CONTROLLO DEGLI ACCESSI BASATO SU REGOLE (RuBAC): Definizione e Migliori Pratiche

Il controllo dell'accesso è una raccolta di tecniche, strategie e politiche che consentono alle persone di accedere al computer, alla rete e alle risorse di dati di un'azienda. RBAC (noto anche come RuBAC) consente o limita l'accesso in base a regole, garantendo che le persone che possono accedere all'infrastruttura informatica di un'azienda abbiano accesso esattamente alle risorse di cui hanno bisogno, né più né meno.
Se sembra un po' confuso, è perché il concetto è ampio. Questa guida spiegherà il concetto di controllo degli accessi basato su regole RBAC e quando le aziende potrebbero utilizzarlo per proteggersi.

Che cos'è il controllo degli accessi basato su regole (RBAC o RuBAC)?

Come suggerisce il nome, il controllo degli accessi basato su regole RBAC è un sistema basato su condizioni predefinite per concedere o negare l'accesso a vari utenti.

Il più delle volte, queste regole si basano sulle caratteristiche dei singoli utenti. Questo è indicato anche come controllo di accesso basato sugli attributi (ABAC).

Le regole possono anche essere basate su altri valori contestuali. Fattori relativi ad azioni precedenti, ad esempio, o alla fase corrente dell'oggetto in un flusso di lavoro specifico. Puoi persino creare regole basate su variabili di sistema come l'ora del giorno corrente o il carico del server.

Questo tipo di controllo degli accessi comporta la configurazione di condizioni diverse in base agli attributi esistenti degli utenti. Questi vengono quindi utilizzati per assegnare automaticamente le autorizzazioni alle persone.

Il sistema utilizza quindi la logica booleana per determinare se ciascuna condizione è vera o falsa e assegna autorizzazioni o passa alla successiva condizione nidificata.

Le regole possono essere costruite attorno a più combinazioni di attributi o solo a una. Ad esempio, un sistema molto semplice basato su regole può considerare solo la posizione corrente di un utente quando determina le autorizzazioni.

In un sistema più complesso, oltre alla posizione, potresti considerare il reparto, l'anzianità di servizio, il dispositivo attuale o qualsiasi altro attributo o fattore ambientale.

Come funziona il controllo di accesso basato su regole RBAC?

Un reparto IT stabilisce regole di alto livello basate sulle specifiche di cosa, come, dove e quando qualcuno tenta di ottenere l'accesso in RBAC. Ogni risorsa è associata a un elenco di controllo di accesso o ACL. Quando qualcuno tenta di utilizzare una determinata risorsa, il sistema operativo controlla l'ACL per verificare se il tentativo segue tutte le regole per l'accesso alla risorsa.

La componente "regola" di RBAC si riferisce ai vincoli su quando, come e dove viene concesso l'accesso. Qui ci sono un paio di esempi:

• Tutti su una rete hanno un indirizzo IP, che la rete utilizza per identificare le posizioni. Una regola potrebbe essere che solo le persone con indirizzi IP in un intervallo geografico specifico, come la regione in cui lavora il team di contabilità, possono utilizzare il sistema di contabilità aziendale. Potrebbe essere controllato in modo ancora più fine, ad esempio consentire a persone a indirizzi specifici di accedere ai conti fornitori ma non ai conti attivi.
• Permessi e restrizioni possono essere collegati alle porte, che fungono da porte di rete specifiche. Solo le richieste sulle porte appropriate sarebbero considerate potenzialmente valide. Una porta, ad esempio, potrebbe essere collegata a una struttura che accetta il caricamento di documenti da postazioni remote. In tal caso, una richiesta di caricamento in un'altra area della rete potrebbe essere rifiutata.
• Alcuni tipi di accesso possono essere limitati a orari specifici, ad esempio durante l'orario lavorativo standard. Nessuno sarebbe in grado di accedere a quelle risorse informatiche al di fuori di quelle fasce orarie. I vincoli di tempo aiutano a tenere i criminali fuori dai sistemi durante le ore di riposo quando ci sono meno esperti di sicurezza disponibili e in guardia.

Leggi anche: CONTROLLO DELL'ACCESSO BASATO SUL RUOLO RBAC: definizione, storia ed esempi

• A qualcuno che richiede l'accesso a record riservati possono essere fornite credenziali aggiuntive che devono utilizzare in tutti i tentativi di accesso futuri. In alternativa, potrebbero avere un limite al numero di volte in cui possono utilizzare una determinata risorsa in una settimana o potrebbero avere un timeout in modo che l'autorizzazione sia solo temporanea.

• Per quanto RBAC possa essere utilizzato per consentire l'accesso, può anche essere utilizzato per impedire l'accesso, sia all'interno dell'infrastruttura aziendale che a risorse esterne. Ad esempio, l'azienda potrebbe non volere che nessun dipendente utilizzi app di streaming video durante l'orario di lavoro o potrebbe bloccare tutte le e-mail (improbabile, ma un utente può sognare).

La cosa principale da ricordare è che RBAC governa il contesto di accesso. Sebbene l'enfasi sia sui dipendenti dell'azienda, gli stessi concetti possono essere applicati a un'azienda che fornisce un accesso controllato ad alcune risorse a clienti o partner commerciali.

Mancia: Il controllo degli accessi basato su regole RBAC è essenziale per le organizzazioni più grandi con più ruoli e diversi livelli di competenza. Alcuni aspetti del sistema dovrebbero essere vietati a chiunque non lo richieda per completare il proprio lavoro per motivi di sicurezza ed efficienza.

Vantaggi del controllo degli accessi basato su regole RBAC

Per un'azienda, il controllo degli accessi basato su regole RBAC presenta numerosi vantaggi:

• Puoi regolamentare meglio i problemi di conformità legale standardizzando e controllando il contesto di accesso alle risorse.
• RBAC aumenta la sicurezza applicando i limiti di utilizzo delle risorse necessari. Ciò può rendere più difficile per i criminali esterni attaccare l'infrastruttura informatica della tua azienda.
• Un sistema RBAC adeguatamente progettato non solo migliora la sicurezza, ma regola anche l'utilizzo della rete. È possibile limitare l'uso di processi e software ad alta intensità di risorse a giorni e orari in cui la domanda è inferiore. Ad esempio, è possibile pianificare report di gestione complessi o analisi di marketing da eseguire solo nel cuore della notte, quando la potenza di elaborazione è sufficiente.
• RBAC può applicare automaticamente le restrizioni necessarie senza coinvolgere il personale IT o di supporto. Invece di richiedere al personale IT di tenere traccia manualmente dell'utilizzo e ricordarsi di revocare i privilegi in un secondo momento, puoi automatizzare le modifiche e impostare autorizzazioni aggiuntive per un periodo di tempo limitato in circostanze insolite.
• Invece di fornire un accesso eccessivamente ampio a troppe persone, puoi essere dettagliato quanto vuoi nel modo in cui controlli l'accesso.
• Solo gli amministratori hanno l'autorità di modificare le regole, riducendo la possibilità di errori.

Svantaggi del controllo degli accessi basato su regole RBAC

RBAC, come tutto il resto, ha dei limiti.

• La configurazione di regole dettagliate a più livelli richiede tempo e un po' di lavoro preliminare da parte del personale IT. Avrai anche bisogno di una sorta di monitoraggio continuo per garantire che le regole funzionino correttamente e non diventino obsolete.
• I tuoi dipendenti potrebbero trovare il sistema di controllo accessi ingombrante e scomodo. Quando si rende necessario lavorare al di fuori degli schemi abituali, l'utente o un altro amministratore dovrà modificare una regola o fornire una soluzione alternativa.
• Quando il personale IT deve riprogrammare una regola specifica per una circostanza insolita e poi ripristinarla, la necessità di modifiche regolari può diventare un peso.
• RBAC non considera le relazioni specifiche tra risorse, persone, operazioni e altri aspetti delle operazioni o dell'infrastruttura a causa della sua dipendenza dalle regole. La necessaria struttura delle regole può diventare estremamente complessa senza meccanismi di controllo aggiuntivi.

Un sistema di controllo degli accessi basato su regole può fornire un'importante sicurezza aggiuntiva a seconda delle esigenze della tua azienda. Tuttavia, da solo potrebbe non essere sufficiente. La tua azienda richiederà anche competenze per impostare e mantenere le regole, nonché per adattarle o modificarle secondo necessità.

Qual è la differenza tra il controllo degli accessi basato su regole e quello basato sui ruoli?

I livelli di accesso dei dipendenti non sono determinati da controlli di accesso basati su regole, che sono di natura preventiva. Funzionano invece per impedire l'accesso non autorizzato. I modelli basati sui ruoli sono proattivi in ​​quanto forniscono ai dipendenti una serie di condizioni in base alle quali possono ottenere l'accesso autorizzato.

Qual è la regola nel controllo degli accessi?

Un dominio, un tipo di oggetto, uno stato del ciclo di vita e un partecipante sono tutti assegnati a un insieme di autorizzazioni da una regola di controllo dell'accesso. Una regola di controllo dell'accesso specifica i diritti di un utente, gruppo, ruolo o organizzazione per accedere a oggetti di un tipo e stato specifici all'interno di un dominio.

Implementazione del controllo degli accessi basato su regole

Quando si tratta di implementare il controllo dell'accesso basato su regole e considerare le migliori pratiche di controllo basato su regole, ci sono diversi passaggi importanti da intraprendere:

• Esaminare le regole di accesso attuali – Esaminare sia le regole che si applicano a punti di accesso specifici sia le regole generali che si applicano a tutti i punti di accesso. Determinare eventuali aree ad alto rischio prive di regole di accesso specifiche. Poiché le vulnerabilità della sicurezza cambiano e si evolvono costantemente, questo dovrebbe essere fatto regolarmente.
• Analizza gli scenari "what-if" - Identificare potenziali scenari che potrebbero richiedere l'applicazione di regole aggiuntive per ridurre il rischio.
• Aggiorna o crea regole in base alla valutazione. Imposta nuove regole o aggiorna le regole esistenti per aumentare i livelli di sicurezza.
• Evita i conflitti di autorizzazione confrontando le regole con le autorizzazioni stabilite da altri modelli di controllo dell'accesso per garantire che non esistano conflitti che negherebbero erroneamente l'accesso.
• Documentare e pubblicare regole –Pubblica le regole più importanti e comunica eventuali modifiche per garantire che tutti i dipendenti comprendano i propri diritti e responsabilità di accesso. Anche se i dipendenti potrebbero non aver bisogno di conoscere le specifiche, è fondamentale che comprendano in che modo le modifiche alle politiche possono influenzare le loro operazioni quotidiane.
• Conduci revisioni regolari – Condurre controlli di sistema regolari per identificare eventuali problemi di accesso o lacune di sicurezza. Esaminare eventuali problemi di sicurezza causati da un controllo degli accessi lassista e, se necessario, rivedere le regole.

Controllo degli accessi basato su regole e basato su ruoli

Gli amministratori della sicurezza configurano e gestiscono entrambi i modelli. I dipendenti non possono modificare le proprie autorizzazioni o controllare l'accesso perché sono obbligatorie anziché facoltative. Tuttavia, esistono alcune differenze significative tra il controllo dell'accesso basato su regole e basato sul ruolo che possono aiutare a determinare quale modello è il migliore per un determinato caso d'uso.

Funzionamento

• I modelli basati su regole definiscono regole che si applicano a tutti i ruoli professionali.
• Le autorizzazioni nei modelli basati sui ruoli si basano su ruoli lavorativi specifici.

Scopo

• I livelli di accesso dei dipendenti non sono determinati da controlli di accesso basati su regole, che sono di natura preventiva. Funzionano invece per impedire l'accesso non autorizzato.
• I modelli basati sui ruoli sono proattivi in ​​quanto forniscono ai dipendenti una serie di condizioni in base alle quali possono ottenere l'accesso autorizzato.

Applicazioni

• I modelli basati su regole sono generici nel senso che si applicano a tutti i dipendenti, indipendentemente dal loro ruolo.
• I modelli basati sui ruoli si applicano ai dipendenti su base individuale, in base ai loro ruoli.

Casi di studio

I modelli basati sui ruoli sono appropriati per le organizzazioni in cui i ruoli sono chiaramente definiti e i requisiti di risorse e di accesso possono essere identificati in base a tali ruoli. Di conseguenza, i modelli RBAC sono appropriati per le organizzazioni con un numero elevato di dipendenti, in cui l'impostazione delle autorizzazioni per i singoli dipendenti sarebbe difficile e dispendiosa in termini di tempo.

I sistemi operativi basati su regole funzionano bene nelle organizzazioni con meno dipendenti o in cui i ruoli sono fluidi, rendendo difficile l'assegnazione di autorizzazioni "strette". I sistemi operativi basati su regole sono essenziali anche per le organizzazioni con più aree che richiedono i massimi livelli di sicurezza. Un modello basato sui ruoli potrebbe non fornire di per sé una protezione adeguata, soprattutto se ogni ruolo copre diversi livelli di anzianità e requisiti di accesso.

Modelli ibridi

I modelli di controllo degli accessi basati su regole e ruoli sono complementari in quanto adottano approcci diversi per raggiungere lo stesso obiettivo di massimizzare la protezione. I sistemi basati sui ruoli garantiscono che solo i dipendenti autorizzati abbiano accesso ad aree o risorse riservate. I sistemi basati su regole garantiscono che i dipendenti autorizzati abbiano accesso alle risorse nei posti giusti e al momento giusto.

Alcune organizzazioni ritengono che nessuno dei due modelli fornisca il livello di sicurezza necessario. Per gestire diversi scenari, gli amministratori della sicurezza possono utilizzare un modello ibrido per fornire sia una protezione di alto livello tramite sistemi basati sui ruoli sia un controllo granulare flessibile tramite modelli basati su regole.

Gli amministratori possono concedere l'accesso a tutti i dipendenti tramite il modello basato sui ruoli in aree con requisiti di sicurezza inferiori, come gli atri d'ingresso, ma aggiungono un'eccezione basata su regole che nega l'accesso al di fuori dell'orario lavorativo.

Gli amministratori possono assegnare autorizzazioni a ruoli specifici in aree di sicurezza superiore, ma utilizzano sistemi basati su regole per escludere i dipendenti in un ruolo che sono solo di livello junior.

Un modello ibrido come quello combina i vantaggi di entrambi i modelli migliorando al contempo la posizione di sicurezza generale.

Semplifica la gestione del controllo accessi alle porte

• Le autorizzazioni possono essere configurate in modo semplice e sicuro utilizzando ruoli utente, attributi e regole personalizzate.
• Pianifica l'accesso a tutte le porte, cancelli, tornelli e ascensori.
• Sblocco a distanza di qualsiasi porta o attivazione del blocco di un edificio
• Con Wave to Unlock touchless, hai solo bisogno di una credenziale mobile per ogni voce.
• Per aree ad alta sicurezza, biometria integrata, MFA e verifica video
• Utilizzando un software di controllo accessi remoto basato su cloud, puoi modificare i permessi di accesso in qualsiasi momento.

Controllo degli accessi basato su ruoli e regole e controllo degli accessi basato sugli attributi

Gli amministratori della sicurezza in un sistema basato sui ruoli concedono o negano l'accesso a uno spazio oa una risorsa in base al ruolo del dipendente nell'azienda.

Gli amministratori controllano l'accesso in un sistema basato sugli attributi in base a una serie di attributi o caratteristiche approvati. Sebbene il ruolo di un dipendente possa essere uno dei suoi attributi, il suo profilo generalmente includerà altre caratteristiche come l'appartenenza a un team di progetto, un gruppo di lavoro o un dipartimento, nonché il livello di gestione, l'autorizzazione di sicurezza e altri criteri.

Poiché l'amministratore deve definire solo un numero limitato di ruoli, un sistema basato sui ruoli è più rapido e facile da implementare. L'amministratore di un sistema basato sugli attributi deve definire e gestire più caratteristiche.

L'utilizzo di più caratteristiche, d'altra parte, può essere vantaggioso in alcuni casi d'uso perché consente agli amministratori di applicare una forma di controllo più granulare.

Controllo degli accessi basato su attributi e su regole

Gli amministratori in un sistema basato su regole concedono o negano l'accesso in base a una serie di regole predeterminate.

Al contrario, i modelli di controllo dell'accesso basato sugli attributi (ABAC) valutano una serie di attributi o caratteristiche approvati prima di concedere l'accesso. Gli amministratori possono creare una serie diversificata di caratteristiche personalizzate in base ai requisiti di sicurezza specifici di vari punti di accesso o risorse. La distinzione principale tra questi due tipi sono le informazioni e le azioni utilizzate per concedere o negare l'accesso. Gli attributi sono ancora in genere collegati a informazioni personali sul dipendente, come il team, lo stato del lavoro o l'autorizzazione. Nelle regole si fa spesso riferimento a orari di lavoro, orari delle porte, dispositivi e altri criteri simili.

Entrambi i modelli consentono un controllo degli accessi granulare, vantaggioso per le organizzazioni con requisiti di sicurezza specifici. Sia i modelli basati su regole che quelli basati su attributi possono essere combinati con altri modelli, come il controllo degli accessi basato sui ruoli. Poiché gli amministratori devono definire più regole o attributi, l'implementazione e la gestione di entrambi i modelli possono richiedere molto tempo. Regole e attributi, d'altra parte, forniscono una maggiore scalabilità nel tempo.

Conclusione

Due dei modelli più importanti per determinare chi ha accesso ad aree o risorse specifiche all'interno di un'azienda sono il controllo dell'accesso basato su regole e ruoli. Un amministratore della sicurezza può gestire l'accesso a un livello elevato o applicare regole granulari per fornire una protezione specifica per le aree ad alta sicurezza implementando il modello più appropriato.

Il controllo degli accessi basato su regole e ruoli consente alle aziende di utilizzare la propria tecnologia di sicurezza in modo veramente personalizzato. Determinando chi ha accesso ad aree e risorse specifiche all'interno di un'azienda, un'azienda può implementare il modello migliore e gestire l'accesso ad alto livello, nonché applicare regole granulari per fornire una protezione più solida alle aree ad alta sicurezza.

Sebbene entrambi i modelli forniscano una sicurezza efficace e vantaggi significativi, lo sforzo richiesto per sviluppare, implementare e gestire le politiche di sicurezza dell'accesso varia. Come bonus aggiuntivo, i modelli basati su regole e basati sui ruoli si completano a vicenda e possono essere utilizzati in tandem per fornire una sicurezza di controllo degli accessi ancora maggiore.

Articoli Correlati

• CONTROLLO DELL'ACCESSO BASATO SUL RUOLO RBAC: definizione, storia ed esempi
• CONTROLLO DEGLI ACCESSI DISCREZIONALI: Definizione ed Esempi
• CONTROLLO ACCESSI OBBLIGATORIO MAC: come funziona
• GESTIONE DEI SISTEMI DI RETE: come funziona

Riferimenti

• Business.com
• Tmcnet.com.
• Techopedia