Role-Based Access Control (RBAC) é um paradigma de segurança em que os usuários têm acesso a recursos com base em seu papel na empresa. A RBAC, se implementada corretamente, pode ser uma maneira eficaz de aplicar o princípio do menor privilégio.

O princípio básico do controle de Acesso Baseado em funções é simples: o Departamento Financeiro não pode ver os dados de RH e vice-versa.,

Get the Free Pen Testing Active Directory Environments ebook

“This really opened my eyes to AD security in a way defensive work never did.”

quando implementado corretamente, RBAC será transparente para os usuários. Atribuição de papel acontece nos bastidores, e cada usuário tem acesso às aplicações e dados que eles precisam para fazer o seu trabalho.

neste guia, Vamos explicar o que é RBAC em mais detalhes, e mostrar quando e como você pode usar este paradigma.,

  • Os Benefícios do RBAC
  • 5 Passos para Implementação do RBAC
  • RBAC Exemplos
  • Azure RBAC
  • Alternativas para RBAC

a Função de Controle de Acesso Baseado em: Noções básicas

a Maioria dos RBAC sistemas são baseados na aplicação de três princípios básicos. Como estes são aplicados em organizações individuais podem variar, mas estes princípios permanecem invariáveis:

  1. atribuição de papel: um sujeito pode exercer uma permissão apenas se o sujeito selecionou ou foi atribuído um papel.,autorização de funções: o papel activo de um sujeito deve ser autorizado. Isto é, não me posso atribuir a um papel. Preciso de autorização.autorização de permissão
  2. : um sujeito só pode exercer uma permissão se a permissão for autorizada para o papel ativo do sujeito. Com as regras 1 e 2, esta regra garante que os usuários só podem exercer permissões para as quais eles são autorizados.

RBAC é importante para a cibersegurança, porque as estatísticas sobre violações de dados indicam que a concessão de níveis inadequados de acesso aos membros do pessoal é uma das principais causas de perda de dados e roubo de dados., Sem um sistema para decidir quem pode acessar dados, alguns dados podem ser deixados expostos.em outubro de 2019, os pesquisadores de cibersegurança Diachenko e Troia encontraram uma amostra de dados expostos e facilmente acessíveis ao público em um servidor não protegido, que continha 4 terabytes de PII, ou cerca de 4 bilhões de registros. Uma contagem total de pessoas únicas em todos os conjuntos de dados atingiu mais de 1,2 bilhão de pessoas, tornando este um dos maiores vazamentos de dados de uma única organização fonte na história.

os dados vazados continham nomes, endereços de E-mail, números de telefone, LinkedIn e informações de perfil do Facebook., O servidor ElasticSearch descoberto contendo toda a informação foi desprotegido e acessível através de um navegador web. Nenhuma senha ou autenticação de qualquer tipo era necessária para acessar ou baixar todos os dados porque as organizações que estavam mantendo os dados (duas empresas de enriquecimento de dados distintas e sem nome) não tinham tomado medidas para limitar o acesso a eles.este é um exemplo extremo: os dados em questão não tinham quaisquer controlos de acesso impostos. Pode parecer que a sua organização nunca cometeria tal erro., Na prática, no entanto, é fácil cometer erros–especialmente quando as informações críticas são armazenadas em muitos lugares com diferentes sistemas de controle de acesso e recursos fáceis de compartilhamento do usuário final.a implementação de um paradigma RBAC pode ser difícil, em grande parte porque requer que você defina – em detalhes – todos os papéis em sua organização, e decida quais os recursos que os funcionários nesse papel devem ser concedidos. Em grandes organizações com muitas peças móveis e equipes interligadas, mesmo esboçando um mapa organizacional deste tipo pode ser um grande empreendimento.,em alguns casos, isto significa que as decisões que sustentam a RBAC podem tornar-se questões quase “filosóficas”.os assistentes, que trabalham em nome dos seus gestores, necessitam do mesmo nível de acesso?deverá um membro da equipa jurídica fazer parte do papel financeiro para aceder temporariamente a um subconjunto de ficheiros?o pessoal de segurança precisa de acesso a todos os dados que está a tentar proteger?se um membro do Pessoal for promovido, herdará as permissões de acesso de uma função anterior?ou o pessoal Júnior precisa de mais acesso do que os gestores a quem se reportam?,

as respostas a estas perguntas podem ser extremamente complicadas porque se referem à forma fundamental como a sua organização funciona. E como arquitecto de segurança, é pouco provável que seja capaz de ter este tipo de supervisão pan-organizacional.

Por esta razão, aqui em Varonis, recomendamos que você não tente implementar um sistema RBAC “puro”. Em vez disso, sugerimos que você use uma abordagem híbrida que incorpora os princípios RBAC, mas não confiar neles completamente.,

the Benefits of Role-Based Access Control

a um nível mais amplo, RBAC ajuda a maximizar a eficiência operacional, protege os seus dados de serem roubados ou vazados, reduz o trabalho de administração e suporte de TI, e torna mais fácil cumprir os requisitos de auditoria.apesar de RBAC não ser perfeito, é um modelo muito melhor do que decidir arbitrariamente quem deve ter acesso a quais recursos. Se você tem um bom RBAC implementado, os hackers vão ficar bloqueados assim que eles tentarem sair da bolha do papel de seu usuário hackeado., Isso pode reduzir drasticamente o impacto de um compromisso de conta–especialmente no caso do ransomware.mesmo que o usuário afetado esteja na HR e tenha acesso a informações de identificação pessoal (PII), o hacker não será capaz de criptografar ou roubar os dados da equipe financeira ou da equipe Executiva.

RBAC também reduz e carga administrativa em toda a organização e aumenta a produtividade dos usuários. Ele não tem que gerenciar permissões personalizadas para cada usuário, e é mais fácil para os usuários certos para chegar aos dados certos.,

Gerenciar novos usuários ou usuários convidados pode ser demorado e difícil, mas se você tem RBAC que define estes papéis antes de um usuário se juntar à rede, é uma situação de fogo e esquecimento. Os hóspedes e novos usuários se juntam à rede, e seu acesso é pré-definido.a implementação de RBAC está provada em Guardar muitos dólares para a sua empresa. A RTI publicou um relatório em 2010, “the Economic Impact of Role-Based Access Control”, que indica que há um retorno substancial sobre o investimento em um sistema RBAC., Para uma hipotética empresa de Serviços Financeiros de 10.000 funcionários, a RTI estima que a RBAC vai economizar US $24.000 em trabalho de parto, e o tempo de parada dos funcionários vai salvar a empresa US $300.000 por ano. Automatizar o processo de acesso do usuário irá salvá-lo ainda mais do que isso na redução de trabalho de TI sozinho.por último, as empresas podem implementar sistemas RBAC para atender aos requisitos regulamentares e legais de confidencialidade e Privacidade, porque executivos e departamentos de TI podem gerenciar de forma mais eficaz como os dados são acessados e usados., Isto é particularmente importante para as instituições financeiras e as empresas de saúde que gerem dados sensíveis e precisam de cumprir com a privacidade-a-design.

no final da implementação, sua rede será muito mais segura do que era, e seus dados serão muito mais seguros de roubo. E você obtém os outros benefícios do aumento da produtividade para seus usuários e funcionários de TI. Na nossa opinião,é fácil.,

5 passos para implementar o Controle de Acesso Baseado em funções

as seguintes etapas são necessárias para implementar RBAC:

  1. Define os recursos e serviços que você fornece aos seus utilizadores (por exemplo, email, CRM, ações de arquivos, aplicativos de nuvem) .criar um mapeamento de papéis para os recursos do Passo 1 de modo que cada função possa acessar os recursos necessários para completar seu trabalho.
  2. Crie grupos de segurança que representam cada papel.
  3. atribui aos utilizadores funções definidas, adicionando-as aos grupos relevantes baseados em funções.,
  4. aplica grupos para acessar listas de controle sobre os recursos (por exemplo, pastas, caixas de correio, sites) que contêm dados

A boa notícia é que você pode em grande parte tirar a adivinhação deste processo. Varonis DatAdvantage fornece informações sobre quem ativamente usa dados regularmente, e quem não usa, o que pode ajudar a informar a criação de papel e atribuição. Você também pode designar um proprietário de dados para qualquer grupo de segurança (ou seja, papel) ou conjunto de dados para reduzir a carga sobre ele.,

Este de dados proprietário, que tem mais contexto sobre seus dados que ELE faz, é responsável pelo acesso aos seus dados a longo prazo, e podem aprovar ou negar pedidos de acesso a Varonis DataPrivilege interface. Varonis também fornece capacidades de modelagem como você está atribuindo papéis, para que você possa ver o que acontece se você revogar o acesso a uma pasta a partir deste papel, antes de cometer.uma vez que a implementação é feita, é imperativo manter o sistema limpo. Nenhum usuário deve receber privilégios fora de sua função permanentemente., DataPrivilege permite o acesso temporário a compartilhamentos de arquivos por pedido, o que não quebra a primeira regra. No entanto, será necessário que haja um processo de mudança para ajustar os papéis conforme necessário.

e, claro, você quer ter uma auditoria e monitorização regulares sobre todos estes recursos críticos. Você precisa saber se um usuário está tentando acessar dados fora de seu assento atribuído, ou se a permissão é adicionada a um usuário fora de seu papel.,

exemplos de controle de Acesso Baseado no papel

ao procurar implementar um sistema RBAC, é útil ter um exemplo básico para guiá-lo. Embora a RBAC possa parecer uma abordagem complicada, na realidade, você encontra RBAC em muitos sistemas comumente usados.

talvez o exemplo mais óbvio disso é a hierarquia de um conjunto WordPress CMS de funções de usuário.,capacidades de administração

  • Administrador: tem acesso a recursos administrativos de um único site WordPress
  • Editor: tem acesso para publicar e editar posts, incluindo os de outros usuários
  • Autor: tem acesso para publicar suas próprias mensagens
  • Contribuinte: pode escrever seus próprios posts, mas não pode publicar
  • Assinante: só pode ler posts
  • Em outras palavras, o WordPress usuário do sistema garante que todos os usuários tenham um papel que não lhes conceder direitos excessivos, e protege os dados que estão sendo acessados por aqueles usuários que não precisam disso para a sua função., Embora o WordPress não se refere a este sistema como um “RBAC” sistema, é precisamente isso.

    Azure RBAC

    Azure role-based access control (Azure RBAC) é uma implementação de RBAC para Azure. Azure Resource Manager permite-lhe implementar o básico do Azure RBAC, e personalizar o sistema para as suas próprias necessidades.,

    Aqui estão alguns exemplos do que você pode fazer com o Azure RBAC (fonte):

    • Permitir que um usuário para gerenciar máquinas virtuais em uma assinatura e outra de usuário para gerenciar redes virtuais
    • Permitir que um grupo DBA para gerenciar bancos de dados SQL em uma assinatura
    • Permitir que um usuário para gerenciar todos os recursos de um grupo de recursos, tais como máquinas virtuais, sites, e sub-redes
    • Permitir uma aplicação para aceder a todos os recursos de um grupo de recursos

    Apesar de Azure do RBAC é uma maneira popular para administradores de rede para implementar RBAC dentro de suas organizações, não é a única opção disponível., Aqui em Varonis, geralmente recomendamos uma abordagem híbrida que usa alguns elementos do Azure RBAC, mas incorpora-os em uma estratégia de segurança mais ampla.

    alternativas ao RBAC

    RBAC é apenas uma abordagem para gerir o acesso para as suas redes, e não é um substituto para uma política de segurança rigorosa e robusta. Você sempre poderia usar listas de controle de acesso, mas essas são tipicamente difíceis de gerenciar e não têm escala bem com ambientes grandes.,

    controlo de Acesso Baseado em atributos

    NIST define controlo de Acesso Baseado em atributos juntamente com RBAC como uma solução potencial para a concessão de direitos de acesso. Em suma, o ABAC procura combinar características sobre o Usuário (função de trabalho, título de trabalho) com os recursos que o usuário precisa para fazer seu trabalho.

    até agora, este sistema não ganhou muita tração devido aos desafios e configuração necessários para implementar este sistema em uma larga escala. Parece-me Óptimo em teoria, mas ainda assim coloca uma grande parte do fardo sobre ele para gerir.,

    nossa abordagem

    para muitas organizações, RBAC não oferece granularidade suficiente para suportar a proteção de dados e requisitos regulamentares.por exemplo, os dados interdepartamentais partilhados por um pequeno subconjunto de utilizadores de múltiplos grupos empresariais só devem ser acessíveis a utilizadores específicos em cada função. A RBAC limita a capacidade de alcançar este resultado porque você não pode conceder acesso a apenas um número selecionado de pessoas de múltiplos papéis de negócios. A aplicação de um grupo baseado em funções a um conjunto de dados violaria o princípio do menor privilégio.,foram adoptadas numerosas abordagens para resolver esta questão, embora com pouco sucesso. Na maioria dos casos, as tentativas de trabalhar em torno da insuficiente granularidade da RBAC deixa as permissões do recurso em um estado de acesso permissivo, tornando impossível a manutenção e recertificação da conformidade.

    para dados que requerem maior proteção granular, nossa filosofia é que a gestão de permissão deve ser baseada no conteúdo dos dados e não no papel funcional dos usuários que necessitam de acesso., Grupos de segurança específicos de dados devem ser criados para essas pastas e as permissões diretas devem ser evitadas.por exemplo, uma empresa de serviços pode ter dados sensíveis do cliente que só devem ser acessíveis a indivíduos específicos. Uma vez identificadas as pastas que contêm esses dados, as permissões devem ser concedidas apenas a indivíduos de um grupo específico de conteúdo. Os grupos departamentais não devem receber permissões na pasta.,

    Você pode levar esta abordagem ainda mais e criar dados específicos de grupos, de acordo com o nível de acesso necessário:

    • SOX_ReadOnly
    • SOX_Modify

    Os consumidores desta lei Sarbanes-Oxley (SOX) de dados pode incluir um seleto poucos usuários do jurídico, financeiro, de conformidade e de equipes. Ainda menos usuários têm a necessidade de modificar os dados. Ao criar grupos específicos de recursos você reduz a complexidade, facilita a recertificação, e pode muito mais facilmente garantir um modelo de menos privilégios.,

    uma palavra final

    RBAC é um poderoso paradigma para controlar o acesso a dados e recursos críticos, e se implementado corretamente pode aumentar drasticamente a segurança de seus sistemas.

    tenha em mente, porém, que RBAC não é uma panaceia para a cibersegurança. Existem vários métodos que os maus atores usarão para obter acesso não autorizado, e você não deve confiar apenas em controles preventivos como a RBAC para proteger seus dados., Controles de detetive como uma plataforma de análise do comportamento do usuário podem ajudar a alertar sobre o comportamento incomum de acesso-mesmo que seja autorizado para um papel–e prevenir violações de dados.

    Articles

    Deixe uma resposta

    O seu endereço de email não será publicado. Campos obrigatórios marcados com *