Le contrôle D’accès basé sur les rôles (RBAC) est un paradigme de sécurité par lequel les utilisateurs ont accès aux ressources en fonction de leur rôle dans l’entreprise. Le RBAC, s’il est mis en œuvre correctement, peut être un moyen efficace d’appliquer le principe du moindre privilège.

le principe de base du contrôle D’accès basé sur les rôles est simple: le service financier ne peut pas voir les données RH et vice versa.,

obtenez le stylo gratuit testant les environnements Active Directory EBook

« cela m’a vraiment ouvert les yeux sur la sécurité publicitaire d’une manière que le travail défensif n’a jamais fait. »

lorsqu’il est implémenté correctement, RBAC sera transparent pour les utilisateurs. L’attribution des rôles se fait dans les coulisses, et chaque utilisateur a accès aux applications et aux données dont il a besoin pour faire son travail.

dans ce guide, nous expliquerons ce QU’est RBAC plus en détail, et vous montrerons quand et comment vous pouvez utiliser ce paradigme.,

  • Les avantages de RBAC
  • 5 étapes pour L’implémentation de RBAC
  • exemples RBAC
  • Azure RBAC
  • Alternatives à RBAC

contrôle D’accès basé sur les rôles: les bases

La plupart des systèmes RBAC trois principes de base. La façon dont ils sont appliqués dans les organisations individuelles peut varier, mais ces principes restent invariables:

  1. attribution de rôle: un sujet ne peut exercer une autorisation que s’il a sélectionné ou s’est vu attribuer un rôle.,
  2. autorisation de rôle: le rôle actif d’un sujet doit être autorisé. C’est-à-dire que je ne peux pas me contenter d’un rôle. J’ai besoin de l’autorisation.
  3. autorisation autorisation: un sujet ne peut exercer une autorisation que si l’autorisation est autorisée pour le rôle actif du sujet. Avec les règles 1 et 2, cette règle garantit que les utilisateurs ne peuvent exercer que les autorisations pour lesquelles ils sont autorisés.

le RBAC est important pour la cybersécurité car les statistiques sur les violations de données indiquent que l’octroi de niveaux d’accès inappropriés aux membres du personnel est l’une des principales causes de perte et de vol de données., Sans système pour décider qui peut accéder aux données, certaines données peuvent être laissées exposées.

en octobre 2019, les chercheurs en cybersécurité Diachenko et Troia ont découvert une mine de données exposées et facilement accessibles au public sur un serveur non sécurisé, qui contenait 4 téraoctets de PII, soit environ 4 milliards d’enregistrements. Le nombre total de personnes uniques dans tous les ensembles de données a atteint plus de 1,2 milliard de personnes, ce qui en fait l’une des plus grandes fuites de données d’une organisation à source unique de l’histoire.

Les données divulguées contenaient des noms, des adresses e-mail, des numéros de téléphone, des informations de profil LinkedIn et Facebook., Le serveur ElasticSearch découvert contenant toutes les informations n’était pas protégé et accessible via un navigateur web. Aucun mot de passe ou authentification d’aucune sorte n’était nécessaire pour accéder ou télécharger toutes les données car les organisations qui détenaient les données (deux sociétés distinctes d’enrichissement de données sans nom) n’avaient pas pris de mesures pour en limiter l’accès.

c’est un exemple extrême: les données en question n’avaient aucun contrôle d’accès imposé. Il peut sembler que votre organisation ne ferait jamais une telle erreur., Dans la pratique, cependant, il est facile de faire des erreurs–en particulier lorsque des informations critiques sont stockées dans de nombreux endroits avec différents systèmes de contrôle d’accès et des fonctionnalités de partage faciles pour l’utilisateur final.

la mise en œuvre d’un paradigme RBAC peut être difficile, en grande partie parce qu’il vous oblige à définir – en détail – tous les rôles dans votre organisation et à décider quelles ressources les employés de ce rôle doivent être accordés. Dans les grandes organisations avec de nombreuses pièces mobiles et des équipes interconnectées, même dessiner une carte organisationnelle de ce type peut être une entreprise majeure.,

Dans certains cas, cela signifie que les décisions qui sous-tendent RBAC peuvent devenir des questions presque « philosophiques”.

  • Les assistants, travaillant pour le compte de leurs gestionnaires, ont-ils besoin du même niveau d’accès?
  • Un membre de l’équipe juridique devrait – il faire partie du rôle des finances afin d’accéder temporairement à un sous-ensemble de fichiers?
  • Le personnel de sécurité a-t-il besoin d’accéder à toutes les données qu’il tente de sécuriser?
  • Si un membre du personnel est promu, hérite-t-il des autorisations d’accès d’un rôle précédent?
  • ou le personnel subalterne a-t-il besoin de plus d’accès que les gestionnaires auxquels il relève?,

les réponses à ces questions peuvent être extrêmement compliquées car elles concernent le fonctionnement fondamental de votre organisation. Et en tant qu’architecte de sécurité, il est peu probable que vous puissiez avoir ce type de supervision pan-organisationnelle.

pour cette raison, chez Varonis, nous vous recommandons de ne pas essayer d’implémenter un système RBAC « pur”. Au lieu de cela, nous vous suggérons d’utiliser une approche hybride qui intègre les principes RBAC mais ne s’appuie pas sur ceux-ci complètement.,

les avantages du contrôle D’accès basé sur les rôles

au niveau le plus large, RBAC aide à maximiser l’efficacité opérationnelle, protège vos données contre les fuites ou les vols, réduit le travail d’administration et de support informatique et facilite le respect des exigences d’audit.

bien que RBAC ne soit pas parfait, c’est un bien meilleur modèle que de décider arbitrairement qui devrait avoir accès à quelles ressources. Si vous avez un bon RBAC implémenté, les pirates seront bloqués dès qu’ils essaieront de sortir de la bulle du rôle de leur utilisateur piraté., Cela peut réduire considérablement l’impact d’un compromis de compte, en particulier dans le cas d’un ransomware.

même si l’utilisateur concerné est en RH et a accès à des informations personnellement identifiables (PII), le pirate ne sera pas en mesure de crypter ou de voler les données de L’équipe financière ou de L’équipe de direction.

RBAC réduit également la charge informatique et administrative dans toute l’organisation et augmente la productivité des utilisateurs. Il n’a pas à gérer les autorisations personnalisées pour chaque utilisateur, et il est plus facile pour les bons utilisateurs d’accéder aux bonnes données.,

la gestion des nouveaux utilisateurs ou des utilisateurs invités peut être longue et difficile, mais si vous avez RBAC qui définit ces rôles avant qu’un utilisateur ne rejoigne le réseau, c’est une situation d’incendie et d’oubli. Les invités et les nouveaux utilisateurs rejoignent le réseau et leur accès est prédéfini.

Il est prouvé que la mise en œuvre de RBAC permet d’économiser beaucoup de dollars pour votre entreprise. RTI a publié un rapport en 2010,” The Economic Impact of Role-Based Access Control », qui indique un retour sur investissement substantiel dans un système RBAC., Pour une entreprise de services financiers hypothétique de 10 000 employés, RTI estime que RBAC lui permettra d’économiser 24 000 $en main-d’œuvre et que les temps d’arrêt des employés permettront à l’entreprise d’économiser 300 000 per par an. L’automatisation du processus d’accès utilisateur vous permettra d’économiser encore plus que cela dans la seule réduction de la main-d’œuvre informatique.

enfin, les entreprises peuvent mettre en œuvre des systèmes RBAC pour répondre aux exigences réglementaires et légales en matière de confidentialité et de confidentialité, car les dirigeants et les services informatiques peuvent gérer plus efficacement la façon dont les données sont consultées et utilisées., Ceci est particulièrement important pour les institutions financières et les entreprises de soins de santé qui gèrent des données sensibles et doivent respecter la confidentialité dès la conception.

à la fin de la mise en œuvre, votre réseau sera beaucoup plus sécurisé qu’il ne l’était, et vos données seront beaucoup plus sûres contre le vol. Et vous bénéficiez des autres avantages d’une productivité accrue pour vos utilisateurs et votre personnel informatique. C’est une évidence, si vous nous demandez.,

5 étapes pour implémenter le contrôle D’accès basé sur les rôles

Les étapes suivantes sont nécessaires pour implémenter RBAC:

  1. définissez les ressources et les services que vous fournissez à vos utilisateurs (e-mail, CRM, partages de fichiers, applications cloud) .
  2. créez un mappage des rôles aux ressources à partir de l’étape 1 de sorte que chaque fonction puisse accéder aux ressources nécessaires pour terminer sa tâche.
  3. créez des groupes de sécurité qui représentent chaque rôle.
  4. attribuez aux utilisateurs des rôles définis en les ajoutant aux groupes de rôles pertinents.,
  5. appliquer des groupes aux listes de contrôle d’accès sur les ressources (par exemple, dossiers, boîtes aux lettres, sites) qui contiennent des données

la bonne nouvelle est que vous pouvez en grande partie éliminer les conjectures de ce processus. Varonis DatAdvantage fournit des informations sur qui utilise activement les données régulièrement et qui n’en utilise pas, ce qui peut aider à éclairer la création et l’attribution de rôles. Vous pouvez également désigner un propriétaire de données pour n’importe quel groupe de sécurité (c.-à-d. rôle) ou ensemble de données afin de réduire la charge qui lui incombe.,

Ce propriétaire de données, qui a plus de contexte sur ses données qu’il ne le fait, est responsable de l’accès à ses données à long terme et peut facilement approuver ou refuser les demandes d’accès à partir de L’interface Varonis DataPrivilege. Varonis fournit également des fonctionnalités de modélisation lorsque vous attribuez des rôles, afin que vous puissiez voir ce qui se passe si vous révoquez l’accès à un dossier à partir de ce rôle, avant de valider.

Une fois l’implémentation terminée, il est impératif de garder le système propre. Aucun utilisateur ne doit se voir attribuer des privilèges en dehors de son rôle de manière permanente., DataPrivilege permet un accès temporaire aux partages de fichiers par demande, ce qui n’enfreint pas la première règle. Il faudra toutefois mettre en place un processus de changement pour ajuster les rôles au besoin.

Et bien sûr, vous voulez avoir l’audit régulier et le suivi de l’ensemble de ces ressources essentielles. Vous devez savoir si un utilisateur tente d’accéder à des données en dehors de son siège assigné ou si une autorisation est ajoutée à un utilisateur en dehors de son rôle.,

exemples de contrôle D’accès basé sur les rôles

lorsque vous cherchez à implémenter un système RBAC, il est utile d’avoir un exemple de base pour vous guider. Bien que RBAC puisse sembler une approche compliquée, en réalité, vous rencontrez RBAC dans de nombreux systèmes couramment utilisés.

L’exemple le plus évident de ceci est peut-être la hiérarchie D’un ensemble de rôles D’utilisateur WordPress CMS.,fonctionnalités d’administration

  • administrateur: a accès aux fonctionnalités administratives d’un seul site WordPress
  • éditeur: a accès à la publication et à la modification de publications, y compris celles d’autres utilisateurs
  • auteur: a accès à la publication de leurs propres publications
  • contributeur: peut écrire ses propres publications, mais ne peut pas publier
  • abonné: ne peut lire que les publications
  • En d’autres termes, le système utilisateur WordPress garantit que tous les utilisateurs ont un rôle qui ne leur accorde pas de droits excessifs, et protège les données contre l’accès par les utilisateurs qui n’en ont pas besoin pour leur rôle., Bien que WordPress ne se réfère pas à ce système comme un système « RBAC”, c’est précisément cela.

    Azure RBAC

    Azure rôle de contrôle d’accès Azure RBAC) est un RBAC mise en œuvre pour Azure. Azure Resource Manager vous permet d’implémenter les bases D’Azure RBAC et de personnaliser le système en fonction de vos propres besoins.,

    Voici quelques exemples de ce que vous pouvez faire avec Azure RBAC (source):

    • autoriser un utilisateur à gérer les machines virtuelles dans un abonnement et un autre utilisateur à gérer les réseaux virtuels
    • autoriser un groupe DBA à gérer les bases de données SQL dans un abonnement
    • autoriser un utilisateur à gérer toutes les ressources d’un groupe de ressources, telles que les machines virtuelles, les sites Web et les sous-réseaux
    • autoriser une application à accéder à toutes les ressources d’un groupe de ressources

    bien qu’Azure RBAC soit un moyen populaire pour les administrateurs réseau d’implémenter RBAC au sein de leurs organisations, ce n’est pas la seule option disponible., Chez Varonis, nous recommandons généralement une approche hybride qui utilise certains éléments D’Azure RBAC mais les intègre dans une stratégie de sécurité plus large.

    Alternatives à RBAC

    RBAC n’est qu’une approche de gestion de l’accès pour vos réseaux, et il ne remplace pas une politique de sécurité complète et robuste. Vous pouvez toujours utiliser des listes de contrôle d’accès, mais celles-ci sont généralement difficiles à gérer et ne s’adaptent pas bien aux grands environnements.,

    contrôle D’accès basé sur les attributs

    le NIST définit le contrôle d’accès basé sur les attributs aux côtés du RBAC comme une solution potentielle pour l’octroi de droits d’accès. En bref, ABAC cherche à faire correspondre les caractéristiques de l’Utilisateur (fonction de travail, titre de travail) avec les ressources dont l’Utilisateur a besoin pour faire son travail.

    Jusqu’à présent, ce système n’a pas gagné beaucoup de traction en raison des défis et de la configuration nécessaires pour implémenter ce système à grande échelle. Cela sonne bien en théorie, mais pose toujours une grande partie du fardeau à gérer.,

    notre approche

    pour de nombreuses organisations, RBAC n’offre pas une granularité suffisante pour prendre en charge la protection des données et les exigences réglementaires.

    par exemple, les données interservices, partagées par un petit sous-ensemble d’utilisateurs de plusieurs groupes d’entreprises, ne devraient être accessibles qu’à des utilisateurs spécifiques dans chaque rôle. RBAC limite la capacité à atteindre ce résultat, car vous ne pouvez pas accorder l’accès à un nombre sélectionné de personnes appartenant à plusieurs rôles métier. L’application d’un groupe basé sur les rôles à un ensemble de données violerait le principe du moindre privilège.,

    de nombreuses approches ont été adoptées pour résoudre ce problème, mais sans grand succès. Dans la plupart des cas, les tentatives de contourner la granularité insuffisante de RBAC laissent les autorisations de la ressource dans un État d’accès trop permissif, rendant impossible la maintenance et la recertification de la conformité.

    pour les données qui nécessitent une protection plus granulaire, notre philosophie est que la gestion des autorisations doit être basée sur le contenu des données et non sur le rôle fonctionnel des utilisateurs nécessitant un accès., Des groupes de sécurité spécifiques aux données doivent être créés pour ces dossiers et les autorisations directes doivent être évitées.

    par exemple, une entreprise de services peut avoir des données clients sensibles qui ne devraient être accessibles qu’à des personnes spécifiques. Une fois que les dossiers contenant ces données sont identifiés, les autorisations ne doivent être accordées qu’aux personnes appartenant à un groupe spécifique au contenu. Les groupes ministériels ne doivent pas se voir attribuer d’autorisations sur le dossier.,

    Vous pouvez aller encore plus loin dans cette approche et créer des groupes spécifiques aux données en fonction du niveau d’accès requis:

    • SOX_ReadOnly
    • SOX_Modify

    Les consommateurs de ces données Sarbanes-Oxley (SOX) peuvent inclure quelques utilisateurs sélectionnés des équipes juridiques, financières et de conformité. Encore moins d’utilisateurs ont besoin de modifier les données. En créant des groupes spécifiques aux ressources, vous réduisez la complexité, facilitez la recertification et vous pouvez beaucoup plus facilement garantir un modèle de moindre privilège.,

    un dernier mot

    Le RBAC est un paradigme puissant pour contrôler l’accès aux données et aux ressources critiques, et s’il est mis en œuvre correctement, il peut considérablement augmenter la sécurité de vos systèmes.

    gardez cependant à l’esprit que le RBAC n’est pas une panacée pour la cybersécurité. Il existe plusieurs méthodes que les mauvais acteurs utiliseront pour obtenir un accès non autorisé, et vous ne devez pas vous fier uniquement aux contrôles préventifs tels que RBAC pour protéger vos données., Les contrôles de détection tels qu’une plate-forme d’analyse du comportement des utilisateurs peuvent aider à alerter sur les comportements d’accès inhabituels–même s’ils sont autorisés pour un rôle–et à prévenir les violations de données.

    Articles

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *