TTecnología

CONTROL DE ACCESO BASADO EN REGLAS (RuBAC): Definición y Buenas Prácticas

Control de acceso basado en reglas
Índice del contenido Esconder
  1. ¿Qué es el control de acceso basado en reglas (RBAC o RuBAC)?
  2. ¿Cómo funciona el control de acceso basado en reglas RBAC?
  3. Ventajas del control de acceso basado en reglas RBAC
  4. Desventajas del control de acceso basado en reglas RBAC
  5. ¿Cuál es la diferencia entre el control de acceso basado en reglas y basado en roles?
  6. ¿Qué es la regla en el control de acceso?
  7. Implementación de control de acceso basado en reglas
  8. Control de acceso basado en reglas versus basado en roles
    1. Operación
    2. Propósito
    3. Aplicación
  9. Casos de estudio
  10. Modelos híbridos
    1. Simplifique la gestión del control de acceso a las puertas
  11. Control de acceso basado en roles y reglas versus control de acceso basado en atributos
  12. Control de acceso basado en atributos versus basado en reglas
  13. Conclusión
    1. Artículos Relacionados
    2. Referencias

El control de acceso es un conjunto de técnicas, estrategias y políticas que permiten a las personas obtener acceso a los recursos informáticos, de red y de datos de una empresa. RBAC (también conocido como RuBAC) permite o restringe el acceso según las reglas, lo que garantiza que las personas que pueden acceder a la infraestructura informática de una empresa tengan acceso exactamente a los recursos que necesitan, ni más ni menos.
Si eso parece un poco confuso, es porque el concepto es amplio. Esta guía explicará el concepto de RBAC de control de acceso basado en reglas y cuándo las empresas pueden usarlo para protegerse.

¿Qué es el control de acceso basado en reglas (RBAC o RuBAC)?

Como su nombre lo indica, el control de acceso basado en reglas RBAC es un sistema basado en condiciones predefinidas para otorgar o denegar el acceso a varios usuarios.

La mayoría de las veces, estas reglas se basan en las características de los usuarios individuales. Esto también se conoce como control de acceso basado en atributos (ABAC).

Las reglas también se pueden basar en otros valores contextuales. Factores relacionados con acciones anteriores, por ejemplo, o la etapa actual del objeto en un flujo de trabajo específico. Incluso podría crear reglas basadas en variables del sistema, como la hora actual del día o la carga del servidor.

Este tipo de control de acceso implica configurar diferentes condiciones en función de los atributos existentes de los usuarios. Luego se utilizan para asignar permisos automáticamente a las personas.

Luego, el sistema emplea lógica booleana para determinar si cada condición es verdadera o falsa, y asigna permisos o pasa a la siguiente condición anidada.

Las reglas se pueden crear en torno a varias combinaciones de atributos o solo a una. Por ejemplo, un sistema muy simple basado en reglas solo puede considerar la ubicación actual de un usuario al determinar los permisos.

En un sistema más complejo, podría considerar su departamento, la duración del servicio, el dispositivo actual o cualquier otro atributo o factor ambiental además de su ubicación.

¿Cómo funciona el control de acceso basado en reglas RBAC?

Un departamento de TI establece reglas de alto nivel basadas en los detalles de qué, cómo, dónde y cuándo alguien intenta obtener acceso bajo RBAC. Cada recurso está asociado con una lista de control de acceso o ACL. Cuando alguien intenta utilizar un recurso determinado, el sistema operativo comprueba la ACL para ver si el intento sigue todas las reglas de acceso al recurso.

El componente de "regla" de RBAC se refiere a las restricciones sobre cuándo, cómo y dónde se otorga el acceso. Aquí hay un par de ejemplos:

  • Todos en una red tienen una dirección IP, que la red usa para identificar ubicaciones. Una regla podría ser que solo las personas con direcciones IP en un rango geográfico específico, como la región donde trabaja el equipo de contabilidad, pueden usar el sistema de contabilidad corporativa. Podría controlarse aún más finamente, como permitir que las personas en direcciones específicas accedan a las cuentas por pagar pero no a las cuentas por cobrar.
  • Las autorizaciones y restricciones se pueden vincular a los puertos, que actúan como puertas de red específicas. Solo las solicitudes en los puertos apropiados se considerarán potencialmente válidas. Un puerto, por ejemplo, podría estar vinculado a una instalación que acepte cargas de documentos desde ubicaciones remotas. En ese caso, se puede denegar una solicitud para cargar en otra área de la red.
  • Ciertos tipos de acceso pueden estar restringidos a horas específicas, como durante el horario comercial estándar. Nadie podría acceder a esos recursos informáticos fuera de esos intervalos de tiempo. Las limitaciones de tiempo ayudan a mantener a los delincuentes fuera de los sistemas fuera del horario laboral cuando hay menos expertos en seguridad disponibles y en guardia.
Lea también: RBAC DE CONTROL DE ACCESO BASADO EN FUNCIONES: definición, historial y ejemplos
  • Alguien que requiere acceso a registros confidenciales puede recibir credenciales adicionales que debe usar en todos los intentos de acceso futuros. Alternativamente, pueden tener un límite sobre cuántas veces pueden usar un recurso en particular en una semana, o pueden tener un tiempo de espera para que el permiso sea solo temporal.
  • Tanto como RBAC se puede usar para permitir el acceso, también se puede usar para evitar el acceso, ya sea dentro de la infraestructura de la empresa o a recursos externos. Por ejemplo, es posible que la empresa no quiera que ningún empleado use aplicaciones de transmisión de video durante las horas de trabajo, o puede bloquear todo el correo electrónico (es poco probable, pero un usuario puede soñar).

Lo más importante que debe recordar es que RBAC gobierna el contexto de acceso. Si bien el énfasis está en los empleados de la empresa, los mismos conceptos pueden aplicarse a una empresa que proporciona acceso controlado a algunos recursos a clientes o socios comerciales.

Consejo: El RBAC de control de acceso basado en reglas es esencial para organizaciones más grandes con múltiples roles y diferentes niveles de experiencia. Ciertos aspectos del sistema deben estar fuera del alcance de cualquier persona que no lo requiera para completar su trabajo por razones de seguridad y eficiencia.

Ventajas del control de acceso basado en reglas RBAC

Para una empresa, el control de acceso basado en reglas RBAC tiene numerosas ventajas:

  • Puede regular mejor los problemas de cumplimiento legal estandarizando y controlando el contexto del acceso a los recursos.
  • RBAC aumenta la seguridad al hacer cumplir los límites de uso de recursos necesarios. Esto puede dificultar que los delincuentes externos ataquen la infraestructura informática de su empresa.
  • Un sistema RBAC que está diseñado adecuadamente no solo mejora la seguridad sino que también regula el uso de la red. Puede restringir el uso de procesos y software que consumen muchos recursos a los días y horas en que la demanda es menor. Por ejemplo, puede programar informes de gestión complejos o análisis de marketing para que se ejecuten solo en medio de la noche, cuando hay suficiente capacidad de procesamiento.
  • RBAC puede aplicar automáticamente las restricciones necesarias sin involucrar al personal de TI o de soporte. En lugar de requerir que su personal de TI realice un seguimiento manual del uso y recuerde revocar los privilegios más adelante, puede automatizar los cambios y establecer permisos adicionales por un tiempo limitado en circunstancias inusuales.
  • En lugar de proporcionar un acceso demasiado amplio a demasiadas personas, puede ser tan detallado como desee en la forma en que controla el acceso.
  • Solo los administradores tienen la autoridad para cambiar las reglas, reduciendo la posibilidad de errores.

Desventajas del control de acceso basado en reglas RBAC

RBAC, como todo lo demás, tiene limitaciones.

  • La configuración de reglas detalladas en varios niveles lleva tiempo y requiere un trabajo preliminar por parte de su personal de TI. También necesitará algún tipo de supervisión continua para asegurarse de que las reglas funcionen correctamente y no se vuelvan obsoletas.
  • Sus empleados pueden encontrar el sistema de control de acceso engorroso e inconveniente. Cuando sea necesario trabajar fuera de los patrones habituales, usted u otro administrador deberán modificar una regla o proporcionar una solución alternativa.
  • Cuando su personal de TI debe reprogramar una regla específica para una circunstancia inusual y luego volver a cambiarla, la necesidad de cambios regulares puede convertirse en una carga.
  • RBAC no considera relaciones específicas entre recursos, personas, operaciones y otros aspectos de las operaciones o la infraestructura debido a su dependencia de las reglas. La estructura necesaria de reglas puede volverse extremadamente compleja sin mecanismos de control adicionales.

Un sistema de control de acceso basado en reglas puede proporcionar seguridad adicional importante según las necesidades de su empresa. Sin embargo, puede no ser suficiente por sí solo. Su empresa también necesitará experiencia para configurar y mantener las reglas, así como para adaptarlas o cambiarlas según sea necesario.

¿Cuál es la diferencia entre el control de acceso basado en reglas y basado en roles?

Los niveles de acceso de los empleados no están determinados por controles de acceso basados ​​en reglas, que son de naturaleza preventiva. En cambio, trabajan para evitar el acceso no autorizado. Los modelos basados ​​en roles son proactivos en el sentido de que brindan a los empleados un conjunto de condiciones bajo las cuales pueden obtener acceso autorizado.

¿Qué es la regla en el control de acceso?

Una regla de control de acceso asigna un dominio, un tipo de objeto, un estado de ciclo de vida y un participante a un conjunto de permisos. Una regla de control de acceso especifica los derechos de un usuario, grupo, función u organización para acceder a objetos de un tipo y estado específicos dentro de un dominio.

Implementación de control de acceso basado en reglas

Cuando se trata de implementar el control de acceso basado en reglas y considerar las mejores prácticas de control basado en reglas, hay varios pasos importantes a seguir:

  • Examinar las reglas de acceso actuales – Examine tanto las reglas que se aplican a puntos de acceso específicos como las reglas generales que se aplican a todos los puntos de acceso. Determine las áreas de alto riesgo que carecen de reglas de acceso específicas. Debido a que las vulnerabilidades de seguridad cambian y evolucionan constantemente, esto debe hacerse con regularidad.
  • Analice escenarios hipotéticos: Identificar escenarios potenciales que pueden requerir la aplicación de reglas adicionales para reducir el riesgo.
  • Actualice o cree reglas basadas en la evaluación. Establezca nuevas reglas o actualice las reglas existentes para aumentar los niveles de seguridad.
  • Evite conflictos de permisos comparando las reglas con los permisos establecidos por otros modelos de control de acceso para garantizar que no exista ningún conflicto que deniegue el acceso de forma incorrecta.
  • Documentar y publicar reglas:Publique las reglas más importantes y comunique cualquier cambio para garantizar que todos los empleados comprendan sus derechos de acceso y responsabilidades. Si bien es posible que los empleados no necesiten conocer los detalles, es fundamental que entiendan cómo los cambios de política pueden afectar sus operaciones diarias.
  • Realice revisiones periódicas: Realice auditorías periódicas del sistema para identificar cualquier problema de acceso o brechas de seguridad. Examine cualquier problema de seguridad causado por un control de acceso laxo y, si es necesario, revise las reglas.

Control de acceso basado en reglas versus basado en roles

Los administradores de seguridad configuran y administran ambos modelos. Los empleados no pueden cambiar sus permisos o controlar el acceso porque son obligatorios en lugar de opcionales. Sin embargo, existen algunas diferencias significativas entre el control de acceso basado en reglas y el basado en roles que pueden ayudar a determinar qué modelo es mejor para un caso de uso determinado.

Operación

  • Los modelos basados ​​en reglas definen reglas que se aplican a todos los roles de trabajo.
  • Los permisos en los modelos basados ​​en roles se basan en roles de trabajo específicos.

Propósito

  • Los niveles de acceso de los empleados no están determinados por controles de acceso basados ​​en reglas, que son de naturaleza preventiva. En cambio, trabajan para evitar el acceso no autorizado.
  • Los modelos basados ​​en roles son proactivos en el sentido de que brindan a los empleados un conjunto de condiciones bajo las cuales pueden obtener acceso autorizado.

Aplicación

  • Los modelos basados ​​en reglas son genéricos en el sentido de que se aplican a todos los empleados, independientemente de su función.
  • Los modelos basados ​​en funciones se aplican a los empleados de forma individual, en función de sus funciones.

Casos de estudio

Los modelos basados ​​en roles son apropiados para organizaciones donde los roles están claramente definidos y los requisitos de recursos y acceso pueden identificarse en función de esos roles. Como resultado, los modelos RBAC son apropiados para organizaciones con una gran cantidad de empleados, donde establecer permisos para empleados individuales sería difícil y llevaría mucho tiempo.

Los sistemas operativos basados ​​en reglas funcionan bien en organizaciones con menos empleados o donde los roles son fluidos, lo que dificulta la asignación de permisos "ajustados". Los sistemas operativos basados ​​en reglas también son esenciales para organizaciones con múltiples áreas que requieren los más altos niveles de seguridad. Es posible que un modelo basado en roles no brinde la protección adecuada por sí solo, especialmente si cada rol cubre diferentes niveles de antigüedad y requisitos de acceso.

Modelos híbridos

Los modelos de control de acceso basados ​​en reglas y basados ​​en roles son complementarios en el sentido de que adoptan diferentes enfoques para lograr el mismo objetivo de maximizar la protección. Los sistemas basados ​​en roles aseguran que solo los empleados autorizados tengan acceso a áreas o recursos restringidos. Los sistemas basados ​​en reglas aseguran que los empleados autorizados tengan acceso a los recursos en los lugares correctos y en los momentos correctos.

Algunas organizaciones creen que ningún modelo proporciona el nivel necesario de seguridad. Para hacer frente a diferentes escenarios, los administradores de seguridad pueden usar un modelo híbrido para brindar protección de alto nivel a través de sistemas basados ​​en roles y control granular flexible a través de modelos basados ​​en reglas.

Los administradores pueden otorgar acceso a todos los empleados a través del modelo basado en roles en áreas con requisitos de seguridad más bajos, como los vestíbulos de entrada, pero agregar una excepción basada en reglas que niega el acceso fuera del horario comercial.

Los administradores pueden asignar permisos a roles específicos en áreas de mayor seguridad, pero usan sistemas basados ​​en reglas para excluir a los empleados en un rol que solo están en el nivel junior.

Un modelo híbrido como ese combina las ventajas de ambos modelos al tiempo que mejora la postura general de seguridad.

Simplifique la gestión del control de acceso a las puertas

  • Los permisos se pueden configurar de manera fácil y segura utilizando roles de usuario, atributos y reglas personalizadas.
  • Programe el acceso a todas las puertas, portones, torniquetes y ascensores.
  • Desbloqueo remoto de cualquier puerta o activación del bloqueo de un edificio
  • Con Wave to Unlock sin contacto, solo necesita una credencial móvil para cada entrada.
  • Para áreas de alta seguridad, biometría integrada, MFA y verificación de video
  • Con un software de control de acceso remoto basado en la nube, puede cambiar los permisos de acceso en cualquier momento.

Control de acceso basado en roles y reglas versus control de acceso basado en atributos

Los administradores de seguridad en un sistema basado en roles otorgan o niegan el acceso a un espacio o recurso según el rol del empleado en la empresa.

Los administradores controlan el acceso en un sistema basado en atributos según un conjunto de atributos o características aprobados. Si bien la función de un empleado puede ser uno de sus atributos, su perfil generalmente incluirá otras características, como la pertenencia a un equipo de proyecto, grupo de trabajo o departamento, así como el nivel de gestión, autorización de seguridad y otros criterios.

Debido a que el administrador solo necesita definir una pequeña cantidad de roles, un sistema basado en roles es más rápido y fácil de implementar. El administrador de un sistema basado en atributos debe definir y gestionar múltiples características.

El uso de múltiples características, por otro lado, puede ser ventajoso en ciertos casos de uso porque permite a los administradores aplicar una forma de control más granular.

Control de acceso basado en atributos versus basado en reglas

Los administradores en un sistema basado en reglas otorgan o niegan el acceso según un conjunto de reglas predeterminadas.

Por el contrario, los modelos de control de acceso basado en atributos (ABAC) evalúan un conjunto de atributos o características aprobados antes de otorgar acceso. Los administradores pueden crear un conjunto diverso de características que se adaptan a los requisitos de seguridad específicos de varios puntos de acceso o recursos. La distinción principal entre estos dos tipos es la información y las acciones utilizadas para otorgar o denegar el acceso. Los atributos aún suelen estar vinculados a información personal sobre el empleado, como su equipo, estado laboral o autorización. Las horas de trabajo, los horarios de las puertas, los dispositivos y otros criterios similares se mencionan con frecuencia en las reglas.

Ambos modelos permiten el control de acceso granular, lo que es ventajoso para organizaciones con requisitos de seguridad específicos. Tanto los modelos basados ​​en reglas como los basados ​​en atributos se pueden combinar con otros modelos, como el control de acceso basado en roles. Debido a que los administradores deben definir múltiples reglas o atributos, ambos modelos pueden llevar mucho tiempo para implementar y administrar. Las reglas y los atributos, por otro lado, proporcionan una mayor escalabilidad a lo largo del tiempo.

Conclusión

Dos de los modelos más importantes para determinar quién tiene acceso a áreas o recursos específicos dentro de una empresa son el control de acceso basado en reglas y roles. Un administrador de seguridad puede administrar el acceso a un alto nivel o aplicar reglas granulares para brindar protección específica para áreas de alta seguridad mediante la implementación del modelo más adecuado.

El control de acceso basado en reglas y roles permite a las empresas utilizar su tecnología de seguridad de forma verdaderamente personalizada. Al determinar quién tiene acceso a áreas y recursos específicos dentro de una empresa, una empresa puede implementar el mejor modelo y administrar el acceso a un alto nivel, así como aplicar reglas granulares para brindar una protección más sólida a las áreas de alta seguridad.

Si bien ambos modelos brindan seguridad efectiva y beneficios significativos, el esfuerzo requerido para desarrollar, implementar y administrar las políticas de seguridad de acceso varía. Como beneficio adicional, los modelos basados ​​en reglas y basados ​​en roles se complementan entre sí y se pueden usar en conjunto para brindar una seguridad de control de acceso aún mayor.

Referencias

Peace es redactora de contenidos, estratega y editora senior y presta su talento a organizaciones como BusinessYield. Tiene experiencia en creación de contenido y liderazgo intelectual, con experiencia en la industria de B2B SaaS, agencias de marketing especializadas y entretenimiento. Con sede en Missisauga, Ontario, CA, tiene una Maestría en Comunicación Digital e Innovación en Periodismo de la Universidad de Waterloo. Cuando no está trabajando duro, le encanta viajar, leer y comer carbohidratos. Le encanta escribir artículos de negocios basados ​​en su rica experiencia financiera y de marketing.

Deje un comentario

Su dirección de correo electrónico no será publicada. Las areas obligatorias están marcadas como requeridas *

- Artículo anterior

Ideas, juegos y regalos divertidos para la fiesta de Navidad en la oficina en 2023

Artículo siguiente -

RBAC DE CONTROL DE ACCESO BASADO EN FUNCIONES: definición, historial y ejemplos

También te puede interesar