementeret, hackere vil få Stone .alled, så snart de forsøger at komme uden for boblen af deres hacket brugers rolle., Dette kan drastisk reducere virkningen af et kontokompromis–især i tilfælde af Ransom .are.

selvom den berørte bruger er i HR og har adgang til personligt identificerbare oplysninger (PII), vil hackeren ikke være i stand til at kryptere eller stjæle Finansteamets eller udøvende teams data.

RBAC reducerer også IT og administrativ belastning på tværs af organisationen og øger brugernes produktivitet. Det behøver ikke at administrere personlige tilladelser for hver bruger, og det er lettere for de rigtige brugere at komme til de rigtige data.,håndtering af nye brugere eller gæstebrugere kan være tidskrævende og vanskeligt, men hvis du har RBAC, der definerer disse roller, før en bruger tilslutter sig netværket, er det en brand og glem situation. Gæster og nye brugere slutter sig til netværket, og deres adgang er foruddefineret.

implementering af RBAC er bevist at spare mange dollars for din virksomhed. RTI offentliggjorde en rapport i 2010, “den økonomiske virkning af rollebaseret adgangskontrol”, som indikerer, at der er et betydeligt investeringsafkast i et RBAC-system., For et hypotetisk finansielt servicefirma på 10,000 ansatte vurderer RTI, at RBAC vil spare det $24,000 i arbejdskraft, og medarbejdernes nedetid vil spare virksomheden $300.000 om året. Automatisering af brugeradgangsprocessen sparer dig endnu mere end det i IT-arbejdskraftreduktion alene.

endelig kan virksomheder implementere RBAC-systemer for at imødekomme de lovgivningsmæssige og lovbestemte krav til fortrolighed og privatliv, fordi ledere og IT-afdelinger mere effektivt kan styre, hvordan dataene fås adgang til og bruges., Dette er især vigtigt for finansielle institutioner og sundhedsvirksomheder, der håndterer følsomme data og har brug for at overholde privatlivets fred for design.

i slutningen af implementeringen vil dit netværk være langt mere sikkert end det var, og dine data vil være meget sikrere mod tyveri. Og du får de andre fordele ved øget produktivitet for dine brugere og IT-medarbejdere. Det er en no-brainer, hvis du spørger os.,

5 Trin til at Gennemføre Rolle-Baseret adgangskontrol

De følgende trin er nødvendige for at gennemføre RBAC:

1. til at Definere de ressourcer og den service, du leverer til dine brugere (fx, e-mail, CRM, filshares, cloud-apps) .
2. Opret en kortlægning af roller til ressourcer fra trin 1, således at hver funktion kan få adgang til ressourcer, der er nødvendige for at fuldføre deres job.
3. Opret sikkerhedsgrupper, der repræsenterer hver rolle.
4. Tildel brugere til definerede roller ved at tilføje dem til de relevante rollebaserede grupper.,mapper, postkasser, sitesebsteder), der indeholder data

den gode nyhed er, at du stort set kan tage gætteriet ud af denne proces. Varonis DatAdvantage giver indsigt i, hvem der aktivt bruger data regelmæssigt, og hvem der ikke gør det, hvilket kan hjælpe med at informere rolleoprettelse og tildeling. Du kan også udpege en dataejer for enhver sikkerhedsgruppe (dvs.rolle) eller datasæt for at reducere byrden på den.,

denne dataejer, der har mere sammenhæng om deres data end den gør, er ansvarlig for adgang til deres data på lang sigt og kan nemt godkende eller nægte adgangsanmodninger fra Varonis DataPrivilege-grænsefladen. Varonis giver også modelleringsfunktioner, når du tildeler roller, så du kan se, hvad der sker, hvis du tilbagekalder adgang til en mappe fra denne rolle, før du forpligter dig.

når implementeringen er udført, er det vigtigt at holde systemet rent. Ingen bruger bør tildeles privilegier uden for deres rolle permanent., DataPrivilege giver mulighed for midlertidig adgang til fil aktier på en per anmodning basis, som ikke bryder den første regel. Det vil imidlertid være nødvendigt at have en ændringsproces på plads for at justere roller efter behov.

og selvfølgelig vil du have regelmæssig revision og overvågning af alle disse kritiske ressourcer. Du skal vide, om en bruger forsøger at få adgang til data uden for deres tildelte plads, eller om tilladelse bliver tilføjet til en bruger uden for deres rolle.,

eksempler på rollebaseret adgangskontrol

Når man ønsker at implementere et RBAC-system, er det nyttigt at have et grundlæggende eksempel til at guide dig. Selvom RBAC kan virke som en kompliceret tilgang, støder du i virkeligheden på RBAC i mange almindeligt anvendte systemer.

måske er det mest oplagte eksempel på dette hierarkiet af et userordpress CMS sæt brugerroller.,administration

med andre ord, WordPress bruger systemet sikrer, at alle brugerne har en rolle, som ikke giver dem uforholdsmæssigt store rettigheder, og beskytter data, der er tilgængelige for de brugere, der ikke har brug for dette for deres rolle., Selvom .ordpress ikke henviser til dette system som et “RBAC” – system, er det netop det.

A .ure RBAC

a .ure rollebaseret adgangskontrol (a .ure RBAC) er en RBAC-implementering for a .ure. A .ure Resource Manager giver dig mulighed for at implementere det grundlæggende i A .ure RBAC og tilpasse systemet til dine egne behov.,

Her er nogle eksempler på hvad du kan gøre med Azure RBAC (kilde):

• Tillade en bruger at styre virtuelle maskiner i et abonnement, og en anden bruger til at styre den virtuelle netværk
• Tillad en DBA-gruppen til at administrere SQL databaser i abonnement
• Tillade en bruger at styre alle ressourcer i en ressourcegruppe, som virtuelle maskiner, hjemmesider, og subnet
• Tillad et program til at få adgang til alle ressourcer i en ressource-gruppen

Selv om Azure RBAC er en populær måde for netværk for administratorer at gennemføre RBAC inden for deres organisationer, det er ikke den eneste mulighed., Her hos Varonis anbefaler vi generelt en hybrid tilgang, der bruger nogle elementer af A .ure RBAC, men inkorporerer disse i en bredere sikkerhedsstrategi.

alternativer til RBAC

RBAC er kun en tilgang til styring af adgang til dine netværk, og det er ikke en erstatning for en grundig og robust sikkerhedspolitik. Du kan altid bruge adgangskontrollister, men de er typisk vanskelige at administrere og skalerer ikke godt med store miljøer.,

Attributbaseret adgangskontrol

NIST definerer Attributbaseret adgangskontrol sammen med RBAC som en potentiel løsning til tildeling af adgangsrettigheder. Kort sagt, ABAC søger at matche karakteristika om brugeren (jobfunktion, jobtitel) med de ressourcer, som brugeren har brug for til at udføre deres job.

indtil videre har dette system ikke fået meget trækkraft på grund af de udfordringer og opsætning, der kræves for at implementere dette system i bred skala. Det lyder godt i teorien, men lægger stadig en stor del af byrden på det at styre.,

vores tilgang

for mange organisationer tilbyder RBAC ikke tilstrækkelig granularitet til at understøtte databeskyttelse og lovkrav.for eksempel bør data på tværs af afdelinger, der deles af en lille delmængde af brugere fra flere forretningsgrupper, kun være tilgængelige for specifikke brugere i hver rolle. RBAC begrænser evnen til at opnå dette resultat, fordi du ikke kan give adgang til kun et udvalgt antal personer fra flere forretningsroller. Anvendelse af en rollebaseret gruppe på et datasæt ville krænke princippet om mindst privilegium.,

talrige tilgange er blevet vedtaget for at løse dette problem, dog med ringe succes. I de fleste tilfælde efterlader forsøgene på at omgå RBACS utilstrækkelige granularitet ressourcens tilladelser i en tilstand af over-permissiv adgang, hvilket gør det umuligt at opretholde og recertificere for overholdelse.

for data, der kræver mere granulær beskyttelse, er vores filosofi, at tilladelsesstyring skal baseres på indholdet af dataene og ikke den funktionelle rolle for de brugere, der kræver adgang., Data-specifikke sikkerhedsgrupper bør oprettes for disse mapper og direkte tilladelser bør undgås.for eksempel kan et servicefirma have følsomme kundedata, som kun bør være tilgængelige for bestemte personer. Når de mapper, der indeholder disse data, er identificeret, tilladelser bør kun gives til personer i en indholds-specifik gruppe. Afdelingsgrupper bør ikke tildeles tilladelser i mappen.,

Du kan tage denne tilgang yderligere og skabe data-særlige grupper baseret på graden af nødvendige adgang:

• SOX_ReadOnly
• SOX_Modify

forbrugere af denne Sarbanes-Oxley (SOX) data kan omfatte nogle få udvalgte brugere fra den juridisk -, finans -, og compliance-teams. Endnu færre brugere har behov for at ændre dataene. Ved at oprette ressourcespecifikke grupper reducerer du kompleksiteten, Letter recertificering og kan meget lettere sikre en mindst privilegimodel.,

et sidste ord

RBAC er et kraftfuldt paradigme til styring af adgang til kritiske data og ressourcer, og hvis det implementeres korrekt, kan det dramatisk øge sikkerheden i dine systemer.

Husk dog, at RBAC ikke er et universalmiddel for cybersikkerhed. Der er flere metoder, som dårlige skuespillere vil bruge til at få uautoriseret adgang, og du bør ikke stole udelukkende på forebyggende kontroller som RBAC for at beskytte dine data., Detektivkontroller såsom en brugeradfærdsanalyseplatform kan hjælpe med at advare om usædvanlig adgangsadfærd-selvom den er autoriseret til en rolle–og forhindre dataovertrædelser.