TTecnologia

CONTROLLO DELL'ACCESSO BASATO SUL RUOLO RBAC: definizione, storia ed esempi

controllo degli accessi basato sui ruoli
Sommario nascondere
  1. Che cos'è il controllo degli accessi in base al ruolo (RBAC)?
  2. Storia del controllo degli accessi basato sui ruoli
  3. Come funziona il controllo degli accessi in base al ruolo RBAC?
  4. Che cos'è un ruolo RBAC di controllo accessi basato sul ruolo?
  5. Il modello RBAC per il controllo degli accessi in base al ruolo
    1. # 1. RBAC centrale
    2. #2. Gerarchia RBAC
    3. #3. RBAC vincolato
  6. Esempi di controllo degli accessi in base al ruolo
  7. Alternative RBAC: tipi di controllo di accesso
    1. Elenco controllo accessi (ACL)
    2. Controllo degli accessi basato sugli attributi (ABAC)
  8. Vantaggi dell'RBAC
  9. Migliori pratiche per l'implementazione di RBAC
  10. Conclusione
  11. Domande frequenti sul controllo degli accessi in base al ruolo
  12. Quali sono le tre regole principali per RBAC?
  13. Perché si usa l'ACL?
  14. Qual è la differenza tra il controllo dell'accesso basato sul ruolo e il controllo dell'accesso basato su regole?
    1. Articoli Correlati
    2. Riferimenti

Questo articolo fornisce una spiegazione completa del controllo degli accessi in base ai ruoli (RBAC) e una guida dettagliata per la distribuzione, la manutenzione e l'estensione dell'RBAC per soddisfare le esigenze dell'organizzazione. Imparerai i ruoli, come definirli e come utilizzarli per regolare l'accesso può aiutare a proteggere la tua rete, ridurre i costi amministrativi e garantire la conformità alle normative. Vedremo anche alcuni esempi di controllo degli accessi basato sui ruoli. Iniziamo.

Che cos'è il controllo degli accessi in base al ruolo (RBAC)?

Il concetto di fornire autorizzazioni alle persone in base al loro ruolo all'interno di un'organizzazione è denominato controllo degli accessi basato sui ruoli (RBAC). Fornisce un approccio di base e controllato alla gestione degli accessi che è meno soggetto a errori rispetto alla fornitura individuale di autorizzazioni agli utenti.

Quando utilizzi RBAC per la gestione dell'accesso ai ruoli, esamini le richieste degli utenti e li raggruppi in ruoli basati su compiti condivisi. Quindi, per ogni utente, assegni uno o più ruoli e una o più autorizzazioni a ciascun ruolo. Poiché gli utenti non devono più essere gestiti indiscriminatamente, le relazioni ruolo utente e autorizzazioni ruolo rendono semplice eseguire le assegnazioni degli utenti.

Storia del controllo degli accessi basato sui ruoli

Almeno dagli anni '1970, le persone hanno utilizzato ruoli e responsabilità per controllare l'accesso ai sistemi informatici commerciali. Questi metodi, tuttavia, erano ad hoc e spesso dovevano essere modificati caso per caso per ogni nuovo sistema.

I ricercatori dell'American National Standards Institute (NIST) non hanno iniziato a definire il sistema noto come controllo degli accessi basato sui ruoli fino al 1992. Nello stesso anno, Ferraiolo e Kuhn hanno pubblicato un documento che definisce un meccanismo di controllo degli accessi generico adatto a civili e uso commerciale, gettando le basi per il modello che usiamo oggi.

Nel corso degli anni '1990 e all'inizio degli anni 2000, Ferraiolo, Kuhn e altri hanno perfezionato l'RBAC, basandosi sul lavoro precedente per indagare sui vantaggi economici dell'RBAC, specificare un modello unificato e, soprattutto, definire la divisione dei moduli dei dazi. RBAC è stato ufficialmente adottato come standard industriale dal NIST nel 2004.

Come funziona il controllo degli accessi in base al ruolo RBAC?

Prima di distribuire RBAC in un'azienda, l'organizzazione deve specificare accuratamente le autorizzazioni per ciascun ruolo. Ciò include la specifica precisa delle autorizzazioni nelle categorie elencate di seguito:

  • Autorizzazioni di modifica dei dati (ad es. lettura, scrittura, accesso completo)
  • Accesso all'utilizzo del software aziendale
  • Autorizzazioni all'interno di un programma

Per ottenere il massimo da RBAC, devi prima modellare ruoli e autorizzazioni. L'assegnazione di tutte le responsabilità del personale a lavori particolari che stabiliscono privilegi adeguati fa parte di questo. L'organizzazione può quindi assegnare posizioni in base ai compiti dei dipendenti.

Le organizzazioni possono utilizzare il controllo dell'accesso basato sui ruoli per assegnare uno o più ruoli a ciascun utente o per assegnare autorizzazioni individualmente. L'idea è di impostare autorizzazioni che consentano agli utenti di completare i propri compiti senza apportare ulteriori modifiche.

Le tecnologie di Identity and Access Management (IAM) vengono utilizzate dalle organizzazioni per implementare e monitorare RBAC. IAM serve principalmente le grandi organizzazioni registrando, monitorando e aggiornando tutte le identità e le autorizzazioni. Il processo di assegnazione dell'autorizzazione è noto come "provisioning" e il processo di revoca dell'autorizzazione è noto come "deprovisioning". Questo tipo di sistema richiede l'istituzione di un insieme uniforme e standardizzato di ruoli.

Che cos'è un ruolo RBAC di controllo accessi basato sul ruolo?

I ruoli sono semantiche all'interno dell'architettura RBAC che le organizzazioni possono utilizzare per creare i propri privilegi. Autorità, responsabilità, centro di costo, business unit e altri fattori possono essere utilizzati per definire i ruoli.

Un ruolo è un raggruppamento di privilegi utente. I gruppi tradizionali, che sono aggregati di utenti, non sono la stessa cosa dei ruoli. Le autorizzazioni non sono direttamente correlate alle identità nel contesto di RBAC, ma piuttosto ai ruoli. Poiché sono organizzati attorno alla gestione degli accessi, i ruoli sono più affidabili dei gruppi. L'identità cambia più frequentemente rispetto alle caratteristiche e alle attività di un'azienda normale.

Il modello RBAC per il controllo degli accessi in base al ruolo

Lo standard RBAC definisce tre forme di controllo degli accessi: core, gerarchico e confinato.

# 1. RBAC centrale

Il modello principale definisce i componenti chiave di qualsiasi sistema di controllo degli accessi basato sui ruoli. Sebbene l'RBAC fondamentale possa essere utilizzato come approccio autonomo al controllo degli accessi, funge anche da base per modelli sia gerarchici che ristretti.

Di conseguenza, tutti gli RBAC devono seguire le tre regole descritte di seguito:

  • Selezione o assegnazione del ruolo: Una persona può esercitare un permesso solo se ha scelto o gli è stato assegnato un ruolo.
  • Autorizzazione al ruolo: Il ruolo attivo di un soggetto deve essere autorizzato.
  • Autorizzazione dei permessi: Un soggetto può esercitare solo le autorizzazioni consentite per il ruolo attivo del soggetto.

#2. Gerarchia RBAC

Credendo che le tue difese siano già state violate, puoi adottare una posizione di sicurezza più forte contro potenziali attacchi, riducendo l'effetto di una violazione. Limita il "raggio di esplosione" di possibili danni causati da una violazione segmentando l'accesso e diminuendo la superficie di attacco, confermando la crittografia end-to-end e monitorando la rete in tempo reale.

#3. RBAC vincolato

Questo terzo standard RBAC estende la divisione dei ruoli del modello principale. Le relazioni di separazione dei compiti sono classificate come statiche o dinamiche.

  • Un singolo utente non può avere responsabilità mutuamente esclusive nelle relazioni di separazione statica dei compiti (SSD) (come definito dall'organizzazione). Ciò garantisce che, ad esempio, una persona non possa effettuare e approvare un acquisto.
  • Un utente con il modello DSD (Dynamic Separation of Duty) può avere ruoli contraddittori. Tuttavia, l'utente non può eseguire entrambe le attività nella stessa sessione. Questo vincolo aiuta nel controllo dei problemi di sicurezza interna, ad esempio, implementando la regola delle due persone, che richiede due utenti unici per autorizzare un'azione.

Esempi di controllo degli accessi in base al ruolo

RBAC ti consente di controllare ciò che gli utenti finali possono fare sia a livello ampio che granulare. Puoi specificare se l'utente è un amministratore, un utente specializzato o un utente finale e puoi abbinare le responsabilità e le autorizzazioni di accesso alle posizioni organizzative dei tuoi dipendenti. Le autorizzazioni vengono concesse solo con un accesso sufficiente per consentire ai dipendenti di svolgere le proprie attività.

Cosa succede se la descrizione di un utente finale del lavoro cambia? Potrebbe essere necessario assegnare manualmente il ruolo a un altro utente oppure assegnare ruoli a un gruppo di ruoli o utilizzare una politica di assegnazione dei ruoli per aggiungere o eliminare membri del gruppo di ruoli.

Uno strumento RBAC può includere le seguenti designazioni:

  • Ambito del ruolo di gestione – limita gli elementi che il gruppo di ruoli può gestire.
  • Gruppo di ruoli di gestione – È possibile aggiungere e rimuovere membri dal gruppo di ruoli di gestione.
  • Ruolo dirigenziale – questi sono i tipi di attività che un determinato gruppo di ruoli può svolgere.
  • Assegnazione del ruolo di gestione- Questo è il processo di assegnazione di un ruolo a un gruppo di ruoli.

Quando un utente viene aggiunto a un gruppo di ruoli, l'utente ottiene l'accesso a tutti i ruoli in quel gruppo. Quando vengono rimossi, l'accesso è limitato. Gli utenti possono anche essere assegnati a numerosi gruppi se richiedono l'accesso temporaneo a dati o applicazioni specifici e quindi eliminati al termine del progetto.

Altre possibilità di accesso utente possono includere:

  • Il contatto chiave per un determinato account o ruolo.
  • Fatturazione: accesso a un account di fatturazione per un singolo utente finale.
  • Gli utenti tecnici sono coloro che svolgono compiti tecnici.
  • L'accesso amministrativo è concesso agli utenti che svolgono attività amministrative.

Alternative RBAC: tipi di controllo di accesso

Altri meccanismi di controllo dell'accesso potrebbero essere utilizzati al posto del controllo dell'accesso basato sui ruoli.

Elenco controllo accessi (ACL)

Un elenco di controllo di accesso (ACL) è una tabella che elenca le autorizzazioni associate alle risorse di elaborazione. Informa il sistema operativo su quali utenti hanno accesso a un oggetto e quali azioni possono eseguire su di esso. Ciascun utente dispone di una voce collegata alle proprietà di sicurezza di ciascun elemento. Per i sistemi DAC classici, viene generalmente utilizzato ACL.

ACL contro RBAC

In termini di sicurezza e costi amministrativi, RBAC supera l'ACL per la maggior parte delle applicazioni aziendali. ACL è più adatto per implementare la sicurezza a livello di singolo utente e per dati di basso livello, ma RBAC è più adatto per un sistema di sicurezza a livello aziendale supervisionato da un amministratore. Un ACL, ad esempio, può abilitare l'accesso in scrittura a un determinato file ma non può definire come il file verrà modificato dall'utente.

Controllo degli accessi basato sugli attributi (ABAC)

ABAC valuta una serie di regole e politiche al fine di controllare i permessi di accesso in base a determinate qualità come informazioni sull'ambiente, sul sistema, sull'oggetto o sull'utente. Utilizza la logica booleana per consentire o negare l'accesso alle persone in base a una valutazione complicata di proprietà atomiche o a valori insiemi e delle loro relazioni.

In pratica, ciò consente di definire regole in eXtensible Access Control Markup Language (XACML) che utilizzano combinazioni chiave-valore come Role=Manager e Category=Financial.

ABAC contro RBAC

RBAC si basa su ruoli predefiniti, mentre ABAC è più dinamico e utilizza il controllo degli accessi basato sulle relazioni. RBAC può essere utilizzato per definire i controlli di accesso a grandi linee, mentre ABAC fornisce maggiore granularità. Un sistema RBAC, ad esempio, garantisce l'accesso a tutti i manager, mentre una policy ABAC garantisce l'accesso solo ai manager del dipartimento finanziario. ABAC esegue una ricerca più complicata, che richiede più tempo e potenza di elaborazione, quindi utilizzalo solo quando RBAC è insufficiente.

Vantaggi dell'RBAC

  • La gestione e il controllo dell'accesso alla rete sono fondamentali per la sicurezza delle informazioni. L'accesso può e deve essere consentito in base alla necessità di sapere. La sicurezza è gestita più facilmente con centinaia o migliaia di dipendenti limitando l'accesso non necessario alle informazioni critiche in base al ruolo dichiarato di ciascun utente all'interno dell'azienda. Altri vantaggi includono:
  • Il supporto amministrativo e informatico sarà ridotto. Quando un dipendente viene assunto o cambia ruolo, puoi utilizzare RBAC per ridurre la richiesta di modifiche di documenti e password. Invece, puoi utilizzare RBAC per aggiungere e trasferire rapidamente ruoli tra sistemi operativi, piattaforme e applicazioni. Riduce anche la possibilità di errore durante la concessione delle autorizzazioni utente. Uno dei tanti vantaggi economici di RBAC è la riduzione del tempo dedicato alle attività amministrative. RBAC facilita anche l'integrazione di utenti di terze parti nella tua rete assegnando loro ruoli predefiniti.
  • Aumentare l'efficienza operativa. RBAC fornisce un approccio semplificato con definizioni logiche. Invece di tentare di amministrare il controllo degli accessi di livello inferiore, tutti i ruoli possono essere allineati con la struttura organizzativa dell'azienda, consentendo agli utenti di svolgere i propri compiti in modo più efficiente e autonomo.
  • Conformità crescente. Le restrizioni federali, statali e municipali si applicano a tutte le organizzazioni. Le aziende possono soddisfare più facilmente gli standard legali e normativi per la privacy e la riservatezza con un sistema RBAC in atto perché i dipartimenti IT e i dirigenti possono regolare le modalità di accesso e utilizzo dei dati. Ciò è particolarmente importante per le organizzazioni sanitarie e finanziarie, che gestiscono una grande quantità di dati sensibili come PHI e PCI.

Migliori pratiche per l'implementazione di RBAC

L'implementazione di un RBAC nella tua organizzazione non dovrebbe essere presa alla leggera. Ci sono una serie di fasi generali da intraprendere per coinvolgere la squadra senza creare inutili confusioni o irritazioni sul posto di lavoro. Ecco alcune idee da cui partire.

  • Stato attuale: Fai un elenco di ogni pezzo di software, hardware e app che ha sicurezza. La maggior parte di questi richiederà una password. Tuttavia, potresti voler includere le sale server che sono sotto chiave. La sicurezza fisica può essere una componente importante della protezione dei dati. Inoltre, specifica chi ha accesso a ciascuno di questi programmi e luoghi. Questo ti fornirà un'idea della tua attuale situazione dei dati.
  • Doveri attuali: Anche se non hai un elenco formale e un elenco di ruoli, determinare cosa fa ogni singolo membro del team può essere semplice come una breve chiacchierata. Tentare di organizzare la squadra in un modo che non ostacoli la creatività o la cultura attuale (se apprezzata).
  • Crea una politica: Eventuali modifiche devono essere documentate per essere visualizzate da tutti i lavoratori presenti e futuri. Anche se utilizzi una soluzione RBAC, avere un documento che articola chiaramente il tuo nuovo sistema ti aiuterà a prevenire i problemi.
  • Modifiche: Una volta che lo stato e i ruoli della sicurezza attuali sono noti (e una politica è in atto), è il momento di implementare le modifiche.
  • Adattarsi continuamente: È probabile che la prima iterazione RBAC necessiti di alcune modifiche. All'inizio, dovresti valutare frequentemente i tuoi doveri e lo stato di sicurezza. Valuta prima quanto bene sta funzionando il tuo processo creativo/di produzione e poi quanto è sicuro il tuo processo.

Conclusione

La protezione dei dati è una funzione aziendale fondamentale per qualsiasi azienda. Un sistema RBAC può garantire che le informazioni dell'azienda siano conformi alle leggi sulla privacy e sulla riservatezza. Inoltre, può garantire attività commerciali essenziali, come l'accesso alla proprietà intellettuale, che ha un impatto competitivo sull'organizzazione.

Domande frequenti sul controllo degli accessi in base al ruolo

Quali sono le tre regole principali per RBAC?

I componenti RBAC come le autorizzazioni del ruolo, le relazioni ruolo-utente e ruolo-ruolo semplificano le assegnazioni degli utenti.

Perché si usa l'ACL?

Traffico di rete ridotto per prestazioni di rete migliorate. Un livello di sicurezza della rete che specifica a quali sezioni del server/rete/servizio un utente può e non può accedere. Tracciamento granulare del traffico in entrata e in uscita dal sistema.

Qual è la differenza tra il controllo dell'accesso basato sul ruolo e il controllo dell'accesso basato su regole?

I livelli di accesso dei dipendenti non sono determinati da controlli di accesso basati su regole, che sono di natura preventiva. Funzionano invece per prevenire accessi indesiderati. I modelli basati sui ruoli sono proattivi in ​​quanto presentano ai dipendenti una serie di condizioni in base alle quali possono acquisire l'accesso approvato.

Riferimenti

Peace è una scrittrice di contenuti, stratega ed editrice senior, che presta il suo talento a organizzazioni come BusinessYield. Il suo background è nella creazione di contenuti e nella leadership di pensiero, con esperienza nel settore SaaS B2B, agenzie di marketing specializzate e intrattenimento. Con sede a Missisauga, Ontario, California, ha un Master in comunicazione digitale e innovazione nel giornalismo presso l'Università di Waterloo. Quando non è impegnata al lavoro, ama viaggiare, leggere e mangiare carboidrati. Ama scrivere articoli di business basati sulle sue ricche esperienze finanziarie e di marketing.

Lascia un Commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati con *

- Articolo precedente

CONTROLLO DEGLI ACCESSI BASATO SU REGOLE (RuBAC): Definizione e Migliori Pratiche

Articolo successivo -

CONTROLLO ACCESSI OBBLIGATORIO MAC: come funziona

Potrebbe piacerti anche