TEquipar

RBAC DE CONTROLE DE ACESSO BASEADO EM FUNÇÕES: Definição, histórico e exemplos

controle de acesso baseado em função
Conteúdo Esconder
  1. O que é o controle de acesso baseado em função (RBAC)?
  2. Histórico do controle de acesso baseado em função
  3. Como funciona o RBAC de controle de acesso baseado em função?
  4. O que é uma função RBAC de controle de acesso baseado em função?
  5. O modelo RBAC de controle de acesso baseado em função
    1. #1. RBAC principal
    2. #2. Hierarquia RBAC
    3. #3. RBAC restrito
  6. Exemplos de controle de acesso baseado em função
  7. Alternativas RBAC: Tipos de controle de acesso
    1. Lista de Controle de Acesso (ACL)
    2. Controle de acesso baseado em atributos (ABAC)
  8. Vantagens do RBAC
  9. Práticas recomendadas para implementação do RBAC
  10. Conclusão
  11. Perguntas frequentes sobre controle de acesso baseado em função
  12. Quais são as três regras principais para o RBAC?
  13. Por que o ACL é usado?
  14. Qual é a diferença entre controle de acesso baseado em função e controle de acesso baseado em regras?
    1. Artigos Relacionados
    2. Referências

Este artigo fornece uma explicação completa do controle de acesso baseado em função (RBAC), bem como um guia passo a passo para implantar, manter e estender o RBAC para atender às necessidades de sua organização. Você aprenderá sobre funções, como defini-las e como usá-las para regular o acesso pode ajudar a proteger sua rede, reduzir custos administrativos e garantir a conformidade regulatória. Também veremos alguns exemplos de controle de acesso baseado em função. Vamos começar.

O que é o controle de acesso baseado em função (RBAC)?

O conceito de fornecer permissões a pessoas com base em sua função dentro de uma organização é conhecido como controle de acesso baseado em função (RBAC). Ele fornece uma abordagem básica e controlada para gerenciamento de acesso que é menos propensa a erros do que fornecer permissões individualmente aos usuários.

Ao utilizar o RBAC para Gerenciamento de Acesso de Função, você examina as demandas de seus usuários e os agrupa em funções com base em tarefas compartilhadas. Em seguida, para cada usuário, você atribui uma ou mais funções e uma ou mais permissões a cada função. Como os usuários não precisam mais ser gerenciados indiscriminadamente, os relacionamentos de função de usuário e permissões de função facilitam a realização de atribuições de usuário.

Histórico do controle de acesso baseado em função

Desde pelo menos a década de 1970, as pessoas têm utilizado funções e responsabilidades para controlar o acesso a sistemas de computadores comerciais. Esses métodos, no entanto, eram ad hoc e frequentemente precisavam ser modificados caso a caso para cada novo sistema.

Pesquisadores do American National Standards Institute (NIST) não começaram a definir o sistema conhecido como controle de acesso baseado em função até 1992. Nesse mesmo ano, Ferraiolo e Kuhn publicaram um artigo definindo um mecanismo de controle de acesso de uso geral adequado para civis e uso comercial, lançando as bases para o modelo que usamos hoje.

Ao longo da década de 1990 e início dos anos 2000, Ferraiolo, Kuhn e outros refinaram o RBAC, com base em trabalhos anteriores para investigar os benefícios econômicos do RBAC, especificar um modelo unificado e, mais importante, definir as formas de divisão de tarefas. O RBAC foi adotado oficialmente como padrão da indústria pelo NIST em 2004.

Como funciona o RBAC de controle de acesso baseado em função?

Antes de implantar o RBAC em uma empresa, a organização deve especificar detalhadamente as permissões para cada função. Isso inclui especificar com precisão as permissões nas categorias listadas abaixo:

  • Permissões de modificação de dados (por exemplo, leitura, gravação, acesso total)
  • Acesso para usar o software da empresa
  • Permissões dentro de um programa

Para obter o máximo do RBAC, você deve primeiro modelar funções e permissões. A atribuição de todas as responsabilidades da equipe a trabalhos específicos que estabelecem privilégios adequados faz parte disso. A organização pode então atribuir cargos com base nas tarefas dos funcionários.

As organizações podem usar o controle de acesso baseado em função para atribuir uma ou mais funções a cada usuário ou para atribuir permissões individualmente. A ideia é definir permissões que permitam que os usuários concluam suas tarefas sem fazer nenhum ajuste adicional.

As tecnologias de gerenciamento de identidade e acesso (IAM) são usadas por organizações para implementar e monitorar o RBAC. O IAM atende principalmente grandes organizações registrando, monitorando e atualizando todas as identidades e permissões. O processo de atribuição de permissão é conhecido como “provisionamento” e o processo de revogação de permissão é conhecido como “desprovisionamento”. Esse tipo de sistema exige o estabelecimento de um conjunto uniforme e padronizado de funções.

O que é uma função RBAC de controle de acesso baseado em função?

As funções são semânticas dentro da arquitetura RBAC que as organizações podem utilizar para construir seus privilégios. Autoridade, responsabilidade, centro de custo, unidade de negócios e outros fatores podem ser usados ​​para definir funções.

Uma função é um agrupamento de privilégios de usuário. Grupos tradicionais, que são agregados de usuários, não são o mesmo que funções. As permissões não estão diretamente relacionadas a identidades no contexto do RBAC, mas sim a funções. Por serem organizados em torno do gerenciamento de acesso, as funções são mais confiáveis ​​do que os grupos. A identidade muda com mais frequência do que recursos e atividades em um negócio normal.

O modelo RBAC de controle de acesso baseado em função

O padrão RBAC define três formas de controle de acesso: central, hierárquico e confinado.

#1. RBAC principal

O modelo central define os principais componentes de qualquer sistema de controle de acesso baseado em função. Embora o RBAC fundamental possa ser usado como uma abordagem de controle de acesso independente, ele também serve como base para modelos hierárquicos e restritos.

Como resultado, todos os RBAC devem seguir as três regras descritas abaixo:

  • Seleção ou atribuição de função: Uma pessoa só pode exercer uma autorização se tiver escolhido ou tiver sido atribuído um papel.
  • Autorização de função: O papel ativo de um sujeito deve ser autorizado.
  • Autorização de permissões: Um sujeito só pode exercer as permissões permitidas para a função ativa do sujeito.

#2. Hierarquia RBAC

Ao acreditar que suas defesas já foram violadas, você pode adotar uma postura de segurança mais forte contra possíveis ataques, reduzindo o efeito de uma violação. Limite o “raio de explosão” de possíveis danos causados ​​por uma violação segmentando o acesso e diminuindo sua superfície de ataque, confirmando a criptografia de ponta a ponta e monitorando sua rede em tempo real.

#3. RBAC restrito

Este terceiro padrão RBAC estende a divisão de funções do modelo central. As relações de separação de funções são classificadas como estáticas ou dinâmicas.

  • Um único usuário não pode ter responsabilidades mutuamente exclusivas em relacionamentos de Separação Estática de Tarefas (SSD) (conforme definido pela organização). Isso garante que, por exemplo, uma pessoa não possa fazer e aprovar uma compra.
  • Um usuário sob o modelo Dynamic Separation of Duty (DSD) pode ter funções contraditórias. No entanto, o usuário não pode executar as duas tarefas na mesma sessão. Essa restrição ajuda no controle de preocupações de segurança interna, por exemplo, implementando a regra de duas pessoas, que exige que dois usuários únicos autorizem uma ação.

Exemplos de controle de acesso baseado em função

O RBAC permite controlar o que os usuários finais podem fazer nos níveis amplo e granular. Você pode especificar se o usuário é um administrador, um usuário especialista ou um usuário final e pode associar responsabilidades e permissões de acesso às posições organizacionais de seus funcionários. As permissões são concedidas apenas com acesso suficiente para os funcionários realizarem suas tarefas.

E se a descrição de um usuário final mudar? Pode ser necessário atribuir a função a outro usuário manualmente ou atribuir funções a um grupo de função ou usar uma política de atribuição de função para adicionar ou excluir membros do grupo de função.

Uma ferramenta RBAC pode incluir as seguintes designações:

  • Escopo da função de gerenciamento – restringe quais itens o grupo de função pode manipular.
  • Grupo de funções de gerenciamento – Você pode adicionar e remover membros do grupo de funções de gerenciamento.
  • Função de gestão – esses são os tipos de tarefas que um determinado grupo de funções pode realizar.
  • Atribuição de função de gerenciamento- Este é o processo de atribuição de uma função a um grupo de funções.

Quando um usuário é adicionado a um grupo de funções, o usuário obtém acesso a todas as funções desse grupo. Quando eles são removidos, o acesso é restrito. Os usuários também podem ser atribuídos a vários grupos se precisarem de acesso temporário a dados ou aplicativos específicos e, em seguida, excluídos após o término do projeto.

Outras possibilidades de acesso do usuário podem incluir:

  • O contato principal para uma determinada conta ou função.
  • Faturamento – acesso a uma conta de faturamento para um único usuário final.
  • Os usuários técnicos são aqueles que realizam tarefas técnicas.
  • O acesso administrativo é concedido aos usuários que realizam atividades administrativas.

Alternativas RBAC: Tipos de controle de acesso

Outros mecanismos de controle de acesso podem ser usados ​​no lugar do controle de acesso baseado em função.

Lista de Controle de Acesso (ACL)

Uma lista de controle de acesso (ACL) é uma tabela que lista as permissões associadas aos recursos de computação. Ele informa ao sistema operacional quais usuários têm acesso a um objeto e quais ações podem realizar nele. Cada usuário possui uma entrada vinculada às propriedades de segurança de cada item. Para sistemas DAC clássicos, o ACL é normalmente empregado.

ACL x RBAC

Em termos de segurança e custo administrativo, o RBAC supera o ACL para a maioria dos aplicativos de negócios. O ACL é mais adequado para implementar a segurança no nível de usuário individual e para dados de baixo nível, mas o RBAC é mais adequado para um sistema de segurança de toda a empresa supervisionado por um administrador. Uma ACL, por exemplo, pode habilitar o acesso de gravação a um determinado arquivo, mas não pode definir como o arquivo será alterado pelo usuário.

Controle de acesso baseado em atributos (ABAC)

O ABAC avalia um conjunto de regras e políticas para controlar as permissões de acesso com base em certas qualidades, como ambiente, sistema, objeto ou informações do usuário. Ele usa lógica booleana para permitir ou negar acesso de pessoas com base em uma avaliação complicada de propriedades atômicas ou de valor definido e seus relacionamentos.

Na prática, isso permite definir regras em eXtensible Access Control Markup Language (XACML) que usam combinações de valores-chave, como Role=Manager e Category=Financial.

ABAC x RBAC

O RBAC é baseado em papéis pré-definidos, enquanto o ABAC é mais dinâmico e usa controle de acesso baseado em relação. O RBAC pode ser usado para definir controles de acesso em linhas gerais, enquanto o ABAC fornece mais granularidade. Um sistema RBAC, por exemplo, concede acesso a todos os gerentes, enquanto uma política ABAC concede acesso apenas aos gerentes do departamento financeiro. O ABAC faz uma busca mais complicada, que demanda mais poder de processamento e tempo, portanto, use-o apenas quando o RBAC for insuficiente.

Vantagens do RBAC

  • O gerenciamento e a auditoria do acesso à rede são fundamentais para a segurança da informação. O acesso pode e deve ser permitido com base na necessidade de saber. A segurança é gerenciada mais facilmente com centenas ou milhares de funcionários, limitando o acesso desnecessário a informações críticas com base na função declarada de cada usuário dentro da empresa. Outros benefícios incluem:
  • O suporte administrativo e de TI será reduzido. Quando um funcionário é contratado ou muda de função, você pode usar o RBAC para diminuir a necessidade de papelada e alterações de senha. Em vez disso, você pode utilizar o RBAC para adicionar e transferir funções rapidamente entre sistemas operacionais, plataformas e aplicativos. Também diminui a possibilidade de erro ao conceder permissões ao usuário. Um dos muitos benefícios econômicos do RBAC é a redução do tempo gasto em atividades administrativas. O RBAC também facilita a integração de usuários de terceiros em sua rede, atribuindo a eles funções predefinidas.
  • Aumentando a eficiência operacional. O RBAC fornece uma abordagem simplificada com definições lógicas. Em vez de tentar administrar o controle de acesso de nível inferior, todas as funções podem ser alinhadas com a estrutura organizacional do negócio, permitindo que os usuários cumpram suas funções de forma mais eficiente e autônoma.
  • Aumentando a conformidade. Restrições federais, estaduais e municipais se aplicam a todas as organizações. As empresas podem atender mais facilmente aos padrões estatutários e regulatórios de privacidade e confidencialidade com um sistema RBAC em vigor, pois os departamentos e executivos de TI podem controlar como os dados são acessados ​​e utilizados. Isso é especialmente importante para organizações financeiras e de assistência médica, que lidam com uma grande quantidade de dados confidenciais, como PHI e PCI.

Práticas recomendadas para implementação do RBAC

A implementação de um RBAC em sua organização não deve ser realizada de ânimo leve. Há uma série de etapas gerais a serem seguidas para trazer a equipe a bordo sem produzir confusão desnecessária ou irritações no local de trabalho. Aqui estão algumas ideias para começar.

  • Status atual: Faça uma lista de todos os softwares, hardwares e aplicativos que possuem segurança. A maioria deles exigirá uma senha. Você pode, no entanto, querer incluir salas de servidores que estão trancadas a sete chaves. A segurança física pode ser um componente importante da proteção de dados. Além disso, especifique quem tem acesso a cada um desses programas e locais. Isso fornecerá um vislumbre de sua situação de dados atual.
  • Deveres Atuais: Mesmo que você não tenha uma lista formal e uma lista de funções, determinar o que cada membro da equipe faz pode ser tão simples quanto uma conversa rápida. Tente organizar a equipe de uma maneira que não impeça a criatividade ou a cultura atual (se gostar).
  • Crie uma política: Quaisquer modificações devem ser documentadas para visualização de todos os trabalhadores atuais e futuros. Mesmo que você utilize uma solução RBAC, ter um documento que articule claramente seu novo sistema o ajudará a evitar problemas.
  • Mudanças: Assim que o status de segurança e as funções atuais forem conhecidos (e uma política estiver em vigor), é hora de implementar as alterações.
  • Adaptar continuamente: É provável que a primeira iteração do RBAC precise de alguma modificação. Desde o início, você deve avaliar frequentemente seus deveres e status de segurança. Avalie primeiro quão bem seu processo criativo/produção está funcionando e, em seguida, quão seguro é seu processo.

Conclusão

A proteção de dados é uma função de negócios crítica para qualquer corporação. Um sistema RBAC pode garantir que as informações da empresa estejam em conformidade com as leis de privacidade e confidencialidade. Além disso, pode proteger atividades essenciais de negócios, como acesso à propriedade intelectual, que tem impacto competitivo na organização.

Perguntas frequentes sobre controle de acesso baseado em função

Quais são as três regras principais para o RBAC?

Componentes RBAC, como permissões de função, funções de usuário e relacionamentos de função, simplificam as atribuições de usuário.

Por que o ACL é usado?

Tráfego de rede reduzido para melhor desempenho da rede. Um nível de segurança de rede que especifica quais seções do servidor/rede/serviço um usuário pode ou não acessar. Rastreamento granular do tráfego que entra e sai do sistema.

Qual é a diferença entre controle de acesso baseado em função e controle de acesso baseado em regras?

Os níveis de acesso dos funcionários não são determinados por controles de acesso baseados em regras, que são de natureza preventiva. Em vez disso, eles trabalham para impedir o acesso indesejado. Os modelos baseados em funções são proativos, pois apresentam aos funcionários um conjunto de condições sob as quais eles podem adquirir acesso aprovado.

Referências

Peace é redatora, estrategista e editora sênior de conteúdo, emprestando seus talentos a organizações como a BusinessYield. Sua formação é em criação de conteúdo e liderança inovadora, com experiência no setor de SaaS B2B, agências de marketing especializadas e entretenimento. Baseado em Missisauga, Ontário, CA, tem mestrado em Comunicação Digital e Inovação em Jornalismo pela Universidade de Waterloo. Quando não está trabalhando duro, ela adora viajar, ler e comer carboidratos. Ela adora escrever artigos de negócios com base em suas ricas experiências financeiras e de marketing.

Deixe um comentário

O seu endereço de e-mail não será publicado. Os campos obrigatórios são marcados com *

- artigo anterior

CONTROLE DE ACESSO BASEADO EM REGRAS (RuBAC): Definição e Melhores Práticas

Artigo seguinte -

MAC DE CONTROLE DE ACESSO OBRIGATÓRIO: Como funciona

Você pode gostar