Role-Based Access Control (RBAC) to paradygmat bezpieczeństwa, w którym użytkownicy otrzymują dostęp do zasobów w oparciu o ich rolę w firmie. RBAC, jeśli zostanie poprawnie wdrożony, może być skutecznym sposobem egzekwowania zasady najmniejszego przywileju.
podstawowa zasada kontroli dostępu opartej na rolach jest prosta: dział finansowy nie widzi danych HR i odwrotnie.,
Pobierz darmowy testowanie środowiska Active Directory EBook
Po poprawnym wdrożeniu RBAC będzie przezroczysty dla użytkowników. Przypisywanie ról odbywa się za kulisami, a każdy użytkownik ma dostęp do aplikacji i danych, których potrzebuje do wykonywania swojej pracy.
w tym przewodniku wyjaśnimy bardziej szczegółowo, czym jest RBAC, oraz pokażemy, kiedy i w jaki sposób można korzystać z tego paradygmatu.,
- zalety RBAC
- 5 kroków implementacji RBAC
- przykłady RBAC
- Azure RBAC
- alternatywy dla RBAC
Kontrola dostępu oparta na rolach: podstawy
większość systemów RBAC opiera się na zastosowanie trzech podstawowych zasad. Sposób ich stosowania w poszczególnych organizacjach może być różny, ale zasady te pozostają niezmienne:
- przypisanie roli: podmiot może skorzystać z uprawnień tylko wtedy, gdy podmiot wybrał lub został przypisany do roli.,
- autoryzacja roli: aktywna rola podmiotu musi być autoryzowana. To znaczy, nie mogę po prostu przypisać się do roli. Potrzebuję autoryzacji.
- uprawnienie autoryzacja: podmiot może wykonywać uprawnienie tylko wtedy, gdy uprawnienie jest uprawnione do aktywnej roli podmiotu. W przypadku reguł 1 i 2 zasada ta gwarantuje, że użytkownicy mogą wykonywać tylko uprawnienia, do których są upoważnieni.
RBAC jest ważny dla cyberbezpieczeństwa, ponieważ statystyki dotyczące naruszeń ochrony danych wskazują, że przyznanie pracownikom niewłaściwego poziomu dostępu jest główną przyczyną utraty i kradzieży danych., Bez systemu decydowania, kto może uzyskać dostęp do danych, niektóre dane mogą zostać ujawnione.
w październiku 2019 r.badacze cyberbezpieczeństwa Diachenko i Troia odkryli mnóstwo danych ujawnionych i łatwo dostępnych publicznie na niezabezpieczonym serwerze, który zawierał 4 terabajty PII lub około 4 miliardów rekordów. Łączna liczba unikalnych osób we wszystkich zestawach danych osiągnęła ponad 1,2 miliarda osób, co czyni ten jeden z największych wycieków danych z jednej organizacji w historii.
ujawnione dane zawierały nazwiska, adresy e-mail, numery telefonów, informacje na temat LinkedIn i profilu Facebook., Wykryty Serwer ElasticSearch zawierający wszystkie informacje był niezabezpieczony i dostępny za pośrednictwem przeglądarki internetowej. Nie było potrzebne żadne hasło ani żadne uwierzytelnianie, aby uzyskać dostęp lub pobrać wszystkie dane, ponieważ organizacje, które je przechowują (dwie różne, nienazwane firmy wzbogacające dane) nie podjęły kroków w celu ograniczenia dostępu do nich.
jest to skrajny przykład: dane, o których mowa, nie miały żadnych kontroli dostępu. Może się wydawać, że Twoja organizacja nigdy nie popełniłaby takiego błędu., W praktyce jednak łatwo popełnić błędy–zwłaszcza gdy krytyczne informacje są przechowywane w wielu miejscach z różnymi systemami kontroli dostępu i łatwymi funkcjami udostępniania użytkownikom końcowym.
wdrożenie paradygmatu RBAC może być trudne, głównie dlatego, że wymaga szczegółowego zdefiniowania wszystkich ról w organizacji i zdecydowania, które zasoby pracownicy na tej roli powinni otrzymać. W dużych organizacjach z wieloma ruchomymi częściami i połączonymi zespołami, nawet szkicowanie mapy organizacyjnej tego rodzaju może być poważnym przedsięwzięciem.,
w niektórych przypadkach oznacza to, że decyzje leżące u podstaw RBAC mogą stać się niemal „filozoficznymi” pytaniami.
- czy asystenci, pracujący w imieniu swoich menedżerów, potrzebują takiego samego poziomu dostępu?
- czy członek zespołu prawnego powinien zostać częścią roli finansowej, aby tymczasowo uzyskać dostęp do podzbioru plików?
- czy pracownicy ochrony potrzebują dostępu do wszystkich danych, które próbują zabezpieczyć?
- jeśli pracownik jest promowany, czy dziedziczy uprawnienia dostępu z poprzedniej roli?
- a może młodsi pracownicy potrzebują więcej dostępu niż menedżerowie, do których się zgłaszają?,
odpowiedzi na te pytania mogą być niezwykle skomplikowane, ponieważ odnoszą się do fundamentalnego sposobu, w jaki działa Twoja organizacja. I jako architekt bezpieczeństwa, jest mało prawdopodobne, aby być w stanie mieć taki rodzaj nadzoru ogólnoorganizacyjnego.
z tego powodu w Varonis zalecamy, aby nie próbować implementować „czystego” systemu RBAC. Zamiast tego sugerujemy zastosowanie podejścia hybrydowego, które uwzględnia zasady RBAC, ale nie opiera się na nich całkowicie.,
zalety kontroli dostępu opartej na rolach
na najszerszym poziomie RBAC pomaga zmaksymalizować wydajność operacyjną, chroni Twoje dane przed wyciekiem lub kradzieżą, ogranicza pracę administratorów i wsparcia IT oraz ułatwia spełnienie wymagań audytu.
chociaż RBAC nie jest idealny, jest to znacznie lepszy model niż arbitralne decydowanie, kto powinien uzyskać dostęp do jakich zasobów. Jeśli masz dobry RBAC zaimplementowany, hakerzy zostaną stonewalled, gdy tylko spróbują wydostać się poza bańkę swojej zhakowanej roli użytkownika., Może to znacznie zmniejszyć wpływ kompromisu konta–zwłaszcza w przypadku oprogramowania ransomware.
nawet jeśli dany użytkownik jest w dziale HR i ma dostęp do danych osobowych (PII), haker nie będzie w stanie zaszyfrować ani ukraść danych zespołu finansowego lub zespołu wykonawczego.
RBAC zmniejsza również obciążenia IT i administracyjne w całej organizacji oraz zwiększa produktywność użytkowników. Nie musi zarządzać spersonalizowanymi uprawnieniami dla każdego użytkownika i łatwiej jest właściwym użytkownikom uzyskać odpowiednie dane.,
Zarządzanie nowymi użytkownikami lub gośćmi może być czasochłonne i trudne, ale jeśli masz RBAC, który definiuje te role, zanim użytkownik dołączy do sieci, jest to sytuacja pożarowa i zapomnienia. Goście i nowi użytkownicy dołączają do sieci, a ich dostęp jest wstępnie zdefiniowany.
wdrożenie RBAC jest udowodnione, aby zaoszczędzić wiele dolarów dla Twojej firmy. RTI opublikowała w 2010 r. raport „the Economic Impact of Role-Based Access Control”, w którym wskazuje na znaczny zwrot z inwestycji w system RBAC., W przypadku hipotetycznej firmy świadczącej usługi finansowe zatrudniającej 10 000 pracowników RTI szacuje, że RBAC zaoszczędzi 24 000 USD pracy, a przestoje pracowników pozwolą firmie zaoszczędzić 300 000 USD rocznie. Automatyzacja procesu dostępu użytkownika pozwoli Ci zaoszczędzić jeszcze więcej niż w samym ograniczeniu pracy w IT.
wreszcie, firmy mogą wdrożyć systemy RBAC w celu spełnienia wymogów regulacyjnych i ustawowych dotyczących poufności i prywatności, ponieważ kierownictwo i działy IT mogą skuteczniej zarządzać sposobem uzyskiwania dostępu do danych i ich wykorzystywania., Jest to szczególnie ważne dla Instytucji Finansowych i firm z sektora opieki zdrowotnej, które zarządzają wrażliwymi danymi i muszą przestrzegać zasad ochrony prywatności.
pod koniec wdrożenia Twoja sieć będzie znacznie bezpieczniejsza niż była, a Twoje dane będą znacznie bezpieczniejsze przed kradzieżą. Zyskujesz również inne korzyści związane ze zwiększoną produktywnością dla swoich użytkowników i pracowników IT. Nie ma się nad czym zastanawiać.,
5 kroków do wdrożenia kontroli dostępu opartej na rolach
do wdrożenia RBAC wymagane są następujące kroki:
- Zdefiniuj zasoby i usługi, które udostępniasz użytkownikom (np. poczta e-mail, CRM, udziały plików, aplikacje w chmurze) .
- Utwórz mapowanie ról do zasobów z kroku 1, aby każda funkcja mogła uzyskać dostęp do zasobów potrzebnych do wykonania zadania.
- utwórz grupy zabezpieczeń, które reprezentują każdą rolę.
- Przypisz użytkowników do zdefiniowanych ról, dodając ich do odpowiednich grup opartych na rolach.,
- Zastosuj grupy do list kontroli dostępu w zasobach (np. folderach, skrzynkach pocztowych, witrynach), które zawierają dane
dobrą wiadomością jest to, że możesz w dużej mierze zrezygnować z zgadywania tego procesu. Varonis DatAdvantage zapewnia wgląd w to, kto aktywnie korzysta z danych regularnie, a kto nie, co może pomóc w tworzeniu ról i przypisywaniu ich. Możesz również wyznaczyć właściciela danych dla dowolnej grupy zabezpieczeń (np. roli) lub zbioru danych, aby zmniejszyć obciążenie.,
właściciel danych, który ma więcej kontekstu na temat swoich danych, jest odpowiedzialny za dostęp do ich danych w dłuższej perspektywie i może łatwo zatwierdzać lub odrzucać żądania dostępu z interfejsu Varonis DataPrivilege. Varonis zapewnia również możliwości modelowania podczas przypisywania ról, dzięki czemu możesz zobaczyć, co się stanie, jeśli cofniesz dostęp do folderu z tej roli, przed zatwierdzeniem.
Po zakończeniu implementacji konieczne jest utrzymanie systemu w czystości. Żaden użytkownik nie powinien na stałe przypisywać uprawnień poza swoją rolą., DataPrivilege pozwala na tymczasowy dostęp do udziałów plików na zasadzie każdego żądania, co nie łamie pierwszej reguły. Konieczne będzie jednak wprowadzenie procesu zmiany w celu dostosowania ról w razie potrzeby.
i oczywiście chcesz mieć regularne kontrole i monitorowanie wszystkich tych krytycznych zasobów. Musisz wiedzieć, czy użytkownik próbuje uzyskać dostęp do danych poza przypisanym mu miejscem lub czy uprawnienia są dodawane do użytkownika poza jego rolą.,
przykłady kontroli dostępu opartej na rolach
gdy chcesz zaimplementować system RBAC, warto mieć podstawowy przykład, który cię poprowadzi. Chociaż RBAC może wydawać się skomplikowanym podejściem, w rzeczywistości spotyka się RBAC w wielu powszechnie używanych systemach.
być może najbardziej oczywistym tego przykładem jest hierarchia WordPress CMS zestaw ról użytkowników.,funkcje administracyjne
innymi słowy, system użytkownika WordPress zapewnia, że wszyscy użytkownicy mają rolę, która ich nie przyznaje.nadmierne prawa i chroni dane przed dostępem tych użytkowników, którzy nie potrzebują tego do swojej roli., Chociaż WordPress nie odnosi się do tego systemu jako systemu „RBAC”, to właśnie to.
Azure RBAC
Azure role-based access control (Azure RBAC) to implementacja RBAC dla platformy Azure. Usługa Azure Resource Manager umożliwia wdrożenie podstaw usługi Azure RBAC i dostosowanie systemu do własnych potrzeb.,
Oto kilka przykładów tego, co można zrobić z usługą Azure RBAC (źródło):
- Zezwalaj jednemu użytkownikowi na zarządzanie maszynami wirtualnymi w subskrypcji, a innemu na zarządzanie sieciami wirtualnymi
- Zezwalaj grupie DBA na zarządzanie bazami danych SQL w subskrypcji
- Zezwalaj użytkownikowi na zarządzanie wszystkimi zasobami w grupie zasobów, takimi jak maszyny wirtualne, witryny internetowe i podsieci
- Zezwalaj aplikacji na dostęp do wszystkich zasobów w grupie zasobów
chociaż usługa Azure RBAC jest popularnym sposobem implementacji RBAC przez administratorów sieci w swoich organizacjach, nie jest to jedyna dostępna opcja., W Varonis ogólnie zalecamy podejście hybrydowe, które wykorzystuje niektóre elementy usługi Azure RBAC, ale włącza je do szerszej strategii bezpieczeństwa.
alternatywy dla RBAC
RBAC to tylko jedno podejście do zarządzania dostępem do sieci i nie zastępuje dokładnej i solidnej polityki bezpieczeństwa. Zawsze można użyć list kontroli dostępu, ale są one zazwyczaj trudne do zarządzania i nie skalują się dobrze w dużych środowiskach.,
Kontrola dostępu oparta na atrybutach
NIST definiuje kontrolę dostępu opartą na atrybutach obok RBAC jako potencjalne rozwiązanie przyznawania praw dostępu. Krótko mówiąc, ABAC stara się dopasować cechy dotyczące użytkownika (funkcja zadania, tytuł zadania) z zasobami, które użytkownik potrzebuje do wykonywania swojej pracy.
do tej pory system ten nie zyskał większej przyczepności ze względu na wyzwania i konfigurację wymaganą do wdrożenia tego systemu na szeroką skalę. Brzmi to świetnie w teorii, ale nadal kładzie na nim dużą część ciężaru do zarządzania.,
nasze podejście
dla wielu organizacji RBAC nie oferuje wystarczającej szczegółowości, aby wspierać ochronę danych i wymogi regulacyjne.
na przykład dane międzyresortowe, udostępniane przez mały podzbiór użytkowników z wielu grup biznesowych, powinny być dostępne tylko dla określonych użytkowników w każdej roli. RBAC ogranicza możliwość osiągnięcia tego wyniku, ponieważ nie można przyznać dostępu tylko wybranej liczbie osób z wielu ról biznesowych. Zastosowanie grupy opartej na rolach do zbioru danych naruszałoby zasadę najmniejszego przywileju.,
w celu rozwiązania tego problemu przyjęto liczne podejścia, jednak z niewielkim powodzeniem. W większości przypadków próby obejścia niewystarczającej szczegółowości RBAC pozostawiają uprawnienia zasobu w stanie nadmiernej przepustowości, co uniemożliwia utrzymanie i ponowną certyfikację pod kątem zgodności.
w przypadku danych, które wymagają bardziej szczegółowej ochrony, nasza filozofia polega na tym, że zarządzanie uprawnieniami powinno opierać się na zawartości danych, a nie na funkcjonalnej roli użytkowników wymagających dostępu., Dla tych folderów należy tworzyć grupy zabezpieczeń specyficzne dla danych i unikać bezpośrednich uprawnień.
na przykład firma usługowa może mieć wrażliwe dane klientów, które powinny być dostępne tylko dla określonych osób. Po zidentyfikowaniu folderów zawierających te dane uprawnienia powinny być przyznawane tylko osobom należącym do określonej grupy treści. Grupy wydziałowe nie powinny mieć przypisanych uprawnień do folderu.,
Możesz zastosować to podejście jeszcze bardziej i utworzyć grupy danych w oparciu o Wymagany poziom dostępu:
- SOX_ReadOnly
- SOX_Modify
konsumenci tych danych Sarbanes-Oxley (SOX) mogą obejmować kilku wybranych użytkowników z zespołów prawnych, finansowych i zgodności. Jeszcze mniej użytkowników ma potrzebę modyfikacji danych. Tworzenie grup specyficznych dla zasobów pozwala zmniejszyć złożoność, ułatwić recertyfikację i znacznie łatwiej zapewnić model najmniej uprzywilejowany.,
ostatnie słowo
RBAC jest potężnym paradygmatem kontroli dostępu do krytycznych danych i zasobów, a jeśli zostanie poprawnie wdrożony, może znacznie zwiększyć bezpieczeństwo systemów.
pamiętaj jednak, że RBAC nie jest panaceum na cyberbezpieczeństwo. Istnieje kilka metod, których użyją źli aktorzy, aby uzyskać nieautoryzowany dostęp, i nie powinieneś polegać wyłącznie na zapobiegawczych kontrolach, takich jak RBAC, aby chronić swoje dane., Mechanizmy detektywistyczne, takie jak Platforma analizy zachowań użytkowników, mogą pomóc w ostrzeganiu o nietypowych zachowaniach dostępu-nawet jeśli jest ona autoryzowana do danej roli–i zapobiegać naruszeniom danych.