Role-Based Access Control (RBAC) è un paradigma di sicurezza per cui agli utenti viene concesso l’accesso alle risorse in base al loro ruolo nell’azienda. RBAC, se implementato correttamente, può essere un modo efficace per far rispettare il principio del minimo privilegio.

Il principio di base del controllo degli accessi basato sui ruoli è semplice: il dipartimento finanziario non può vedere i dati HR e viceversa.,

Ottieni la penna gratuita Test di Active Directory Environments eBook

“Questo mi ha davvero aperto gli occhi sulla sicurezza degli annunci in un modo che il lavoro difensivo non ha mai fatto.”

Quando implementato correttamente, RBAC sarà trasparente per gli utenti. L’assegnazione dei ruoli avviene dietro le quinte e ogni utente ha accesso alle applicazioni e ai dati di cui ha bisogno per svolgere il proprio lavoro.

In questa guida, spiegheremo cos’è RBAC in modo più dettagliato e ti mostreremo quando e come puoi usare questo paradigma.,

  • I Benefici di RBAC
  • 5 Passi per RBAC Attuazione
  • RBAC Esempi
  • Azure RBAC
  • Alternative per RBAC

Role-Based Access Control: Le Nozioni di base

la Maggior parte RBAC sistemi sono basati sull’applicazione di tre principi di base. Il modo in cui questi vengono applicati nelle singole organizzazioni può variare, ma questi principi rimangono invariabili:

  1. Assegnazione del ruolo: un soggetto può esercitare un’autorizzazione solo se il soggetto ha selezionato o è stato assegnato un ruolo.,
  2. Autorizzazione ruolo: il ruolo attivo di un soggetto deve essere autorizzato. Cioè, non posso semplicemente assegnarmi un ruolo. Mi serve l’autorizzazione.
  3. Autorizzazione autorizzazione: un soggetto può esercitare un’autorizzazione solo se l’autorizzazione è autorizzata per il ruolo attivo del soggetto. Con le regole 1 e 2, questa regola garantisce che gli utenti possano esercitare solo le autorizzazioni per le quali sono autorizzati.

RBAC è importante per la sicurezza informatica perché le statistiche sulle violazioni dei dati indicano che la concessione di livelli inappropriati di accesso ai membri del personale è una delle principali cause di perdita e furto di dati., Senza un sistema per decidere chi può accedere ai dati, alcuni dati possono essere lasciati esposti.

Nell’ottobre 2019, i ricercatori di sicurezza informatica Diachenko e Troia hanno trovato un tesoro di dati esposti e facilmente accessibili al pubblico su un server non protetto, che conteneva 4 terabyte di PII, o circa 4 miliardi di record. Un conteggio totale di persone uniche in tutti i set di dati ha raggiunto più di 1,2 miliardi di persone, rendendo questa una delle più grandi perdite di dati da un’unica organizzazione di origine nella storia.

I dati trapelati contenevano nomi, indirizzi e-mail, numeri di telefono, informazioni sul profilo LinkedIn e Facebook., Il server ElasticSearch scoperto contenente tutte le informazioni non era protetto e accessibile tramite un browser Web. Non era necessaria alcuna password o autenticazione di alcun tipo per accedere o scaricare tutti i dati perché le organizzazioni che detenevano i dati (due distinte società di arricchimento dei dati senza nome) non avevano adottato misure per limitare l’accesso a loro.

Questo è un esempio estremo: i dati in questione non avevano alcun controllo di accesso imposto. Potrebbe sembrare che la tua organizzazione non commetterebbe mai un simile errore., In pratica, tuttavia, è facile commettere errori, soprattutto quando le informazioni critiche sono memorizzate in molti luoghi con diversi sistemi di controllo degli accessi e funzionalità di condivisione degli utenti finali facili.

L’implementazione di un paradigma RBAC può essere difficile, in gran parte perché richiede di definire – in dettaglio – tutti i ruoli nella propria organizzazione e decidere quali risorse devono essere assegnate ai dipendenti in quel ruolo. Nelle grandi organizzazioni con molte parti in movimento e squadre interconnesse, anche disegnare una mappa organizzativa di questo tipo può essere un’impresa importante.,

In alcuni casi, ciò significa che le decisioni che sono alla base di RBAC possono diventare domande quasi “filosofiche”.

  • Gli assistenti, che lavorano per conto dei loro manager, hanno bisogno dello stesso livello di accesso?
  • Un membro del team legale dovrebbe entrare a far parte del ruolo finanziario per accedere temporaneamente a un sottoinsieme di file?
  • Il personale di sicurezza ha bisogno di accedere a tutti i dati che sta tentando di proteggere?
  • Se un membro dello staff viene promosso, eredita le autorizzazioni di accesso da un ruolo precedente?
  • O il personale junior ha bisogno di più accesso rispetto ai manager a cui riferiscono?,

Le risposte a queste domande possono essere estremamente complicate perché riguardano il modo fondamentale in cui funziona la tua organizzazione. E come architetto della sicurezza, è improbabile che tu sia in grado di avere questo tipo di supervisione pan-organizzativa.

Per questo motivo, qui a Varonis, ti consigliamo di non tentare di implementare un sistema RBAC “puro”. Invece, ti suggeriamo di utilizzare un approccio ibrido che incorpora i principi RBAC ma non si basa completamente su questi.,

I vantaggi del controllo degli accessi basato sui ruoli

Al livello più ampio, RBAC aiuta a massimizzare l’efficienza operativa, protegge i dati da perdite o furti, riduce il lavoro di amministrazione e supporto IT e rende più facile soddisfare i requisiti di audit.

Mentre RBAC non è perfetto, è un modello molto migliore di decidere arbitrariamente chi dovrebbe accedere a quali risorse. Se hai implementato un buon RBAC, gli hacker verranno bloccati non appena cercheranno di uscire dalla bolla del ruolo dell’utente violato., Questo può ridurre drasticamente l’impatto di un account compromesso–soprattutto nel caso di ransomware.

Anche se l’utente interessato è in HR e ha accesso a informazioni personali identificabili (PII), l’hacker non sarà in grado di crittografare o rubare i dati del team finanziario o del team esecutivo.

RBAC riduce anche il carico IT e amministrativo in tutta l’organizzazione e aumenta la produttività degli utenti. Non deve gestire autorizzazioni personalizzate per ogni utente ed è più facile per gli utenti giusti ottenere i dati giusti.,

La gestione di nuovi utenti o utenti guest può richiedere molto tempo e difficile, ma se si dispone di RBAC che definisce questi ruoli prima che un utente si unisca alla rete, è una situazione di incendio e dimenticanza. Gli ospiti e i nuovi utenti si uniscono alla rete e il loro accesso è predefinito.

L’implementazione di RBAC ha dimostrato di risparmiare molti dollari per la tua azienda. RTI ha pubblicato un rapporto nel 2010, “The Economic Impact of Role-Based Access Control”, che indica che vi è un sostanziale ritorno sugli investimenti in un sistema RBAC., Per un’ipotetica società di servizi finanziari di 10.000 dipendenti, RTI stima che RBAC lo farà risparmiare labor 24.000 in manodopera e i tempi di inattività dei dipendenti faranno risparmiare all’azienda $300.000 all’anno. Automatizzare il processo di accesso dell’utente ti farà risparmiare ancora di più nella sola riduzione del lavoro IT.

Infine, le aziende possono implementare sistemi RBAC per soddisfare i requisiti normativi e di legge in materia di riservatezza e privacy, perché i dirigenti e i reparti IT possono gestire in modo più efficace il modo in cui i dati sono accessibili e utilizzati., Ciò è particolarmente importante per le istituzioni finanziarie e le aziende sanitarie che gestiscono dati sensibili e devono rispettare la privacy-by-design.

Alla fine dell’implementazione, la tua rete sarà molto più sicura di quanto non fosse e i tuoi dati saranno molto più sicuri dal furto. E si ottengono gli altri vantaggi di una maggiore produttività per gli utenti e il personale IT. E ‘ un gioco da ragazzi, se ci chiedete.,

5 passaggi per implementare il controllo degli accessi basato sui ruoli

Per implementare RBAC sono necessari i seguenti passaggi:

  1. Definire le risorse e i servizi forniti agli utenti (ad esempio, e-mail, CRM, condivisioni di file, app cloud) .
  2. Crea una mappatura dei ruoli alle risorse dal passaggio 1 in modo tale che ogni funzione possa accedere alle risorse necessarie per completare il proprio lavoro.
  3. Crea gruppi di sicurezza che rappresentano ciascun ruolo.
  4. Assegnare gli utenti a ruoli definiti aggiungendoli ai relativi gruppi basati sui ruoli.,
  5. Applica i gruppi agli elenchi di controllo degli accessi sulle risorse (ad esempio, cartelle, cassette postali, siti) che contengono dati

La buona notizia è che puoi in gran parte eliminare le congetture da questo processo. Varonis DatAdvantage fornisce informazioni su chi utilizza attivamente i dati regolarmente e chi no, il che può aiutare a informare la creazione e l’assegnazione dei ruoli. È inoltre possibile designare un proprietario dei dati per qualsiasi gruppo di sicurezza (ad esempio, ruolo) o set di dati per ridurre il carico su di ESSO.,

Questo proprietario dei dati, che ha più contesto sui propri dati di quanto non faccia, è responsabile dell’accesso ai propri dati a lungo termine e può facilmente approvare o negare le richieste di accesso dall’interfaccia Varonis DataPrivilege. Varonis fornisce anche funzionalità di modellazione durante l’assegnazione dei ruoli, in modo da poter vedere cosa succede se si revoca l’accesso a una cartella da questo ruolo, prima di eseguire il commit.

Una volta completata l’implementazione, è imperativo mantenere il sistema pulito. A nessun utente devono essere assegnati privilegi al di fuori del proprio ruolo in modo permanente., DataPrivilege consente l’accesso temporaneo alle condivisioni di file su base per richiesta, che non infrange la prima regola. Sarà necessario, tuttavia, avere un processo di cambiamento in atto per regolare i ruoli secondo necessità.

E, naturalmente, si desidera avere un controllo e un monitoraggio regolari su tutte queste risorse critiche. È necessario sapere se un utente sta tentando di accedere ai dati al di fuori del proprio posto assegnato o se l’autorizzazione viene aggiunta a un utente al di fuori del proprio ruolo.,

Esempi di controllo di accesso basato sui ruoli

Quando si cerca di implementare un sistema RBAC, è utile avere un esempio di base per guidare l’utente. Anche se RBAC può sembrare un approccio complicato, in realtà, si incontra RBAC in molti sistemi comunemente usati.

Forse l’esempio più ovvio di questo è la gerarchia di un CMS WordPress insieme di ruoli utente.,funzionalità di amministrazione

  • l’Amministratore ha accesso alle funzionalità amministrative di un singolo sito WordPress
  • Editor: ha accesso a pubblicare e modificare i messaggi, compresi quelli di altri utenti
  • Autore: ha accesso a pubblicare i propri post
  • Collaboratore: può scrivere i propri post, ma non possiamo pubblicare
  • Sottoscrittore: in grado di leggere solo i post
  • In altre parole, l’utente WordPress sistema garantisce che tutti gli utenti hanno un ruolo non concedere loro diritti eccessivi, e protegge i dati da accessi da parte di quegli utenti che non hanno bisogno di questo per il loro ruolo., Anche se WordPress non si riferisce a questo sistema come un sistema “RBAC”, è proprio questo.

    Azure RBAC

    Azure role-based Access Control (Azure RBAC) è un’implementazione RBAC per Azure. Azure Resource Manager consente di implementare le basi di Azure RBAC e personalizzare il sistema in base alle proprie esigenze.,

    Ecco alcuni esempi di cosa si può fare con Azure RBAC (fonte):

    • Permettono all’utente di gestire le macchine virtuali in un abbonamento e un altro utente per la gestione di reti virtuali
    • Consentire a un amministratore di gruppo per gestire i database SQL in un abbonamento
    • Consentire a un utente di gestire tutte le risorse in un gruppo di risorse, come macchine virtuali, siti web, e subnet
    • Consentire a un’applicazione di accedere a tutte le risorse in un gruppo di risorse

    anche Se Azure RBAC è un modo popolare per amministratori di rete per implementare RBAC all’interno delle loro organizzazioni, non è l’unica opzione disponibile., Qui a Varonis, generalmente raccomandiamo un approccio ibrido che utilizza alcuni elementi di Azure RBAC ma li incorpora in una strategia di sicurezza più ampia.

    Alternative a RBAC

    RBAC è solo un approccio alla gestione dell’accesso per le reti, e non è un sostituto per una politica di sicurezza approfondita e robusta. È sempre possibile utilizzare gli elenchi di controllo degli accessi, ma in genere sono difficili da gestire e non si adattano bene agli ambienti di grandi dimensioni.,

    Controllo di accesso basato su attributi

    Il NIST definisce il controllo di accesso basato su attributi insieme a RBAC come una potenziale soluzione per la concessione dei diritti di accesso. In breve, ABAC cerca di abbinare le caratteristiche dell’utente (funzione di lavoro, titolo di lavoro) con le risorse di cui l’utente ha bisogno per svolgere il proprio lavoro.

    Finora, questo sistema non ha guadagnato molta trazione a causa delle sfide e delle impostazioni necessarie per implementare questo sistema su larga scala. Sembra grande in teoria, ma ancora pone una gran parte del carico su di esso per gestire.,

    Il nostro approccio

    Per molte organizzazioni, RBAC non offre una granularità sufficiente per supportare la protezione dei dati e i requisiti normativi.

    Ad esempio, i dati cross-dipartimentali, condivisi da un piccolo sottoinsieme di utenti di più gruppi aziendali, dovrebbero essere accessibili solo a utenti specifici in ciascun ruolo. RBAC limita la possibilità di ottenere questo risultato perché non è possibile concedere l’accesso solo a un numero selezionato di persone provenienti da più ruoli aziendali. L’applicazione di un gruppo basato sui ruoli a un set di dati violerebbe il principio del privilegio minimo.,

    Sono stati adottati numerosi approcci per risolvere questo problema, tuttavia con scarso successo. Nella maggior parte dei casi, i tentativi di aggirare la granularità insufficiente di RBAC lasciano le autorizzazioni della risorsa in uno stato di accesso eccessivamente permissivo, rendendo impossibile la manutenzione e la ricertificazione per la conformità.

    Per i dati che richiedono una protezione più granulare, la nostra filosofia è che la gestione delle autorizzazioni dovrebbe essere basata sul contenuto dei dati e non sul ruolo funzionale degli utenti che richiedono l’accesso., Per queste cartelle devono essere creati gruppi di sicurezza specifici per i dati e devono essere evitate le autorizzazioni dirette.

    Ad esempio, un’azienda di servizi può avere dati sensibili dei clienti che dovrebbero essere accessibili solo a individui specifici. Una volta identificate le cartelle che contengono questi dati, le autorizzazioni dovrebbero essere concesse solo agli individui in un gruppo specifico per il contenuto. Ai gruppi dipartimentali non devono essere assegnate le autorizzazioni per la cartella.,

    È possibile adottare questo approccio ancora di più e creare gruppi specifici di dati in base al livello di accesso necessario:

    • SOX_ReadOnly
    • SOX_Modify

    I consumatori di questi dati Sarbanes-Oxley (SOX) potrebbero includere alcuni utenti selezionati dai team legali, finanziari e di conformità. Ancora meno utenti hanno la necessità di modificare i dati. Creando gruppi specifici di risorse si riduce la complessità, si facilita la ricertificazione e si può garantire molto più facilmente un modello con privilegi minimi.,

    A Final Word

    RBAC è un potente paradigma per controllare l’accesso a dati e risorse critiche e, se implementato correttamente, può aumentare drasticamente la sicurezza dei tuoi sistemi.

    Tenete a mente, però, che RBAC non è una panacea per la sicurezza informatica. Esistono diversi metodi che i cattivi attori useranno per ottenere l’accesso non autorizzato e non dovresti fare affidamento esclusivamente su controlli preventivi come RBAC per proteggere i tuoi dati., I controlli detective come una piattaforma di analisi del comportamento degli utenti possono aiutare a segnalare comportamenti di accesso insoliti, anche se autorizzati per un ruolo, e prevenire le violazioni dei dati.

    Articles

    Lascia un commento

    Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *