rollbaserad åtkomstkontroll (RBAC) är ett säkerhetsparadigm där användare får tillgång till resurser baserat på deras roll i företaget. RBAC, om det genomförs korrekt, kan vara ett effektivt sätt att upprätthålla principen om minst privilegium.
grundprincipen för rollbaserad åtkomstkontroll är enkel: ekonomiavdelningen kan inte se HR-data och vice versa.,
få gratis penna testa Active Directory miljöer EBook
När den implementeras korrekt kommer RBAC att vara transparent för användarna. Rolltilldelning sker bakom kulisserna, och varje användare har tillgång till de program och data som de behöver för att göra sitt jobb.
i den här guiden förklarar vi vad RBAC är mer detaljerat och visar dig när och hur du kan använda det här paradigmet.,
- fördelarna med RBAC
- 5 steg till RBAC implementering
- RBAC exempel
- Azure RBAC
- alternativ till RBAC
rollbaserad åtkomstkontroll: grunderna
de flesta RBAC-system bygger på tillämpningen av tre grundläggande principer. Hur dessa tillämpas i enskilda organisationer kan variera, men dessa principer är oföränderliga:
- rolltilldelning: ett ämne kan endast utöva ett tillstånd om ämnet har valt eller tilldelats en roll.,
- Roll authorization: ett ämnes aktiva roll måste godkännas. Det vill säga, Jag kan inte bara tilldela mig en roll. Jag behöver tillstånd.
- tillstånd tillstånd: ett ämne kan endast utöva ett tillstånd om tillståndet är godkänt för ämnets aktiva roll. Med reglerna 1 och 2 säkerställer denna regel att användare endast kan utöva behörigheter för vilka de är auktoriserade.
RBAC är viktigt för cybersäkerhet eftersom statistik över dataöverträdelser tyder på att beviljande av olämplig tillgång till anställda är en ledande orsak till dataförlust och datastöld., Utan ett system för att bestämma vem som kan komma åt data kan vissa data lämnas exponerade.
i oktober 2019 hittade cybersäkerhetsforskare Diachenko och Troia en trov av data som är exponerade och lättillgängliga för allmänheten på en osäker server, som innehöll 4 terabyte PII, eller cirka 4 miljarder poster. Ett totalt antal unika människor över alla datauppsättningar nådde mer än 1,2 miljarder människor, vilket gör detta till en av de största dataläckorna från en enda källorganisation i historien.
de läckta uppgifterna innehöll namn, e-postadresser, telefonnummer, LinkedIn och Facebook-profilinformation., Den upptäckta ElasticSearch-servern som innehåller all information var oskyddad och tillgänglig via en webbläsare. Inget lösenord eller autentisering av något slag behövdes för att komma åt eller ladda ner Alla data eftersom de organisationer som höll data (två distinkta, namnlösa dataanrikningsföretag) inte hade vidtagit åtgärder för att begränsa tillgången till dem.
det här är ett extremt exempel: uppgifterna i fråga hade inga åtkomstkontroller alls. Det kan tyckas att din organisation aldrig skulle göra ett sådant misstag., I praktiken är det dock lätt att göra misstag-särskilt när kritisk information lagras på många ställen med varierande åtkomstkontrollsystem och enkla slutanvändardelningsfunktioner.
implementering av ett RBAC-paradigm kan vara svårt, till stor del eftersom det kräver att du i detalj definierar alla roller i din organisation och bestämmer vilka resurser anställda i den rollen ska beviljas. I stora organisationer med många rörliga delar och sammankopplade lag kan även skissa en organisationskarta av detta slag vara ett stort företag.,
i vissa fall innebär det att de beslut som ligger till grund för RBAC kan bli nästan ”filosofiska” frågor.
- behöver assistenter, som arbetar på uppdrag av sina chefer, samma åtkomstnivå?
- ska en legal teammedlem bli en del av finansrollen för att tillfälligt få åtkomst till en delmängd av filer?
- behöver säkerhetspersonalen tillgång till alla data de försöker säkra?
- om en anställd främjas, ärver de åtkomstbehörigheter från en tidigare roll?
- eller behöver junior personal mer tillgång än de Chefer de rapporterar till?,
svaren på dessa frågor kan vara extremt komplicerade eftersom de hänför sig till det grundläggande sättet som din organisation fungerar på. Och som säkerhetsarkitekt är det osannolikt att du kommer att kunna ha denna typ av pan-organisatorisk tillsyn.
av denna anledning, här på Varonis, rekommenderar vi att du inte försöker implementera ett ”rent” RBAC-system. Istället föreslår vi att du använder en hybridstrategi som innehåller RBAC-principer men inte förlitar sig på dessa helt.,
fördelarna med rollbaserad åtkomstkontroll
på bredaste nivå bidrar RBAC till att maximera operativ effektivitet, skyddar dina data från att läcka eller stulen, minskar admin och IT-stödarbetet och gör det lättare att uppfylla revisionskraven.
medan RBAC inte är perfekt är det en mycket bättre modell än att godtyckligt bestämma vem som ska få tillgång till vilka resurser. Om du har en bra RBAC genomförs, hackare kommer att få stonewalled så snart de försöker komma utanför bubblan av deras hackade användarens roll., Detta kan drastiskt minska effekterna av ett konto kompromiss–särskilt när det gäller ransomware.
även om den drabbade användaren är i HR och har tillgång till personligt identifierbar information (PII), kommer hackaren inte att kunna kryptera eller stjäla Finansteamets eller verkställande teamets data.
RBAC minskar också IT och administrativ belastning över hela organisationen och ökar produktiviteten hos användarna. Det behöver inte hantera personliga behörigheter för varje användare, och det är lättare för rätt användare att komma till rätt data.,
hantera nya användare eller gästanvändare kan vara tidskrävande och svårt, men om du har RBAC som definierar dessa roller innan en användare ansluter sig till nätverket, det är en brand och glömma situation. Gäster och nya användare går med i nätverket, och deras åtkomst är fördefinierad.
implementering av RBAC har visat sig spara massor av dollar för ditt företag. RTI publicerade en rapport 2010, ”den ekonomiska effekten av rollbaserad åtkomstkontroll”, vilket indikerar att det finns en betydande avkastning på investeringar i ett RBAC-system., För ett hypotetiskt finansiellt tjänsteföretag på 10 000 anställda uppskattar RTI att RBAC kommer att spara det $ 24 000 i arbete, och anställdas stillestånd kommer att spara företaget $300 000 per år. Automatisera användaråtkomstprocessen kommer att spara dig ännu mer än det i det arbete minskning ensam.
slutligen kan företag implementera RBAC-system för att uppfylla lagstadgade och lagstadgade krav på Sekretess och integritet eftersom chefer och IT-avdelningar mer effektivt kan hantera hur uppgifterna nås och används., Detta är särskilt viktigt för finansinstitut och vårdföretag som hanterar känsliga uppgifter och måste följa integritets-för-design.
i slutet av genomförandet kommer ditt nätverk att vara mycket säkrare än det var, och dina data kommer att vara mycket säkrare från stöld. Och du får de andra fördelarna med ökad produktivitet för dina användare och IT-Personal. Det är en no-brainer om du frågar oss.,
5 steg för att implementera rollbaserad åtkomstkontroll
följande steg krävs för att implementera RBAC:
- definiera de resurser och tjänster du tillhandahåller dina användare (t .ex. e-post, CRM, filaktier, molnprogram).
- skapa en kartläggning av roller till resurser från steg 1 så att varje funktion kan komma åt resurser som behövs för att slutföra sitt jobb.
- skapa säkerhetsgrupper som representerar varje roll.
- tilldela användare till definierade roller genom att lägga till dem i relevanta rollbaserade grupper.,
- använd grupper för att komma åt kontrolllistor på de resurser (t.ex. mappar, brevlådor, webbplatser) som innehåller data
den goda nyheten är att du till stor del kan ta gissningar ur denna process. Varonis Datavantage ger insikt i vem som aktivt använder data regelbundet, och vem som inte gör det, vilket kan bidra till att informera rollskapande och uppdrag. Du kan också ange en dataägare för någon säkerhetsgrupp (dvs. roll) eller datauppsättning för att minska belastningen på den.,
den här dataägaren, som har mer sammanhang om sina data än den gör, ansvarar för åtkomst till sina data på lång sikt och kan enkelt godkänna eller neka åtkomstförfrågningar från varonis DataPrivilege-gränssnittet. Varonis ger också modelleringsfunktioner när du tilldelar roller, så att du kan se vad som händer om du återkallar åtkomst till en mapp från den här rollen innan du begår.
När implementeringen är klar är det absolut nödvändigt att hålla systemet rent. Ingen användare bör tilldelas privilegier utanför sin roll permanent., DataPrivilege möjliggör tillfällig åtkomst till filaktier per förfrågan, vilket inte bryter mot den första regeln. Det kommer dock att bli nödvändigt att ha en förändringsprocess för att anpassa rollerna efter behov.
och självklart vill du ha regelbunden revision och övervakning av alla dessa kritiska resurser. Du måste veta om en användare försöker komma åt data utanför sin tilldelade plats, eller om tillstånd läggs till en användare utanför deras roll.,
exempel på rollbaserad åtkomstkontroll
När du vill implementera ett RBAC-system är det användbart att ha ett grundläggande exempel för att vägleda dig. Även RBAC kan verka som ett komplicerat tillvägagångssätt, i verkligheten, du stöter RBAC i många vanliga system.
kanske det mest uppenbara exemplet på detta är hierarkin för en WordPress CMS uppsättning användarroller.,administrationskapacitet
med andra ord säkerställer WordPress-användarsystemet att alla användare har en roll som inte ger dem överdrivna rättigheter, och skyddar data från att nås av de användare som inte behöver detta för sin roll., Även om WordPress inte hänvisar till detta system som ett ”RBAC” – system, är det just det.
Azure RBAC
Azure role-based access control (Azure RBAC) är en RBAC-implementering för Azure. Azure Resource Manager kan du implementera grunderna i Azure RBAC, och anpassa systemet till dina egna behov.,
här är några exempel på vad du kan göra med Azure RBAC (källa):
- Tillåt en användare att hantera virtuella maskiner i en prenumeration och en annan användare att hantera virtuella nätverk
- Tillåt en DBA-grupp att hantera SQL-databaser i en prenumeration
- Tillåt en användare att hantera alla resurser i en resursgrupp, till exempel virtuella maskiner, webbplatser och undernät
- Tillåt ett program att komma åt alla resurser i en resursgrupp
även om Azure RBAC är ett populärt sätt för nätverksadministratörer att implementera RBAC inom sina organisationer, är det inte det enda alternativet tillgängligt., Här på Varonis rekommenderar vi i allmänhet en hybridstrategi som använder vissa delar av Azure RBAC men innehåller dessa i en bredare säkerhetsstrategi.
alternativ till RBAC
RBAC är bara ett sätt att hantera åtkomst för dina nätverk, och det är inte en ersättning för en grundlig och robust säkerhetspolicy. Du kan alltid använda Åtkomstkontrolllistor, men de är vanligtvis svåra att hantera och skalar inte bra med stora miljöer.,
Attributbaserad åtkomstkontroll
NIST definierar Attributbaserad åtkomstkontroll tillsammans med RBAC som en potentiell lösning för att bevilja åtkomsträttigheter. Kort sagt, ABAC försöker matcha egenskaper om användaren (jobbfunktion, jobbtitel) med de resurser som användaren behöver göra sitt jobb.
hittills har detta system inte fått mycket dragkraft på grund av de utmaningar och inställningar som krävs för att implementera detta system i stor skala. Det låter bra i teorin, men lägger fortfarande en stor del av bördan på den att hantera.,
vårt tillvägagångssätt
För många organisationer erbjuder RBAC inte tillräcklig granularitet för att stödja dataskydd och lagstadgade krav.
t.ex. uppgifter över avdelningar som delas av en liten delmängd användare från flera företagsgrupper bör endast vara tillgängliga för specifika användare i varje roll. RBAC begränsar möjligheten att uppnå detta resultat eftersom du inte kan ge tillgång till endast ett utvalt antal personer från flera affärsroller. Att tillämpa en rollbaserad grupp på en datauppsättning skulle strida mot principen om minst privilegium.,
många tillvägagångssätt har antagits för att lösa problemet, men med liten framgång. I de flesta fall lämnar försöken att arbeta kring RBAC: s otillräckliga granularitet resursens behörigheter i ett tillstånd av över tillåtande åtkomst, vilket gör det omöjligt att behålla och bekräfta för överensstämmelse.
för data som kräver mer granulärt skydd är vår filosofi att behörighetshantering bör baseras på innehållet i data och inte den funktionella rollen för användarna som behöver åtkomst., Dataspecifika säkerhetsgrupper bör skapas för dessa mappar och direkta behörigheter bör undvikas.
till exempel kan ett tjänsteföretag ha känsliga kunddata som endast bör vara tillgängliga för specifika individer. När mapparna som innehåller dessa data har identifierats ska behörigheter endast beviljas enskilda personer i en innehållsspecifik grupp. Avdelningsgrupper ska inte tilldelas behörigheter i mappen.,
Du kan ta detta tillvägagångssätt ännu längre och skapa dataspecifika grupper baserat på den åtkomstnivå som behövs:
- SOX_ReadOnly
- SOX_Modify
konsumenterna av denna Sarbanes-Oxley (SOX) data kan inkludera ett fåtal användare från lagarna för juridik, ekonomi och efterlevnad. Ännu färre användare har behov av att ändra data. Genom att skapa resursspecifika grupper minskar du komplexiteten, underlättar omcertifieringen och kan mycket lättare säkerställa en minst privilegiemodell.,
ett sista ord
RBAC är ett kraftfullt paradigm för att styra tillgången till kritiska data och resurser, och om det genomförs korrekt kan dramatiskt öka säkerheten i dina system.
tänk dock på att RBAC inte är ett universalmedel för cybersäkerhet. Det finns flera metoder dåliga aktörer kommer att använda för att få obehörig åtkomst, och du bör inte förlita sig enbart på förebyggande kontroller som RBAC för att skydda dina data., Detektivkontroller som en användarbeteende analytics-plattform kan hjälpa till att varna om ovanligt åtkomstbeteende – även om det är godkänt för en roll–och förhindra dataöverträdelser.