CONTROLE DE ACESSO BASEADO EM REGRAS (RuBAC): Definição e Melhores Práticas

Controle de acesso baseado em regras

O controle de acesso é um conjunto de técnicas, estratégias e políticas que permitem que os indivíduos obtenham acesso ao computador, à rede e aos recursos de dados de uma empresa. O RBAC (também conhecido como RuBAC) permite ou restringe o acesso com base em regras, garantindo que as pessoas que podem acessar a infraestrutura de computação de uma empresa tenham acesso exatamente aos recursos de que necessitam, nem mais nem menos.
Se isso parece um pouco nebuloso, é porque o conceito é amplo. Este guia explicará o conceito de controle de acesso baseado em regras RBAC e quando as empresas podem usá-lo para se proteger.

O que é controle de acesso baseado em regras (RBAC ou RuBAC)?

Como o nome indica, o controle de acesso baseado em regras RBAC é um sistema baseado em condições predefinidas para conceder ou negar acesso a vários usuários.

Na maioria das vezes, essas regras são baseadas nas características de usuários individuais. Isso também é conhecido como controle de acesso baseado em atributos (ABAC).

As regras também podem ser baseadas em outros valores contextuais. Fatores relacionados a ações anteriores, por exemplo, ou o estágio atual do objeto em um fluxo de trabalho específico. Você pode até criar regras com base em variáveis ​​do sistema, como a hora atual do dia ou a carga do servidor.

Este tipo de controle de acesso implica configurar diferentes condições com base nos atributos existentes dos usuários. Eles são usados ​​para atribuir permissões automaticamente a indivíduos.

O sistema então emprega a lógica booleana para determinar se cada condição é verdadeira ou falsa e atribui permissões ou passa para a próxima condição aninhada.

As regras podem ser construídas em torno de várias combinações de atributos ou apenas uma. Por exemplo, um sistema baseado em regras muito simples pode considerar apenas a localização atual de um usuário ao determinar as permissões.

Em um sistema mais complexo, você pode considerar seu departamento, tempo de serviço, dispositivo atual ou quaisquer outros atributos ou fatores ambientais além de sua localização.

Como funciona o controle de acesso baseado em regras RBAC?

Um departamento de TI estabelece regras de alto nível com base nas especificidades do que, como, onde e quando alguém tenta obter acesso no RBAC. Cada recurso está associado a uma lista de controle de acesso ou ACL. Quando alguém tenta usar um determinado recurso, o sistema operacional verifica a ACL para ver se a tentativa segue todas as regras de acesso ao recurso.

O componente “regra” do RBAC refere-se às restrições de quando, como e onde o acesso é concedido. Aqui estão alguns exemplos:

  • Todos em uma rede têm um endereço IP, que a rede usa para identificar locais. Uma regra poderia ser que apenas pessoas com endereços IP em uma faixa geográfica específica, como a região onde a equipe de contabilidade trabalha, tenham permissão para usar o sistema de contabilidade corporativa. Poderia ser ainda mais controlado, como permitir que pessoas em endereços específicos acessem contas a pagar, mas não contas a receber.
  • Permissões e restrições podem ser vinculadas a portas, que atuam como portas de rede específicas. Apenas solicitações nas portas apropriadas seriam consideradas potencialmente válidas. Uma porta, por exemplo, pode ser vinculada a uma instalação que aceita uploads de documentos de locais remotos. Nesse caso, uma solicitação de upload para outra área da rede pode ser negada.
  • Certos tipos de acesso podem ser restritos a horários específicos, como durante o horário comercial padrão. Ninguém seria capaz de acessar esses recursos de computação fora desses intervalos de tempo. As restrições de tempo ajudam a manter os criminosos fora dos sistemas fora do horário comercial, quando há menos especialistas em segurança disponíveis e em guarda.
Leia também: RBAC DE CONTROLE DE ACESSO BASEADO EM FUNÇÕES: Definição, histórico e exemplos
  • Alguém que requer acesso a registros confidenciais pode receber credenciais adicionais que devem ser usadas em todas as tentativas de acesso futuras. Como alternativa, eles podem ter um limite de quantas vezes podem usar um recurso específico em uma semana ou podem ter um tempo limite para que a permissão seja apenas temporária.
  • Por mais que o RBAC possa ser usado para permitir o acesso, ele também pode ser usado para impedir o acesso, seja dentro da infraestrutura do negócio ou a recursos externos. Por exemplo, a empresa pode não querer que nenhum funcionário use aplicativos de streaming de vídeo durante o horário de trabalho ou pode bloquear todos os e-mails (improvável, mas um usuário pode sonhar).

A principal coisa a lembrar é que o RBAC governa o contexto de acesso. Embora a ênfase esteja nos funcionários da empresa, os mesmos conceitos podem ser aplicados a uma empresa que fornece acesso controlado a alguns recursos a clientes ou parceiros de negócios.

Dica: Controle de acesso baseado em regras O RBAC é essencial para organizações maiores com várias funções e níveis variados de especialização. Certos aspectos do sistema devem estar fora dos limites para qualquer pessoa que não o exija para concluir seu trabalho por motivos de segurança e eficiência.

Vantagens do controle de acesso baseado em regras RBAC

Para uma empresa, o controle de acesso baseado em regras RBAC tem inúmeras vantagens:

  • Você pode regular melhor os problemas de conformidade legal padronizando e controlando o contexto de acesso a recursos.
  • O RBAC aumenta a segurança impondo limites de uso de recursos necessários. Isso pode dificultar o ataque de criminosos externos à infraestrutura de computação da sua empresa.
  • Um sistema RBAC projetado adequadamente não apenas melhora a segurança, mas também regula o uso da rede. Você pode restringir o uso de processos e softwares com uso intensivo de recursos para dias e horários em que a demanda é menor. Por exemplo, você pode agendar relatórios de gerenciamento complexos ou análises de marketing para serem executados apenas no meio da noite, quando houver poder de processamento suficiente.
  • O RBAC pode aplicar automaticamente as restrições necessárias sem envolver a equipe de TI ou de suporte. Em vez de exigir que sua equipe de TI rastreie manualmente o uso e lembre-se de revogar os privilégios posteriormente, você pode automatizar as alterações e definir permissões adicionais por tempo limitado em circunstâncias incomuns.
  • Em vez de fornecer acesso excessivamente amplo a muitas pessoas, você pode ser tão detalhado quanto quiser na forma como controla o acesso.
  • Apenas os administradores têm autoridade para alterar as regras, reduzindo a possibilidade de erros.

Desvantagens do controle de acesso baseado em regras RBAC

O RBAC, como tudo, tem limitações.

  • A configuração de regras detalhadas em vários níveis leva tempo e requer algum trabalho preliminar de sua equipe de TI. Você também precisará de algum tipo de monitoramento contínuo para garantir que as regras funcionem corretamente e não se tornem obsoletas.
  • Seus funcionários podem achar o sistema de controle de acesso pesado e inconveniente. Quando for necessário trabalhar fora dos padrões usuais, você ou outro administrador precisará modificar uma regra ou fornecer uma solução alternativa.
  • Quando sua equipe de TI precisa reprogramar uma regra específica para uma circunstância incomum e depois trocá-la de volta, a necessidade de alterações regulares pode se tornar um fardo.
  • O RBAC não considera relacionamentos específicos entre recursos, pessoas, operações e outros aspectos de operações ou infraestrutura devido à sua dependência de regras. A estrutura necessária de regras pode se tornar extremamente complexa sem mecanismos de controle adicionais.

Um sistema de controle de acesso baseado em regras pode fornecer segurança adicional importante dependendo das necessidades de sua empresa. No entanto, pode não ser suficiente por si só. Sua empresa também precisará de experiência para configurar e manter as regras, bem como adaptá-las ou alterá-las conforme necessário.

Qual é a diferença entre controle de acesso baseado em regras e baseado em funções?

Os níveis de acesso dos funcionários não são determinados por controles de acesso baseados em regras, que são de natureza preventiva. Em vez disso, eles trabalham para impedir o acesso não autorizado. Os modelos baseados em funções são proativos, pois fornecem aos funcionários um conjunto de condições sob as quais eles podem obter acesso autorizado.

Qual é a regra no controle de acesso?

Um domínio, um tipo de objeto, um estado de ciclo de vida e um participante são atribuídos a um conjunto de permissões por uma regra de controle de acesso. Uma regra de controle de acesso especifica os direitos de um usuário, grupo, função ou organização para acessar objetos de um tipo e estado específicos em um domínio.

Implementando o controle de acesso baseado em regras

Quando se trata de implementar o controle de acesso baseado em regras e considerar as melhores práticas de controle baseado em regras, há várias etapas importantes a serem seguidas:

  • Examine as regras de acesso atuais – Examine as regras que se aplicam a pontos de acesso específicos e as regras gerais que se aplicam a todos os pontos de acesso. Determine quaisquer áreas de alto risco que não possuam regras de acesso específicas. Como as vulnerabilidades de segurança estão mudando e evoluindo constantemente, isso deve ser feito regularmente.
  • Analise cenários “e se” – Identifique cenários potenciais que podem exigir a aplicação de regras adicionais para reduzir o risco.
  • Atualize ou crie regras com base na avaliação. Defina novas regras ou atualize as regras existentes para aumentar os níveis de segurança.
  • Evite conflitos de permissão comparando as regras com as permissões definidas por outros modelos de controle de acesso para garantir que não exista nenhum conflito que negue incorretamente o acesso.
  • Documentar e publicar regras –Publique as regras mais importantes e comunique quaisquer alterações para garantir que todos os funcionários compreendam seus direitos e responsabilidades de acesso. Embora os funcionários possam não precisar conhecer os detalhes, é fundamental que eles entendam como as mudanças nas políticas podem afetar suas operações diárias.
  • Faça revisões regulares – Realize auditorias regulares do sistema para identificar quaisquer problemas de acesso ou falhas de segurança. Examine quaisquer problemas de segurança causados ​​pelo controle de acesso negligente e, se necessário, revise as regras.

Controle de acesso baseado em regras versus controle de acesso baseado em papéis

Os administradores de segurança configuram e gerenciam ambos os modelos. Os funcionários não podem alterar suas permissões ou controlar o acesso porque são obrigatórios e não opcionais. No entanto, existem algumas diferenças significativas entre o controle de acesso baseado em regras e baseado em funções que podem ajudar a determinar qual modelo é melhor para um determinado caso de uso.

Divisão de

  • Os modelos baseados em regras definem regras que se aplicam a todas as funções de trabalho.
  • As permissões em modelos baseados em função são baseadas em funções de trabalho específicas.

Propósito

  • Os níveis de acesso dos funcionários não são determinados por controles de acesso baseados em regras, que são de natureza preventiva. Em vez disso, eles trabalham para impedir o acesso não autorizado.
  • Os modelos baseados em funções são proativos, pois fornecem aos funcionários um conjunto de condições sob as quais eles podem obter acesso autorizado.

Aplicativo

  • Os modelos baseados em regras são genéricos no sentido de que se aplicam a todos os funcionários, independentemente de sua função.
  • Os modelos baseados em funções se aplicam aos funcionários individualmente, com base em suas funções.

Estudos e Casos

Os modelos baseados em funções são apropriados para organizações em que as funções são claramente definidas e os requisitos de recursos e acesso podem ser identificados com base nessas funções. Como resultado, os modelos RBAC são apropriados para organizações com um grande número de funcionários, onde definir permissões para funcionários individuais seria difícil e demorado.

Os sistemas operacionais baseados em regras funcionam bem em organizações com menos funcionários ou onde as funções são fluidas, dificultando a atribuição de permissões "restritas". Os sistemas operacionais baseados em regras também são essenciais para organizações com várias áreas que exigem os mais altos níveis de segurança. Um modelo baseado em funções pode não fornecer proteção adequada por si só, especialmente se cada função abranger diferentes níveis de antiguidade e requisitos de acesso.

Modelos Híbridos

Os modelos de controle de acesso baseados em regras e funções são complementares, pois adotam abordagens diferentes para atingir o mesmo objetivo de maximizar a proteção. Os sistemas baseados em funções garantem que apenas funcionários autorizados tenham acesso a áreas ou recursos restritos. Os sistemas baseados em regras garantem que os funcionários autorizados tenham acesso aos recursos nos lugares certos e nos momentos certos.

Algumas organizações acreditam que nenhum dos modelos fornece o nível de segurança necessário. Para lidar com diferentes cenários, os administradores de segurança podem usar um modelo híbrido para fornecer proteção de alto nível por meio de sistemas baseados em funções e controle granular flexível por meio de modelos baseados em regras.

Os administradores podem conceder acesso a todos os funcionários por meio do modelo baseado em funções em áreas com requisitos de segurança mais baixos, como saguões de entrada, mas adicionar uma exceção baseada em regras negando acesso fora do horário comercial.

Os administradores podem atribuir permissões a funções específicas em áreas de segurança mais alta, mas usam sistemas baseados em regras para excluir funcionários em uma função que estejam apenas no nível júnior.

Um modelo híbrido como esse combina as vantagens de ambos os modelos enquanto melhora a postura geral de segurança.

Simplifique o gerenciamento do controle de acesso à porta

  • As permissões podem ser configuradas com facilidade e segurança usando funções de usuário, atributos e regras personalizadas.
  • Programe o acesso a todas as portas, portões, catracas e elevadores.
  • Desbloqueio remoto de qualquer porta ou ativação de um bloqueio de edifício
  • Com o Wave to Unlock sem toque, você só precisa de uma credencial móvel para cada entrada.
  • Para áreas de alta segurança, biometria integrada, MFA e verificação por vídeo
  • Usando um software de controle de acesso remoto baseado em nuvem, você pode alterar as permissões de acesso a qualquer momento.

Controle de acesso baseado em funções e regras versus controle de acesso baseado em atributos

Os administradores de segurança em um sistema baseado em função concedem ou negam acesso a um espaço ou recurso com base na função do funcionário na empresa.

Os administradores controlam o acesso em um sistema baseado em atributos com base em um conjunto de atributos ou características aprovados. Embora a função de um funcionário possa ser um de seus atributos, seu perfil geralmente incluirá outras características, como participação em uma equipe de projeto, grupo de trabalho ou departamento, bem como nível de gerenciamento, autorização de segurança e outros critérios.

Como o administrador só precisa definir um pequeno número de funções, um sistema baseado em funções é mais rápido e fácil de implementar. O administrador de um sistema baseado em atributos deve definir e gerenciar várias características.

O uso de várias características, por outro lado, pode ser vantajoso em certos casos de uso, pois permite que os administradores apliquem uma forma de controle mais granular.

Controle de acesso baseado em atributos vs. baseado em regras

Os administradores em um sistema baseado em regras concedem ou negam acesso com base em um conjunto de regras predeterminadas.

Em contraste, os modelos de controle de acesso baseado em atributos (ABAC) avaliam um conjunto de atributos ou características aprovados antes de conceder acesso. Os administradores podem criar um conjunto diversificado de características adaptadas aos requisitos de segurança específicos de vários pontos de acesso ou recursos. A principal distinção entre esses dois tipos é a informação e as ações usadas para conceder ou negar acesso. Os atributos ainda estão normalmente vinculados a informações pessoais sobre o funcionário, como sua equipe, status de trabalho ou liberação. Horas de trabalho, horários de portas, dispositivos e outros critérios semelhantes são frequentemente mencionados nas regras.

Ambos os modelos permitem controle de acesso granular, o que é vantajoso para organizações com requisitos de segurança específicos. Tanto os modelos baseados em regras quanto os baseados em atributos podem ser combinados com outros modelos, como controle de acesso baseado em função. Como os administradores devem definir várias regras ou atributos, a implementação e o gerenciamento de ambos os modelos podem ser demorados. Regras e atributos, por outro lado, fornecem maior escalabilidade ao longo do tempo.

Conclusão

Dois dos modelos mais importantes para determinar quem tem acesso a áreas ou recursos específicos dentro de uma empresa são o controle de acesso baseado em regras e funções. Um administrador de segurança pode gerenciar o acesso em alto nível ou aplicar regras granulares para fornecer proteção específica para áreas de alta segurança implementando o modelo mais apropriado.

O controle de acesso baseado em regras e funções permite que as empresas usem sua tecnologia de segurança de maneira verdadeiramente personalizada. Ao determinar quem tem acesso a áreas e recursos específicos dentro de um negócio, uma empresa pode implementar o melhor modelo e gerenciar o acesso em alto nível, bem como aplicar regras granulares para fornecer proteção mais robusta a áreas de alta segurança.

Embora ambos os modelos forneçam segurança efetiva e benefícios significativos, o esforço necessário para desenvolver, implementar e gerenciar políticas de segurança de acesso varia. Como um bônus adicional, os modelos baseados em regras e funções se complementam e podem ser usados ​​em conjunto para fornecer ainda mais segurança de controle de acesso.

Referências

Deixe um comentário

O seu endereço de e-mail não será publicado. Os campos obrigatórios são marcados com *

Você pode gostar