mikä on Rooliperusteinen kulunvalvonta (Rbac)?

Role-Based Access Control (RBAC) on turvallisuus paradigma, jossa käyttäjille myönnetään pääsy resursseja perustuu niiden rooliin yrityksessä. Jos RBAC pannaan täytäntöön oikein, se voi olla tehokas tapa panna täytäntöön vähiten etuoikeuksia koskeva periaate.

Rooliperusteisen kulunvalvonnan perusperiaate on yksinkertainen: valtiovarainministeriö ei näe HR-tietoja ja päinvastoin.,

oikein toteutettuna RBAC on avoin käyttäjille. Kohdistus tapahtuu kulissien takana, ja jokaisella käyttäjällä on pääsy sovelluksiin ja tietoihin, joita ne tarvitsevat tehdä työnsä.

tässä oppaassa selitämme tarkemmin, mitä RBAC on, ja näytämme, milloin ja miten voit käyttää tätä paradigmaa.,

• Hyödyt RBAC
• 5 Askelta RBAC Implementation
• RBAC Esimerkkejä
• Azure RBAC
• Vaihtoehtoja RBAC

Role-Based Access Control: Perusteet

Useimmat RBAC järjestelmät perustuvat soveltamista kolme perusperiaatetta. Miten näitä sovelletaan yksittäisissä organisaatioissa voi vaihdella, mutta nämä periaatteet ovat edelleen muuttumaton:

1. Rooli, tehtävä: aihe voi käyttää lupaa vain, jos kohde on valittu tai määrätty rooli.,
2. roolilupa: kohteen aktiivinen rooli on hyväksyttävä. En voi vain antaa itselleni roolia. Tarvitsen luvan.
3. Lupa lupa: aihe voi käyttää lupaa vain, jos lupa on hyväksytty aihe on aktiivinen rooli. Säännöillä 1 ja 2 Tämä sääntö varmistaa, että käyttäjät voivat käyttää vain oikeuksia, joihin heillä on lupa.

RBAC on tärkeää, että tietoverkkojen koska tilastoja tietoturvaloukkauksista osoittavat, että myöntää sopimatonta tasoilla pääsy henkilökunnan jäsenet on johtava syy tietojen menetys ja tietojen varastamisesta., Ilman järjestelmää, jossa päätetään, kuka pääsee tietoihin käsiksi, osa tiedoista voidaan jättää paljastamatta.

lokakuussa 2019, tietoverkkojen tutkijat Diachenko ja Troia löytynyt löytö tiedot alttiina ja helposti yleisön saatavilla vakuudettomia palvelin, joka sisälsi 4 teratavua PII, eli noin 4 miljardia kirjaa. Yhteensä count ainutlaatuinen ihmiset ympäri kaikki aineistot oli yli 1,2 miljardia ihmistä, joten tämä yksi suurimmista tietojen vuotoja yhdestä lähteestä organisaation historiassa.

vuodetut tiedot sisälsivät nimiä, sähköpostiosoitteita, puhelinnumeroita, LinkedIniä ja Facebook-profiilitietoja., Löydetty ElasticSearch-palvelin, joka sisälsi kaikki tiedot, oli suojaamaton ja saavutettavissa verkkoselaimella. Ei salasanaa tai varmennetta minkäänlaista oli tarpeen käyttää tai ladata kaikki tiedot, koska ne organisaatiot, jotka olivat tilalla tiedot (kaksi erillistä, nimeämätön tietojen rikastamiseen yritykset) ei ollut ryhtynyt toimiin rajoittaa niille pääsyä.

Tämä on äärimmäinen esimerkki: kyseisillä tiedoilla ei ollut lainkaan käyttöoikeuksien valvontaa. Saattaa vaikuttaa siltä, että järjestösi ei koskaan tekisi tällaista virhettä., Käytännössä virheitä on kuitenkin helppo tehdä–varsinkin, kun kriittistä tietoa säilytetään monin paikoin vaihtelevilla kulunvalvontajärjestelmillä ja helppokäyttöisillä loppukäyttäjien jakamisominaisuuksilla.

RBAC – paradigman toteuttaminen voi olla vaikeaa, paljolti siksi, että se vaatii sinua määrittelemään yksityiskohtaisesti kaikki organisaatiosi tehtävät ja päättämään, mitkä resurssit kyseisen roolin työntekijöille tulisi myöntää. Suurissa organisaatioissa, joissa on paljon liikkuvia osia ja toisiinsa joukkuetta, vaikka luonnosteluun organisaation kartta tällainen voi olla merkittävä yritykselle.,

joissakin tapauksissa tämä tarkoittaa sitä, että RBAC: n taustalla olevista päätöksistä voi tulla lähes ”filosofisia” kysymyksiä.

• tarvitsevatko esimiestensä puolesta työskentelevät avustajat samantasoista pääsyä?
• jos laillinen tiimin jäsen tullut osa rahoituksen rooli, jotta voit käyttää osajoukko tiedostot tilapäisesti?
• tarvitseeko turvallisuushenkilöstö pääsyn kaikkiin tietoihin, joita he yrittävät suojata?
• Jos toimihenkilöä ylennetään, perivätkö he käyttöoikeudet aiemmasta roolista?
• vai tarvitseeko juniorihenkilökunta enemmän sisäänpääsyä kuin esimiehet, joille he raportoivat?,

vastaukset näihin kysymyksiin voivat olla erittäin monimutkaisia, koska ne liittyvät perustavanlaatuinen tapa, jolla organisaatio toimii. Ja turvallisuusarkkitehtina et todennäköisesti pysty tällaiseen yleisjärjestövalvontaan.

tästä syystä, täällä Varonis, suosittelemme, että et yritä toteuttaa ”puhdas” RBAC-järjestelmä. Sen sijaan ehdotamme, että käytät hybridimenetelmää, joka sisältää RBAC-periaatteet, mutta ei luota niihin täysin.,

Edut Role-Based Access Control

Klo laajin taso, RBAC auttaa maksimoimaan toiminnan tehokkuutta, suojaa tietoja on vuotanut tai varastettu, vähentää admin ja SE tukee työtä, ja tekee sen helpompi tavata tarkastuksen vaatimukset.

vaikka RBAC ei ole täydellinen, se on paljon parempi malli kuin mielivaltaisesti päättää, kenen pitäisi päästä käsiksi mihin resursseihin. Jos sinulla on hyvä RBAC toteutettu, hakkerit saavat stonewalled heti, kun he yrittävät päästä ulos kupla heidän hakkeroitu käyttäjän rooli., Tämä voi vähentää merkittävästi tilin kompromissin vaikutusta-erityisesti kiristyshaittaohjelmien tapauksessa.

Vaikka kyseinen käyttäjä on HR ja on pääsy henkilökohtaisesti tunnistettavia tietoja (PII), hakkeri ei voi salata tai varastaa Finance-tiimin tai Johtoryhmän tiedot.

RBAC myös vähentää IT-ja hallinnollista kuormitusta koko organisaatiossa ja lisää käyttäjien tuottavuutta. Sen ei tarvitse hallita henkilökohtaisia käyttöoikeuksia jokaiselle käyttäjälle, ja oikeiden käyttäjien on helpompi päästä oikeisiin tietoihin.,

Toimitusjohtaja uusien käyttäjien tai vieraiden käyttäjät voivat olla aikaa vievää ja vaikeaa, mutta jos sinulla on RBAC, joka määrittelee roolit, ennen kuin käyttäjä liittyy verkkoon, se on tulta ja unohda tilanne. Vieraat ja uudet käyttäjät liittyvät verkostoon, ja heidän pääsynsä on ennalta määritelty.

Rbac: n toteutus on todistetusti säästänyt paljon dollareita yrityksellesi. RTI julkaisi raportin vuonna 2010, ”Taloudelliset Vaikutukset Role-Based Access Control”, joka osoittaa, on merkittäviä tuotto on RBAC-järjestelmä., Jotta hypoteettinen rahoituspalvelujen yritys 10000 työntekijää, RTI arvioi, että RBAC säästää SE $24,000 työ ja työntekijä seisokkeja säästää yrityksen 300 000 dollaria vuodessa. Automatisointi käyttäjän access prosessi säästää jopa enemmän kuin se työvoiman vähentäminen yksin.

Lopuksi, yritykset voivat toteuttaa RBAC-järjestelmät täyttävät lakisääteiset ja lakisääteiset vaatimukset luottamuksellisuuden ja yksityisyyden koska johtajat ja IT-osastot voivat tehokkaammin hallita, miten tietoja haetaan ja käytetään., Tämä on erityisen tärkeää rahoituslaitoksille ja terveydenhuoltoyrityksille, jotka hallinnoivat arkaluonteisia tietoja ja joiden on noudatettava yksityisyydensuojaa.

lopussa täytäntöönpanoa, verkko on huomattavasti turvallisempi kuin se oli, ja tietosi ovat paremmassa turvassa varkailta. Ja saat muut hyödyt tuottavuuden lisäämisestä käyttäjillesi ja IT-henkilökunnalle. Se ei ole helppoa, jos meiltä kysytään.,

5 Vaiheet Toteuttaa Role-Based Access Control

seuraavat vaiheet ovat velvollisia toteuttamaan RBAC:

1. Määritä resurssit ja palvelut tarjoavat käyttäjille (esim. sähköposti, CRM, tiedosto osakkeita, pilvi apps) .
2. luo roolien kartoitus resursseihin vaiheesta 1 siten, että kukin toiminto voi käyttää työnsä loppuun saattamiseen tarvittavia resursseja.
3. luo turvallisuusryhmiä, jotka edustavat jokaista roolia.
4. määrittää käyttäjät määritellyille rooleille lisäämällä ne asiaankuuluviin rooleihin perustuviin ryhmiin.,
5. Käytä ryhmiä access control lists resursseja (esim. kansiot, postilaatikot, sivustot), jotka sisältävät tietoja

hyvä uutinen on, että voit pitkälti ota arvailun tätä prosessia. Varonis DatAdvantage tarjoaa tietoa, joka aktiivisesti käyttää tietoja säännöllisesti, ja kuka ei, joka voi auttaa ilmoittaa rooli luominen ja tehtävän. Voit myös nimetä tietojen omistajan mistään security group (eli rooli) tai aineisto keventää SITÄ.,

Tämän tiedot, omistaja, joka on enemmän yhteydessä heidän tietoja kuin SE, on vastuussa käyttää niiden tietoja pitkällä aikavälillä, ja voi helposti hyväksyä tai kieltää pääsy pyyntöjä Varonis DataPrivilege käyttöliittymä. Varonis tarjoaa myös mallinnus ominaisuuksia, kun olet määrittämällä rooleja, jotta voit nähdä, mitä tapahtuu, Jos peruutat pääsyn kansioon tästä roolista, ennen sitoutumista.

kun toteutus on tehty, on välttämätöntä pitää järjestelmä puhtaana. Yhdellekään käyttäjälle ei pitäisi antaa oikeuksia oman roolinsa ulkopuolella pysyvästi., DataPrivilege mahdollistaa tilapäisen pääsyn tiedostojen osakkeisiin pyyntökohtaisesti, mikä ei riko ensimmäistä sääntöä. On kuitenkin tarpeen saada aikaan muutosprosessi roolien mukauttamiseksi tarpeen mukaan.

Ja tietenkin, haluat olla säännöllinen tilintarkastus ja valvonta kaikkia näitä kriittisiä resursseja. Sinun on tiedettävä, yrittääkö käyttäjä käyttää tietoja oman istuimensa ulkopuolella, vai saako käyttäjältä luvan oman roolinsa ulkopuolella.,

Esimerkkejä Role-Based Access Control

Kun haluavat toteuttaa RBAC-järjestelmä, se on hyvä olla perus esimerkki ohjaamaan sinua. Vaikka RBAC voi tuntua monimutkainen lähestymistapa, todellisuudessa kohtaat RBAC monissa yleisesti käytettyjä järjestelmiä.

ehkä ilmeisin esimerkki tästä on WordPress CMS-sarjan käyttäjäroolien hierarkia.,hallinnon valmiuksia

Ylläpitäjä: on pääsy hallinnollisia valmiuksia yhden WordPress-sivusto

Toimittaja: on oikeus julkaista ja muokata viestejä, mukaan lukien ne muiden käyttäjien kanssa

Tekijä: on mahdollisuus julkaista omia viestejä

Rahoittaja: voi kirjoittaa omia viestejään, mutta ei voi julkaista

Tilaaja: voi vain lukea viestejä

Toisin sanoen, WordPress käyttäjä järjestelmä varmistaa, että kaikki käyttäjät on rooli, joka ei anna heille liikaa oikeuksia ja suojaa tietoja on käytettävissä niille käyttäjille, jotka eivät tarvitse tätä varten niiden rooli., Vaikka WordPress ei viitata tähän järjestelmään ”RBAC” järjestelmä, se on juuri se.

Azure RBAC

Azure role-based access control (Azure RBAC) on RBAC implementation for Azure. Azure Resource Manager mahdollistaa Azure RBAC: n perusasioiden toteuttamisen ja järjestelmän mukauttamisen omiin tarpeisiisi.,

Tässä muutamia esimerkkejä siitä, mitä voit tehdä Azure RBAC (lähde):

• Sallia sitä, että yksi käyttäjä voi hallita virtuaalikoneita tilauksen, ja toinen käyttäjä voi hallita virtuaalisia verkostoja
• Mahdollistaa DBA group hallita SQL tietokantoja tilaus
• Salli käyttäjän hallita kaikkia resursseja resurssiryhmän, kuten virtuaalikoneita, sivustot, ja aliverkkoja
• Sallia sovelluksen käyttää kaikkia resursseja resurssiryhmän

Vaikka Azure RBAC on suosittu tapa verkon ylläpitäjät toteuttaa RBAC niiden organisaatioiden sisällä, se ei ole ainoa vaihtoehto., Täällä Varonis, me yleensä suositella hybridi lähestymistapa, joka käyttää joitakin elementtejä Azure RBAC mutta sisältää nämä osaksi laajempaa turvallisuusstrategiaa.

Vaihtoehtoja RBAC

RBAC on vain yksi tapa hallita pääsyä verkkoihin, ja se ei korvaa perusteellista ja turvallisuus politiikkaa. Voit aina käyttää Access Control luettelot, mutta ne ovat tyypillisesti vaikea hallita ja eivät skaalata hyvin suuria ympäristöjä.,

Attribuuttipohjainen kulunvalvonta

NIST määrittelee Rbac: n ohella Attribuuttipohjaisen kulunvalvonnan mahdollisena ratkaisuna käyttöoikeuksien myöntämiselle. Lyhyesti, ABAC pyrkii vastaamaan ominaisuuksia käyttäjän (job toiminto, työnimi) resursseja, että käyttäjä tarvitsee tehdä työnsä.

toistaiseksi, tämä järjestelmä ei ole saanut paljon pitoa, koska haasteet ja setup tarpeen toteuttaa tämä järjestelmä laajassa mittakaavassa. Se kuulostaa teoriassa hyvältä, mutta asettaa silti suuren osan siitä taakasta, jota sen on hallittava.,

lähestymistapamme

monille organisaatioille, RBAC ei tarjoa riittävästi rakeisuus tukea tietosuojan ja lainsäädännön vaatimuksia.

esimerkiksi eri osastojen välisen tiedon, jonka jakaa pieni osa käyttäjistä useista yritysryhmistä, pitäisi olla vain tiettyjen käyttäjien saatavilla kussakin roolissa. RBAC rajat kyky saavuttaa tämä tulos, koska et voi myöntää pääsy vain valittu joukko ihmisiä useista liiketoiminta-roolit. Roolipohjaisen ryhmän soveltaminen aineistoon rikkoisi vähimmän etuoikeuden periaatetta.,

tämän ongelman ratkaisemiseksi on omaksuttu lukuisia lähestymistapoja, mutta tuloksetta. Useimmissa tapauksissa, yrittää kiertää RBAC on riittämätön rakeisuus lehdet resurssin käyttöoikeudet valtion yli-salliva-yhteys, tekee siitä mahdotonta ylläpitää ja koe noudattamista.

tietojen, joka vaatii enemmän rakeinen suojaa, meidän filosofia on, että luvan hallinta olisi perustuttava tietojen sisältöä ja ei ole toiminnallista roolia käyttäjille, jotka tarvitsevat käyttöoikeudet., Näille kansioille on luotava tietomääräiset tietoturvaryhmät ja suoria käyttöoikeuksia on vältettävä.

esimerkiksi palveluyrityksellä voi olla arkaluontoisia asiakastietoja, joiden pitäisi olla vain tiettyjen henkilöiden saatavilla. Kun nämä tiedot sisältävät kansiot on tunnistettu, käyttöoikeudet tulisi myöntää vain sisältökohtaiseen ryhmään kuuluville henkilöille. Osastoryhmille ei pitäisi antaa kansiossa käyttöoikeuksia.,

Voit ottaa tämän lähestymistavan entisestään ja luoda tietojen erityisiä ryhmiä, jotka perustuvat käyttöoikeudet tarvitaan:

• SOX_ReadOnly
• SOX_Modify

kuluttajat tämän Sarbanes-Oxley (SOX) tietoja saattaa sisältyä harvat käyttäjät, oikeudellinen, rahoitus ja noudattamista joukkuetta. Vielä harvemmalla käyttäjällä on tarve muokata tietoja. Luomalla resurssikohtaisia ryhmiä vähennät monimutkaisuutta, helpotat uudelleensertifiointia ja voit paljon helpommin varmistaa vähiten etuoikeutetun mallin.,

Lopullinen Sana

RBAC on voimakas paradigma ohjaukseen pääsyn kriittisiä tietoja ja resursseja, ja jos ne toteutetaan oikein, voi merkittävästi lisätä turvallisuutta oman järjestelmät.

pitää kuitenkin mielessä, että RBAC ei ole ihmelääke kyberturvallisuuteen. On olemassa useita menetelmiä huonoja toimijoita käyttää saada luvaton pääsy, ja sinun ei pitäisi luottaa yksinomaan ennaltaehkäiseviä valvontaa kuten RBAC suojata tietosi., Etsivä tarkastuksia, kuten käyttäjän käyttäytymistä analytiikan alustan voi auttaa hälytys käyttää epätavallinen käyttäytyminen–vaikka se on hyväksytty rooli–ja estää tietoturvaloukkauksista.