TTeknoloji

KURAL TABANLI ERİŞİM KONTROLÜ (RuBAC): Tanım ve En İyi Uygulamalar

Kural tabanlı erişim kontrolü
İçindekiler gizlemek
  1. Kural Tabanlı Erişim Kontrolü (RBAC veya RuBAC) Nedir?
  2. Kural Tabanlı Erişim Kontrolü RBAC Nasıl Çalışır?
  3. Kural Tabanlı Erişim Kontrolü RBAC'nin Avantajları
  4. Kural Tabanlı Erişim Kontrolü RBAC'nin Dezavantajları
  5. Kural tabanlı ve rol tabanlı erişim denetimi arasındaki fark nedir?
  6. Erişim kontrolünde kural nedir?
  7. Kural Tabanlı Erişim Denetimi Uygulama
  8. Kural Tabanlı ve Rol Tabanlı Erişim Kontrolü
    1. Çalışma
    2. Amaç
    3. Uygulama
  9. Durum çalışmaları
  10. Hibrit Modeller
    1. Kapı Geçiş Kontrol Yönetimini Basitleştirin
  11. Rol Tabanlı ve Kural Tabanlı Erişim Kontrolü ile Nitelik Tabanlı Erişim Kontrolü karşılaştırması
  12. Öznitelik tabanlı ve Kural tabanlı Erişim Kontrolü
  13. Sonuç
    1. İlgili Makaleler
    2. Referanslar

Erişim kontrolü, bireylerin bir şirketin bilgisayarına, ağına ve veri kaynaklarına erişmesine izin veren bir dizi teknik, strateji ve politikadır. RBAC (RuBAC olarak da bilinir), kurallara dayalı olarak erişime izin verir veya kısıtlar, bir şirketin bilgi işlem altyapısına erişebilen kişilerin tam olarak ihtiyaç duydukları kaynaklara erişmelerini sağlar, ne eksik ne fazla.
Bu biraz puslu görünüyorsa, bunun nedeni kavramın geniş olmasıdır. Bu kılavuz, kural tabanlı erişim denetimi RBAC kavramını ve işletmelerin bunu kendilerini korumak için ne zaman kullanabileceğini açıklayacaktır.

Kural Tabanlı Erişim Kontrolü (RBAC veya RuBAC) Nedir?

Adından da anlaşılacağı gibi, kural tabanlı erişim kontrolü RBAC, çeşitli kullanıcılara erişim vermek veya reddetmek için önceden tanımlanmış koşullara dayanan bir sistemdir.

Çoğu zaman, bu kurallar bireysel kullanıcıların özelliklerine dayanmaktadır. Bu aynı zamanda öznitelik tabanlı erişim denetimi (ABAC) olarak da adlandırılır.

Kurallar ayrıca diğer bağlamsal değerlere de dayanabilir. Örneğin önceki eylemlerle veya nesnenin belirli bir iş akışındaki mevcut aşamasıyla ilgili faktörler. Günün geçerli saati veya sunucu yükü gibi sistem değişkenlerine dayalı kurallar bile oluşturabilirsiniz.

Bu tür erişim denetimi, kullanıcıların mevcut özniteliklerine dayalı olarak farklı koşulların yapılandırılmasını gerektirir. Bunlar daha sonra kişilere otomatik olarak izinler atamak için kullanılır.

Sistem daha sonra her koşulun doğru mu yanlış mı olduğunu belirlemek için boole mantığını kullanır ve ya izinler atar ya da bir sonraki iç içe koşula geçer.

Kurallar, birden çok öznitelik kombinasyonu veya yalnızca bir tanesi etrafında oluşturulabilir. Örneğin, çok basit bir kural tabanlı sistem, izinleri belirlerken yalnızca kullanıcının mevcut konumunu dikkate alabilir.

Daha karmaşık bir sistemde, konumlarına ek olarak departmanlarını, hizmet sürelerini, mevcut cihazlarını veya diğer özellikleri veya çevresel faktörleri göz önünde bulundurabilirsiniz.

Kural Tabanlı Erişim Kontrolü RBAC Nasıl Çalışır?

Bir BT departmanı, birisinin RBAC kapsamında ne, nasıl, nerede ve ne zaman erişim sağlamaya çalıştığına ilişkin ayrıntılara dayalı olarak üst düzey kurallar oluşturur. Her kaynak bir erişim kontrol listesi veya ACL ile ilişkilendirilir. Birisi belirli bir kaynağı kullanmaya çalıştığında, işletim sistemi, girişimin kaynağa erişim için tüm kurallara uyup uymadığını görmek için ACL'yi kontrol eder.

RBAC'ın "kural" bileşeni, erişimin ne zaman, nasıl ve nerede verildiğine ilişkin kısıtlamaları ifade eder. Burada bir çift örnek var:

  • Bir ağdaki herkesin, ağın konumları belirlemek için kullandığı bir IP adresi vardır. Bir kural, yalnızca muhasebe ekibinin çalıştığı bölge gibi belirli bir coğrafi aralıkta IP adreslerine sahip kişilerin kurumsal muhasebe sistemini kullanmasına izin verilmesi olabilir. Belirli adreslerdeki kişilerin alacak hesaplarına değil, ödenecek hesaplara erişmesine izin vermek gibi, daha da hassas bir şekilde kontrol edilebilir.
  • İzinler ve kısıtlamalar, belirli ağ kapıları olarak işlev gören bağlantı noktalarına bağlanabilir. Yalnızca uygun bağlantı noktalarındaki istekler potansiyel olarak geçerli olarak kabul edilecektir. Örneğin bir bağlantı noktası, uzak konumlardan belge yüklemelerini kabul eden bir tesise bağlanabilir. Bu durumda, ağın başka bir alanına yükleme talebi reddedilebilir.
  • Belirli erişim türleri, standart iş saatleri gibi belirli saatlerle sınırlandırılabilir. Bu zaman dilimlerinin dışında hiç kimse bu bilgi işlem kaynaklarına erişemezdi. Zaman kısıtlamaları, daha az güvenlik uzmanının mevcut ve tetikte olduğu mesai saatleri dışında suçluları sistemlerden uzak tutmaya yardımcı olur.
Ayrıca Oku: ROL TABANLI ERİŞİM KONTROLÜ RBAC: Tanım, Tarihçe ve Örnekler
  • Hassas kayıtlara erişmesi gereken birine, gelecekteki tüm erişim girişimlerinde kullanmaları gereken ek kimlik bilgileri verilebilir. Alternatif olarak, belirli bir kaynağı haftada kaç kez kullanabilecekleri konusunda bir sınırlamaları olabilir veya iznin yalnızca geçici olması için bir zaman aşımı süreleri olabilir.
  • RBAC, erişime izin vermek için kullanılabildiği kadar, işletmenin altyapısı içinde veya dış kaynaklara erişimi engellemek için de kullanılabilir. Örneğin şirket, herhangi bir çalışanın mesai saatleri içinde video akışı uygulamalarını kullanmasını istemeyebilir veya tüm e-postaları engelleyebilir (muhtemelen, ancak bir kullanıcı hayal edebilir).

Hatırlanması gereken en önemli şey, RBAC'ın erişim bağlamını yönettiğidir. Vurgu şirket çalışanları üzerindeyken, aynı kavramlar müşterilere veya iş ortaklarına bazı kaynaklara kontrollü erişim sağlayan bir şirket için de geçerli olabilir.

Bahşiş: Kural tabanlı erişim denetimi RBAC, birden çok role ve farklı uzmanlık düzeylerine sahip daha büyük kuruluşlar için gereklidir. Sistemin belirli yönleri, güvenlik ve verimlilik nedenleriyle işini tamamlamasını gerektirmeyen herkese yasak olmalıdır.

Kural Tabanlı Erişim Kontrolü RBAC'nin Avantajları

Bir işletme için, kural tabanlı erişim denetimi RBAC'ın sayısız avantajı vardır:

  • Kaynak erişimi bağlamını standartlaştırarak ve kontrol ederek yasal uyumluluk sorunlarını daha iyi düzenleyebilirsiniz.
  • RBAC, gerekli kaynak kullanım sınırlarını zorlayarak güvenliği artırır. Bu, harici suçluların şirketinizin bilgi işlem altyapısına saldırmasını zorlaştırabilir.
  • Düzgün tasarlanmış bir RBAC sistemi, yalnızca güvenliği artırmakla kalmaz, aynı zamanda ağ kullanımını da düzenler. Kaynak yoğun süreçlerin ve yazılımların kullanımını talebin daha düşük olduğu gün ve saatlerle sınırlayabilirsiniz. Örneğin, karmaşık yönetim raporlarını veya pazarlama analizlerini yalnızca yeterli işlem gücü olduğunda gecenin bir yarısında çalışacak şekilde planlayabilirsiniz.
  • RBAC, BT veya destek personelini dahil etmeden gerekli kısıtlamaları otomatik olarak uygulayabilir. BT personelinizin kullanımı manuel olarak izlemesini ve daha sonra ayrıcalıkları iptal etmeyi hatırlamasını istemek yerine, olağandışı durumlarda değişiklikleri otomatikleştirebilir ve sınırlı bir süre için ek izinler ayarlayabilirsiniz.
  • Çok fazla kişiye aşırı geniş erişim sağlamak yerine, erişimi nasıl kontrol ettiğiniz konusunda istediğiniz kadar ayrıntılı olabilirsiniz.
  • Yalnızca yöneticilerin kuralları değiştirme yetkisi vardır, bu da hata olasılığını azaltır.

Kural Tabanlı Erişim Kontrolü RBAC'nin Dezavantajları

RBAC, diğer her şey gibi sınırlamalara sahiptir.

  • Ayrıntılı kuralları birden çok düzeyde yapılandırmak zaman alır ve BT personelinizin bazı ön çalışmalarını gerektirir. Ayrıca, kuralların düzgün bir şekilde işlemesini ve eskimemesini sağlamak için bir tür sürekli izlemeye ihtiyacınız olacak.
  • Çalışanlarınız erişim kontrol sistemini hantal ve uygunsuz bulabilir. Olağan kalıpların dışında çalışmak gerekli hale geldiğinde, sizin veya başka bir yöneticinin bir kuralı değiştirmesi veya bir geçici çözüm sağlaması gerekir.
  • BT personeliniz olağandışı bir durum için belirli bir kuralı yeniden programlaması ve ardından geri alması gerektiğinde, düzenli değişiklik ihtiyacı bir yük haline gelebilir.
  • RBAC, kurallara bağlı olması nedeniyle kaynaklar, insanlar, operasyonlar ve operasyonların veya altyapının diğer yönleri arasındaki belirli ilişkileri dikkate almaz. Gerekli kuralların yapısı, ek kontrol mekanizmaları olmaksızın son derece karmaşık hale gelebilir.

Kural tabanlı bir erişim kontrol sistemi, şirketinizin ihtiyaçlarına bağlı olarak önemli ek güvenlik sağlayabilir. Ancak tek başına yeterli olmayabilir. Şirketiniz ayrıca kuralları oluşturmak ve sürdürmek ve gerektiğinde uyarlamak veya değiştirmek için uzmanlığa ihtiyaç duyacaktır.

Kural tabanlı ve rol tabanlı erişim denetimi arasındaki fark nedir?

Çalışan erişim seviyeleri, doğası gereği önleyici olan kural tabanlı erişim kontrolleri tarafından belirlenmez. Bunun yerine yetkisiz erişimi engellemek için çalışırlar. Rol tabanlı modeller, çalışanlara yetkili erişim elde edebilecekleri bir dizi koşul sağladıkları için proaktiftir.

Erişim kontrolünde kural nedir?

Bir etki alanı, bir nesne türü, bir yaşam döngüsü durumu ve bir katılımcının tümü, bir erişim denetimi kuralı tarafından bir dizi izine atanır. Erişim denetimi kuralı, bir kullanıcının, grubun, rolün veya kuruluşun belirli bir türdeki nesnelere ve bir etki alanındaki duruma erişme haklarını belirtir.

Kural Tabanlı Erişim Denetimi Uygulama

Kural tabanlı erişim denetimi uygulamak ve kural tabanlı denetim en iyi uygulamalarını değerlendirmek söz konusu olduğunda, atılması gereken birkaç önemli adım vardır:

  • Mevcut erişim kurallarını inceleyin – Hem belirli erişim noktalarına uygulanan kuralları hem de tüm erişim noktalarına uygulanan genel kuralları inceleyin. Belirli erişim kuralları olmayan yüksek riskli alanları belirleyin. Güvenlik açıkları sürekli değişip geliştiğinden, bunun düzenli olarak yapılması gerekir.
  • “Ya olursa” senaryolarını analiz edin – Riski azaltmak için ek kuralların uygulanmasını gerektirebilecek olası senaryoları belirleyin.
  • Değerlendirmeye dayalı olarak kuralları güncelleyin veya oluşturun. Güvenlik seviyelerini artırmak için yeni kurallar belirleyin veya mevcut kuralları güncelleyin.
  • İzin çakışmalarından kaçının erişimi yanlış bir şekilde reddedecek hiçbir çakışma olmadığından emin olmak için kuralları diğer erişim kontrol modelleri tarafından belirlenen izinlerle karşılaştırarak.
  • Belgeleme ve yayınlama kuralları –Tüm çalışanların erişim haklarını ve sorumluluklarını anlamalarını sağlamak için en önemli kuralları yayınlayın ve değişiklikleri bildirin. Çalışanların ayrıntıları bilmesi gerekmese de, politika değişikliklerinin günlük operasyonlarını nasıl etkileyebileceğini anlamaları çok önemlidir.
  • Düzenli incelemeler yapın - Erişim sorunlarını veya güvenlik açıklarını belirlemek için düzenli sistem denetimleri yapın. Gevşek erişim kontrolünden kaynaklanan güvenlik sorunlarını inceleyin ve gerekirse kuralları gözden geçirin.

Kural Tabanlı ve Rol Tabanlı Erişim Kontrolü

Güvenlik yöneticileri her iki modeli de yapılandırır ve yönetir. Çalışanlar, isteğe bağlı değil zorunlu oldukları için izinlerini değiştiremez veya erişimi denetleyemez. Ancak, belirli bir kullanım durumu için hangi modelin en iyi olduğunu belirlemeye yardımcı olabilecek, kural tabanlı ve rol tabanlı erişim denetimi arasında bazı önemli farklılıklar vardır.

Çalışma

  • Kural tabanlı modeller, tüm iş rolleri için geçerli olan kuralları tanımlar.
  • Rol tabanlı modellerdeki izinler, belirli iş rollerine dayalıdır.

Amaç

  • Çalışan erişim seviyeleri, doğası gereği önleyici olan kural tabanlı erişim kontrolleri tarafından belirlenmez. Bunun yerine yetkisiz erişimi engellemek için çalışırlar.
  • Rol tabanlı modeller, çalışanlara yetkili erişim elde edebilecekleri bir dizi koşul sağladıkları için proaktiftir.

Uygulama

  • Kural tabanlı modeller, rolleri ne olursa olsun tüm çalışanlar için geçerli olmaları bakımından geneldir.
  • Rol tabanlı modeller, çalışanlara rollerine göre bireysel olarak uygulanır.

Durum çalışmaları

Rol tabanlı modeller, rollerin açıkça tanımlandığı ve bu rollere dayalı olarak kaynak ve erişim gereksinimlerinin tanımlanabildiği kuruluşlar için uygundur. Sonuç olarak, RBAC modelleri, çok sayıda çalışanı olan ve bireysel çalışanlar için izinlerin ayarlanmasının zor ve zaman alıcı olduğu kuruluşlar için uygundur.

Kural tabanlı işletim sistemleri, daha az çalışanı olan veya rollerin değişken olduğu kuruluşlarda iyi çalışır ve 'sıkı' izinler atamayı zorlaştırır. Kural tabanlı işletim sistemleri, en yüksek düzeyde güvenlik gerektiren birden çok alana sahip kuruluşlar için de gereklidir. Rol tabanlı bir model, özellikle her bir rol farklı kıdem ve erişim gereksinimlerini kapsıyorsa, kendi başına yeterli koruma sağlamayabilir.

Hibrit Modeller

Kural tabanlı ve rol tabanlı erişim kontrol modelleri, korumayı en üst düzeye çıkarmak için aynı hedefe ulaşmak için farklı yaklaşımlar benimsemeleri bakımından birbirini tamamlar. Rol tabanlı sistemler, yalnızca yetkili çalışanların kısıtlı alanlara veya kaynaklara erişmesini sağlar. Kural tabanlı sistemler, yetkili çalışanların kaynaklara doğru yerde ve doğru zamanda erişmesini sağlar.

Bazı kuruluşlar, hiçbir modelin gerekli güvenlik düzeyini sağlamadığına inanmaktadır. Güvenlik yöneticileri, farklı senaryolarla başa çıkmak için hem rol tabanlı sistemler aracılığıyla üst düzey koruma hem de kural tabanlı modeller aracılığıyla esnek ayrıntılı denetim sağlamak için hibrit bir model kullanabilir.

Yöneticiler, giriş lobileri gibi daha düşük güvenlik gereksinimleri olan alanlarda rol tabanlı model aracılığıyla tüm çalışanlara erişim verebilir, ancak iş saatleri dışında erişimi reddeden kural tabanlı bir istisna ekleyebilir.

Yöneticiler, daha yüksek güvenlikli alanlarda belirli rollere izinler atayabilir, ancak bir rolde yalnızca genç düzeyde olan çalışanları hariç tutmak için kural tabanlı sistemler kullanır.

Bunun gibi bir hibrit model, genel güvenlik duruşunu geliştirirken her iki modelin avantajlarını birleştirir.

Kapı Geçiş Kontrol Yönetimini Basitleştirin

  • İzinler, kullanıcı rolleri, öznitelikler ve özel kurallar kullanılarak kolayca ve güvenli bir şekilde yapılandırılabilir.
  • Tüm kapılara, kapılara, turnikelere ve asansörlere erişimi planlayın.
  • Herhangi bir kapının uzaktan açılması veya bir bina kilitlemesinin etkinleştirilmesi
  • Temassız Wave to Unlock ile, her giriş için yalnızca bir mobil kimlik bilgisine ihtiyacınız var.
  • Yüksek güvenlikli alanlar, yerleşik biyometri, MFA ve video doğrulama için
  • Uzak, bulut tabanlı bir erişim kontrol yazılımı kullanarak erişim izinlerini istediğiniz zaman değiştirebilirsiniz.

Rol Tabanlı ve Kural Tabanlı Erişim Kontrolü ile Nitelik Tabanlı Erişim Kontrolü karşılaştırması

Rol tabanlı bir sistemdeki güvenlik yöneticileri, çalışanın işteki rolüne bağlı olarak bir alana veya kaynağa erişim izni verir veya reddeder.

Yöneticiler, bir dizi onaylanmış öznitelik veya özelliğe dayalı olarak öznitelik tabanlı bir sistemde erişimi kontrol eder. Bir çalışanın rolü, niteliklerinden biri olsa da, profilleri genellikle bir proje ekibine, çalışma grubuna veya departmana üyelik, ayrıca yönetim seviyesi, güvenlik izni ve diğer kriterler gibi diğer özellikleri içerecektir.

Yöneticinin yalnızca az sayıda rol tanımlaması gerektiğinden, rol tabanlı bir sistemin uygulanması daha hızlı ve daha kolaydır. Öznitelik tabanlı bir sistemin yöneticisi, birden çok özelliği tanımlamalı ve yönetmelidir.

Öte yandan, birden çok özelliğin kullanılması, yöneticilerin daha ayrıntılı bir denetim biçimi uygulamasına izin verdiği için belirli kullanım durumlarında avantajlı olabilir.

Öznitelik tabanlı ve Kural tabanlı Erişim Kontrolü

Kural tabanlı bir sistemdeki yöneticiler, önceden belirlenmiş bir dizi kurala dayalı olarak erişimi verir veya reddeder.

Buna karşılık, öznitelik tabanlı erişim kontrolü (ABAC) modelleri, erişim vermeden önce bir dizi onaylanmış özniteliği veya özelliği değerlendirir. Yöneticiler, çeşitli erişim noktalarının veya kaynakların belirli güvenlik gereksinimlerine göre uyarlanmış çeşitli özellikler oluşturabilir. Bu iki tür arasındaki temel ayrım, erişim izni vermek veya erişimi reddetmek için kullanılan bilgi ve eylemlerdir. Nitelikler hala tipik olarak çalışanla ilgili ekip, çalışma durumu veya izin gibi kişisel bilgilerle bağlantılıdır. Çalışma saatleri, kapı tarifeleri, cihazlar ve diğer benzer kriterler kurallarda sıklıkla referans alınmaktadır.

Her iki model de, belirli güvenlik gereksinimleri olan kuruluşlar için avantajlı olan ayrıntılı erişim denetimi sağlar. Hem kural tabanlı hem de öznitelik tabanlı modeller, rol tabanlı erişim denetimi gibi diğer modellerle birleştirilebilir. Yöneticilerin birden çok kural veya öznitelik tanımlaması gerektiğinden, her iki modelin de uygulanması ve yönetilmesi zaman alabilir. Kurallar ve nitelikler ise zaman içinde daha fazla ölçeklenebilirlik sağlar.

Sonuç

Bir işletmedeki belirli alanlara veya kaynaklara kimin erişimi olduğunu belirlemeye yönelik en önemli iki model, kural ve rol tabanlı erişim denetimidir. Bir güvenlik yöneticisi, erişimi yüksek düzeyde yönetebilir veya en uygun modeli uygulayarak yüksek güvenlikli alanlar için özel koruma sağlamak için ayrıntılı kurallar uygulayabilir.

Kurallara ve rollere dayalı erişim kontrolü, işletmelerin güvenlik teknolojilerini gerçekten özelleştirilmiş bir şekilde kullanmalarını sağlar. Bir şirket, bir işletme içindeki belirli alanlara ve kaynaklara kimin erişimi olduğunu belirleyerek, en iyi modeli uygulayabilir ve erişimi üst düzeyde yönetebilir, ayrıca yüksek güvenlikli alanlara daha sağlam koruma sağlamak için ayrıntılı kurallar uygulayabilir.

Her iki model de etkili güvenlik ve önemli faydalar sağlarken, erişim güvenliği ilkelerini geliştirmek, uygulamak ve yönetmek için gereken çaba değişiklik gösterir. Ek bir avantaj olarak, kural tabanlı ve rol tabanlı modeller birbirini tamamlar ve daha da fazla erişim kontrolü güvenliği sağlamak için birlikte kullanılabilir.

Referanslar

Peace, yeteneklerini BusinessYield gibi kuruluşlara ödünç veren kıdemli bir içerik yazarı, strateji uzmanı ve editördür. Geçmişi, B2B SaaS, uzman pazarlama ajansları ve eğlence alanlarındaki sektör uzmanlığıyla birlikte içerik oluşturma ve düşünce liderliği üzerinedir. Merkezi Missisauga, Ontario, CA'da bulunmaktadır ve Waterloo Üniversitesi'nden Dijital İletişim ve Gazetecilik Yeniliği alanında yüksek lisans derecesine sahiptir. İşi yoğun olmadığı zamanlarda seyahat etmeyi, okumayı ve karbonhidrat yemeyi seviyor. Zengin finans ve pazarlama deneyimlerine dayanarak iş makaleleri yazmayı seviyor.

Yorum bırak

E-posta hesabınız yayımlanmayacak. Gerekli alanlar işaretlenmişlerdir. *

- Önceki makale

2023'de Eğlenceli Ofis Noel Partisi Fikirleri, Oyunlar ve Hediyeler

Sonraki makale -

ROL TABANLI ERİŞİM KONTROLÜ RBAC: Tanım, Tarihçe ve Örnekler

Hoşunuza gidebilir