Role-Based Access Control (RBAC) is een beveiligingsparadigma waarbij gebruikers toegang krijgen tot resources op basis van hun rol in het bedrijf. RBAC kan, mits correct toegepast, een effectieve manier zijn om het beginsel van de minste privileges te handhaven.

Het basisprincipe van rolgebaseerde Toegangscontrole is eenvoudig: de financiële afdeling kan HR-gegevens niet zien en vice versa.,

haal het gratis Pen Testing Active Directory omgevingen EBook

” dit opende echt mijn ogen voor AD beveiliging op een manier die defensief werk nooit deed.”

indien correct geïmplementeerd, zal RBAC transparant zijn voor de gebruikers. Rolverdeling gebeurt achter de schermen, en elke gebruiker heeft toegang tot de toepassingen en gegevens die ze nodig hebben om hun werk te doen.

in deze gids zullen we in meer detail uitleggen wat RBAC is, en laten we u zien wanneer en hoe u dit paradigma kunt gebruiken.,

  • De voordelen van RBAC
  • 5 stappen naar RBAC-implementatie
  • RBAC voorbeelden
  • Azure RBAC
  • alternatieven voor RBAC

rolgebaseerde Toegangscontrole: de basis

De meeste RBAC-systemen zijn gebaseerd op de toepassing van drie basisprincipes. Hoe deze worden toegepast in individuele organisaties kan variëren, maar deze principes blijven onveranderlijk:

  1. roltoewijzing: een subject kan alleen een toestemming uitoefenen als het subject een rol heeft geselecteerd of is toegewezen.,
  2. rol-autorisatie: de actieve rol van een persoon moet geautoriseerd zijn. Dat wil zeggen, Ik kan mezelf niet zomaar toewijzen aan een rol. Ik heb toestemming nodig.
  3. Permission authorization: een persoon kan een permission alleen uitoefenen als de permission is geautoriseerd voor de actieve rol van de persoon. Met regels 1 en 2 zorgt deze regel ervoor dat gebruikers alleen machtigingen kunnen uitoefenen waarvoor ze geautoriseerd zijn.

RBAC is belangrijk voor cyberveiligheid omdat uit statistieken over datalekken blijkt dat het verlenen van ongepaste toegangsniveaus aan personeelsleden een belangrijke oorzaak is van gegevensverlies en-diefstal., Zonder een systeem om te beslissen wie toegang heeft tot gegevens, kunnen sommige gegevens worden blootgesteld.

in oktober 2019 vonden cybersecurity onderzoekers Diachenko en Troia een schat aan data blootgelegd en gemakkelijk toegankelijk voor het publiek op een onbeveiligde server, die 4 terabytes aan PII, of ongeveer 4 miljard records bevatte. Een totaal aantal unieke mensen in alle datasets bereikte meer dan 1,2 miljard mensen, waardoor dit een van de grootste datalekken van een enkele bron organisatie in de geschiedenis.

de gelekte gegevens bevatten namen, e-mailadressen, telefoonnummers, LinkedIn en Facebook-profielinformatie., De ontdekte ElasticSearch server met alle informatie was onbeschermd en toegankelijk via een webbrowser. Er was geen wachtwoord of authenticatie van welke aard dan ook nodig om toegang te krijgen tot of te downloaden van alle gegevens, omdat de organisaties die de gegevens hielden (twee afzonderlijke, naamloze bedrijven voor gegevensverrijking) geen stappen hadden ondernomen om de toegang tot hen te beperken.

Dit is een extreem voorbeeld: de gegevens in kwestie hadden helemaal geen toegangscontroles opgelegd. Het lijkt erop dat uw organisatie nooit zo ‘ n fout zou maken., In de praktijk is het echter gemakkelijk om fouten te maken–vooral wanneer kritieke informatie op veel plaatsen wordt opgeslagen met verschillende toegangscontrolesystemen en eenvoudige functies voor het delen van eindgebruikers.

het implementeren van een RBAC paradigma kan moeilijk zijn, voornamelijk omdat het vereist dat u – in detail – alle rollen in uw organisatie definieert, en beslist welke resources medewerkers in die rol moeten worden toegekend. In grote organisaties met veel bewegende delen en onderling verbonden teams kan zelfs het schetsen van een dergelijke organisatiekaart een grote onderneming zijn.,

in sommige gevallen betekent dit dat de beslissingen die aan RBAC ten grondslag liggen, bijna “filosofische” vragen kunnen worden.

  • hebben assistenten die namens hun managers werken dezelfde toegang nodig?
  • moet een juridisch teamlid deel uitmaken van de financiële rol om tijdelijk toegang te krijgen tot een subset van bestanden?
  • hebben beveiligingspersoneel toegang nodig tot alle gegevens die ze proberen te beveiligen?
  • als een personeelslid gepromoveerd wordt, erven zij dan toegangsrechten van een vorige rol?
  • of hebben junior medewerkers meer toegang nodig dan de managers aan wie ze rapporteren?,

de antwoorden op deze vragen kunnen zeer ingewikkeld zijn omdat ze betrekking hebben op de fundamentele manier waarop uw organisatie werkt. Als veiligheidsarchitect is het onwaarschijnlijk dat je dit soort pan-organisatorisch toezicht krijgt.

daarom raden we hier bij Varonis aan om niet te proberen een “pure” RBAC systeem te implementeren. In plaats daarvan raden we u aan een hybride aanpak te gebruiken die de RBAC-principes omvat, maar daar niet volledig op vertrouwt.,

de voordelen van Role-Based Access Control

op het breedste niveau helpt RBAC de operationele efficiëntie te maximaliseren, beschermt uw gegevens tegen lekken of diefstal, vermindert het administratieve en IT-ondersteuningswerk en maakt het gemakkelijker om aan auditvereisten te voldoen.

hoewel RBAC niet perfect is, is het een veel beter model dan willekeurig beslissen wie toegang moet krijgen tot welke bronnen. Als je een goede RBAC geïmplementeerd, de hackers zal krijgen stonewalled zodra ze proberen om buiten de zeepbel van de rol van hun gehackte gebruiker te krijgen., Dit kan drastisch verminderen van de impact van een account compromis–vooral in het geval van ransomware.

zelfs als de getroffen gebruiker in HR is en toegang heeft tot persoonlijk identificeerbare informatie (PII), zal de hacker niet in staat zijn om de gegevens van het financiële team of het Executive team te versleutelen of te stelen.

RBAC vermindert ook IT en administratieve belasting in de hele organisatie en verhoogt de productiviteit van de gebruikers. Het hoeft niet om gepersonaliseerde machtigingen te beheren voor elke gebruiker, en het is gemakkelijker voor de juiste gebruikers om de juiste gegevens te krijgen.,

Het beheren van nieuwe gebruikers of gastgebruikers kan tijdrovend en moeilijk zijn, maar als je RBAC hebt die deze rollen definieert voordat een gebruiker lid wordt van het netwerk, is het een fire and forget situatie. Gasten en nieuwe gebruikers sluiten zich aan bij het netwerk en hun toegang is vooraf gedefinieerd.

het implementeren van RBAC is bewezen om veel dollars te besparen voor uw bedrijf. RTI publiceerde in 2010 een rapport, “the Economic Impact of Role-Based Access Control”, waaruit blijkt dat er een aanzienlijk rendement is op investeringen in een RBAC-systeem., Voor een hypothetische financiële dienstverlener van 10.000 werknemers, RTI schat dat RBAC zal het besparen $24.000 in arbeid, en werknemer downtime bespaart het bedrijf $300.000 per jaar. Het automatiseren van de gebruiker toegangsproces bespaart u nog meer dan dat in het arbeidsvermindering alleen.ten slotte kunnen bedrijven RBAC-systemen implementeren om te voldoen aan de wettelijke en wettelijke vereisten inzake vertrouwelijkheid en privacy, omdat leidinggevenden en IT-afdelingen effectiever kunnen beheren hoe de gegevens worden geraadpleegd en gebruikt., Dit is met name belangrijk voor financiële instellingen en zorgbedrijven die gevoelige gegevens beheren en moeten voldoen aan privacy-by-design.

aan het einde van de implementatie zal uw netwerk veel veiliger zijn dan het was, en uw gegevens zullen veel veiliger zijn tegen diefstal. En u krijgt de andere voordelen van verhoogde productiviteit voor uw gebruikers en IT-medewerkers. Het is een no-brainer als je het ons vraagt.,

5 stappen om rolgebaseerde Toegangscontrole te implementeren

de volgende stappen zijn vereist om RBAC te implementeren:

  1. Definieer de bronnen en diensten die u aan uw gebruikers levert (bijvoorbeeld e-mail, CRM, bestandsdeling, cloud-apps) .
  2. Maak een toewijzing van rollen aan bronnen uit stap 1, zodat elke functie toegang heeft tot bronnen die nodig zijn om hun taak te voltooien.
  3. maak beveiligingsgroepen aan die elke rol vertegenwoordigen.
  4. wijs gebruikers toe aan gedefinieerde rollen door ze toe te voegen aan de relevante op rollen gebaseerde groepen.,
  5. groepen toepassen op toegangscontrolelijsten op de bronnen (bijvoorbeeld mappen, mailboxen, sites) die gegevens bevatten

het goede nieuws is dat u het giswerk grotendeels uit dit proces kunt halen. Varonis datadvantage geeft inzicht in wie Actief Regelmatig data gebruikt, en wie niet, wat kan helpen bij het creëren en toewijzen van rollen. U kunt ook een gegevenseigenaar aanwijzen voor elke beveiligingsgroep (d.w.z. rol) of dataset om de belasting ervan te verminderen.,

Deze eigenaar van gegevens, die meer context over hun gegevens heeft dan het doet, is verantwoordelijk voor de toegang tot hun gegevens op de lange termijn, en kan gemakkelijk toegang aanvragen van de Varonis dataprivilege interface goedkeuren of weigeren. Varonis biedt ook modelleringsmogelijkheden terwijl u rollen toewijst, zodat u kunt zien wat er gebeurt als u de toegang tot een map uit deze rol intrekt voordat u commit.

zodra de implementatie is voltooid, is het noodzakelijk om het systeem schoon te houden. Geen enkele gebruiker mag permanent privileges buiten zijn rol krijgen toegewezen., DataPrivilege zorgt voor tijdelijke toegang tot bestandsaandelen op een Per Verzoek basis, wat de eerste regel niet breekt. Er zal echter een veranderingsproces nodig zijn om de rollen zo nodig aan te passen.

en natuurlijk wilt u regelmatig auditing en monitoring hebben op al deze kritieke bronnen. U moet weten of een gebruiker probeert om toegang te krijgen tot gegevens buiten hun toegewezen seat, of als toestemming wordt toegevoegd aan een gebruiker buiten hun rol.,

voorbeelden van op rollen gebaseerde toegangscontrole

wanneer u een RBAC-systeem wilt implementeren, is het handig om een basisvoorbeeld te hebben om u te begeleiden. Hoewel RBAC een ingewikkelde benadering kan lijken, kom je in werkelijkheid RBAC tegen in veel veelgebruikte systemen.

misschien wel het meest voor de hand liggende voorbeeld hiervan is de hiërarchie van een WordPress CMS set van gebruikersrollen.,administration capabilities

  • Administrator: has access to the administrative capabilities of a single WordPress site
  • Editor: has access to publish and edit posts, including those of other users
  • auteur: has access to publish their own posts
  • Contributor: can write their own posts, but can ‘ t publish
  • abonnee: can only read posts
  • met andere woorden, het WordPress user system zorgt ervoor dat alle gebruikers een rol hebben die niet ze overmatige rechten, en beschermt gegevens tegen toegang tot die gebruikers die dit niet nodig hebben voor hun rol., Hoewel WordPress niet verwijst naar dit systeem als een “RBAC” – systeem, het is precies dat.

    Azure RBAC

    Azure role-based access control (Azure RBAC) is een RBAC-implementatie voor Azure. Azure Resource Manager stelt u in staat om de basisprincipes van Azure RBAC te implementeren en het systeem aan te passen aan uw eigen behoeften.,

    Hier zijn enkele voorbeelden van wat u kunt doen met Azure RBAC (bron):

    • Toestaan dat een gebruiker voor het beheren van virtuele machines in een abonnement en een andere gebruiker voor het beheren van virtuele netwerken
    • kunt u een DBA-groep voor het beheren van SQL databases binnen een abonnement
    • de gebruiker Toestaan om het beheer van alle bronnen in een groep, zoals virtuele machines, websites, en subnetten
    • een toepassing om toegang te krijgen tot alle bronnen in een resource groep

    Hoewel het Azure RBAC is een populaire manier voor netwerk beheerders te voeren RBAC binnen hun organisatie, is niet de enige beschikbare optie., Hier bij Varonis raden we over het algemeen een hybride aanpak aan die een aantal elementen van Azure RBAC gebruikt, maar deze integreert in een bredere beveiligingsstrategie.

    alternatieven voor RBAC

    RBAC is slechts één benadering voor het beheren van toegang voor uw netwerken, en het is geen vervanging voor een grondig en robuust beveiligingsbeleid. U kunt altijd gebruik maken van toegangscontrolelijsten, maar deze zijn meestal moeilijk te beheren en niet goed schalen met grote omgevingen.,

    attribuutgebaseerde Toegangscontrole

    NIST definieert attribuutgebaseerde Toegangscontrole naast RBAC als een mogelijke oplossing voor het verlenen van toegangsrechten. Kortom, ABAC wil kenmerken over de gebruiker (functie, functie) matchen met de middelen die de gebruiker nodig heeft om zijn werk te doen.

    tot nu toe heeft dit systeem niet veel tractie opgedaan als gevolg van de uitdagingen en installatie die nodig zijn om dit systeem op grote schaal te implementeren. Het klinkt in theorie geweldig, maar legt nog steeds een groot deel van de last op het te beheren.,

    onze aanpak

    voor veel organisaties biedt RBAC niet voldoende granulariteit om gegevensbescherming en wettelijke vereisten te ondersteunen.

    bijvoorbeeld, interdepartementale gegevens, gedeeld door een kleine subset van gebruikers uit meerdere business groups, zouden alleen toegankelijk moeten zijn voor specifieke gebruikers in elke rol. RBAC beperkt de mogelijkheid om dit resultaat te bereiken, omdat u geen toegang kunt verlenen aan slechts een geselecteerd aantal mensen uit meerdere zakelijke rollen. Het toepassen van een op rollen gebaseerde groep op een dataset zou het principe van de minste privilege schenden.,

    Er zijn tal van benaderingen gevolgd om dit probleem op te lossen, maar met weinig succes. In de meeste gevallen, de pogingen om te werken rond RBAC ‘ s onvoldoende granulariteit laat de machtigingen van de bron in een staat van over-permissieve toegang, waardoor het onmogelijk om te handhaven en opnieuw te certificeren voor naleving.

    Voor gegevens die meer gedetailleerde bescherming vereisen, is onze filosofie dat toestemming beheer gebaseerd moet zijn op de inhoud van de gegevens en niet op de functionele rol van de gebruikers die toegang nodig hebben., Voor deze mappen moeten gegevensspecifieke beveiligingsgroepen worden gemaakt en directe machtigingen moeten worden vermeden.

    een dienstverlenende onderneming kan bijvoorbeeld gevoelige klantgegevens hebben die alleen toegankelijk moeten zijn voor specifieke personen. Zodra de mappen die deze gegevens bevatten zijn geïdentificeerd, mogen alleen machtigingen worden verleend aan personen in een inhoudsspecifieke groep. Departementale groepen mogen geen machtigingen voor de map worden toegewezen.,

    u kunt deze aanpak nog verder gaan en data-specifieke groepen maken op basis van het benodigde toegangsniveau:

    • SOX_ReadOnly
    • SOX_Modify

    de gebruikers van deze Sarbanes-Oxley (SOX) gegevens kunnen enkele gebruikers van de juridische, financiële en compliance teams omvatten. Nog minder gebruikers hebben de noodzaak om de gegevens te wijzigen. Door resource-specifieke groepen te creëren, vermindert u de complexiteit, vergemakkelijkt u hercertificering en kunt u veel gemakkelijker zorgen voor een minst privilege-model.,

    een laatste woord

    RBAC is een krachtig paradigma voor het controleren van toegang tot kritieke gegevens en bronnen, en indien correct geïmplementeerd kan het de beveiliging van uw systemen drastisch verhogen.

    houd er echter rekening mee dat RBAC geen wondermiddel is voor cybersecurity. Er zijn verschillende methoden die slechte acteurs zullen gebruiken om ongeautoriseerde toegang te krijgen, en u moet niet alleen vertrouwen op preventieve controles zoals RBAC om uw gegevens te beschermen., Detectivecontroles, zoals een analyseplatform voor gebruikersgedrag, kunnen helpen bij het waarschuwen voor ongewoon toegangsgedrag-zelfs als het is geautoriseerd voor een rol–en datalekken voorkomen.

    Articles

    Geef een reactie

    Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *