controlul accesului bazat pe roluri (RBAC) este o paradigmă de securitate prin care Utilizatorilor li se acordă acces la resurse pe baza rolului lor în companie. RBAC, dacă este implementat corect, poate fi o modalitate eficientă de a aplica principiul celui mai mic privilegiu.principiul de bază al controlului accesului bazat pe roluri este simplu: departamentul financiar nu poate vedea datele HR și invers.,
pentru a Primi Gratuit Pen Testarea Medii Active Directory EBook
când este implementat corect, RBAC va fi transparent pentru utilizatori. Atribuirea rolului se întâmplă în culise și fiecare utilizator are acces la aplicațiile și datele de care are nevoie pentru a-și face treaba.în acest ghid, vă vom explica ce este RBAC mai detaliat și vă vom arăta când și cum puteți utiliza această paradigmă.,
- Beneficiile RBAC
- 5 Pași pentru a RBAC de Implementare
- RBAC Exemple
- Azure RBAC
- Alternative la RBAC
role-Based Access Control: Elementele de Bază
cele Mai RBAC sisteme se bazează pe aplicarea a trei principii de bază. Modul în care acestea sunt aplicate în organizații individuale poate varia, dar aceste principii rămân invariabile:
- atribuirea rolului: un subiect poate exercita o permisiune numai dacă subiectul a selectat sau i s-a atribuit un rol.,
- autorizare rol: rolul activ al unui subiect trebuie să fie autorizat. Adică, nu mă pot atribui doar unui rol. Am nevoie de autorizație.autorizarea permisiunii: un subiect poate exercita o permisiune numai dacă permisiunea este autorizată pentru rolul activ al subiectului. Cu regulile 1 și 2, această regulă asigură că utilizatorii pot exercita doar permisiunile pentru care sunt autorizați.
RBAC este important pentru securitatea cibernetică, deoarece statisticile privind încălcările datelor indică faptul că acordarea unor niveluri inadecvate de acces membrilor personalului este o cauză principală a pierderii de date și a furtului de date., Fără un sistem pentru a decide cine poate accesa datele, unele date pot fi lăsate expuse.în octombrie 2019, cercetătorii de securitate cibernetică Diachenko și Troia au găsit o mulțime de date expuse și ușor accesibile publicului pe un server nesecurizat, care conținea 4 terabytes de PII sau aproximativ 4 miliarde de înregistrări. Un număr total de persoane unice din toate seturile de date a ajuns la peste 1,2 miliarde de persoane, ceea ce face ca aceasta să fie una dintre cele mai mari scurgeri de date dintr-o singură organizație sursă din istorie.
datele scurse conțineau nume, adrese de e-mail, numere de telefon, LinkedIn și informații despre profilul Facebook., Serverul ElasticSearch descoperit care conține toate informațiile a fost neprotejat și accesibil printr-un browser web. Nu a fost necesară nicio parolă sau autentificare de niciun fel pentru a accesa sau descărca toate datele, deoarece organizațiile care dețineau datele (două firme distincte, fără nume de îmbogățire a datelor) nu au luat măsuri pentru a limita accesul la acestea.
acesta este un exemplu extrem: datele în cauză nu au impus deloc controale de acces. S-ar putea părea că organizația dvs. nu ar face niciodată o astfel de greșeală., În practică, însă, este ușor să greșești–mai ales atunci când informațiile critice sunt stocate în multe locuri, cu diferite sisteme de control al accesului și funcții ușoare de partajare a utilizatorilor finali.
implementarea unei paradigme RBAC poate fi dificilă, în mare parte pentru că necesită să definiți – în detaliu – toate rolurile din organizația dvs. și să decideți ce resurse ar trebui acordate angajaților în acel rol. În organizațiile mari, cu multe părți în mișcare și echipe interconectate, chiar și schițarea unei hărți organizaționale de acest fel poate fi o întreprindere majoră.,în unele cazuri, aceasta înseamnă că deciziile care stau la baza RBAC pot deveni întrebări aproape „filosofice”.asistenții, care lucrează în numele managerilor lor, au nevoie de același nivel de acces?
beneficiile controlului accesului bazat pe roluri
la cel mai larg nivel, RBAC ajută la maximizarea eficienței operaționale, vă protejează datele de scurgeri sau furate, reduce activitatea de administrare și asistență IT și facilitează îndeplinirea cerințelor de audit.în timp ce RBAC nu este perfect, este un model mult mai bun decât a decide în mod arbitrar cine ar trebui să aibă acces la ce resurse. Dacă aveți un RBAC bun implementat, hackerii vor fi stonewalled de îndată ce vor încerca să iasă din bula rolului utilizatorului hacked., Acest lucru poate reduce drastic impactul unui compromis al contului–în special în cazul ransomware-ului.chiar dacă utilizatorul afectat este în HR și are acces la informații de identificare personală (PII), hackerul nu va putea cripta sau fura datele echipei financiare sau ale echipei Executive.RBAC reduce, de asemenea, sarcina IT și administrativă în cadrul organizației și crește productivitatea utilizatorilor. Nu trebuie să gestioneze permisiunile personalizate pentru fiecare utilizator și este mai ușor pentru utilizatorii potriviți să ajungă la datele corecte.,gestionarea utilizatorilor noi sau a utilizatorilor oaspeți poate fi consumatoare de timp și dificilă, dar dacă aveți RBAC care definește aceste roluri înainte ca un utilizator să se alăture rețelei, este o situație de incendiu și de uitare. Oaspeții și utilizatorii noi se alătură rețelei, iar accesul lor este predefinit.
punerea în aplicare RBAC este dovedit pentru a salva o mulțime de dolari pentru compania dumneavoastră. RTI a publicat un raport în 2010, „impactul Economic al controlului accesului bazat pe roluri”, care indică o rentabilitate substanțială a investițiilor într-un sistem RBAC., Pentru o ipotetică firmă de servicii financiare de 10.000 de angajați, RTI estimează că RBAC o va economisi 24.000 de dolari în muncă, iar timpul de oprire al angajaților va salva compania 300.000 de dolari pe an. Automatizarea procesului de acces al utilizatorului vă va economisi chiar mai mult decât atât în reducerea forței de muncă IT.în cele din urmă, companiile pot implementa sisteme RBAC pentru a îndeplini cerințele de reglementare și statutare pentru confidențialitate și confidențialitate, deoarece directorii și departamentele IT pot gestiona mai eficient modul în care sunt accesate și utilizate datele., Acest lucru este deosebit de important pentru instituțiile financiare și companiile din domeniul sănătății care gestionează date sensibile și trebuie să respecte confidențialitatea după proiectare.la sfârșitul implementării, rețeaua dvs. va fi mult mai sigură decât a fost, iar datele dvs. vor fi mult mai sigure de furt. Și obțineți celelalte beneficii ale productivității crescute pentru utilizatorii și personalul IT. Este un nu-brainer dacă ne întrebi.,
5 Pași pentru a pune în Aplicare role-Based Access Control
sunt necesari următorii pași pentru a pune în aplicare RBAC:
- Defini resursele și serviciile pe care le oferi pentru utilizatori (de exemplu, e-mail, CRM, partajări de fișiere, aplicații cloud) .
- creați o mapare a rolurilor la resurse de la Pasul 1, astfel încât fiecare funcție să poată accesa resursele necesare pentru a-și finaliza lucrarea.
- Creați grupuri de securitate care reprezintă fiecare rol.
- atribuiți utilizatorilor roluri definite prin adăugarea lor la grupurile relevante bazate pe roluri.,
- aplicați grupuri la listele de control al accesului pe resurse (de exemplu, foldere, cutii poștale, site-uri) care conțin date
vestea bună este că puteți lua în mare măsură presupunerile din acest proces. Varonis DatAdvantage oferă o imagine în care utilizează în mod activ de date în mod regulat, și care nu, care pot contribui la informarea rolul crearea și atribuirea. De asemenea, puteți desemna un proprietar de date pentru orice grup de securitate (adică, rol) sau set de date pentru a reduce povara asupra acestuia.,
Acest proprietar de date, care are mai mult context despre datele lor decât O face, este responsabil pentru acces la datele lor pe termen lung, și poate cu ușurință aproba sau respinge cererile de acces la Varonis DataPrivilege interfață. Varonis, de asemenea, oferă capabilități de modelare ca esti atribuirea de roluri, astfel încât să puteți vedea ce se întâmplă dacă revoca accesul la un folder din acest rol, înainte de a comite.odată ce implementarea este finalizată, este imperativ să păstrați sistemul curat. Niciun utilizator nu ar trebui să primească privilegii în afara rolului său permanent., DataPrivilege permite accesul temporar la acțiuni de fișiere pe bază de cerere, ceea ce nu încalcă prima regulă. Cu toate acestea, va fi necesar să existe un proces de schimbare pentru a ajusta rolurile după cum este necesar.
și, desigur, doriți să aveți audit și monitorizare periodică pe toate aceste resurse critice. Trebuie să știți dacă un utilizator încearcă să acceseze date în afara locului alocat sau dacă permisiunea este adăugată unui utilizator în afara rolului său.,
Exemple de control al accesului bazat pe roluri
când căutați să implementați un sistem RBAC, este util să aveți un exemplu de bază care să vă ghideze. Deși RBAC poate părea o abordare complicată, în realitate, întâlniți RBAC în multe sisteme utilizate în mod obișnuit.poate cel mai evident exemplu în acest sens este ierarhia unui set de roluri de utilizator WordPress CMS.,capacitățile de administrare
cu alte cuvinte, utilizatorul WordPress sistem asigură că toți utilizatorii au un rol care nu le acorda drepturi excesive, și protejează datele de a fi accesate de către acei utilizatori care nu au nevoie de acest lucru pentru rolul lor., Deși WordPress nu se referă la acest sistem ca la un sistem „RBAC”, tocmai asta este.
Azure RBAC
Azure rol-based access control (Azure RBAC) este o implementare RBAC pentru Azure. Azure Resource Manager vă permite să pună în aplicare elementele de bază ale Azure RBAC, și personaliza sistemul la propriile nevoi.,
iată câteva exemple despre ce puteți face cu Azure RBAC (source):
- permite unui utilizator să gestioneze mașini virtuale într-un abonament și unui alt utilizator să gestioneze rețele virtuale
- permite unui grup DBA să gestioneze baze de date SQL într-un abonament
- permite unui utilizator să gestioneze toate resursele dintr-un grup de deși Azure RBAC este o modalitate populară pentru administratorii de rețea de a implementa RBAC în cadrul organizațiilor lor, nu este singura opțiune disponibilă., Aici, la Varonis, recomandăm în general o abordare hibridă care utilizează unele elemente ale Azure RBAC, dar le încorporează într-o strategie de securitate mai largă.
alternative la RBAC
RBAC este doar o abordare a gestionării accesului pentru rețelele dvs. și nu este un înlocuitor pentru o politică de securitate temeinică și robustă. Puteți utiliza întotdeauna liste de control al accesului, dar acestea sunt de obicei dificil de gestionat și nu se scalează bine în medii mari.,
controlul accesului bazat pe Atribute
NIST definește controlul accesului bazat pe Atribute alături de RBAC ca o soluție potențială pentru acordarea drepturilor de acces. Pe scurt, ABAC încearcă să potrivească caracteristicile despre utilizator (funcția job, titlul jobului) cu resursele de care utilizatorul are nevoie pentru a-și face treaba. până în prezent, acest sistem nu a câștigat multă tracțiune Din cauza provocărilor și configurărilor necesare pentru implementarea acestui sistem la scară largă. Sună grozav în teorie, dar totuși pune o mare parte din povara pe care trebuie să o gestioneze.,pentru multe organizații, RBAC nu oferă suficientă granularitate pentru a susține cerințele de protecție a datelor și de reglementare.de exemplu, datele interdepartamentale, partajate de un mic subset de utilizatori din mai multe grupuri de afaceri, ar trebui să fie accesibile numai anumitor utilizatori din fiecare rol. RBAC limitează capacitatea de a obține acest rezultat, deoarece nu puteți acorda acces doar unui număr selectat de persoane din mai multe roluri de afaceri. Aplicarea unui grup bazat pe roluri într-un set de date ar încălca principiul celui mai mic privilegiu.,au fost adoptate numeroase abordări pentru a rezolva această problemă, însă cu puțin succes. În cele mai multe cazuri, încercările de a rezolva granularitatea insuficientă a RBAC lasă permisiunile resursei într-o stare de acces supra-permisiv, ceea ce face imposibilă menținerea și recertificarea conformității.pentru datele care necesită o protecție mai granulară, filozofia noastră este că gestionarea permisiunilor ar trebui să se bazeze pe conținutul datelor și nu pe rolul funcțional al utilizatorilor care necesită acces., Ar trebui create grupuri de securitate specifice datelor pentru aceste foldere și ar trebui evitate permisiunile directe.de exemplu, o firmă de servicii poate avea date sensibile despre clienți, care ar trebui să fie accesibile numai anumitor persoane. Odată identificate folderele care conțin aceste date, permisiunile ar trebui acordate numai persoanelor dintr-un grup specific conținutului. Grupurile departamentale nu ar trebui să li se atribuie permisiuni în dosar.,
puteți lua această abordare chiar mai departe și de a crea date specifice grupuri în funcție de nivelul de acces necesar:
- SOX_ReadOnly
- SOX_Modify
consumatorii de acest Sarbanes-Oxley (SOX) date ar putea include câteva selectați utilizatorii de la juridic, finanțe, și de conformitate echipe. Chiar și mai puțini utilizatori au nevoie să modifice datele. Prin crearea de grupuri specifice resurselor, reduceți complexitatea, facilitați recertificarea și puteți asigura mult mai ușor un model cu cel mai mic privilegiu.,RBAC este o paradigmă puternică pentru controlul accesului la date și resurse critice și, dacă este implementat corect, poate crește dramatic securitatea sistemelor dvs.rețineți, totuși, că RBAC nu este un panaceu pentru securitatea cibernetică. Există mai multe metode pe care actorii răi le vor folosi pentru a obține acces neautorizat și nu trebuie să vă bazați exclusiv pe controale preventive precum RBAC pentru a vă proteja datele., Controalele Detective, cum ar fi o platformă de analiză a comportamentului utilizatorilor, pot ajuta la alertarea comportamentului neobișnuit de acces-chiar dacă este autorizat pentru un rol–și pot preveni încălcarea datelor.