El control de acceso basado en roles (RBAC) es un paradigma de seguridad mediante el cual se otorga a los usuarios acceso a los recursos en función de su rol en la empresa. La RBAC, si se aplica correctamente, puede ser una forma eficaz de hacer cumplir el principio del privilegio mínimo.

el principio básico del control de acceso basado en roles es simple: el Departamento de finanzas no puede ver los datos de Recursos Humanos y viceversa.,

obtenga el libro electrónico gratuito Pen Testing Active Directory Environments

» esto realmente me abrió los ojos a la seguridad publicitaria de una manera que el trabajo defensivo nunca hizo.»

Cuando se implementa correctamente, RBAC será transparente para los usuarios. La asignación de roles ocurre entre bastidores, y cada usuario tiene acceso a las aplicaciones y los datos que necesita para hacer su trabajo.

en esta guía, explicaremos qué es RBAC con más detalle y le mostraremos cuándo y cómo puede usar este paradigma.,

  • Los beneficios de RBAC
  • 5 Pasos para la implementación de RBAC
  • Ejemplos de RBAC
  • Azure RBAC
  • alternativas a RBAC

control de acceso basado en roles: lo básico

de tres principios básicos. Cómo se aplican en organizaciones individuales puede variar, pero estos principios permanecen invariables:

  1. asignación de roles: un sujeto puede ejercer un permiso solo si el sujeto ha seleccionado o se le ha asignado un rol.,
  2. Autorización de rol: el rol activo de un sujeto debe ser autorizado. Es decir, no puedo asignarme a un papel. Necesito autorización.
  3. Autorización de Permiso: un sujeto puede ejercer un permiso solo si el permiso está autorizado para el rol activo del sujeto. Con las reglas 1 y 2, esta regla garantiza que los usuarios solo puedan ejercer los permisos para los que estén autorizados.

RBAC es importante para la ciberseguridad porque las estadísticas sobre violaciones de datos indican que la concesión de niveles inadecuados de acceso a los miembros del personal es una de las principales causas de pérdida y robo de datos., Sin un sistema para decidir quién puede acceder a los datos, Algunos datos pueden quedar expuestos.

en octubre de 2019, los investigadores de ciberseguridad Diachenko y Troia encontraron un tesoro de datos expuestos y de fácil acceso para el público en un servidor no seguro, que contenía 4 terabytes de PII, o aproximadamente 4 mil millones de Registros. Un recuento total de personas únicas en todos los conjuntos de datos alcanzó a más de 1.2 mil millones de personas, lo que hace de esta una de las fugas de datos más grandes de una organización de fuente única en la historia.

los datos filtrados contenían nombres, direcciones de correo electrónico, números de teléfono, LinkedIn e información de perfil de Facebook., El servidor ElasticSearch descubierto que contenía toda la información estaba desprotegido y era accesible a través de un navegador web. No se necesitaba contraseña o autenticación de ningún tipo para acceder o descargar todos los datos porque las organizaciones que los tenían (dos empresas de enriquecimiento de datos distintas y sin nombre) no habían tomado medidas para limitar el acceso a ellos.

Este es un ejemplo extremo: los datos en cuestión no tenían controles de acceso impuestos en absoluto. Podría parecer que su organización nunca cometer un error., En la práctica, sin embargo, es fácil cometer errores, especialmente cuando la información crítica se almacena en muchos lugares con diferentes sistemas de control de acceso y funciones fáciles de compartir para el usuario final.

implementar un paradigma RBAC puede ser difícil, en gran parte porque requiere que defina – en detalle – todos los roles en su organización y decida qué recursos se deben otorgar a los empleados en ese rol. En grandes organizaciones con muchas partes móviles y equipos interconectados, incluso dibujar un mapa organizacional de este tipo puede ser una tarea importante.,

en algunos casos, esto significa que las decisiones que sustentan RBAC pueden convertirse en preguntas casi «filosóficas».

  • ¿Los asistentes, que trabajan en nombre de sus gerentes, necesitan el mismo nivel de acceso?
  • ¿Debe un miembro del equipo legal formar parte del rol de Finanzas para acceder temporalmente a un subconjunto de archivos?
  • ¿El personal de seguridad necesita acceso a todos los datos que intenta proteger?
  • si un miembro del personal es ascendido, ¿hereda los permisos de acceso de un rol anterior?
  • ¿o el personal junior necesita más acceso que los gerentes a los que reportan?,

las respuestas a estas preguntas pueden ser extremadamente complicadas porque se refieren a la forma fundamental en la que funciona su organización. Y como arquitecto de seguridad, es poco probable que pueda tener este tipo de supervisión panorganizacional.

por esta razón, aquí en Varonis, le recomendamos que no intente implementar un sistema RBAC «puro». En su lugar, le sugerimos que utilice un enfoque híbrido que incorpore los principios RBAC, pero no se base completamente en ellos.,

los beneficios del control de acceso basado en roles

en el nivel más amplio, RBAC ayuda a maximizar la eficiencia operativa, protege sus datos de fugas o robos, reduce el trabajo de administración y soporte de ti y facilita el cumplimiento de los requisitos de auditoría.

aunque RBAC no es perfecto, es un modelo mucho mejor que decidir arbitrariamente quién debe tener acceso a qué recursos. Si tienes un buen RBAC implementado, los hackers se bloquearán tan pronto como intenten salir de la burbuja de su papel de usuario hackeado., Esto puede reducir drásticamente el impacto de un compromiso de cuenta, especialmente en el caso del ransomware.

incluso si el usuario afectado está en Recursos Humanos y tiene acceso a información de identificación personal (PII), el hacker no podrá cifrar o robar los datos del equipo financiero o del equipo ejecutivo.

RBAC también reduce la carga administrativa y de ti en toda la organización y aumenta la productividad de los usuarios. No tiene que administrar permisos personalizados para cada usuario, y es más fácil para los usuarios correctos acceder a los datos correctos.,

administrar nuevos usuarios o usuarios invitados puede llevar mucho tiempo y ser difícil, pero si tiene RBAC que define estos roles antes de que un usuario se una a la red, es una situación de incendio y olvido. Invitados y nuevos usuarios se unen a la red, y su acceso está predefinido.

la implementación de RBAC ha demostrado ahorrar muchos dólares para su empresa. RTI publicó un informe en 2010,» The Economic Impact of Role-Based Access Control», que indica que hay un retorno sustancial de la inversión en un sistema RBAC., Para una hipotética firma de servicios financieros de 10,000 empleados, RTI estima que RBAC le ahorrará 2 24,000 en mano de obra, y el tiempo de inactividad de los empleados le ahorrará a la compañía 3 300,000 por año. Automatizar el proceso de acceso del usuario le ahorrará incluso más que eso en la reducción de mano de obra de ti por sí sola.

Por último, las empresas pueden implementar sistemas RBAC para cumplir con los requisitos reglamentarios y estatutarios de confidencialidad y Privacidad porque los ejecutivos y los departamentos de TI pueden administrar de manera más efectiva cómo se accede a los datos y se utilizan., Esto es particularmente importante para las instituciones financieras y las empresas de salud que gestionan datos confidenciales y necesitan cumplir con la privacidad por diseño.

al final de la implementación, su red será mucho más segura de lo que era, y sus datos estarán mucho más seguros contra el robo. Y obtiene los otros beneficios de una mayor productividad para sus usuarios y personal de TI. Es una obviedad si nos preguntas.,

5 Pasos para implementar el Control de acceso basado en roles

Los siguientes pasos son necesarios para implementar RBAC:

  1. defina los recursos y servicios que proporciona a sus usuarios (por ejemplo, correo electrónico, CRM, recursos compartidos de archivos, aplicaciones en la nube) .
  2. cree una asignación de roles a recursos desde el paso 1 de manera que cada función pueda acceder a los recursos necesarios para completar su trabajo.
  3. Crear grupos de seguridad que representen cada rol.
  4. asigne usuarios a roles definidos agregándolos a los grupos basados en roles relevantes.,
  5. Aplicar grupos a las listas de control de acceso en los recursos (por ejemplo, carpetas, buzones de correo, sitios) que contienen datos

la buena noticia es que puede eliminar en gran medida las conjeturas de este proceso. Varonis DatAdvantage proporciona información sobre quién usa activamente los datos regularmente y quién no, lo que puede ayudar a informar la creación y asignación de roles. También puede designar un propietario de datos para cualquier grupo de seguridad (es decir, rol) o conjunto de datos para reducir la carga que supone.,

Este propietario de los datos, que tiene más contexto sobre sus datos que él, es responsable del acceso a sus datos a largo plazo, y puede aprobar o denegar fácilmente las solicitudes de acceso desde la interfaz de Varonis DataPrivilege. Varonis también proporciona capacidades de modelado a medida que asigna roles, para que pueda ver qué sucede si revoca el acceso a una carpeta desde este rol, antes de confirmar.

una vez realizada la implementación, es imperativo mantener el sistema limpio. A ningún usuario se le deben asignar privilegios fuera de su rol de forma permanente., DataPrivilege permite el acceso temporal a recursos compartidos de archivos por solicitud, lo que no rompe la primera regla. Sin embargo, será necesario establecer un proceso de cambio para ajustar las funciones según sea necesario.

y, por supuesto, desea tener una auditoría y un monitoreo regulares de todos estos recursos críticos. Necesita saber si un usuario está tratando de acceder a datos fuera de su asiento asignado, o si se agrega permiso a un usuario fuera de su rol.,

ejemplos de control de acceso basado en roles

Cuando se busca implementar un sistema RBAC, es útil tener un ejemplo básico para guiarlo. Aunque RBAC puede parecer un enfoque complicado, en realidad, se encuentra con RBAC en muchos sistemas comúnmente utilizados.

quizás el ejemplo más obvio de esto es la jerarquía de un conjunto de roles de usuario de WordPress CMS.,capacidades de administración

  • Administrador: tiene acceso a las capacidades administrativas de un solo sitio de WordPress
  • Editor: tiene acceso a publicar y editar mensajes, incluidos los de otros usuarios
  • Autor: tiene acceso a publicar sus propios mensajes
  • colaborador: puede escribir sus propios mensajes, pero no puede publicar
  • suscriptor: solo puede leer mensajes
  • En otras palabras, el sistema de usuario de WordPress garantiza que todos los usuarios tengan un rol que no les otorgue derechos excesivos, y protege los datos de ser accedidos por aquellos usuarios que no necesitan esto para su función., Aunque WordPress no se refiere a este sistema como un sistema «RBAC», es precisamente eso.

    Azure RBAC

    Azure role-based access control (Azure RBAC) es una implementación de RBAC para Azure. Azure Resource Manager le permite implementar los conceptos básicos de Azure RBAC y personalizar el sistema según sus propias necesidades.,

    Estos son algunos ejemplos de lo que puede hacer con Azure RBAC (fuente):

    • permitir que un usuario administre máquinas virtuales en una suscripción y otro usuario administre redes virtuales
    • permitir que un grupo de DBA administre bases de datos SQL en una suscripción
    • permitir que un usuario administre todos los recursos de un grupo de recursos, como máquinas virtuales, sitios web y subredes
    • permitir que una aplicación acceda a todos los recursos de un grupo de recursos

    aunque Azure RBAC es una forma popular para que los administradores de red implementen RBAC dentro de sus organizaciones, no es la única opción disponible., Aquí en Varonis, generalmente recomendamos un enfoque híbrido que utiliza algunos elementos de Azure RBAC pero los incorpora en una estrategia de seguridad más amplia.

    alternativas a RBAC

    RBAC es solo un enfoque para administrar el acceso a sus redes, y no es un reemplazo para una política de seguridad completa y robusta. Siempre puede usar listas de control de acceso, pero generalmente son difíciles de administrar y no se escalan bien con entornos grandes.,

    control de acceso basado en Atributos

    NIST define el Control de acceso basado en Atributos junto con RBAC como una solución potencial para otorgar derechos de acceso. En resumen, ABAC busca hacer coincidir características sobre el Usuario (función de trabajo, título de trabajo) con los recursos que el usuario necesita para hacer su trabajo.

    hasta ahora, este sistema no ha ganado mucha tracción debido a los desafíos y la configuración requerida para implementar este sistema a gran escala. Suena muy bien en teoría, pero aún así se establece una gran parte de la carga a manejar.,

    nuestro enfoque

    para muchas organizaciones, RBAC no ofrece una granularidad suficiente para respaldar los requisitos normativos y de protección de datos.

    por ejemplo, los datos interdepartamentales compartidos por un pequeño subconjunto de usuarios de varios grupos empresariales solo deben ser accesibles para usuarios específicos de cada rol. RBAC limita la capacidad de lograr este resultado porque no puede otorgar acceso solo a un número seleccionado de personas de múltiples roles empresariales. La aplicación de un grupo basado en roles a un conjunto de datos violaría el principio de privilegio mínimo.,

    se han adoptado numerosos enfoques para resolver este problema, aunque con poco éxito. En la mayoría de los casos, los intentos de evitar la granularidad insuficiente de RBAC dejan los permisos del recurso en un estado de acceso excesivamente permisivo, lo que hace imposible mantener y volver a certificar el cumplimiento.

    para los datos que requieren una protección más granular, nuestra filosofía es que la gestión de permisos debe basarse en el contenido de los datos y no en el papel funcional de los usuarios que requieren acceso., Se deben crear grupos de seguridad específicos de datos para estas carpetas y se deben evitar los permisos directos.

    por ejemplo, una empresa de servicios puede tener datos confidenciales de clientes que solo deben ser accesibles a personas específicas. Una vez identificadas las carpetas que contienen estos datos, los permisos deben concederse solo a personas de un grupo específico de contenido. A los grupos departamentales no se les deben asignar permisos en la carpeta.,

    Puede llevar este enfoque aún más lejos y crear grupos específicos de datos basados en el nivel de acceso necesario:

    • SOX_ReadOnly
    • SOX_Modify

    Los consumidores de estos datos de Sarbanes-Oxley (SOX) pueden incluir algunos usuarios selectos de los equipos legal, financiero y de cumplimiento. Incluso menos usuarios tienen la necesidad de modificar los datos. Al crear grupos específicos de recursos, reduce la complejidad, facilita la recertificación y puede garantizar con mucha más facilidad un modelo de privilegios mínimos.,

    una última palabra

    RBAC es un poderoso paradigma para controlar el acceso a datos y recursos críticos, y si se implementa correctamente puede aumentar drásticamente la seguridad de sus sistemas.

    tenga en cuenta, sin embargo, que RBAC no es una panacea para la ciberseguridad. Hay varios métodos que los malos actores utilizarán para obtener acceso no autorizado, y no debe confiar únicamente en los controles preventivos como RBAC para proteger sus datos., Los controles de detección, como una plataforma de análisis del comportamiento del usuario, pueden ayudar a alertar sobre un comportamiento de acceso inusual, incluso si está autorizado para un rol, y prevenir violaciones de datos.

    Articles

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *