TTechnologie

CONTRÔLE D'ACCÈS BASÉ SUR DES RÈGLES (RuBAC) : définition et bonnes pratiques

Contrôle d'accès basé sur des règles
Table des matières Cacher
  1. Qu'est-ce que le contrôle d'accès basé sur des règles (RBAC ou RuBAC) ?
  2. Comment fonctionne le RBAC de contrôle d'accès basé sur des règles ?
  3. Avantages du contrôle d'accès basé sur des règles RBAC
  4. Inconvénients du contrôle d'accès basé sur des règles RBAC
  5. Quelle est la différence entre le contrôle d'accès basé sur des règles et basé sur des rôles ?
  6. Quelle est la règle en matière de contrôle d'accès ?
  7. Mise en œuvre du contrôle d'accès basé sur des règles
  8. Contrôle d'accès basé sur des règles ou basé sur des rôles
    1. Opération
    2. Objectif
    3. Candidature
  9. Études de cas
  10. Modèles hybrides
    1. Simplifiez la gestion du contrôle d'accès aux portes
  11. Contrôle d'accès basé sur les rôles et les règles par rapport au contrôle d'accès basé sur les attributs
  12. Contrôle d'accès basé sur des attributs ou basé sur des règles
  13. Conclusion
    1. Articles Relatifs
    2. Bibliographie

Le contrôle d'accès est un ensemble de techniques, de stratégies et de politiques qui permettent aux individus d'accéder aux ressources informatiques, au réseau et aux données d'une entreprise. RBAC (également connu sous le nom de RuBAC) autorise ou restreint l'accès en fonction de règles, garantissant que les personnes qui peuvent accéder à l'infrastructure informatique d'une entreprise ont accès exactement aux ressources dont elles ont besoin, ni plus ni moins.
Si cela semble un peu flou, c'est que le concept est large. Ce guide explique le concept de contrôle d'accès basé sur des règles RBAC et explique quand les entreprises peuvent l'utiliser pour se protéger.

Qu'est-ce que le contrôle d'accès basé sur des règles (RBAC ou RuBAC) ?

Comme son nom l'indique, le contrôle d'accès basé sur des règles RBAC est un système basé sur des conditions prédéfinies pour accorder ou refuser l'accès à divers utilisateurs.

La plupart du temps, ces règles sont basées sur les caractéristiques des utilisateurs individuels. Ceci est également appelé contrôle d'accès basé sur les attributs (ABAC).

Les règles peuvent également être basées sur d'autres valeurs contextuelles. Facteurs liés aux actions précédentes, par exemple, ou à l'étape actuelle de l'objet dans un flux de travail spécifique. Vous pouvez même créer des règles basées sur des variables système telles que l'heure actuelle de la journée ou la charge du serveur.

Ce type de contrôle d'accès implique la configuration de différentes conditions en fonction des attributs existants des utilisateurs. Ceux-ci sont ensuite utilisés pour attribuer automatiquement des autorisations aux individus.

Le système utilise ensuite une logique booléenne pour déterminer si chaque condition est vraie ou fausse, et attribue des autorisations ou passe à la condition imbriquée suivante.

Les règles peuvent être construites autour de plusieurs combinaisons d'attributs ou d'une seule. Par exemple, un système très simple basé sur des règles peut uniquement prendre en compte l'emplacement actuel d'un utilisateur lors de la détermination des autorisations.

Dans un système plus complexe, vous pouvez prendre en compte leur service, leur durée de service, leur appareil actuel ou tout autre attribut ou facteur environnemental en plus de leur emplacement.

Comment fonctionne le RBAC de contrôle d'accès basé sur des règles ?

Un service informatique établit des règles de haut niveau basées sur les spécificités de quoi, comment, où et quand quelqu'un tente d'accéder sous RBAC. Chaque ressource est associée à une liste de contrôle d'accès ou ACL. Lorsque quelqu'un tente d'utiliser une ressource donnée, le système d'exploitation vérifie l'ACL pour voir si la tentative respecte toutes les règles d'accès à la ressource.

Le composant « règle » de RBAC fait référence aux contraintes sur quand, comment et où l'accès est accordé. Voici quelques exemples:

  • Tout le monde sur un réseau a une adresse IP, que le réseau utilise pour identifier les emplacements. Une règle pourrait être que seules les personnes disposant d'adresses IP dans une plage géographique spécifique, telle que la région où travaille l'équipe comptable, sont autorisées à utiliser le système comptable de l'entreprise. Il pourrait être encore plus finement contrôlé, comme permettre aux personnes à des adresses spécifiques d'accéder aux comptes créditeurs mais pas aux comptes débiteurs.
  • Les autorisations et les restrictions peuvent être liées à des ports, qui agissent comme des portes de réseau spécifiques. Seules les demandes sur les ports appropriés seraient considérées comme potentiellement valides. Un port, par exemple, pourrait être lié à une installation qui accepte les téléchargements de documents à partir d'emplacements distants. Dans ce cas, une demande de téléchargement dans une autre zone du réseau peut être refusée.
  • Certains types d'accès peuvent être limités à des heures spécifiques, comme pendant les heures normales de bureau. Personne ne pourrait accéder à ces ressources informatiques en dehors de ces créneaux horaires. Les contraintes de temps aident à garder les criminels hors des systèmes pendant les heures creuses, lorsqu'il y a moins d'experts en sécurité disponibles et sur leurs gardes.
Lire aussi: RBAC DE CONTRÔLE D'ACCÈS BASÉ SUR LES RÔLES : définition, historique et exemples
  • Une personne qui a besoin d'accéder à des enregistrements sensibles peut recevoir des informations d'identification supplémentaires qu'elle devra utiliser lors de toutes les tentatives d'accès futures. Alternativement, ils peuvent avoir une limite sur le nombre de fois qu'ils peuvent utiliser une ressource particulière en une semaine, ou ils peuvent avoir un délai d'expiration afin que l'autorisation ne soit que temporaire.
  • Autant le RBAC peut être utilisé pour autoriser l'accès, autant il peut être utilisé pour empêcher l'accès, que ce soit au sein de l'infrastructure de l'entreprise ou à des ressources externes. Par exemple, l'entreprise peut ne pas vouloir que les employés utilisent des applications de streaming vidéo pendant les heures de travail, ou elle peut bloquer tous les e-mails (peu probable, mais un utilisateur peut rêver).

La principale chose à retenir est que RBAC régit le contexte d'accès. Bien que l'accent soit mis sur les employés de l'entreprise, les mêmes concepts peuvent s'appliquer à une entreprise qui fournit un accès contrôlé à certaines ressources à des clients ou à des partenaires commerciaux.

Conseil: Le contrôle d'accès basé sur des règles RBAC est essentiel pour les grandes organisations ayant plusieurs rôles et différents niveaux d'expertise. Certains aspects du système devraient être interdits à toute personne qui n'en a pas besoin pour effectuer son travail pour des raisons de sécurité et d'efficacité.

Avantages du contrôle d'accès basé sur des règles RBAC

Pour une entreprise, le contrôle d'accès basé sur des règles RBAC présente de nombreux avantages :

  • Vous pouvez mieux réglementer les problèmes de conformité légale en normalisant et en contrôlant le contexte d'accès aux ressources.
  • RBAC augmente la sécurité en appliquant les limites d'utilisation des ressources nécessaires. Cela peut rendre plus difficile pour les criminels externes d'attaquer l'infrastructure informatique de votre entreprise.
  • Un système RBAC correctement conçu améliore non seulement la sécurité, mais régule également l'utilisation du réseau. Vous pouvez limiter l'utilisation de processus et de logiciels gourmands en ressources aux jours et heures où la demande est plus faible. Par exemple, vous pouvez programmer des rapports de gestion complexes ou des analyses marketing pour qu'ils ne s'exécutent qu'au milieu de la nuit, lorsque la puissance de traitement est suffisante.
  • RBAC peut automatiquement appliquer les restrictions nécessaires sans impliquer le personnel informatique ou de support. Au lieu de demander à votre personnel informatique de suivre manuellement l'utilisation et de se rappeler de révoquer les privilèges ultérieurement, vous pouvez automatiser les modifications et définir des autorisations supplémentaires pour une durée limitée dans des circonstances inhabituelles.
  • Au lieu de fournir un accès trop large à un trop grand nombre de personnes, vous pouvez être aussi détaillé que vous le souhaitez dans la façon dont vous contrôlez l'accès.
  • Seuls les administrateurs ont le pouvoir de modifier les règles, ce qui réduit le risque d'erreurs.

Inconvénients du contrôle d'accès basé sur des règles RBAC

RBAC, comme tout le reste, a des limites.

  • La configuration de règles détaillées à plusieurs niveaux prend du temps et nécessite un travail préliminaire de la part de votre personnel informatique. Vous aurez également besoin d'une sorte de surveillance continue pour vous assurer que les règles fonctionnent correctement et ne deviennent pas obsolètes.
  • Vos employés peuvent trouver le système de contrôle d'accès encombrant et peu pratique. Lorsqu'il devient nécessaire de travailler en dehors des schémas habituels, vous ou un autre administrateur devrez modifier une règle ou fournir une solution de contournement.
  • Lorsque votre personnel informatique doit reprogrammer une règle spécifique pour une circonstance inhabituelle, puis la rétablir, le besoin de modifications régulières peut devenir un fardeau.
  • RBAC ne prend pas en compte les relations spécifiques entre les ressources, les personnes, les opérations et d'autres aspects des opérations ou de l'infrastructure en raison de sa dépendance aux règles. La structure nécessaire des règles peut devenir extrêmement complexe sans mécanismes de contrôle supplémentaires.

Un système de contrôle d'accès basé sur des règles peut fournir une sécurité supplémentaire importante en fonction des besoins de votre entreprise. Cependant, cela peut ne pas suffire à lui seul. Votre entreprise aura également besoin d'expertise pour mettre en place et maintenir les règles, ainsi que pour les adapter ou les modifier au besoin.

Quelle est la différence entre le contrôle d'accès basé sur des règles et basé sur des rôles ?

Les niveaux d'accès des employés ne sont pas déterminés par des contrôles d'accès basés sur des règles, qui sont de nature préventive. Ils travaillent plutôt pour empêcher l'accès non autorisé. Les modèles basés sur les rôles sont proactifs en ce sens qu'ils fournissent aux employés un ensemble de conditions dans lesquelles ils peuvent obtenir un accès autorisé.

Quelle est la règle en matière de contrôle d'accès ?

Un domaine, un type d'objet, un état du cycle de vie et un participant sont tous affectés à un ensemble d'autorisations par une règle de contrôle d'accès. Une règle de contrôle d'accès spécifie les droits d'un utilisateur, d'un groupe, d'un rôle ou d'une organisation pour accéder aux objets d'un type et d'un état spécifiques au sein d'un domaine.

Mise en œuvre du contrôle d'accès basé sur des règles

Lorsqu'il s'agit de mettre en œuvre un contrôle d'accès basé sur des règles et d'examiner les meilleures pratiques de contrôle basé sur des règles, il y a plusieurs étapes importantes à suivre :

  • Examiner les règles d'accès actuelles - Examinez à la fois les règles qui s'appliquent à des points d'accès spécifiques et les règles générales qui s'appliquent à tous les points d'accès. Déterminez les zones à haut risque qui ne disposent pas de règles d'accès spécifiques. Étant donné que les vulnérabilités de sécurité changent et évoluent constamment, cela doit être fait régulièrement.
  • Analyser des scénarios "what-if" - Identifier les scénarios potentiels qui peuvent nécessiter l'application de règles supplémentaires pour réduire les risques.
  • Mettre à jour ou créer des règles basées sur l'évaluation. Définissez de nouvelles règles ou mettez à jour les règles existantes pour augmenter les niveaux de sécurité.
  • Éviter les conflits d'autorisation en comparant les règles avec les autorisations définies par d'autres modèles de contrôle d'accès pour s'assurer qu'il n'existe aucun conflit susceptible de refuser à tort l'accès.
  • Documenter et publier les règles –Publiez les règles les plus importantes et communiquez tout changement pour vous assurer que tous les employés comprennent leurs droits d'accès et leurs responsabilités. Bien que les employés n'aient pas besoin de connaître les détails, il est essentiel qu'ils comprennent comment les changements de politique peuvent affecter leurs opérations quotidiennes.
  • Réaliser des revues régulières – Effectuez des audits réguliers du système pour identifier tout problème d'accès ou toute faille de sécurité. Examinez tous les problèmes de sécurité causés par un contrôle d'accès laxiste et, si nécessaire, révisez les règles.

Contrôle d'accès basé sur des règles ou basé sur des rôles

Les administrateurs de sécurité configurent et gèrent les deux modèles. Les employés ne peuvent pas modifier leurs autorisations ou contrôler l'accès car elles sont obligatoires plutôt que facultatives. Cependant, il existe des différences significatives entre le contrôle d'accès basé sur des règles et basé sur des rôles qui peuvent aider à déterminer quel modèle est le meilleur pour un cas d'utilisation donné.

Opération

  • Les modèles basés sur des règles définissent des règles qui s'appliquent à tous les postes.
  • Les autorisations dans les modèles basés sur les rôles sont basées sur des rôles professionnels spécifiques.

Objectif

  • Les niveaux d'accès des employés ne sont pas déterminés par des contrôles d'accès basés sur des règles, qui sont de nature préventive. Ils travaillent plutôt pour empêcher l'accès non autorisé.
  • Les modèles basés sur les rôles sont proactifs en ce sens qu'ils fournissent aux employés un ensemble de conditions dans lesquelles ils peuvent obtenir un accès autorisé.

Candidature

  • Les modèles basés sur des règles sont génériques en ce sens qu'ils s'appliquent à tous les employés, quel que soit leur rôle.
  • Les modèles basés sur les rôles s'appliquent aux employés sur une base individuelle, en fonction de leurs rôles.

Études de cas

Les modèles basés sur les rôles conviennent aux organisations où les rôles sont clairement définis et où les exigences en matière de ressources et d'accès peuvent être identifiées en fonction de ces rôles. Par conséquent, les modèles RBAC conviennent aux organisations comptant un grand nombre d'employés, où la définition d'autorisations pour des employés individuels serait difficile et prendrait du temps.

Les systèmes d'exploitation basés sur des règles fonctionnent bien dans les organisations avec moins d'employés ou dans lesquelles les rôles sont fluides, ce qui rend difficile l'attribution d'autorisations « strictes ». Les systèmes d'exploitation basés sur des règles sont également essentiels pour les organisations ayant plusieurs domaines nécessitant les niveaux de sécurité les plus élevés. Un modèle basé sur les rôles peut ne pas fournir à lui seul une protection adéquate, en particulier si chaque rôle couvre différents niveaux d'ancienneté et d'exigences d'accès.

Modèles hybrides

Les modèles de contrôle d'accès basés sur des règles et basés sur des rôles sont complémentaires dans la mesure où ils adoptent des approches différentes pour atteindre le même objectif d'optimisation de la protection. Les systèmes basés sur les rôles garantissent que seuls les employés autorisés ont accès aux zones ou ressources restreintes. Les systèmes basés sur des règles garantissent que les employés autorisés ont accès aux ressources aux bons endroits et au bon moment.

Certaines organisations estiment qu'aucun des deux modèles n'offre le niveau de sécurité nécessaire. Pour faire face à différents scénarios, les administrateurs de sécurité peuvent utiliser un modèle hybride pour fournir à la fois une protection de haut niveau via des systèmes basés sur les rôles et un contrôle granulaire flexible via des modèles basés sur des règles.

Les administrateurs peuvent accorder l'accès à tous les employés via le modèle basé sur les rôles dans les zones avec des exigences de sécurité inférieures, telles que les halls d'entrée, mais ajouter une exception basée sur des règles refusant l'accès en dehors des heures de bureau.

Les administrateurs peuvent attribuer des autorisations à des rôles spécifiques dans des zones à sécurité plus élevée, mais utilisent des systèmes basés sur des règles pour exclure les employés d'un rôle qui ne sont qu'au niveau junior.

Un modèle hybride comme celui-ci combine les avantages des deux modèles tout en améliorant la posture de sécurité globale.

Simplifiez la gestion du contrôle d'accès aux portes

  • Les autorisations peuvent être configurées facilement et en toute sécurité à l'aide de rôles d'utilisateur, d'attributs et de règles personnalisées.
  • Planifiez l'accès à toutes les portes, portails, tourniquets et ascenseurs.
  • Déverrouillage à distance de n'importe quelle porte ou activation d'un verrouillage de bâtiment
  • Avec Wave to Unlock sans contact, vous n'avez besoin que d'un identifiant mobile pour chaque entrée.
  • Pour les zones de haute sécurité, biométrie intégrée, MFA et vérification vidéo
  • À l'aide d'un logiciel de contrôle d'accès à distance basé sur le cloud, vous pouvez modifier les autorisations d'accès à tout moment.

Contrôle d'accès basé sur les rôles et les règles par rapport au contrôle d'accès basé sur les attributs

Les administrateurs de sécurité d'un système basé sur les rôles accordent ou refusent l'accès à un espace ou à une ressource en fonction du rôle de l'employé dans l'entreprise.

Les administrateurs contrôlent l'accès dans un système basé sur des attributs en fonction d'un ensemble d'attributs ou de caractéristiques approuvés. Bien que le rôle d'un employé puisse être l'un de ses attributs, son profil inclura généralement d'autres caractéristiques telles que l'appartenance à une équipe de projet, un groupe de travail ou un département, ainsi que le niveau de gestion, l'habilitation de sécurité et d'autres critères.

Étant donné que l'administrateur n'a besoin de définir qu'un petit nombre de rôles, un système basé sur les rôles est plus rapide et plus facile à mettre en œuvre. L'administrateur d'un système basé sur des attributs doit définir et gérer plusieurs caractéristiques.

L'utilisation de plusieurs caractéristiques, en revanche, peut être avantageuse dans certains cas d'utilisation, car elle permet aux administrateurs d'appliquer une forme de contrôle plus granulaire.

Contrôle d'accès basé sur des attributs ou basé sur des règles

Les administrateurs d'un système basé sur des règles accordent ou refusent l'accès en fonction d'un ensemble de règles prédéterminées.

En revanche, les modèles de contrôle d'accès basé sur les attributs (ABAC) évaluent un ensemble d'attributs ou de caractéristiques approuvés avant d'accorder l'accès. Les administrateurs peuvent créer un ensemble varié de caractéristiques adaptées aux exigences de sécurité spécifiques de divers points d'accès ou ressources. La principale distinction entre ces deux types réside dans les informations et les actions utilisées pour accorder ou refuser l'accès. Les attributs sont toujours généralement liés à des informations personnelles sur l'employé, telles que son équipe, son statut de travail ou son autorisation. Les heures de travail, les horaires des portes, les appareils et d'autres critères similaires sont fréquemment référencés dans les règles.

Les deux modèles permettent un contrôle d'accès granulaire, ce qui est avantageux pour les organisations ayant des exigences de sécurité spécifiques. Les modèles basés sur des règles et sur des attributs peuvent être combinés avec d'autres modèles, tels que le contrôle d'accès basé sur les rôles. Étant donné que les administrateurs doivent définir plusieurs règles ou attributs, les deux modèles peuvent prendre du temps à mettre en œuvre et à gérer. Les règles et les attributs, en revanche, offrent une plus grande évolutivité dans le temps.

Conclusion

Deux des modèles les plus importants pour déterminer qui a accès à des zones ou des ressources spécifiques au sein d'une entreprise sont le contrôle d'accès basé sur les règles et les rôles. Un administrateur de sécurité peut gérer l'accès à un niveau élevé ou appliquer des règles granulaires pour fournir une protection spécifique aux zones de haute sécurité en mettant en œuvre le modèle le plus approprié.

Le contrôle d'accès basé sur des règles et des rôles permet aux entreprises d'utiliser leur technologie de sécurité de manière véritablement personnalisée. En déterminant qui a accès à des zones et des ressources spécifiques au sein d'une entreprise, une entreprise peut mettre en œuvre le meilleur modèle et gérer l'accès à un niveau élevé, ainsi qu'appliquer des règles granulaires pour fournir une protection plus robuste aux zones à haute sécurité.

Bien que les deux modèles offrent une sécurité efficace et des avantages significatifs, l'effort requis pour développer, mettre en œuvre et gérer les politiques de sécurité d'accès varie. En prime, les modèles basés sur des règles et basés sur des rôles se complètent et peuvent être utilisés en tandem pour fournir une sécurité de contrôle d'accès encore plus grande.

Bibliographie

Peace est rédactrice de contenu, stratège et éditrice senior, mettant ses talents au service d'organisations telles que BusinessYield. Son expérience est dans la création de contenu et le leadership éclairé, avec une expertise industrielle dans le B2B SaaS, les agences de marketing spécialisées et le divertissement. Basé à Missisauga, Ontario, Californie, il est titulaire d'une maîtrise en communication numérique et innovation journalistique de l'Université de Waterloo. Lorsqu'elle ne travaille pas dur, elle adore voyager, lire et manger des glucides. Elle adore rédiger des articles commerciaux basés sur ses riches expériences financières et marketing.

Soyez sympa! Laissez un commentaire

Votre adresse email n'apparaitra pas. Les champs obligatoires sont marqués *

- Article précédent

Idées, jeux et cadeaux amusants pour les fêtes de Noël au bureau en 2023

Article suivant -

RBAC DE CONTRÔLE D'ACCÈS BASÉ SUR LES RÔLES : définition, historique et exemples

Vous aimeriez aussi