TTechnologie

RBAC DE CONTRÔLE D'ACCÈS BASÉ SUR LES RÔLES : définition, historique et exemples

contrôle d'accès basé sur les rôles
Table des matières Cacher
  1. Qu'est-ce que le contrôle d'accès basé sur les rôles (RBAC) ?
  2. Historique du contrôle d'accès basé sur les rôles
  3. Comment fonctionne le RBAC de contrôle d'accès basé sur les rôles ?
  4. Qu'est-ce qu'un rôle RBAC de contrôle d'accès basé sur les rôles ?
  5. Le modèle RBAC de contrôle d'accès basé sur les rôles
    1. #1. RBAC de base
    2. #2. Hiérarchie RBAC
    3. #3. RBAC contraint
  6. Exemples de contrôle d'accès basé sur les rôles
  7. Alternatives RBAC : Types de contrôle d'accès
    1. Liste de contrôle d'accès (ACL)
    2. Contrôle d'accès basé sur les attributs (ABAC)
  8. Avantages RBAC
  9. Meilleures pratiques pour la mise en œuvre du RBAC
  10. Conclusion
  11. FAQ sur le contrôle d'accès basé sur les rôles
  12. Quelles sont les trois règles principales du RBAC ?
  13. Pourquoi ACL est-il utilisé ?
  14. Quelle est la différence entre le contrôle d'accès basé sur les rôles et le contrôle d'accès basé sur les règles ?
    1. Articles Relatifs
    2. Bibliographie

Cet article fournit une explication complète du contrôle d'accès basé sur les rôles (RBAC) ainsi qu'un guide étape par étape pour déployer, maintenir et étendre le RBAC afin de répondre aux besoins de votre organisation. Vous découvrirez les rôles, comment les définir et comment les utiliser pour réguler l'accès peut aider à sécuriser votre réseau, réduire les coûts administratifs et assurer la conformité réglementaire. Nous verrons également quelques exemples de contrôle d'accès basé sur les rôles. Commençons.

Qu'est-ce que le contrôle d'accès basé sur les rôles (RBAC) ?

Le concept consistant à accorder des autorisations aux personnes en fonction de leur rôle au sein d'une organisation est appelé contrôle d'accès basé sur les rôles (RBAC). Il fournit une approche basique et contrôlée de la gestion des accès qui est moins sujette aux erreurs que l'octroi individuel d'autorisations aux utilisateurs.

Lorsque vous utilisez RBAC pour la gestion de l'accès aux rôles, vous examinez les demandes de vos utilisateurs et les regroupez dans des rôles basés sur des tâches partagées. Ensuite, pour chaque utilisateur, vous attribuez un ou plusieurs rôles et une ou plusieurs autorisations à chaque rôle. Étant donné que les utilisateurs n'ont plus besoin d'être gérés de manière indiscriminée, les relations utilisateur-rôle et rôle-autorisations facilitent l'exécution des affectations d'utilisateurs.

Historique du contrôle d'accès basé sur les rôles

Depuis au moins les années 1970, les gens ont utilisé des rôles et des responsabilités pour contrôler l'accès aux systèmes informatiques commerciaux. Ces méthodes, cependant, étaient ad hoc et devaient fréquemment être modifiées au cas par cas pour chaque nouveau système.

Les chercheurs de l'American National Standards Institute (NIST) n'ont commencé à définir le système connu sous le nom de contrôle d'accès basé sur les rôles qu'en 1992. La même année, Ferraiolo et Kuhn ont publié un article définissant un mécanisme de contrôle d'accès à usage général adapté aux applications civiles et utilisation commerciale, jetant les bases du modèle que nous utilisons aujourd'hui.

Tout au long des années 1990 et au début des années 2000, Ferraiolo, Kuhn et d'autres ont affiné le RBAC, en s'appuyant sur des travaux antérieurs pour étudier les avantages économiques du RBAC, spécifier un modèle unifié et, surtout, définir la répartition des formulaires de devoir. RBAC a été officiellement adopté comme norme industrielle par le NIST en 2004.

Comment fonctionne le RBAC de contrôle d'accès basé sur les rôles ?

Avant de déployer RBAC dans une entreprise, l'organisation doit bien spécifier les autorisations pour chaque rôle. Cela inclut la spécification précise des autorisations dans les catégories répertoriées ci-dessous :

  • Autorisations de modification des données (par exemple, lecture, écriture, accès complet)
  • Accès pour utiliser les logiciels de l'entreprise
  • Autorisations au sein d'un programme

Pour tirer le meilleur parti du RBAC, vous devez d'abord modéliser les rôles et les autorisations. L'attribution de toutes les responsabilités du personnel à des tâches particulières qui établissent des privilèges appropriés en fait partie. L'organisation peut alors attribuer des postes en fonction des tâches des employés.

Les organisations peuvent utiliser le contrôle d'accès basé sur les rôles pour attribuer un ou plusieurs rôles à chaque utilisateur ou pour attribuer des autorisations individuellement. L'idée est de définir des autorisations qui permettent aux utilisateurs d'accomplir leurs tâches sans effectuer d'ajustements supplémentaires.

Les technologies de gestion des identités et des accès (IAM) sont utilisées par les organisations pour mettre en œuvre et surveiller le RBAC. IAM sert principalement les grandes organisations en enregistrant, surveillant et mettant à jour toutes les identités et autorisations. Le processus d'attribution d'une autorisation est appelé « provisionnement » et le processus de révocation d'une autorisation est appelé « déprovisionnement ». Ce type de système nécessite la mise en place d'un ensemble de rôles uniforme et standardisé.

Qu'est-ce qu'un rôle RBAC de contrôle d'accès basé sur les rôles ?

Les rôles sont une sémantique au sein de l'architecture RBAC que les organisations peuvent utiliser pour créer leurs privilèges. L'autorité, la responsabilité, le centre de coûts, l'unité commerciale et d'autres facteurs peuvent être utilisés pour définir les rôles.

Un rôle est un groupement de privilèges d'utilisateur. Les groupes traditionnels, qui sont des agrégats d'utilisateurs, ne sont pas les mêmes que les rôles. Les autorisations ne sont pas directement liées aux identités dans le contexte du RBAC, mais plutôt aux rôles. Parce qu'ils sont organisés autour de la gestion des accès, les rôles sont plus fiables que les groupes. L'identité change plus fréquemment que les caractéristiques et les activités dans une entreprise normale.

Le modèle RBAC de contrôle d'accès basé sur les rôles

La norme RBAC définit trois formes de contrôle d'accès : central, hiérarchique et confiné.

#1. RBAC de base

Le modèle de base définit les composants clés de tout système de contrôle d'accès basé sur les rôles. Bien que le RBAC fondamental puisse être utilisé comme approche de contrôle d'accès autonome, il sert également de base aux modèles hiérarchiques et restreints.

Par conséquent, tous les RBAC doivent suivre les trois règles décrites ci-dessous :

  • Sélection ou affectation de rôle : Une personne ne peut exercer un permis que si elle a choisi ou s'est vu attribuer un rôle.
  • Autorisation de rôle : Le rôle actif d'un sujet doit être autorisé.
  • Autorisation des permissions : Un sujet ne peut exercer que les autorisations autorisées pour le rôle actif du sujet.

#2. Hiérarchie RBAC

En pensant que vos défenses ont déjà été violées, vous pouvez adopter une posture de sécurité renforcée contre les attaques potentielles, réduisant ainsi l'effet d'une violation. Limitez le « rayon d'explosion » des dommages éventuels causés par une violation en segmentant l'accès et en réduisant votre surface d'attaque, en confirmant le chiffrement de bout en bout et en surveillant votre réseau en temps réel.

#3. RBAC contraint

Cette troisième norme RBAC étend la division des rôles du modèle de base. Les relations de séparation des tâches sont classées comme statiques ou dynamiques.

  • Un seul utilisateur ne peut pas détenir des responsabilités mutuellement exclusives dans les relations de séparation statique des tâches (SSD) (telles que définies par l'organisation). Cela garantit que, par exemple, une personne ne peut pas à la fois effectuer et approuver un achat.
  • Un utilisateur sous le modèle Dynamic Separation of Duty (DSD) peut avoir des rôles contradictoires. Cependant, l'utilisateur ne peut pas effectuer les deux tâches dans la même session. Cette contrainte facilite le contrôle des problèmes de sécurité interne, par exemple en mettant en œuvre la règle des deux personnes, qui nécessite que deux utilisateurs uniques autorisent une action.

Exemples de contrôle d'accès basé sur les rôles

RBAC vous permet de contrôler ce que les utilisateurs finaux peuvent faire aux niveaux large et granulaire. Vous pouvez spécifier si l'utilisateur est un administrateur, un utilisateur spécialisé ou un utilisateur final, et vous pouvez faire correspondre les responsabilités et les autorisations d'accès aux postes organisationnels de vos employés. Les autorisations ne sont accordées qu'avec un accès suffisant pour que les employés puissent accomplir leurs tâches.

Que se passe-t-il si la description d'un utilisateur final change ? Vous devrez peut-être attribuer manuellement son rôle à un autre utilisateur, ou vous pouvez attribuer des rôles à un groupe de rôles ou utiliser une stratégie d'attribution de rôle pour ajouter ou supprimer des membres du groupe de rôles.

Un outil RBAC peut inclure les désignations suivantes :

  • Étendue du rôle de gestion – il limite les éléments que le groupe de rôles peut gérer.
  • Groupe de rôles de gestion – Vous pouvez ajouter et supprimer des membres du groupe de rôles de gestion.
  • Rôle de gestion – ce sont les types de tâches qu'un groupe de rôles donné peut accomplir.
  • Attribution du rôle de gestion- Il s'agit du processus d'attribution d'un rôle à un groupe de rôles.

Lorsqu'un utilisateur est ajouté à un groupe de rôles, l'utilisateur accède à tous les rôles de ce groupe. Lorsqu'ils sont supprimés, l'accès est restreint. Les utilisateurs peuvent également être affectés à de nombreux groupes s'ils nécessitent un accès temporaire à des données ou applications spécifiques, puis supprimés une fois le projet terminé.

D'autres possibilités d'accès utilisateur peuvent inclure :

  • Le contact clé pour un certain compte ou rôle.
  • Facturation – accès à un compte de facturation pour un seul utilisateur final.
  • Les utilisateurs techniques sont ceux qui effectuent des tâches techniques.
  • L'accès administratif est accordé aux utilisateurs qui mènent des activités administratives.

Alternatives RBAC : Types de contrôle d'accès

D'autres mécanismes de contrôle d'accès pourraient être utilisés à la place du contrôle d'accès basé sur les rôles.

Liste de contrôle d'accès (ACL)

Une liste de contrôle d'accès (ACL) est un tableau qui répertorie les autorisations associées aux ressources informatiques. Il informe le système d'exploitation des utilisateurs qui ont accès à un objet et des actions qu'ils peuvent effectuer sur celui-ci. Chaque utilisateur dispose d'une entrée liée aux propriétés de sécurité de chaque élément. Pour les systèmes DAC classiques, ACL est généralement utilisé.

ACL contre RBAC

En termes de sécurité et de coûts administratifs, RBAC surpasse ACL pour la plupart des applications métier. ACL convient mieux à la mise en œuvre de la sécurité au niveau de l'utilisateur individuel et aux données de bas niveau, mais RBAC convient mieux à un système de sécurité à l'échelle de l'entreprise supervisé par un administrateur. Une ACL, par exemple, peut permettre l'accès en écriture à un certain fichier mais ne peut pas définir comment le fichier sera modifié par l'utilisateur.

Contrôle d'accès basé sur les attributs (ABAC)

ABAC évalue un ensemble de règles et de politiques afin de contrôler les autorisations d'accès en fonction de certaines qualités telles que les informations sur l'environnement, le système, l'objet ou l'utilisateur. Il utilise une logique booléenne pour autoriser ou refuser l'accès aux personnes en fonction d'une évaluation complexe des propriétés atomiques ou à valeur d'ensemble et de leurs relations.

En pratique, cela vous permet de définir des règles en XACML (eXtensible Access Control Markup Language) qui utilisent des combinaisons clé-valeur telles que Role=Manager et Category=Financial.

ABAC contre RBAC

RBAC est basé sur des rôles prédéfinis, tandis qu'ABAC est plus dynamique et utilise un contrôle d'accès basé sur les relations. RBAC peut être utilisé pour définir les contrôles d'accès à grands traits, tandis que ABAC offre plus de granularité. Un système RBAC, par exemple, accorde l'accès à tous les responsables, tandis qu'une politique ABAC n'accorde l'accès qu'aux responsables du service financier. ABAC effectue une recherche plus compliquée, qui demande plus de puissance de traitement et de temps, donc ne l'utilisez que lorsque RBAC est insuffisant.

Avantages RBAC

  • La gestion et l'audit de l'accès au réseau sont essentiels à la sécurité de l'information. L'accès peut et doit être autorisé en fonction du besoin de savoir. La sécurité est plus facilement gérée avec des centaines ou des milliers d'employés en limitant l'accès inutile aux informations critiques en fonction du rôle déclaré de chaque utilisateur au sein de l'entreprise. Les autres avantages incluent :
  • Le support administratif et informatique sera réduit. Lorsqu'un employé est embauché ou change de poste, vous pouvez utiliser le RBAC pour réduire le besoin de paperasserie et de changement de mot de passe. Au lieu de cela, vous pouvez utiliser RBAC pour ajouter et transférer rapidement des rôles entre les systèmes d'exploitation, les plates-formes et les applications. Cela réduit également le risque d'erreur lors de l'octroi d'autorisations aux utilisateurs. L'un des nombreux avantages économiques du RBAC est la réduction du temps consacré aux activités administratives. RBAC facilite également l'intégration d'utilisateurs tiers dans votre réseau en leur attribuant des rôles prédéfinis.
  • Augmentation de l'efficacité opérationnelle. RBAC fournit une approche simplifiée avec des définitions logiques. Au lieu d'essayer d'administrer le contrôle d'accès de niveau inférieur, tous les rôles peuvent être alignés sur la structure organisationnelle de l'entreprise, permettant aux utilisateurs d'accomplir leurs tâches de manière plus efficace et autonome.
  • Accroître la conformité. Les restrictions fédérales, étatiques et municipales s'appliquent à toutes les organisations. Les entreprises peuvent plus facilement respecter les normes légales et réglementaires en matière de confidentialité et de confidentialité avec un système RBAC en place, car les services informatiques et les cadres peuvent régir la manière dont les données sont consultées et utilisées. Ceci est particulièrement important pour les organismes de soins de santé et financiers, qui gèrent une grande quantité de données sensibles telles que PHI et PCI.

Meilleures pratiques pour la mise en œuvre du RBAC

La mise en œuvre d'un RBAC dans votre organisation ne doit pas être entreprise à la légère. Il y a un certain nombre d'étapes générales à franchir pour embarquer l'équipe sans créer de confusion ou d'irritations inutiles au travail. Voici quelques idées pour commencer.

  • Statut actuel: Faites une liste de tous les logiciels, matériels et applications sécurisés. La majorité d'entre eux nécessiteront un mot de passe. Vous pouvez, cependant, vouloir inclure des salles de serveurs qui sont sous clé. La sécurité physique peut être un élément important de la protection des données. Précisez également qui a accès à chacun de ces programmes et lieux. Cela vous donnera un aperçu de votre situation actuelle en matière de données.
  • Fonctions actuelles : Même si vous n'avez pas de liste formelle ni de liste de rôles, déterminer ce que fait chaque membre de l'équipe peut être aussi simple qu'un bref entretien. Essayez d'organiser l'équipe d'une manière qui n'entrave pas la créativité ou la culture actuelle (si appréciée).
  • Créer une stratégie : Toutes les modifications doivent être documentées pour que tous les travailleurs actuels et futurs puissent les voir. Même si vous utilisez une solution RBAC, avoir un document qui articule clairement votre nouveau système vous aidera à prévenir les problèmes.
  • Transformations : Une fois que l'état actuel de la sécurité et les rôles sont connus (et qu'une politique est en place), il est temps de mettre en œuvre les changements.
  • Adaptez en permanence : Il est probable que la première itération RBAC nécessitera quelques modifications. Dès le début, vous devriez fréquemment évaluer vos fonctions et votre statut de sécurité. Évaluez d'abord le bon fonctionnement de votre processus de création/production, puis la sécurité de votre processus.

Conclusion

La protection des données est une fonction commerciale essentielle pour toute entreprise. Un système RBAC peut garantir que les informations de l'entreprise sont conformes aux lois sur la vie privée et la confidentialité. En outre, il peut sécuriser des activités commerciales essentielles, telles que l'accès à la propriété intellectuelle, ce qui a un impact concurrentiel sur l'organisation.

FAQ sur le contrôle d'accès basé sur les rôles

Quelles sont les trois règles principales du RBAC ?

Les composants RBAC tels que les autorisations de rôle, les relations utilisateur-rôle et rôle-rôle simplifient les affectations d'utilisateurs.

Pourquoi ACL est-il utilisé ?

Réduction du trafic réseau pour de meilleures performances réseau. Un niveau de sécurité réseau qui spécifie à quelles sections du serveur/réseau/service un utilisateur peut et ne peut pas accéder. Suivi granulaire du trafic entrant et sortant du système.

Quelle est la différence entre le contrôle d'accès basé sur les rôles et le contrôle d'accès basé sur les règles ?

Les niveaux d'accès des employés ne sont pas déterminés par des contrôles d'accès basés sur des règles, qui sont de nature préventive. Ils travaillent plutôt pour empêcher les accès indésirables. Les modèles basés sur les rôles sont proactifs en ce sens qu'ils présentent aux employés un ensemble de conditions dans lesquelles ils peuvent acquérir un accès approuvé.

Bibliographie

Peace est rédactrice de contenu, stratège et éditrice senior, mettant ses talents au service d'organisations telles que BusinessYield. Son expérience est dans la création de contenu et le leadership éclairé, avec une expertise industrielle dans le B2B SaaS, les agences de marketing spécialisées et le divertissement. Basé à Missisauga, Ontario, Californie, il est titulaire d'une maîtrise en communication numérique et innovation journalistique de l'Université de Waterloo. Lorsqu'elle ne travaille pas dur, elle adore voyager, lire et manger des glucides. Elle adore rédiger des articles commerciaux basés sur ses riches expériences financières et marketing.

Soyez sympa! Laissez un commentaire

Votre adresse email n'apparaitra pas. Les champs obligatoires sont marqués *

- Article précédent

CONTRÔLE D'ACCÈS BASÉ SUR DES RÈGLES (RuBAC) : définition et bonnes pratiques

Article suivant -

CONTRÔLE D'ACCÈS OBLIGATOIRE MAC : Comment ça marche

Vous aimeriez aussi