rollebasert tilgangskontroll (RBAC) er en sikkerhet paradigme der brukere får tilgang til ressurser som er basert på deres rolle i selskapet. RBAC, hvis implementert på riktig måte, kan være en effektiv måte å håndheve prinsippet om minst privilegium.

Det grunnleggende prinsippet om Rolle-Basert Access Control er enkel: Økonomiavdelingen kan ikke se HR-data og vice versa.,

Få Gratis Penn Testing Active Directory-Miljøer EBook

«Dette er virkelig åpnet øynene mine til AD sikkerhet på en måte defensive arbeidet gjorde det aldri.»

Når implementeres på riktig måte, RBAC vil være transparent for brukerne. Tildeling av rolle som skjer bak kulissene, og hver bruker har tilgang til programmer og data som de trenger for å gjøre jobben sin.

I denne guiden vil vi forklare hva RBAC er i mer detalj, og vise deg når og hvordan du kan bruke dette paradigmet.,

  • Fordelene av RBAC
  • 5 Skritt for å RBAC Gjennomføring
  • RBAC Eksempler
  • Azure RBAC
  • Alternativer til RBAC

Rolle-Basert Access Control: Det Grunnleggende

de Fleste RBAC-systemer er basert på anvendelse av tre grunnleggende prinsipper. Hvordan disse er anvendt i enkelte organisasjoner kan variere, men disse prinsippene forbli uforanderlig:

  1. for tildeling av Rolle: En gjenstand kan utøve en tillatelse bare dersom emnet har valgt eller fått tildelt en rolle.,
  2. Rolle autorisasjon: En gjenstand er aktiv rolle må være autorisert. Det er, jeg kan ikke bare tildele meg til en rolle. Jeg trenger autorisasjon.
  3. Tillatelse autorisasjon: En gjenstand kan utøve en tillatelse bare hvis tillatelse er autorisert for emnet er aktiv rolle. Med reglene 1 og 2, denne regelen sikrer at brukerne kan bare utøve tillatelser som de er autorisert for.

RBAC er viktig for cybersecurity fordi statistikk på data brudd tyder på at det å gi upassende nivåer av tilgang til de ansatte er en ledende årsak til tap av data og data-tyveri., Uten et system for å bestemme hvem som kan få tilgang til data, og noen data kan bli stående åpne.

I oktober 2019, cybersecurity forskere Diachenko og Troia funnet en rekke data synlige og lett tilgjengelige for publikum på en usikret server, som inneholdt 4 terabyte med PII, eller om lag 4 milliarder kroner poster. Totalt antall unike mennesker på tvers av alle datasett nådd mer enn 1,2 milliarder mennesker, noe som gjør dette til en av de største data lekker fra en enkelt kilde organisasjon i historien.

lekket data inneholdt navn, e-postadresser, telefonnumre, LinkedIn og Facebook-profilen din informasjon., De oppdaget ElasticSearch server som inneholder all informasjonen var ubeskyttet og er tilgjengelig via en nettleser. Ingen passord eller godkjenning av alle slag var nødvendig for å få tilgang til eller laste ned alle data fordi de organisasjoner som var å holde på data (to distinkte, navnløse data berikelse bedrifter) ikke hadde tatt skritt for å begrense tilgangen til dem.

Dette er et ekstremt eksempel: data i spørsmålet hadde ikke tilgang til kontroller pålagt i det hele tatt. Det kan vises at organisasjonen ville aldri gjøre en slik feil., I praksis, derimot, er det lett å gjøre feil–spesielt når kritisk informasjon er lagret i mange steder med varierende access control systems og enkelt sluttbruker deling av funksjoner.

å Implementere en RBAC-paradigme kan være vanskelig, i stor grad fordi det krever at du definerer i detalj alle roller i organisasjonen, og bestemme hvilke ressurser de ansatte i denne rollen bør gis. I store organisasjoner med mange bevegelige deler og henger sammen lagene, selv tegne en organisatorisk kart av denne typen kan være en større oppgave.,

I noen tilfeller, dette betyr at beslutninger som understøtter RBAC kan bli nesten «filosofiske» spørsmål.

  • Gjøre assistenter, som arbeider på vegne av sine ledere, må de samme nivå av tilgang?
  • Må være en juridisk team medlem bli en del av økonomisk rolle for å få tilgang til et delsett av filer midlertidig?
  • Gjøre sikkerheten ansatte trenger tilgang til alle data som de forsøker å sikre?
  • Dersom en ansatt som er fremmet, har de arver tillatelser fra en tidligere rolle?
  • Eller gjøre junior personalet trenger mer tilgang enn de ledere de rapporterer til?,

svarene på disse spørsmålene kan være svært komplisert fordi de er knyttet til den grunnleggende måten organisasjonen fungerer. Og som en sikkerhet for arkitekt, du er usannsynlig å være i stand til å ha denne typen av pan-organisatoriske tilsyn.

på grunn av dette, her på Varonis, anbefaler vi at du ikke forsøker å implementere en «ren» RBAC-system. I stedet foreslår vi at du bruker en hybrid tilnærming som omfatter RBAC prinsipper, men ikke stole på disse helt.,

Fordelene av Rolle-Basert Access Control

På den bredeste nivå, RBAC bidrar til å maksimere operasjonell effektivitet, beskytter dine data lekker eller stjålet, reduserer admin og IT-støtte arbeidet, og gjør det lettere å møte revisjon krav.

Mens RBAC er ikke perfekt, det er en mye bedre modell enn vilkårlig bestemmer hvem som skal få tilgang til hvilke ressurser. Hvis du har en god RBAC implementert, hackere vil få stonewalled så snart som de prøver å få utenfor boblen av sine hacket brukerens rolle., Dette kan drastisk redusere effekten av en slik konto kompromiss–spesielt i tilfelle av ransomware.

Selv om den aktuelle brukeren er i HR, og har tilgang til personlig identifiserbar informasjon (PII), hacker vil ikke være i stand til å kryptere eller stjele Finansiere lagets eller Utøvende team data.

RBAC også reduserer IT-og administrative belastningen på tvers av organisasjonen og øker produktiviteten av brukere. DET trenger ikke å administrere personlige tillatelser for hver bruker, og det er lettere for de riktige brukerne å få til de riktige dataene.,

Administrere nye brukere eller gjestebrukere kan være tidkrevende og vanskelig, men hvis du har RBAC som definerer disse rollene før en bruker blir med i nettverket, er det en brann-og glem situasjon. Gjester og nye brukere blir med i nettverket, og deres tilgang er pre-definerte.

Implementering av RBAC er bevist å spare massevis av dollar for din bedrift. RTI publisert en rapport i 2010, «Den Økonomiske Virkningen av Rolle-Basert Access Control», som angir at det er en betydelig avkastning på investeringen i en RBAC-system., For en hypotetisk finansielle tjenester firma 10 000 ansatte, RTI anslår at RBAC vil lagre DEN $24 000 i arbeid, og de ansattes nedetid vil spare bedriften for kr 300.000 pr år. Automatisering av brukeren tilgang prosessen vil spare deg enda mer enn det som er i DET arbeid reduksjon alene.

til Slutt, bedrifter kan gjennomføre RBAC-systemer for å møte myndighetskrav og lovpålagte krav til konfidensialitet og personvern, fordi ledere og IT-avdelinger mer effektivt kan administrere hvordan data er tilgjengelig og brukes., Dette er spesielt viktig for finansielle institusjoner og helsetjenester bedrifter som håndterer sensitive data og behovet for å overholde personvern-by-design.

På slutten av gjennomføringen, nettverket vil være langt mer sikkert enn det var, og dine data vil være mye tryggere mot tyveri. Og du får den andre fordeler av økt produktivitet for dine brukere og IT-personell. Det er en no-brainer hvis du spør oss.,

5 Skritt for å Gjennomføre Rolle-Basert Access Control

følgende trinn er nødvendige for å gjennomføre RBAC:

  1. Definere ressurser og tjenester som du gir til brukerne dine (f.eks. e-post, CRM, fildeling, skybaserte applikasjoner) .
  2. Opprette en kartlegging av roller til ressurser fra trinn 1 slik at hver funksjon kan få tilgang til ressurser som trengs for å fullføre jobben sin.
  3. Opprett sikkerhet grupper som representerer hver rolle.
  4. Tilordne brukere til definerte roller ved å legge dem til relevant rolle-baserte grupper.,
  5. Bruk grupper for å tilgangskontroll på ressurser (f.eks., mapper, innbokser, nettsteder) som inneholder data

Den gode nyheten er at du kan i stor grad tar gjetting ut av denne prosessen. Varonis DatAdvantage gir innsikt i som aktivt bruker data regelmessig, og som ikke, som kan hjelpe med å informere rolle opprettelse og tildeling. Du kan også angi en data eieren for alle security group (dvs., rolle) eller datasett for å redusere belastningen på DET.,

Denne data eieren, som har mer sammenheng om deres data enn DET den gjør, er ansvarlig for å få tilgang til sine data på lang sikt, og kan lett godkjenne eller avslå anmodninger om tilgang fra Varonis DataPrivilege grensesnitt. Varonis gir også modellering evner som du tilordne roller, slik at du kan se hva som skjer hvis du oppheve tilgang til en mappe fra denne rollen, før du legger dem inn.

Når implementeringen er gjort, er det viktig å holde systemet rent. Ingen brukeren skal tildeles privilegier utenfor deres rolle permanent., DataPrivilege åpner for midlertidig tilgang til fil-aksjer på en per forespørsel, som ikke vil bryte den første regelen. Det vil være nødvendig, men å ha en endring prosessen i stedet for å justere roller etter behov.

Og selvfølgelig, du ønsker å ha jevnlig revisjon og overvåking på alle disse viktige ressurser. Du trenger å vite hvis en bruker prøver å få tilgang til data utenfor sin tildelte sete, eller dersom tillatelse blir lagt til en bruker utenfor deres rolle.,

Eksempler på Rolle-Basert Access Control

Når du ønsker å implementere en RBAC-systemet, er det nyttig å ha en grunnleggende eksempel til å veilede deg. Selv om RBAC kan virke som en komplisert tilnærming, i virkeligheten, du støter RBAC i mange brukte systemer.

Kanskje det mest åpenbare eksempel på dette er hierarkiet av en WordPress CMS sett av brukerroller.,administrasjon evner

  • Administrator: har tilgang til administrative muligheter på en enkel WordPress site
  • Redaktør: har tilgang til å publisere og redigere innleggene dine, inkludert andre brukere.
  • Forfatter: har tilgang til å publisere egne innlegg
  • Bidragsyter: kan skrive sine egne innlegg, men ikke publisere
  • Abonnent: kan bare lese innlegg
  • med andre ord, WordPress bruker systemet sikrer at alle brukere har en rolle som ikke gir dem overdreven rettigheter, og beskytter data fra å bli åpnet av de brukerne som ikke har behov for dette for sin rolle., Selv om WordPress ikke referere til dette systemet som en «RBAC» system, det er nettopp det.

    Azure RBAC

    Azure rolle-basert access control (Azure RBAC) er en RBAC-implementering for Azure. Azure Resource Manager gir deg muligheten til å implementere det grunnleggende av Azure RBAC, og tilpasse systemet til dine egne behov.,

    Her er noen eksempler på hva du kan gjøre med Azure RBAC (kilde):

    • Tillat brukere å administrere virtuelle maskiner i et abonnement, og en annen bruker til å administrere virtuelle nettverk
    • La DBA en gruppe for å håndtere SQL databaser i et abonnement
    • vil Tillate en bruker å administrere alle ressurser i en ressursgruppe, som for eksempel virtuelle maskiner, nettsteder, og subnett
    • Tillate et program for å få tilgang til alle ressurser i en ressursgruppe

    selv Om Azure RBAC er en populær måte for nettverket admins til å gjennomføre RBAC i sine organisasjoner, det er ikke det eneste alternativet som er tilgjengelig., Her på Varonis, vi anbefaler generelt en hybrid tilnærming som bruker noen elementer av Azure RBAC men inkorporerer disse inn i en større sikkerhet strategi.

    Alternativer til RBAC

    RBAC er bare en tilnærming til å håndtere tilgang til ditt nettverk, og det er ikke en erstatning for en grundig og robust security policy. Du kan alltid bruke Access Control Lists, men de er vanligvis vanskelig å håndtere og ikke skalere godt med store miljøer.,

    Attributt-Basert Access Control

    (NIST) definerer Attributt-Basert Access Control sammen med RBAC som en potensiell løsning for tildeling av tilgangsrettigheter. Kort sagt, ABAC søker å matche egenskaper om brukeren (jobb funksjon, stilling) med de ressurser som brukeren trenger for å gjøre jobben sin.

    Så langt, dette systemet har ikke fått mye trekkraft på grunn av utfordringer og oppsett som kreves for å implementere dette systemet på en bred skala. Det høres bra ut i teorien, men fortsatt legger en stor del av byrden på DET å administrere.,

    Vår Tilnærming

    For mange organisasjoner, RBAC ikke tilbyr tilstrekkelig granulariteten til støtte for personvern og lovmessige krav.

    For eksempel, cross-avdelinger data, delt av en liten gruppe av brukere fra flere forretnings-grupper bør bare være tilgjengelig til bestemte brukere i hver rolle. RBAC begrenser muligheten til å oppnå dette resultatet, fordi du kan ikke gi tilgang til bare et valgt antall mennesker fra flere forretnings-roller. Bruk av en rolle-baserte gruppen til et dataset som vil bryte med prinsippet om minst privilegium.,

    Mange tilnærminger har blitt tatt i bruk for å løse dette problemet, men med liten suksess. I de fleste tilfeller, forsøk på å omgå RBAC er ikke nok detaljer forlater ressurs tillatelser i en tilstand av over-ettergivende få tilgang til, gjøre det umulig å opprettholde og oppdatere sertifiseringen for samsvar.

    For data som krever mer detaljert beskyttelse, vår filosofi er at tillatelse ansatte skal være basert på innholdet av dataene og ikke den funksjonelle rollen til de brukerne som krever tilgang., Data-spesifikke sikkerhets-grupper bør være opprettet for disse mappene og direkte tillatelser bør unngås.

    For eksempel, en tjenestene firmaet kan ha sensitive kundedata som bør bare være tilgjengelig til bestemte personer. Når mappene som inneholder disse dataene er identifisert, tillatelser bør bare gis til personer som har et innhold-spesifikk gruppe. Avdelinger grupper bør ikke tildeles tillatelser på mappen.,

    Du kan ta denne tilnærmingen enda videre og lage data-spesifikke grupper basert på nivået av tilgang til nødvendig:

    • SOX_ReadOnly
    • SOX_Modify

    forbrukerne av denne Sarbanes-Oxley (SOX) data kan omfatte noen få brukere fra juridisk, økonomi og overholdelse av lagene. Enda færre brukere som har behov for å endre dataene. Ved å opprette ressurs-bestemte-grupper du redusere kompleksiteten, legge til rette for resertifisering, og kan mye lettere å sikre en minst privilegium modell.,

    En Siste Ordet

    RBAC er en kraftig paradigme for å kontrollere tilgang til kritiske data og ressurser, og hvis implementert riktig kan dramatisk øke sikkerheten for dine systemer.

    husk, skjønt, at RBAC er ikke et universalmiddel for cybersecurity. Det er flere metoder dårlige skuespillere vil bruke til å få uautorisert tilgang, og du bør ikke stole kun på forebyggende kontroller som RBAC for å beskytte dine data., Detektiv kontroller som en bruker-atferd analytics-plattformen kan hjelpe varselet på uvanlige tilgang atferd–selv om det er godkjent for en rolle–og hindre at data brudd.

    Articles

    Legg igjen en kommentar

    Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *