TTeknoloji

ROL TABANLI ERİŞİM KONTROLÜ RBAC: Tanım, Tarihçe ve Örnekler

rol tabanlı erişim denetimi
İçindekiler gizlemek
  1. Rol Tabanlı Erişim Kontrolü (RBAC) nedir?
  2. Rol Tabanlı Erişim Denetiminin Tarihçesi
  3. Rol Tabanlı Erişim Kontrolü RBAC Nasıl Çalışır?
  4. Rol Tabanlı Erişim Denetimi RBAC Rolü Nedir?
  5. Rol Tabanlı Erişim Kontrolü RBAC Modeli
    1. #1. çekirdek RBAC
    2. #2. Hiyerarşi RBAC
    3. #3. kısıtlı RBAC
  6. Rol Tabanlı Erişim Kontrolü Örnekleri
  7. RBAC Alternatifleri: Erişim Denetimi Türleri
    1. Erişim Kontrol Listesi (ACL)
    2. Nitelik Tabanlı Erişim Kontrolü (ABAC)
  8. RBAC Avantajları
  9. RBAC Uygulaması için En İyi Uygulamalar
  10. Sonuç
  11. Rol Tabanlı Erişim Kontrolü SSS'leri
  12. RBAC için üç temel kural nedir?
  13. ACL neden kullanılır?
  14. Rol tabanlı erişim denetimi ile kural tabanlı erişim denetimi arasındaki fark nedir?
    1. İlgili Makaleler
    2. Referanslar

Bu makale, rol tabanlı erişim denetiminin (RBAC) eksiksiz bir açıklamasının yanı sıra kuruluşunuzun ihtiyaçlarını karşılamak için RBAC'yi dağıtmak, sürdürmek ve genişletmek için adım adım bir kılavuz sunar. Rolleri, bunların nasıl tanımlanacağını ve erişimi düzenlemek için bunları kullanmanın ağınızın güvenliğini sağlamaya, yönetim maliyetlerini düşürmeye ve mevzuata uygunluğu sağlamaya nasıl yardımcı olabileceğini öğreneceksiniz. Ayrıca rol tabanlı erişim denetiminin bazı örneklerini de göreceğiz. Başlayalım.

Rol Tabanlı Erişim Kontrolü (RBAC) nedir?

Kişilere bir kuruluş içindeki rollerine göre izin verme kavramı, rol tabanlı erişim denetimi (RBAC) olarak adlandırılır. Kullanıcılara ayrı ayrı izinler sağlamaktan daha az hataya açık olan erişim yönetimine temel, kontrollü bir yaklaşım sağlar.

Rol Erişim Yönetimi için RBAC'ı kullandığınızda, kullanıcılarınızın taleplerini inceler ve bunları paylaşılan görevlere göre rollere göre gruplandırırsınız. Ardından, her kullanıcı için bir veya daha fazla rol ve her role bir veya daha fazla izin atarsınız. Kullanıcıların artık ayrım gözetmeksizin yönetilmesi gerekmediğinden, kullanıcı rolü ve rol izinleri ilişkileri, kullanıcı atamalarını üstlenmeyi kolaylaştırır.

Rol Tabanlı Erişim Denetiminin Tarihçesi

En azından 1970'lerden beri, insanlar ticari bilgisayar sistemlerine erişimi kontrol etmek için rol ve sorumluluklar kullanmışlardır. Ancak bu yöntemler geçiciydi ve sıklıkla her yeni sistem için duruma göre değiştirilmeleri gerekiyordu.

Amerikan Ulusal Standartlar Enstitüsü'ndeki (NIST) araştırmacılar, 1992 yılına kadar rol tabanlı erişim kontrolü olarak bilinen sistemi tanımlamaya başlamadılar. Aynı yıl, Ferraiolo ve Kuhn, sivil ve ticari kullanım, bugün kullandığımız modelin temellerini atıyor.

1990'lar boyunca ve 2000'lerin başında, Ferraiolo, Kuhn ve diğerleri, RBAC'ın ekonomik faydalarını araştırmak için önceki çalışmaları temel alarak RBAC'ı geliştirdiler, birleşik bir model belirlediler ve en önemlisi görev dağılımını tanımladılar. RBAC, 2004 yılında NIST tarafından resmi olarak bir endüstri standardı olarak kabul edilmiştir.

Rol Tabanlı Erişim Kontrolü RBAC Nasıl Çalışır?

RBAC'yi bir işletmeye dağıtmadan önce, kuruluş her bir rol için izinleri ayrıntılı olarak belirtmelidir. Bu, aşağıda listelenen kategorilerdeki izinlerin tam olarak belirtilmesini içerir:

  • Veri değiştirme izinleri (örn. okuma, yazma, tam erişim)
  • Şirket yazılımını kullanma erişimi
  • Bir program içindeki izinler

RBAC'den en iyi şekilde yararlanmak için önce rolleri ve izinleri modellemeniz gerekir. Tüm personel sorumluluklarının uygun ayrıcalıklar sağlayan belirli işlere atanması bunun bir parçasıdır. Kuruluş daha sonra çalışanların görevlerine göre pozisyonlar atayabilir.

Kuruluşlar, her kullanıcıya bir veya daha fazla rol atamak veya izinleri ayrı ayrı atamak için rol tabanlı erişim kontrolünü kullanabilir. Buradaki fikir, kullanıcıların herhangi bir ek ayarlama yapmadan görevlerini tamamlamalarına izin veren izinler belirlemektir.

Kimlik ve Erişim Yönetimi (IAM) teknolojileri, kuruluşlar tarafından RBAC'ı uygulamak ve izlemek için kullanılır. IAM, öncelikle tüm kimlikleri ve izinleri günlüğe kaydederek, izleyerek ve güncelleyerek büyük kuruluşlara hizmet eder. İzin atama işlemi "sağlama" olarak bilinir ve izni iptal etme işlemi "sağlamayı kaldırma" olarak bilinir. Bu tür bir sistem, tek tip ve standartlaştırılmış bir dizi rollerin oluşturulmasını gerektirir.

Rol Tabanlı Erişim Denetimi RBAC Rolü Nedir?

Roller, kuruluşların ayrıcalıklarını oluşturmak için kullanabilecekleri RBAC mimarisi içindeki anlamsaldır. Rolleri tanımlamak için yetki, sorumluluk, maliyet merkezi, iş birimi ve diğer faktörler kullanılabilir.

Rol, kullanıcı ayrıcalıklarının bir gruplandırılmasıdır. Kullanıcıların toplamı olan geleneksel gruplar, rollerle aynı şey değildir. İzinler, RBAC bağlamında doğrudan kimliklerle değil, rollerle ilgilidir. Erişim yönetimi etrafında organize oldukları için roller gruplardan daha güvenilirdir. Kimlik, normal bir işletmedeki özelliklerden ve faaliyetlerden daha sık değişir.

Rol Tabanlı Erişim Kontrolü RBAC Modeli

RBAC standardı, üç erişim denetimi biçimi tanımlar: çekirdek, hiyerarşik ve sınırlı.

#1. çekirdek RBAC

Çekirdek model, herhangi bir rol tabanlı erişim kontrol sisteminin temel bileşenlerini tanımlar. Temel RBAC, bağımsız bir erişim denetimi yaklaşımı olarak kullanılabilirken, aynı zamanda hem hiyerarşik hem de kısıtlı modeller için temel görevi görür.

Sonuç olarak, tüm RBAC aşağıda belirtilen üç kuralı izlemelidir:

  • Rol seçimi veya ataması: Bir kişi, ancak kendisine bir görev seçmiş veya atanmışsa izin kullanabilir.
  • Rol yetkilendirmesi: Bir öznenin aktif rolü yetkilendirilmelidir.
  • İzinlerin yetkilendirilmesi: Bir özne, yalnızca öznenin aktif rolü için izin verilen izinleri kullanabilir.

#2. Hiyerarşi RBAC

Savunmalarınızın zaten ihlal edildiğine inanarak, olası saldırılara karşı daha güçlü bir güvenlik duruşu alabilir ve bir ihlalin etkisini azaltabilirsiniz. Erişimi bölümlere ayırarak ve saldırı yüzeyinizi azaltarak, uçtan uca şifrelemeyi onaylayarak ve ağınızı gerçek zamanlı olarak izleyerek bir ihlalden kaynaklanan olası hasarın "patlama yarıçapını" sınırlayın.

#3. kısıtlı RBAC

Bu üçüncü RBAC standardı, çekirdek modelin rol dağılımını genişletir. Görev ayrımı ilişkileri statik veya dinamik olarak sınıflandırılır.

  • Tek bir kullanıcı, Statik Görev Ayrımı (SSD) ilişkilerinde (kuruluş tarafından tanımlandığı şekilde) birbirini dışlayan sorumluluklara sahip olamaz. Bu, örneğin bir kişinin bir satın alma işlemini hem gerçekleştirip hem de onaylayamamasını sağlar.
  • Dinamik Görev Ayrımı (DSD) modeli kapsamındaki bir kullanıcı çelişkili rollere sahip olabilir. Ancak, kullanıcı aynı oturumda her iki görevi de gerçekleştiremez. Bu kısıtlama, örneğin iki benzersiz kullanıcının bir eylemi yetkilendirmesini gerektiren iki kişi kuralı uygulayarak iç güvenlik endişelerinin kontrolüne yardımcı olur.

Rol Tabanlı Erişim Kontrolü Örnekleri

RBAC, son kullanıcıların hem geniş hem de ayrıntılı düzeylerde neler yapabileceğini kontrol etmenizi sağlar. Kullanıcının yönetici mi, uzman kullanıcı mı yoksa son kullanıcı mı olduğunu belirleyebilir, sorumlulukları ve erişim izinlerini çalışanlarınızın kurumsal konumlarıyla eşleştirebilirsiniz. İzinler, yalnızca çalışanların görevlerini yerine getirmeleri için yeterli erişime sahiptir.

Son iş kullanıcısının açıklaması değişirse ne olur? Rollerini başka bir kullanıcıya manuel olarak vermeniz gerekebilir veya bir rol grubuna roller atayabilir veya rol grubu üyelerini eklemek veya silmek için bir rol atama ilkesi kullanabilirsiniz.

Bir RBAC aracı aşağıdaki tanımlamaları içerebilir:

  • Yönetim rolü kapsamı – rol grubunun hangi öğeleri işleyebileceğini kısıtlar.
  • Yönetim rol grubu – Yönetim rol grubuna üye ekleyip kaldırabilirsiniz.
  • Yönetim rolü – bunlar, belirli bir rol grubunun başarabileceği görev türleridir.
  • Yönetim rolü atama- Bu, bir rol grubuna bir rol atama sürecidir.

Bir kullanıcı bir rol grubuna eklendiğinde, kullanıcı o gruptaki tüm rollere erişim kazanır. Kaldırıldıklarında erişim kısıtlanır. Kullanıcılar ayrıca belirli verilere veya uygulamalara geçici olarak erişmeleri gerekiyorsa çok sayıda gruba atanabilir ve proje bittikten sonra silinebilir.

Diğer kullanıcı erişim olanakları şunları içerebilir:

  • Belirli bir hesap veya rol için kilit kişi.
  • Faturalandırma – tek bir son kullanıcı için faturalandırma hesabına erişim.
  • Teknik kullanıcılar, teknik görevleri yürüten kişilerdir.
  • Yönetimsel faaliyetler yürüten kullanıcılara yönetici erişimi verilir.

RBAC Alternatifleri: Erişim Denetimi Türleri

Rol tabanlı erişim kontrolü yerine başka erişim kontrol mekanizmaları kullanılabilir.

Erişim Kontrol Listesi (ACL)

Erişim kontrol listesi (ACL), bilgi işlem kaynaklarıyla ilişkili izinleri listeleyen bir tablodur. Hangi kullanıcıların bir nesneye erişimi olduğu ve bu nesne üzerinde hangi eylemleri gerçekleştirebilecekleri hakkında işletim sistemini bilgilendirir. Her kullanıcının, her öğenin güvenlik özelliklerine bağlı bir girişi vardır. Klasik DAC sistemleri için tipik olarak ACL kullanılır.

ACL ve RBAC

Güvenlik ve yönetim maliyeti açısından RBAC, çoğu iş uygulaması için ACL'den daha iyi performans gösterir. ACL, güvenliği bireysel kullanıcı düzeyinde ve düşük düzeyli verilerde uygulamak için daha uygundur, ancak RBAC, bir yönetici tarafından denetlenen şirket çapında bir güvenlik sistemi için daha uygundur. Örneğin bir ACL, belirli bir dosyaya yazma erişimini etkinleştirebilir ancak dosyanın kullanıcı tarafından nasıl değiştirileceğini tanımlayamaz.

Nitelik Tabanlı Erişim Kontrolü (ABAC)

ABAC, çevre, sistem, nesne veya kullanıcı bilgileri gibi belirli niteliklere dayalı olarak erişim izinlerini kontrol etmek için bir dizi kural ve politika değerlendirir. Atomik veya set değerli özelliklerin ve bunların ilişkilerinin karmaşık bir değerlendirmesine dayalı olarak insanların erişimine izin vermek veya reddetmek için boole mantığını kullanır.

Pratikte bu, Role=Yönetici ve Kategori=Finansal gibi anahtar/değer kombinasyonlarını kullanan Genişletilebilir Erişim Denetimi İşaretleme Dili'nde (XACML) kurallar tanımlamanıza olanak tanır.

ABAC ve RBAC

RBAC, önceden tanımlanmış rollere dayanırken, ABAC daha dinamiktir ve ilişki tabanlı erişim kontrolünü kullanır. RBAC, erişim kontrollerini geniş vuruşlarla tanımlamak için kullanılabilirken, ABAC daha fazla ayrıntı düzeyi sağlar. Örneğin, bir RBAC sistemi tüm yöneticilere erişim izni verirken, bir ABAC politikası yalnızca finans departmanındaki yöneticilere erişim izni verir. ABAC, daha fazla işlem gücü ve zaman gerektiren daha karmaşık bir arama yapar, bu nedenle yalnızca RBAC yetersiz olduğunda kullanır.

RBAC Avantajları

  • Ağ erişiminin yönetimi ve denetimi bilgi güvenliği için kritik öneme sahiptir. Erişime, bilinmesi gerekenler temelinde izin verilebilir ve izin verilmelidir. Güvenlik, her kullanıcının iş içindeki belirtilen rolüne bağlı olarak kritik bilgilere gereksiz erişimi sınırlayarak yüzlerce veya binlerce çalışanla daha kolay yönetilir. Diğer avantajlar şunlardır:
  • İdari ve BT desteği azaltılacaktır. Bir çalışan işe alındığında veya rol değiştirdiğinde, evrak ve şifre değişikliği gereksinimini azaltmak için RBAC'ı kullanabilirsiniz. Bunun yerine, işletim sistemleri, platformlar ve uygulamalar arasında hızla rol eklemek ve bunları aktarmak için RBAC'ı kullanabilirsiniz. Ayrıca kullanıcı izinleri verirken hata olasılığını azaltır. RBAC'ın birçok ekonomik faydasından biri, idari faaliyetlere harcanan zamanın azalmasıdır. RBAC ayrıca, önceden tanımlanmış roller atayarak üçüncü taraf kullanıcıların ağınıza entegrasyonunu kolaylaştırır.
  • Operasyonel verimliliği artırmak. RBAC, mantıksal tanımlarla kolaylaştırılmış bir yaklaşım sağlar. Alt düzey erişim kontrolünü yönetmeye çalışmak yerine, tüm roller işletmenin organizasyon yapısıyla uyumlu hale getirilerek kullanıcıların görevlerini daha verimli ve özerk bir şekilde yerine getirmelerine olanak tanır.
  • Artan uyum. Federal, eyalet ve belediye kısıtlamaları tüm kuruluşlar için geçerlidir. BT departmanları ve yöneticiler, verilere nasıl erişileceğini ve kullanılacağını yönetebildiğinden, şirketler bir RBAC sistemi ile mahremiyet ve gizlilik için yasal ve düzenleyici standartları daha kolay karşılayabilir. Bu, PHI ve PCI gibi büyük miktarda hassas verileri işleyen sağlık ve finans kuruluşları için özellikle önemlidir.

RBAC Uygulaması için En İyi Uygulamalar

Kuruluşunuzda bir RBAC uygulamak, hafife alınmamalıdır. Gereksiz kafa karışıklığı veya işyeri rahatsızlıkları yaratmadan ekibi işe dahil etmek için atılması gereken birkaç genel aşama vardır. İşte başlamak için birkaç fikir.

  • Şuan ki durum: Güvenliği olan her yazılım, donanım ve uygulamanın bir listesini yapın. Bunların çoğu bir şifre gerektirecektir. Ancak, kilit altında olan sunucu odalarını dahil etmek isteyebilirsiniz. Fiziksel güvenlik, veri korumanın önemli bir bileşeni olabilir. Ayrıca, bu programların ve yerlerin her birine kimin erişimi olduğunu belirtin. Bu size mevcut veri durumunuza bir bakış sağlayacaktır.
  • Mevcut Görevler: Resmi bir kadronuz ve roller listeniz olmasa bile, her bir ekip üyesinin ne yapacağını belirlemek hızlı bir konuşma kadar basit olabilir. Ekibi, yaratıcılığı veya mevcut kültürü engellemeyecek şekilde düzenlemeye çalışın (eğer beğenirseniz).
  • İlke Oluşturun: Herhangi bir değişiklik, mevcut ve gelecekteki tüm çalışanların görebilmesi için belgelenmelidir. Bir RBAC çözümü kullanıyor olsanız bile, yeni sisteminizi açıkça ifade eden bir belgeye sahip olmak sorunları önlemenize yardımcı olacaktır.
  • Değişiklikler: Mevcut güvenlik durumu ve rolleri bilindiğinde (ve bir politika oluşturulduğunda), değişiklikleri uygulama zamanı gelmiştir.
  • Sürekli uyum sağlayın: İlk RBAC yinelemesinin bazı değişikliklere ihtiyacı olması muhtemeldir. Başlangıçta, görevlerinizi ve güvenlik durumunuzu sık sık değerlendirmelisiniz. Önce yaratıcı/üretim sürecinizin ne kadar iyi çalıştığını ve ardından sürecinizin ne kadar güvenli olduğunu değerlendirin.

Sonuç

Veri koruma, herhangi bir şirket için kritik bir iş işlevidir. Bir RBAC sistemi, şirket bilgilerinin mahremiyet ve gizlilik yasalarına uygun olmasını sağlayabilir. Ayrıca, kuruluş üzerinde rekabet etkisi olan fikri mülkiyete erişim gibi temel ticari faaliyetleri güvence altına alabilir.

Rol Tabanlı Erişim Kontrolü SSS'leri

RBAC için üç temel kural nedir?

Rol izinleri, kullanıcı-rol ve rol-rol ilişkileri gibi RBAC bileşenleri, kullanıcı atamalarını basitleştirir.

ACL neden kullanılır?

Gelişmiş ağ performansı için azaltılmış ağ trafiği. Bir kullanıcının sunucu/ağ/hizmetin hangi bölümlerine erişebileceğini ve erişemeyeceğini belirten bir ağ güvenlik düzeyi. Sisteme giren ve çıkan trafiğin ayrıntılı takibi.

Rol tabanlı erişim denetimi ile kural tabanlı erişim denetimi arasındaki fark nedir?

Çalışan erişim seviyeleri, doğası gereği önleyici olan kural tabanlı erişim kontrolleri tarafından belirlenmez. Bunun yerine istenmeyen erişimi engellemek için çalışırlar. Rol tabanlı modeller, çalışanlara onaylı erişim elde edebilecekleri bir dizi koşul sundukları için proaktiftir.

Referanslar

Peace, yeteneklerini BusinessYield gibi kuruluşlara ödünç veren kıdemli bir içerik yazarı, strateji uzmanı ve editördür. Geçmişi, B2B SaaS, uzman pazarlama ajansları ve eğlence alanlarındaki sektör uzmanlığıyla birlikte içerik oluşturma ve düşünce liderliği üzerinedir. Merkezi Missisauga, Ontario, CA'da bulunmaktadır ve Waterloo Üniversitesi'nden Dijital İletişim ve Gazetecilik Yeniliği alanında yüksek lisans derecesine sahiptir. İşi yoğun olmadığı zamanlarda seyahat etmeyi, okumayı ve karbonhidrat yemeyi seviyor. Zengin finans ve pazarlama deneyimlerine dayanarak iş makaleleri yazmayı seviyor.

Yorum bırak

E-posta hesabınız yayımlanmayacak. Gerekli alanlar işaretlenmişlerdir. *

- Önceki makale

KURAL TABANLI ERİŞİM KONTROLÜ (RuBAC): Tanım ve En İyi Uygulamalar

Sonraki makale -

ZORUNLU ERİŞİM KONTROLÜ MAC: Nasıl Çalışır?

Hoşunuza gidebilir