TTechnologie

ROLLENBASIERTE ZUGRIFFSKONTROLLE RBAC: Definition, Verlauf und Beispiele

rollenbasierte Zugriffskontrolle
Inhaltsverzeichnis Verbergen
  1. Was ist rollenbasierte Zugriffskontrolle (RBAC)?
  2. Geschichte der rollenbasierten Zugriffskontrolle
  3. Wie funktioniert die rollenbasierte Zugriffssteuerung RBAC?
  4. Was ist eine rollenbasierte Zugriffssteuerungs-RBAC-Rolle?
  5. Das rollenbasierte Zugriffssteuerungs-RBAC-Modell
    1. #1. Kern-RBAC
    2. #2. Hierarchie-RBAC
    3. #3. Eingeschränkte RBAC
  6. Beispiele für rollenbasierte Zugriffskontrolle
  7. RBAC-Alternativen: Zugriffssteuerungstypen
    1. Zugriffssteuerungsliste (ACL)
    2. Attributbasierte Zugriffskontrolle (ABAC)
  8. RBAC-Vorteile
  9. Best Practices für die RBAC-Implementierung
  10. Zusammenfassung
  11. Häufig gestellte Fragen zur rollenbasierten Zugriffskontrolle
  12. Was sind die drei Hauptregeln für RBAC?
  13. Warum wird ACL verwendet?
  14. Was ist der Unterschied zwischen rollenbasierter Zugriffskontrolle und regelbasierter Zugriffskontrolle?
    1. Ähnliche Artikel
    2. Bibliographie

Dieser Artikel enthält eine vollständige Erläuterung der rollenbasierten Zugriffssteuerung (RBAC) sowie eine Schritt-für-Schritt-Anleitung zum Bereitstellen, Verwalten und Erweitern von RBAC, um die Anforderungen Ihrer Organisation zu erfüllen. Sie erfahren mehr über Rollen, wie man sie definiert und wie deren Verwendung zur Regulierung des Zugriffs dazu beitragen kann, Ihr Netzwerk zu sichern, Verwaltungskosten zu senken und die Einhaltung gesetzlicher Vorschriften sicherzustellen. Wir werden auch einige Beispiele für rollenbasierte Zugriffskontrolle sehen. Lass uns anfangen.

Was ist rollenbasierte Zugriffskontrolle (RBAC)?

Das Konzept, Personen basierend auf ihrer Rolle innerhalb einer Organisation Berechtigungen zu erteilen, wird als rollenbasierte Zugriffskontrolle (RBAC) bezeichnet. Es bietet einen grundlegenden, kontrollierten Ansatz für die Zugriffsverwaltung, der weniger fehleranfällig ist als die individuelle Bereitstellung von Berechtigungen für Benutzer.

Wenn Sie RBAC für die Rollenzugriffsverwaltung verwenden, untersuchen Sie die Anforderungen Ihrer Benutzer und gruppieren sie basierend auf gemeinsamen Aufgaben in Rollen. Anschließend weisen Sie jedem Benutzer eine oder mehrere Rollen und jeder Rolle eine oder mehrere Berechtigungen zu. Da Benutzer nicht mehr unterschiedslos verwaltet werden müssen, erleichtern die Benutzer-Rollen- und Rollen-Berechtigungsbeziehungen die Durchführung von Benutzerzuweisungen.

Geschichte der rollenbasierten Zugriffskontrolle

Mindestens seit den 1970er Jahren haben Menschen Rollen und Verantwortlichkeiten genutzt, um den Zugriff auf kommerzielle Computersysteme zu kontrollieren. Diese Methoden waren jedoch ad hoc und mussten häufig für jedes neue System von Fall zu Fall modifiziert werden.

Forscher des American National Standards Institute (NIST) begannen erst 1992 damit, das als rollenbasierte Zugangskontrolle bekannte System zu definieren kommerzielle Nutzung und legte den Grundstein für das Modell, das wir heute verwenden.

In den 1990er und frühen 2000er Jahren verfeinerten Ferraiolo, Kuhn und andere RBAC, aufbauend auf früheren Arbeiten, um die wirtschaftlichen Vorteile von RBAC zu untersuchen, ein einheitliches Modell zu spezifizieren und, was am wichtigsten ist, die Formulare zur Aufteilung der Pflichten zu definieren. RBAC wurde 2004 von NIST offiziell als Industriestandard angenommen.

Wie funktioniert die rollenbasierte Zugriffssteuerung RBAC?

Vor der Bereitstellung von RBAC in einem Unternehmen sollte die Organisation die Berechtigungen für jede Rolle gründlich spezifizieren. Dazu gehört die genaue Spezifizierung von Berechtigungen in den unten aufgeführten Kategorien:

  • Berechtigungen zur Datenänderung (z. B. Lesen, Schreiben, Vollzugriff)
  • Zugang zur Nutzung von Firmensoftware
  • Berechtigungen innerhalb eines Programms

Um RBAC optimal nutzen zu können, müssen Sie zunächst Rollen und Berechtigungen modellieren. Dazu gehört auch die Zuordnung aller Personalverantwortlichkeiten zu bestimmten Stellen, die entsprechende Privilegien schaffen. Die Organisation kann dann Positionen basierend auf den Aufgaben der Mitarbeiter zuweisen.

Organisationen können die rollenbasierte Zugriffssteuerung verwenden, um jedem Benutzer eine oder mehrere Rollen zuzuweisen oder Berechtigungen individuell zuzuweisen. Die Idee ist, Berechtigungen festzulegen, die es Benutzern ermöglichen, ihre Aufgaben zu erledigen, ohne zusätzliche Anpassungen vorzunehmen.

Identity and Access Management (IAM)-Technologien werden von Organisationen verwendet, um RBAC zu implementieren und zu überwachen. IAM dient in erster Linie großen Organisationen durch Protokollierung, Überwachung und Aktualisierung aller Identitäten und Berechtigungen. Der Vorgang des Zuweisens von Berechtigungen wird als „Bereitstellung“ bezeichnet, und der Vorgang des Widerrufens von Berechtigungen wird als „Bereitstellungsaufhebung“ bezeichnet. Ein solches System erfordert die Etablierung eines einheitlichen und standardisierten Rollensets.

Was ist eine rollenbasierte Zugriffssteuerungs-RBAC-Rolle?

Rollen sind Semantiken innerhalb der RBAC-Architektur, die Organisationen nutzen können, um ihre Berechtigungen aufzubauen. Befugnisse, Verantwortlichkeiten, Kostenstellen, Geschäftsbereiche und andere Faktoren können zur Definition von Rollen verwendet werden.

Eine Rolle ist eine Gruppierung von Benutzerrechten. Herkömmliche Gruppen, die Aggregate von Benutzern sind, sind nicht dasselbe wie Rollen. Berechtigungen beziehen sich im Kontext von RBAC nicht direkt auf Identitäten, sondern auf Rollen. Da sie um die Zugriffsverwaltung herum organisiert sind, sind Rollen vertrauenswürdiger als Gruppen. Die Identität ändert sich häufiger als Funktionen und Aktivitäten in einem normalen Unternehmen.

Das rollenbasierte Zugriffssteuerungs-RBAC-Modell

Der RBAC-Standard definiert drei Formen der Zugriffskontrolle: Kern, hierarchisch und eingeschränkt.

#1. Kern-RBAC

Das Kernmodell definiert die Schlüsselkomponenten jedes rollenbasierten Zugriffskontrollsystems. Während grundlegendes RBAC als eigenständiger Zugangskontrollansatz verwendet werden kann, dient es auch als Grundlage für hierarchische und eingeschränkte Modelle.

Daher müssen alle RBAC die drei unten aufgeführten Regeln befolgen:

  • Rollenauswahl oder -zuweisung: Eine Person kann eine Erlaubnis nur ausüben, wenn sie eine Rolle gewählt hat oder ihr zugewiesen wurde.
  • Rollenberechtigung: Die aktive Rolle eines Subjekts muss genehmigt werden.
  • Autorisierung von Berechtigungen: Ein Betreff kann nur Berechtigungen ausüben, die für die aktive Rolle des Betreffs zulässig sind.

#2. Hierarchie-RBAC

Indem Sie glauben, dass Ihre Verteidigung bereits durchbrochen wurde, können Sie eine stärkere Sicherheitshaltung gegen potenzielle Angriffe einnehmen und die Auswirkungen einer Verletzung verringern. Begrenzen Sie den „Explosionsradius“ möglicher Schäden, die durch eine Verletzung verursacht werden, indem Sie den Zugriff segmentieren und Ihre Angriffsfläche verringern, die End-to-End-Verschlüsselung bestätigen und Ihr Netzwerk in Echtzeit überwachen.

#3. Eingeschränkte RBAC

Dieser dritte RBAC-Standard erweitert die Rollenverteilung des Kernmodells. Funktionstrennungsverhältnisse werden als statisch oder dynamisch klassifiziert.

  • Ein einzelner Benutzer kann keine sich gegenseitig ausschließenden Verantwortlichkeiten in SSD-Beziehungen (Static Separation of Duty) (wie von der Organisation definiert) übernehmen. Dadurch wird sichergestellt, dass beispielsweise eine Person einen Kauf nicht gleichzeitig tätigen und genehmigen kann.
  • Ein Benutzer im Rahmen des Dynamic Separation of Duty (DSD)-Modells kann widersprüchliche Rollen haben. Der Benutzer darf jedoch nicht beide Aufgaben in derselben Sitzung ausführen. Diese Einschränkung hilft bei der Kontrolle interner Sicherheitsbedenken, indem beispielsweise die Zwei-Personen-Regel implementiert wird, die zwei eindeutige Benutzer erfordert, um eine Aktion zu autorisieren.

Beispiele für rollenbasierte Zugriffskontrolle

Mit RBAC können Sie steuern, was Endbenutzer sowohl auf allgemeiner als auch auf granularer Ebene tun können. Sie können angeben, ob der Benutzer ein Administrator, ein spezialisierter Benutzer oder ein Endbenutzer ist, und Sie können Verantwortlichkeiten und Zugriffsberechtigungen den organisatorischen Positionen Ihrer Mitarbeiter zuordnen. Berechtigungen werden nur mit ausreichendem Zugriff erteilt, damit die Mitarbeiter ihre Aufgaben erfüllen können.

Was passiert, wenn sich die Beschreibung eines End-Job-Benutzers ändert? Möglicherweise müssen Sie ihre Rolle einem anderen Benutzer manuell zuweisen, oder Sie können Rollen einer Rollengruppe zuweisen oder eine Rollenzuweisungsrichtlinie verwenden, um Rollengruppenmitglieder hinzuzufügen oder zu löschen.

Ein RBAC-Tool kann die folgenden Bezeichnungen enthalten:

  • Umfang der Verwaltungsrolle – Es schränkt ein, welche Elemente die Rollengruppe verarbeiten kann.
  • Verwaltungsrollengruppe – Sie können Mitglieder der Verwaltungsrollengruppe hinzufügen und daraus entfernen.
  • Führungsrolle – Dies sind die Arten von Aufgaben, die eine bestimmte Rollengruppe ausführen kann.
  • Zuweisung der Verwaltungsrolle- Dies ist der Vorgang des Zuweisens einer Rolle zu einer Rollengruppe.

Wenn ein Benutzer zu einer Rollengruppe hinzugefügt wird, erhält der Benutzer Zugriff auf alle Rollen in dieser Gruppe. Wenn sie entfernt werden, ist der Zugriff eingeschränkt. Benutzer können auch zahlreichen Gruppen zugeordnet werden, wenn sie vorübergehend Zugriff auf bestimmte Daten oder Anwendungen benötigen, und nach Abschluss des Projekts gelöscht werden.

Weitere Benutzerzugriffsmöglichkeiten können sein:

  • Der Hauptkontakt für ein bestimmtes Konto oder eine bestimmte Rolle.
  • Abrechnung – Zugriff auf ein Abrechnungskonto für einen einzelnen Endbenutzer.
  • Technische Benutzer sind diejenigen, die technische Aufgaben ausführen.
  • Administratorzugriff wird Benutzern gewährt, die administrative Tätigkeiten ausführen.

RBAC-Alternativen: Zugriffssteuerungstypen

Anstelle der rollenbasierten Zugriffssteuerung könnten andere Zugriffssteuerungsmechanismen verwendet werden.

Zugriffssteuerungsliste (ACL)

Eine Zugriffssteuerungsliste (ACL) ist eine Tabelle, die die Berechtigungen auflistet, die Rechenressourcen zugeordnet sind. Es informiert das Betriebssystem darüber, welche Benutzer Zugriff auf ein Objekt haben und welche Aktionen sie darauf ausführen können. Jeder Benutzer hat einen Eintrag, der mit den Sicherheitseigenschaften jedes Elements verknüpft ist. Für klassische DAC-Systeme wird typischerweise ACL verwendet.

ACL vs. RBAC

In Bezug auf Sicherheit und Verwaltungskosten übertrifft RBAC ACL für die meisten Geschäftsanwendungen. ACL eignet sich besser für die Implementierung von Sicherheit auf der individuellen Benutzerebene und für Low-Level-Daten, aber RBAC eignet sich besser für ein unternehmensweites Sicherheitssystem, das von einem Administrator beaufsichtigt wird. Eine ACL kann beispielsweise den Schreibzugriff auf eine bestimmte Datei ermöglichen, aber nicht definieren, wie die Datei vom Benutzer geändert wird.

Attributbasierte Zugriffskontrolle (ABAC)

ABAC bewertet eine Reihe von Regeln und Richtlinien, um Zugriffsberechtigungen basierend auf bestimmten Eigenschaften wie Umgebungs-, System-, Objekt- oder Benutzerinformationen zu steuern. Es verwendet boolesche Logik, um Personen den Zugriff zu gewähren oder zu verweigern, basierend auf einer komplizierten Auswertung von atomaren oder mengenwertigen Eigenschaften und ihren Beziehungen.

In der Praxis können Sie damit Regeln in der eXtensible Access Control Markup Language (XACML) definieren, die Schlüssel-Wert-Kombinationen wie Role=Manager und Category=Financial verwenden.

ABAC vs. RBAC

RBAC basiert auf vordefinierten Rollen, während ABAC dynamischer ist und eine beziehungsbasierte Zugriffskontrolle verwendet. RBAC kann verwendet werden, um Zugriffskontrollen in groben Zügen zu definieren, während ABAC mehr Granularität bietet. Ein RBAC-System gewährt beispielsweise allen Managern Zugriff, während eine ABAC-Richtlinie nur Managern in der Finanzabteilung Zugriff gewährt. ABAC führt eine kompliziertere Suche durch, die mehr Rechenleistung und Zeit erfordert. Verwenden Sie sie daher nur, wenn RBAC nicht ausreicht.

RBAC-Vorteile

  • Die Verwaltung und Prüfung des Netzwerkzugriffs sind für die Informationssicherheit von entscheidender Bedeutung. Der Zugriff kann und sollte basierend auf Need-to-Know erlaubt werden. Die Sicherheit lässt sich mit Hunderten oder Tausenden von Mitarbeitern einfacher verwalten, indem unnötiger Zugriff auf kritische Informationen basierend auf der angegebenen Rolle jedes Benutzers innerhalb des Unternehmens eingeschränkt wird. Weitere Vorteile sind:
  • Der administrative und IT-Support wird reduziert. Wenn ein Mitarbeiter eingestellt wird oder seine Rolle wechselt, können Sie RBAC verwenden, um den Bedarf an Papierkram und Passwortänderungen zu verringern. Stattdessen können Sie RBAC verwenden, um schnell Rollen zwischen Betriebssystemen, Plattformen und Anwendungen hinzuzufügen und zu übertragen. Es verringert auch die Wahrscheinlichkeit von Fehlern beim Gewähren von Benutzerberechtigungen. Einer der vielen wirtschaftlichen Vorteile von RBAC ist die Verringerung des Zeitaufwands für Verwaltungstätigkeiten. RBAC erleichtert auch die Integration von Drittbenutzern in Ihr Netzwerk, indem ihnen vordefinierte Rollen zugewiesen werden.
  • Steigerung der betrieblichen Effizienz. RBAC bietet einen optimierten Ansatz mit logischen Definitionen. Anstatt zu versuchen, die Zugriffskontrolle auf niedrigerer Ebene zu verwalten, können alle Rollen an der Organisationsstruktur des Unternehmens ausgerichtet werden, sodass Benutzer ihre Aufgaben effizienter und autonomer erfüllen können.
  • Steigerung der Compliance. Bundes-, Landes- und Kommunalbeschränkungen gelten für alle Organisationen. Unternehmen können mit einem RBAC-System gesetzliche und regulatorische Standards für Datenschutz und Vertraulichkeit leichter erfüllen, da IT-Abteilungen und Führungskräfte den Zugriff auf und die Nutzung von Daten steuern können. Dies ist besonders wichtig für Gesundheits- und Finanzorganisationen, die mit einer großen Menge sensibler Daten wie PHI und PCI umgehen.

Best Practices für die RBAC-Implementierung

Die Implementierung eines RBAC in Ihrer Organisation sollte nicht auf die leichte Schulter genommen werden. Es gibt eine Reihe allgemeiner Schritte, die unternommen werden müssen, um das Team an Bord zu holen, ohne unnötige Verwirrung oder Irritationen am Arbeitsplatz zu erzeugen. Hier sind ein paar Ideen für den Anfang.

  • Aktueller Status: Erstellen Sie eine Liste aller Software-, Hardware- und App-Elemente, die über Sicherheit verfügen. Die meisten davon erfordern ein Passwort. Möglicherweise möchten Sie jedoch Serverräume einbeziehen, die unter Verschluss sind. Physische Sicherheit kann ein wichtiger Bestandteil des Datenschutzes sein. Geben Sie außerdem an, wer Zugriff auf diese Programme und Orte hat. So erhalten Sie einen Einblick in Ihre aktuelle Datenlage.
  • Aktuelle Aufgaben: Selbst wenn Sie keinen formellen Dienstplan und keine Rollenliste haben, kann es so einfach sein, zu bestimmen, was jedes einzelne Teammitglied tut, wie ein kurzes Gespräch. Versuchen Sie, das Team so zusammenzustellen, dass die Kreativität oder die aktuelle Kultur (falls Sie Spaß daran haben) nicht behindert werden.
  • Erstellen Sie eine Richtlinie: Alle Änderungen sollten für alle gegenwärtigen und zukünftigen Mitarbeiter zur Einsicht dokumentiert werden. Selbst wenn Sie eine RBAC-Lösung verwenden, hilft Ihnen ein Papier, das Ihr neues System klar artikuliert, Probleme zu vermeiden.
  • Änderungen: Sobald der aktuelle Sicherheitsstatus und die Rollen bekannt sind (und eine Richtlinie vorhanden ist), ist es an der Zeit, die Änderungen zu implementieren.
  • Kontinuierlich anpassen: Es ist wahrscheinlich, dass die erste RBAC-Iteration einige Änderungen erfordern wird. Frühzeitig sollten Sie Ihre Aufgaben und Ihren Sicherheitsstatus regelmäßig überprüfen. Bewerten Sie zuerst, wie gut Ihr Kreativ-/Produktionsprozess funktioniert, und dann, wie sicher Ihr Prozess ist.

Zusammenfassung

Datenschutz ist eine kritische Geschäftsfunktion für jedes Unternehmen. Ein RBAC-System kann sicherstellen, dass die Informationen des Unternehmens den Datenschutz- und Vertraulichkeitsgesetzen entsprechen. Darüber hinaus kann es wesentliche Geschäftsaktivitäten wie den Zugang zu geistigem Eigentum sichern, was sich auf den Wettbewerb der Organisation auswirkt.

Häufig gestellte Fragen zur rollenbasierten Zugriffskontrolle

Was sind die drei Hauptregeln für RBAC?

RBAC-Komponenten wie Rollenberechtigungen, Benutzerrolle und Rolle-Rolle-Beziehungen vereinfachen die Benutzerzuweisung.

Warum wird ACL verwendet?

Reduzierter Netzwerkverkehr für verbesserte Netzwerkleistung. Eine Netzwerksicherheitsstufe, die angibt, auf welche Bereiche des Servers/Netzwerks/Dienstes ein Benutzer zugreifen kann und auf welche nicht. Granulare Verfolgung des in das System ein- und austretenden Datenverkehrs.

Was ist der Unterschied zwischen rollenbasierter Zugriffskontrolle und regelbasierter Zugriffskontrolle?

Die Zugriffsebenen der Mitarbeiter werden nicht durch regelbasierte Zugriffskontrollen bestimmt, die präventiver Natur sind. Sie arbeiten stattdessen daran, unerwünschten Zugriff zu verhindern. Rollenbasierte Modelle sind insofern proaktiv, als sie Mitarbeitern eine Reihe von Bedingungen vorlegen, unter denen sie genehmigten Zugriff erhalten können.

Bibliographie

Peace ist eine leitende Content-Autorin, Strategin und Redakteurin und stellt ihre Talente Organisationen wie BusinessYield zur Verfügung. Ihr Hintergrund liegt in der Content-Erstellung und Vordenkerrolle, mit Branchenexpertise in B2B-SaaS, spezialisierten Marketingagenturen und Unterhaltung. Mit Sitz in Missisauga, Ontario, Kalifornien, hat er einen Master in digitaler Kommunikation und journalistischer Innovation von der University of Waterloo. Wenn sie nicht gerade hart arbeitet, reist sie gerne, liest und isst Kohlenhydrate. Sie liebt es, Geschäftsartikel zu schreiben, die auf ihren reichen Finanz- und Marketingerfahrungen basieren.

Hinterlassen Sie uns einen Kommentar

E-Mail-Adresse wird nicht veröffentlicht. Pflichtfelder sind MIT * gekennzeichnet. *

- Vorheriger Artikel

REGELBASIERTE ZUGRIFFSKONTROLLE (RuBAC): Definition und Best Practices

Nächster Artikel -

OBLIGATORISCHE ZUGANGSKONTROLLE MAC: So funktioniert es

Das Könnten Sie Auch Interessieren