TТехнологии

КОНТРОЛЬ ДОСТУПА НА ОСНОВЕ ПРАВИЛ (RuBAC): определение и лучшие практики

Управление доступом на основе правил
Содержание Спрятать
  1. Что такое управление доступом на основе правил (RBAC или RuBAC)?
  2. Как работает управление доступом на основе правил RBAC?
  3. Преимущества управления доступом на основе правил RBAC
  4. Недостатки управления доступом на основе правил RBAC
  5. В чем разница между управлением доступом на основе правил и на основе ролей?
  6. Каково правило контроля доступа?
  7. Внедрение контроля доступа на основе правил
  8. Управление доступом на основе правил и управление доступом на основе ролей
    1. Эксплуатация
    2. Цель
    3. Применение
  9. Примеры применения георадаров
  10. Гибридные модели
    1. Упростите управление контролем доступа к дверям
  11. Управление доступом на основе ролей и правил по сравнению с контролем доступа на основе атрибутов
  12. Управление доступом на основе атрибутов и на основе правил
  13. Заключение
    1. Статьи по теме
    2. Рекомендации

Контроль доступа — это набор методов, стратегий и политик, которые позволяют отдельным лицам получать доступ к компьютерам, сети и ресурсам данных компании. RBAC (также известный как RuBAC) разрешает или ограничивает доступ на основе правил, гарантируя, что люди, которые могут получить доступ к вычислительной инфраструктуре компании, имеют доступ именно к тем ресурсам, которые им требуются, не больше и не меньше.
Если это кажется немного туманным, это потому, что концепция широка. В этом руководстве объясняется концепция управления доступом на основе правил RBAC и когда предприятия могут использовать его для защиты себя.

Что такое управление доступом на основе правил (RBAC или RuBAC)?

Как следует из названия, управление доступом на основе правил RBAC — это система, основанная на предопределенных условиях предоставления или отказа в доступе различным пользователям.

В большинстве случаев эти правила основаны на характеристиках отдельных пользователей. Это также называется управлением доступом на основе атрибутов (ABAC).

Правила также могут быть основаны на других контекстных значениях. Факторы, относящиеся, например, к предыдущим действиям или текущему этапу объекта в определенном рабочем процессе. Вы даже можете создавать правила на основе системных переменных, таких как текущее время суток или загрузка сервера.

Этот тип управления доступом влечет за собой настройку различных условий на основе существующих атрибутов пользователей. Затем они используются для автоматического назначения разрешений отдельным лицам.

Затем система использует логическую логику, чтобы определить, является ли каждое условие истинным или ложным, и либо назначает разрешения, либо переходит к следующему вложенному условию.

Правила могут быть построены вокруг нескольких комбинаций атрибутов или только одной. Например, очень простая система, основанная на правилах, может учитывать только текущее местоположение пользователя при определении разрешений.

В более сложной системе вы можете учитывать их отдел, стаж работы, текущее устройство или любые другие атрибуты или факторы среды в дополнение к их местонахождению.

Как работает управление доступом на основе правил RBAC?

ИТ-отдел устанавливает правила высокого уровня, основанные на специфике того, что, как, где и когда кто-то пытается получить доступ с помощью RBAC. Каждый ресурс связан со списком управления доступом или ACL. Когда кто-то пытается использовать данный ресурс, операционная система проверяет ACL, чтобы убедиться, что попытка соответствует всем правилам доступа к ресурсу.

Компонент «правило» RBAC относится к ограничениям на то, когда, как и где предоставляется доступ. Вот несколько примеров:

  • У каждого в сети есть IP-адрес, который сеть использует для определения местоположения. Правило может заключаться в том, что только люди с IP-адресами в определенном географическом диапазоне, например в регионе, где работает команда бухгалтеров, могут использовать корпоративную систему учета. Это можно было бы еще более точно контролировать, например, разрешить людям с определенных адресов доступ к кредиторской задолженности, но не к дебиторской.
  • Разрешения и ограничения могут быть связаны с портами, которые действуют как определенные сетевые двери. Только запросы на соответствующие порты будут рассматриваться как потенциально действительные. Например, один порт может быть связан с устройством, которое принимает загрузку документов из удаленных мест. В этом случае запрос на загрузку в другую область сети может быть отклонен.
  • Некоторые типы доступа могут быть ограничены определенным временем, например, в стандартное рабочее время. Никто не сможет получить доступ к этим вычислительным ресурсам за пределами этих временных интервалов. Ограничение по времени помогает удерживать преступников от доступа к системам в нерабочее время, когда на страже находится меньше экспертов по безопасности.
Читайте также: РОЛЕВОЙ КОНТРОЛЬ ДОСТУПА RBAC: определение, история и примеры
  • Кому-то, кому требуется доступ к конфиденциальным записям, могут быть предоставлены дополнительные учетные данные, которые они должны использовать во всех будущих попытках доступа. Кроме того, у них может быть ограничение на то, сколько раз они могут использовать определенный ресурс в неделю, или у них может быть тайм-аут, так что разрешение будет только временным.
  • В той мере, в какой RBAC можно использовать для разрешения доступа, его также можно использовать для предотвращения доступа, будь то внутри бизнес-инфраструктуры или к внешним ресурсам. Например, компания может не захотеть, чтобы кто-либо из сотрудников использовал приложения для потокового видео в рабочее время, или она может заблокировать всю электронную почту (маловероятно, но пользователь может мечтать).

Главное помнить, что RBAC управляет контекстом доступа. Хотя акцент делается на сотрудников компании, те же концепции могут применяться к компании, которая предоставляет контролируемый доступ к некоторым ресурсам для клиентов или деловых партнеров.

Наконечник: Управление доступом на основе правил RBAC необходимо для крупных организаций с несколькими ролями и разным уровнем знаний. Некоторые аспекты системы должны быть закрыты для всех, кому она не нужна для выполнения их работы по соображениям безопасности и эффективности.

Преимущества управления доступом на основе правил RBAC

Для бизнеса управление доступом на основе правил RBAC имеет множество преимуществ:

  • Вы можете лучше регулировать вопросы соблюдения законодательства, стандартизируя и контролируя контекст доступа к ресурсам.
  • RBAC повышает безопасность, применяя необходимые ограничения на использование ресурсов. Это может затруднить атаку внешних преступников на вычислительную инфраструктуру вашей компании.
  • Правильно спроектированная система RBAC не только повышает безопасность, но и регулирует использование сети. Вы можете ограничить использование ресурсоемких процессов и программного обеспечения днями и временем, когда спрос ниже. Например, можно запланировать запуск сложных управленческих отчетов или маркетинговой аналитики только посреди ночи, когда вычислительной мощности достаточно.
  • RBAC может автоматически применять необходимые ограничения без привлечения ИТ-специалистов или персонала службы поддержки. Вместо того, чтобы требовать, чтобы ваш ИТ-персонал вручную отслеживал использование и вспоминал об отзыве привилегий позже, вы можете автоматизировать изменения и установить дополнительные разрешения на ограниченное время в необычных обстоятельствах.
  • Вместо того, чтобы предоставлять чрезмерно широкий доступ слишком большому количеству людей, вы можете сколь угодно детально контролировать то, как вы управляете доступом.
  • Только администраторы имеют право изменять правила, уменьшая вероятность ошибок.

Недостатки управления доступом на основе правил RBAC

RBAC, как и все остальное, имеет ограничения.

  • Настройка подробных правил на нескольких уровнях требует времени и предварительной работы со стороны вашего ИТ-персонала. Вам также потребуется какой-либо постоянный мониторинг, чтобы убедиться, что правила работают правильно и не устаревают.
  • Вашим сотрудникам система контроля доступа может показаться громоздкой и неудобной. Когда возникает необходимость в работе, выходящей за рамки обычных шаблонов, вам или другому администратору потребуется изменить правило или предоставить обходной путь.
  • Когда ваш ИТ-персонал должен перепрограммировать определенное правило для необычных обстоятельств, а затем снова включить его, необходимость регулярных изменений может стать бременем.
  • RBAC не рассматривает конкретные отношения между ресурсами, людьми, операциями и другими аспектами операций или инфраструктуры из-за своей зависимости от правил. Необходимая структура правил может стать чрезвычайно сложной без дополнительных механизмов контроля.

Система управления доступом на основе правил может обеспечить важную дополнительную безопасность в зависимости от потребностей вашей компании. Однако одного этого может быть недостаточно. Вашей компании также потребуется опыт для создания и поддержания правил, а также для их адаптации или изменения по мере необходимости.

В чем разница между управлением доступом на основе правил и на основе ролей?

Уровни доступа сотрудников не определяются средствами управления доступом на основе правил, которые носят превентивный характер. Вместо этого они работают для предотвращения несанкционированного доступа. Ролевые модели активны в том смысле, что они предоставляют сотрудникам набор условий, при которых они могут получить авторизованный доступ.

Каково правило контроля доступа?

Домен, тип объекта, состояние жизненного цикла и участник назначаются набору разрешений с помощью правила управления доступом. Правило управления доступом определяет права пользователя, группы, роли или организации на доступ к объектам определенного типа и состояния в пределах домена.

Внедрение контроля доступа на основе правил

Когда дело доходит до реализации управления доступом на основе правил и рассмотрения передовых методов управления на основе правил, необходимо предпринять несколько важных шагов:

  • Изучите текущие правила доступа – Изучите как правила, применимые к конкретным точкам доступа, так и общие правила, применимые ко всем точкам доступа. Определите любые области высокого риска, в которых отсутствуют определенные правила доступа. Поскольку уязвимости безопасности постоянно меняются и развиваются, это следует делать на регулярной основе.
  • Анализ сценариев «что, если» Определите потенциальные сценарии, которые могут потребовать применения дополнительных правил для снижения риска.
  • Обновите или создайте правила на основе оценки. Установите новые правила или обновите существующие правила, чтобы повысить уровень безопасности.
  • Избегайте конфликтов разрешений путем сравнения правил с разрешениями, установленными другими моделями управления доступом, чтобы убедиться в отсутствии конфликтов, которые могли бы ошибочно запретить доступ.
  • Документировать и публиковать правила –Публикуйте самые важные правила и сообщайте обо всех изменениях, чтобы все сотрудники понимали свои права доступа и обязанности. Хотя сотрудникам, возможно, и не нужно знать подробности, очень важно, чтобы они понимали, как изменения политики могут повлиять на их повседневную деятельность.
  • Проводить регулярные проверки – Проводите регулярные аудиты системы для выявления любых проблем с доступом или пробелов в безопасности. Изучите любые проблемы безопасности, вызванные слабым контролем доступа, и, при необходимости, измените правила.

Управление доступом на основе правил и управление доступом на основе ролей

Администраторы безопасности настраивают обе модели и управляют ими. Сотрудники не могут изменять свои разрешения или контролировать доступ, потому что они являются обязательными, а не необязательными. Однако между управлением доступом на основе правил и на основе ролей есть некоторые существенные различия, которые могут помочь определить, какая модель лучше всего подходит для данного варианта использования.

Эксплуатация

  • Модели на основе правил определяют правила, которые применяются ко всем рабочим ролям.
  • Разрешения в ролевых моделях основаны на конкретных рабочих ролях.

Цель

  • Уровни доступа сотрудников не определяются средствами управления доступом на основе правил, которые носят превентивный характер. Вместо этого они работают для предотвращения несанкционированного доступа.
  • Ролевые модели активны в том смысле, что они предоставляют сотрудникам набор условий, при которых они могут получить авторизованный доступ.

Применение

  • Модели, основанные на правилах, являются общими в том смысле, что они применимы ко всем сотрудникам, независимо от их роли.
  • Ролевые модели применяются к сотрудникам на индивидуальной основе в зависимости от их ролей.

Примеры применения георадаров

Ролевые модели подходят для организаций, где роли четко определены, а требования к ресурсам и доступу могут быть определены на основе этих ролей. В результате модели RBAC подходят для организаций с большим количеством сотрудников, где установка разрешений для отдельных сотрудников может быть сложной и трудоемкой.

Операционные системы, основанные на правилах, хорошо работают в организациях с меньшим количеством сотрудников или в тех организациях, где роли изменчивы, что затрудняет назначение «жестких» разрешений. Операционные системы, основанные на правилах, также важны для организаций, в которых требуется высочайший уровень безопасности. Модель на основе ролей сама по себе может не обеспечивать адекватной защиты, особенно если каждая роль охватывает разные уровни старшинства и требования к доступу.

Гибридные модели

Модели управления доступом на основе правил и ролей дополняют друг друга в том смысле, что они используют разные подходы для достижения одной и той же цели — максимальной защиты. Ролевые системы гарантируют, что только авторизованные сотрудники имеют доступ к ограниченным областям или ресурсам. Системы, основанные на правилах, гарантируют, что уполномоченные сотрудники имеют доступ к ресурсам в нужном месте и в нужное время.

Некоторые организации считают, что ни одна из моделей не обеспечивает необходимого уровня безопасности. Чтобы справиться с различными сценариями, администраторы безопасности могут использовать гибридную модель, чтобы обеспечить как высокоуровневую защиту с помощью систем на основе ролей, так и гибкий детальный контроль с помощью моделей на основе правил.

Администраторы могут предоставить доступ всем сотрудникам с помощью модели на основе ролей в областях с более низкими требованиями к безопасности, таких как вестибюли, но добавить исключение на основе правил, запрещающее доступ в нерабочее время.

Администраторы могут назначать разрешения определенным ролям в областях с более высоким уровнем безопасности, но используют системы на основе правил, чтобы исключить сотрудников в роли, которые находятся только на младшем уровне.

Гибридная модель, подобная этой, сочетает в себе преимущества обеих моделей, повышая при этом общий уровень безопасности.

Упростите управление контролем доступа к дверям

  • Разрешения можно легко и безопасно настроить с помощью ролей пользователей, атрибутов и пользовательских правил.
  • Запланируйте доступ ко всем дверям, воротам, турникетам и лифтам.
  • Дистанционное отпирание любой двери или активация блокировки здания
  • Благодаря бесконтактной технологии Wave to Unlock вам потребуется только одно мобильное удостоверение для каждой записи.
  • Для зон с высоким уровнем безопасности встроенная биометрия, многофакторная аутентификация и видеоверификация
  • Используя удаленное облачное программное обеспечение для контроля доступа, вы можете изменить права доступа в любое время.

Управление доступом на основе ролей и правил по сравнению с контролем доступа на основе атрибутов

Администраторы безопасности в ролевой системе предоставляют или запрещают доступ к пространству или ресурсу в зависимости от роли сотрудника в бизнесе.

Администраторы контролируют доступ в системе на основе атрибутов на основе набора утвержденных атрибутов или характеристик. Хотя роль сотрудника может быть одним из его атрибутов, его профиль обычно включает другие характеристики, такие как членство в проектной группе, рабочей группе или отделе, а также уровень управления, уровень допуска и другие критерии.

Поскольку администратору необходимо определить лишь небольшое количество ролей, ролевая система реализуется быстрее и проще. Администратор системы на основе атрибутов должен определить несколько характеристик и управлять ими.

С другой стороны, использование нескольких характеристик может быть выгодным в определенных случаях использования, поскольку позволяет администраторам применять более детализированную форму контроля.

Управление доступом на основе атрибутов и на основе правил

Администраторы в системе, основанной на правилах, предоставляют или запрещают доступ на основе набора предопределенных правил.

Напротив, модели управления доступом на основе атрибутов (ABAC) оценивают набор утвержденных атрибутов или характеристик перед предоставлением доступа. Администраторы могут создавать разнообразные наборы характеристик, соответствующие конкретным требованиям безопасности различных точек доступа или ресурсов. Основное различие между этими двумя типами заключается в информации и действиях, используемых для предоставления или отказа в доступе. Атрибуты по-прежнему обычно связаны с личной информацией о сотруднике, такой как его команда, статус работы или допуск. В правилах часто упоминаются рабочее время, расписание дверей, устройства и другие подобные критерии.

Обе модели обеспечивают детальный контроль доступа, что удобно для организаций с особыми требованиями к безопасности. И модели, основанные на правилах, и модели, основанные на атрибутах, можно комбинировать с другими моделями, такими как управление доступом на основе ролей. Поскольку администраторы должны определить несколько правил или атрибутов, реализация обеих моделей и управление ими могут занимать много времени. С другой стороны, правила и атрибуты обеспечивают большую масштабируемость с течением времени.

Заключение

Двумя наиболее важными моделями для определения того, кто имеет доступ к определенным областям или ресурсам в бизнесе, является управление доступом на основе правил и ролей. Администратор безопасности может управлять доступом на высоком уровне или применять детальные правила для обеспечения конкретной защиты областей с высоким уровнем безопасности путем реализации наиболее подходящей модели.

Контроль доступа на основе правил и ролей позволяет компаниям использовать свои технологии безопасности по-настоящему индивидуально. Определив, кто имеет доступ к определенным областям и ресурсам в рамках бизнеса, компания может реализовать наилучшую модель и управлять доступом на высоком уровне, а также применять детальные правила для обеспечения более надежной защиты областей с высоким уровнем безопасности.

Хотя обе модели обеспечивают эффективную безопасность и значительные преимущества, усилия, необходимые для разработки, внедрения и управления политиками безопасности доступа, различаются. В качестве дополнительного бонуса модели на основе правил и ролей дополняют друг друга и могут использоваться в тандеме для обеспечения еще большей безопасности управления доступом.

Рекомендации

Пис — старший автор контента, стратег и редактор, предоставляющая свои таланты таким организациям, как BusinessYield. Ее опыт работы в области создания контента и интеллектуального лидерства, а также отраслевой опыт в B2B SaaS, специализированных маркетинговых агентствах и сфере развлечений. Базируется в Миссисауге, Онтарио, Калифорния, имеет степень магистра в области цифровых коммуникаций и инноваций в журналистике Университета Ватерлоо. Когда у нее нет работы, она любит путешествовать, читать и есть углеводы. Она любит писать бизнес-статьи, основываясь на своем богатом финансовом и маркетинговом опыте.

Оставьте комментарий

Ваш электронный адрес не будет опубликован. Обязательные поля помечены * *

- Предыдущая статья

Идеи, игры и подарки для рождественской вечеринки в офисе в 2023 году

Следующая статья -

РОЛЕВОЙ КОНТРОЛЬ ДОСТУПА RBAC: определение, история и примеры

Вам также может понравиться
Технологические компании:
Узнать больше
    TТехнологии

    ТОП-ТЕХНОЛОГИЧЕСКИЕ КОМПАНИИ: Лучшие компании для работы, Мир, Чикаго и Остин

    Table of Contents Hide Tech CompaniesВажнейшие технологические компании, в которых Чикаго будет работать №1. Авант №2. Четыре воздушных змея#3. Мейвен Волна №4. Оппкредиты №5. Циско…
    Мониторинг безопасности
    Узнать больше
      TТехнологии

      МОНИТОРИНГ БЕЗОПАСНОСТИ: определение, процесс, инструменты и важность

      Содержание Скрыть Что такое мониторинг безопасности? Главная Система мониторинга безопасности Компания по мониторингу безопасностиСеть мониторинга безопасностиПочему мониторинг безопасности…