Die rollenbasierte Zugriffskontrolle (RBAC) ist ein Sicherheitsparadigma, bei dem Benutzern basierend auf ihrer Rolle im Unternehmen Zugriff auf Ressourcen gewährt wird. RBAC kann, wenn es richtig implementiert ist, ein wirksamer Weg sein, um das Prinzip der geringsten Privilegien durchzusetzen.
Das Grundprinzip der rollenbasierten Zugriffskontrolle ist einfach: Die Finanzabteilung kann keine HR-Daten sehen und umgekehrt.,
Holen Sie sich den kostenlosen Stift Testen Active Directory-Umgebungen eBook
Bei korrekter Implementierung ist RBAC für die Benutzer transparent. Die Rollenzuweisung erfolgt hinter den Kulissen und jeder Benutzer hat Zugriff auf die Anwendungen und Daten, die er für seine Arbeit benötigt.
In diesem Handbuch erklären wir Ihnen detaillierter, was RBAC ist, und zeigen Ihnen, wann und wie Sie dieses Paradigma verwenden können.,
- Die Vorteile von RBAC
- 5 Schritte zur RBAC-Implementierung
- RBAC-Beispiele
- Azure RBAC
- Alternativen zu RBAC
Rollenbasierte Zugriffskontrolle: Die Grundlagen
Die meisten RBAC-Systeme basieren auf der Anwendung von drei Grundprinzipien. Wie diese in einzelnen Organisationen angewendet werden, kann variieren, aber diese Prinzipien bleiben unveränderlich:
- Rollenzuweisung: Ein Subjekt kann eine Berechtigung nur ausüben, wenn das Subjekt eine Rolle ausgewählt oder zugewiesen hat.,
- Rollenautorisierung: Die aktive Rolle eines Subjekts muss autorisiert sein. Das heißt, ich kann mich nicht einfach einer Rolle zuweisen. Ich brauche eine Genehmigung.
- Berechtigungsberechtigung: Ein Subjekt kann eine Berechtigung nur ausüben, wenn die Berechtigung für die aktive Rolle des Subjekts autorisiert ist. Mit den Regeln 1 und 2 stellt diese Regel sicher, dass Benutzer nur Berechtigungen ausüben können, für die sie berechtigt sind.
RBAC ist wichtig für die Cybersicherheit, da Statistiken über Datenverletzungen darauf hinweisen, dass die Gewährung eines unangemessenen Zugangs zu Mitarbeitern eine Hauptursache für Datenverlust und Datendiebstahl ist., Ohne ein System zur Entscheidung, wer auf Daten zugreifen kann, können einige Daten offengelegt bleiben.
Im Oktober 2019 fanden die Cybersicherheitsforscher Diachenko und Troia auf einem ungesicherten Server, der 4 Terabyte PII oder etwa 4 Milliarden Datensätze enthielt, eine Fundgrube an Daten, die der Öffentlichkeit zugänglich und leicht zugänglich waren. Eine Gesamtzahl eindeutiger Personen in allen Datensätzen erreichte mehr als 1.2 Milliarden Menschen, was dies zu einem der größten Datenlecks in einer einzigen Quellorganisation in der Geschichte macht.
Die durchgesickerten Daten enthielten Namen, E-Mail-Adressen, Telefonnummern, LinkedIn-und Facebook-Profilinformationen., Der entdeckte ElasticSearch-Server, der alle Informationen enthielt, war ungeschützt und über einen Webbrowser zugänglich. Es war kein Passwort oder eine Authentifizierung jeglicher Art erforderlich, um auf alle Daten zuzugreifen oder sie herunterzuladen, da die Organisationen, die die Daten hielten (zwei verschiedene, unbenannte Datenanreicherungsfirmen), keine Schritte unternommen hatten, um den Zugriff darauf einzuschränken.
Dies ist ein extremes Beispiel: Die betreffenden Daten hatten überhaupt keine Zugriffskontrollen auferlegt. Es scheint, dass Ihre Organisation niemals einen solchen Fehler machen würde., In der Praxis ist es jedoch leicht, Fehler zu machen-insbesondere wenn kritische Informationen an vielen Stellen mit unterschiedlichen Zugangskontrollsystemen und einfachen Endbenutzer-Sharing-Funktionen gespeichert werden.
Die Implementierung eines RBAC – Paradigmas kann schwierig sein, vor allem, weil Sie alle Rollen in Ihrer Organisation detailliert definieren und entscheiden müssen, welche Ressourcen Mitarbeiter in dieser Rolle erhalten sollen. In großen Organisationen mit vielen beweglichen Teilen und miteinander verbundenen Teams kann sogar das Skizzieren einer solchen Organisationskarte ein großes Unterfangen sein.,
In einigen Fällen bedeutet dies, dass die Entscheidungen, die RBAC untermauern, fast zu „philosophischen“ Fragen werden können.
- Benötigen Assistenten, die im Auftrag ihrer Manager arbeiten, die gleiche Zugriffsebene?
- Sollte ein juristisches Teammitglied Teil der Finanzrolle werden, um vorübergehend auf eine Teilmenge von Dateien zuzugreifen?
- Benötigen Sicherheitspersonal Zugriff auf alle Daten, die sie zu sichern versuchen?
- Wenn ein Mitarbeiter befördert wird, erben sie Zugriffsberechtigungen von einer früheren Rolle?
- Oder brauchen Nachwuchskräfte mehr Zugang als die Manager, denen sie berichten?,
Die Antworten auf diese Fragen können äußerst kompliziert sein, da sie sich auf die grundlegende Arbeitsweise Ihrer Organisation beziehen. Und als Sicherheitsarchitekt sind Sie wahrscheinlich nicht in der Lage, diese Art von pan-organisatorischer Aufsicht zu haben.
Aus diesem Grund empfehlen wir Ihnen hier bei Varonis, kein „reines“ RBAC-System zu implementieren. Stattdessen empfehlen wir Ihnen, einen hybriden Ansatz zu verwenden, der RBAC-Prinzipien enthält, sich jedoch nicht vollständig darauf stützt.,
Die Vorteile der rollenbasierten Zugriffskontrolle
Auf der breitesten Ebene trägt RBAC zur Maximierung der Betriebseffizienz bei, schützt Ihre Daten vor Undichtigkeiten oder Diebstahl, reduziert Administrations-und IT-Supportarbeiten und erleichtert die Erfüllung der Prüfanforderungen.
Obwohl RBAC nicht perfekt ist, ist es ein viel besseres Modell, als willkürlich zu entscheiden, wer auf welche Ressourcen zugreifen soll. Wenn Sie einen guten RBAC implementiert haben, werden die Hacker stonewalled, sobald sie versuchen, außerhalb der Blase ihrer gehackten Benutzerrolle zu gelangen., Dies kann die Auswirkungen eines Kontokompromisses drastisch reduzieren-insbesondere bei Ransomware.
Selbst wenn sich der betroffene Benutzer in HR befindet und Zugriff auf personenbezogene Daten (PII) hat, kann der Hacker die Daten des Finanzteams oder des Führungsteams nicht verschlüsseln oder stehlen.
RBAC reduziert auch die IT-und Verwaltungslast in der gesamten Organisation und erhöht die Produktivität der Benutzer. Es muss nicht für jeden Benutzer personalisierte Berechtigungen verwalten und es ist für die richtigen Benutzer einfacher, an die richtigen Daten zu gelangen.,
Das Verwalten neuer Benutzer oder Gastbenutzer kann zeitaufwändig und schwierig sein, aber wenn Sie RBAC haben, das diese Rollen definiert, bevor ein Benutzer dem Netzwerk beitritt, ist dies eine Fire-and-Forget-Situation. Gäste und neue Benutzer treten dem Netzwerk bei und ihr Zugriff ist vordefiniert.
Die Implementierung von RBAC spart nachweislich viel Geld für Ihr Unternehmen. RTI veröffentlichte 2010 einen Bericht mit dem Titel „The Economic Impact of Role-Based Access Control“, der darauf hinweist, dass es einen erheblichen Return on Investment in ein RBAC-System gibt., Für ein hypothetisches Finanzdienstleistungsunternehmen mit 10.000 Mitarbeitern schätzt RTI, dass RBAC 24.000 US-Dollar an Arbeitskräften sparen wird und Ausfallzeiten der Mitarbeiter dem Unternehmen 300.000 US-Dollar pro Jahr ersparen werden. Durch die Automatisierung des Benutzerzugriffsprozesses sparen Sie noch mehr als nur den Arbeitsabbau.
Schließlich können Unternehmen RBAC-Systeme implementieren, um die regulatorischen und gesetzlichen Anforderungen an Vertraulichkeit und Datenschutz zu erfüllen, da Führungskräfte und IT-Abteilungen den Zugriff und die Verwendung der Daten effektiver verwalten können., Dies ist besonders wichtig für Finanzinstitute und Gesundheitsunternehmen, die sensible Daten verwalten und Privacy-by-Design einhalten müssen.
Am Ende der Implementierung ist Ihr Netzwerk wesentlich sicherer als zuvor und Ihre Daten sind viel sicherer vor Diebstahl. Und Sie erhalten die anderen Vorteile einer gesteigerten Produktivität für Ihre Benutzer und IT-Mitarbeiter. Es ist ein Kinderspiel, wenn Sie uns Fragen.,
5 Schritte zur Implementierung der rollenbasierten Zugriffskontrolle
Zur Implementierung von RBAC sind folgende Schritte erforderlich:
- Definieren Sie die Ressourcen und Dienste, die Sie Ihren Benutzern bereitstellen (z. B. E-Mail, CRM, Dateifreigaben, Cloud-Apps) .
- Erstellen Sie in Schritt 1 eine Zuordnung von Rollen zu Ressourcen, sodass jede Funktion auf die Ressourcen zugreifen kann, die für die Ausführung ihrer Aufgabe erforderlich sind.
- Erstellen Sie Sicherheitsgruppen, die jede Rolle darstellen.
- Weisen Sie Benutzern definierte Rollen zu, indem Sie sie zu den relevanten rollenbasierten Gruppen hinzufügen.,
- Wenden Sie Gruppen an, um auf Kontrolllisten der Ressourcen (z. B. Ordner, Postfächer, Websites) zuzugreifen, die Daten enthalten
Die gute Nachricht ist, dass Sie das Rätselraten weitgehend aus diesem Prozess herausnehmen können. Varonis DatAdvantage bietet einen Einblick, wer Daten regelmäßig aktiv nutzt und wer nicht, was zur Erstellung und Zuweisung von Rollen beitragen kann. Sie können auch einen Dateneigentümer für jede Sicherheitsgruppe (d. H. Rolle) oder jeden Datensatz festlegen, um die Belastung zu verringern.,
Dieser Dateneigentümer, der mehr Kontext zu seinen Daten hat als ER, ist langfristig für den Zugriff auf seine Daten verantwortlich und kann Zugriffsanforderungen von der Varonis DataPrivilege-Schnittstelle leicht genehmigen oder ablehnen. Varonis bietet auch Modellierungsfunktionen beim Zuweisen von Rollen, sodass Sie sehen können, was passiert, wenn Sie den Zugriff auf einen Ordner aus dieser Rolle widerrufen, bevor Sie ihn festschreiben.
Sobald die Implementierung abgeschlossen ist, ist es unerlässlich, das System sauber zu halten. Kein Benutzer sollte dauerhaft Berechtigungen außerhalb seiner Rolle zugewiesen werden., DataPrivilege ermöglicht den temporären Zugriff auf Dateifreigaben pro Anforderung, wodurch die erste Regel nicht verletzt wird. Es wird jedoch ein Veränderungsprozess erforderlich sein, um die Rollen nach Bedarf anzupassen.
Und natürlich möchten Sie alle diese kritischen Ressourcen regelmäßig überwachen und überwachen. Sie müssen wissen, ob ein Benutzer versucht, auf Daten außerhalb seines zugewiesenen Sitzplatzes zuzugreifen, oder ob einem Benutzer außerhalb seiner Rolle Berechtigungen hinzugefügt werden.,
Beispiele für rollenbasierte Zugriffskontrolle
Wenn Sie ein RBAC-System implementieren möchten, ist es nützlich, ein grundlegendes Beispiel als Anleitung zu haben. Obwohl RBAC wie ein komplizierter Ansatz erscheinen kann, in Wirklichkeit begegnen Sie RBAC in vielen häufig verwendeten Systemen.
Das vielleicht offensichtlichste Beispiel dafür ist die Hierarchie eines WordPress CMS-Satzes von Benutzerrollen.,verwaltungsfunktionen
Mit anderen Worten, das WordPress-Benutzersystem stellt sicher, dass alle Benutzer eine Rolle haben, die ihnen keine übermäßigen Rechte gewährt, und schützt Daten vor dem Zugriff von Benutzern, die dies für ihre Rolle nicht benötigen., Obwohl WordPress dieses System nicht als „RBAC“ – System bezeichnet, ist es genau das.
Azure RBAC
Azure role-based access control (Azure RBAC) ist eine RBAC-Implementierung für Azure. Mit Azure Resource Manager können Sie die Grundlagen von Azure RBAC implementieren und das System an Ihre eigenen Anforderungen anpassen.,
Hier sind einige Beispiele, was Sie mit Azure RBAC (Quelle) tun können:
- Erlauben Sie einem Benutzer, virtuelle Maschinen in einem Abonnement zu verwalten, und einem anderen Benutzer, virtuelle Netzwerke zu verwalten
- Erlauben Sie einer DBA-Gruppe, SQL-Datenbanken in einem Abonnement zu verwalten
- Erlauben Sie einem Benutzer, alle Ressourcen in einer Ressourcengruppe zu verwalten, z. B. virtuelle Maschinen, Websites und Subnetze
- Erlauben Sie einer Anwendung, auf alle Ressourcen in einer Ressourcengruppe zuzugreifen
Obwohl Azure RBAC eine beliebte Möglichkeit für Netzwerkadministratoren ist, RBAC in ihren Organisationen zu implementieren, ist dies nicht die einzige verfügbare Option., Hier bei Varonis empfehlen wir im Allgemeinen einen hybriden Ansatz, der einige Elemente von Azure RBAC verwendet, diese jedoch in eine breitere Sicherheitsstrategie einbezieht.
Alternativen zu RBAC
RBAC ist nur ein Ansatz zur Verwaltung des Zugriffs auf Ihre Netzwerke und kein Ersatz für eine gründliche und robuste Sicherheitsrichtlinie. Sie können immer Zugriffskontrolllisten verwenden, diese sind jedoch in der Regel schwer zu verwalten und lassen sich in großen Umgebungen nicht gut skalieren.,
Attributbasierte Zugriffskontrolle
NIST definiert attributbasierte Zugriffskontrolle neben RBAC als mögliche Lösung für die Gewährung von Zugriffsrechten. Kurz gesagt, ABAC versucht, Merkmale des Benutzers (Jobfunktion, Jobtitel) mit den Ressourcen abzugleichen, die der Benutzer für seine Arbeit benötigt.
Bisher hat dieses System aufgrund der Herausforderungen und des Setups, die zur Implementierung dieses Systems in großem Maßstab erforderlich sind, nicht viel an Zugkraft gewonnen. Es klingt gut in der Theorie, aber immer noch legt einen großen Teil der Last auf sie zu verwalten.,
Unser Ansatz
Für viele Organisationen bietet RBAC keine ausreichende Granularität, um Datenschutz-und regulatorische Anforderungen zu unterstützen.
Beispielsweise sollten abteilungsübergreifende Daten, die von einer kleinen Untergruppe von Benutzern aus mehreren Unternehmensgruppen gemeinsam genutzt werden, nur bestimmten Benutzern in jeder Rolle zugänglich sein. RBAC schränkt die Möglichkeit ein, dieses Ergebnis zu erzielen, da Sie nicht nur einer ausgewählten Anzahl von Personen aus mehreren Geschäftsrollen Zugriff gewähren können. Das Anwenden einer rollenbasierten Gruppe auf einen Datensatz verstößt gegen das Prinzip der geringsten Berechtigungen.,
Es wurden zahlreiche Ansätze zur Lösung dieses Problems angenommen, jedoch mit geringem Erfolg. In den meisten Fällen bleiben die Berechtigungen der Ressource bei den Versuchen, die unzureichende Granularität von RBAC zu umgehen, in einem Zustand übermäßigen Zugriffs, wodurch es unmöglich ist, die Einhaltung aufrechtzuerhalten und erneut zu zertifizieren.
Für Daten, die einen detaillierteren Schutz erfordern, ist unsere Philosophie, dass die Berechtigungsverwaltung auf dem Inhalt der Daten und nicht auf der funktionalen Rolle der Benutzer basieren sollte, die Zugriff benötigen., Für diese Ordner sollten datenspezifische Sicherheitsgruppen erstellt und direkte Berechtigungen vermieden werden.
Beispielsweise kann ein Dienstleistungsunternehmen sensible Kundendaten haben, die nur bestimmten Personen zugänglich sein sollten. Sobald die Ordner, die diese Daten enthalten, identifiziert sind, sollten Berechtigungen nur Personen in einer inhaltsspezifischen Gruppe erteilt werden. Abteilungsgruppen sollten keine Berechtigungen für den Ordner zugewiesen werden.,
Sie können diesen Ansatz noch weiter gehen und datenspezifische Gruppen basierend auf der erforderlichen Zugriffsebene erstellen:
- SOX_ReadOnly
- SOX_Modify
Die Verbraucher dieser Sarbanes-Oxley (SOX)-Daten können einige ausgewählte Benutzer aus den Legal -, Finance-und Compliance-Teams enthalten. Noch weniger Benutzer müssen die Daten ändern. Durch das Erstellen ressourcenspezifischer Gruppen reduzieren Sie die Komplexität, erleichtern die Rezertifizierung und können viel einfacher ein Modell mit den geringsten Berechtigungen sicherstellen.,
Ein letztes Wort
RBAC ist ein leistungsstarkes Paradigma für die Kontrolle des Zugriffs auf kritische Daten und Ressourcen und kann bei korrekter Implementierung die Sicherheit Ihrer Systeme dramatisch erhöhen.
Beachten Sie jedoch, dass RBAC kein Allheilmittel für Cybersicherheit ist. Es gibt verschiedene Methoden, mit denen schlechte Akteure unbefugten Zugriff erhalten, und Sie sollten sich nicht nur auf vorbeugende Kontrollen wie RBAC verlassen, um Ihre Daten zu schützen., Detektivkontrollen wie eine Benutzerverhaltensanalyseplattform können dazu beitragen, ungewöhnliches Zugriffsverhalten zu warnen–auch wenn es für eine Rolle autorisiert ist-und Datenverletzungen zu verhindern.