TТехнологія

КОНТРОЛЬ ДОСТУПУ НА ОСНОВІ ПРАВИЛ (RuBAC): визначення та найкращі практики

Контроль доступу на основі правил
Зміст приховувати
  1. Що таке контроль доступу на основі правил (RBAC або RuBAC)?
  2. Як працює RBAC керування доступом на основі правил?
  3. Переваги керування доступом на основі правил RBAC
  4. Недоліки керування доступом на основі правил RBAC
  5. Яка різниця між керуванням доступом на основі правил і на основі ролей?
  6. Яке правило контролю доступу?
  7. Впровадження контролю доступу на основі правил
  8. Керування доступом на основі правил проти рольового
    1. операція
    2. Мета
    3. додаток
  9. Тематичні дослідження
  10. Гібридні моделі
    1. Спростіть керування контролем доступу до дверей
  11. Контроль доступу на основі ролей і правил проти контролю доступу на основі атрибутів
  12. Контроль доступу на основі атрибутів проти контролю доступу на основі правил
  13. Висновок
    1. Статті по темі
    2. посилання

Контроль доступу — це сукупність методів, стратегій і політик, які дозволяють особам отримати доступ до комп’ютера компанії, мережі та ресурсів даних. RBAC (також відомий як RuBAC) дозволяє або обмежує доступ на основі правил, гарантуючи, що люди, які мають доступ до обчислювальної інфраструктури компанії, мають доступ саме до тих ресурсів, які їм потрібні, не більше і не менше.
Якщо це здається трохи туманним, це тому, що концепція широка. У цьому посібнику пояснюється концепція керування доступом на основі правил RBAC і пояснюється, коли підприємства можуть використовувати його для захисту.

Що таке контроль доступу на основі правил (RBAC або RuBAC)?

Як випливає з назви, керування доступом на основі правил RBAC — це система, заснована на попередньо визначених умовах для надання або заборони доступу різним користувачам.

У більшості випадків ці правила базуються на характеристиках окремих користувачів. Це також називається керуванням доступом на основі атрибутів (ABAC).

Правила також можуть базуватися на інших контекстних значеннях. Фактори, пов’язані з попередніми діями, наприклад, або поточний етап об’єкта в певному робочому процесі. Ви навіть можете створити правила на основі системних змінних, таких як поточний час доби або завантаження сервера.

Цей тип контролю доступу передбачає налаштування різних умов на основі наявних атрибутів користувачів. Потім вони використовуються для автоматичного призначення дозволів особам.

Потім система використовує логічну логіку, щоб визначити, чи є кожна умова істинною чи хибною, і або призначає дозволи, або переходить до наступної вкладеної умови.

Правила можна створювати навколо кількох комбінацій атрибутів або лише одного. Наприклад, дуже проста система на основі правил може враховувати лише поточне місцезнаходження користувача під час визначення дозволів.

У більш складній системі ви можете враховувати їхній відділ, тривалість служби, поточний пристрій або будь-які інші атрибути чи фактори навколишнього середовища на додаток до їхнього розташування.

Як працює RBAC керування доступом на основі правил?

ІТ-відділ встановлює правила високого рівня на основі особливостей того, що, як, де та коли хтось намагається отримати доступ за допомогою RBAC. Кожен ресурс пов’язаний зі списком керування доступом або ACL. Коли хтось намагається використати певний ресурс, операційна система перевіряє ACL, щоб перевірити, чи відповідає ця спроба всім правилам доступу до ресурсу.

Компонент «правило» RBAC стосується обмежень щодо того, коли, як і де надається доступ. Ось кілька прикладів:

  • Кожен у мережі має IP-адресу, яку мережа використовує для визначення розташування. Правилом може бути те, що корпоративну систему бухгалтерського обліку мають право використовувати лише люди з IP-адресами в певному географічному діапазоні, наприклад у регіоні, де працює група бухгалтерів. Його можна контролювати ще точніше, наприклад дозволити людям за певними адресами отримувати доступ до кредиторської заборгованості, але не до дебіторської.
  • Дозволи та обмеження можуть бути пов’язані з портами, які діють як спеціальні двері мережі. Лише запити на відповідних портах вважатимуться потенційно дійсними. Один порт, наприклад, може бути пов’язаний із об’єктом, який приймає завантаження документів із віддалених місць. У цьому випадку запит на завантаження в іншу область мережі може бути відхилено.
  • Певні типи доступу можуть бути обмежені певним часом, наприклад, у стандартний робочий час. Ніхто не зможе отримати доступ до цих обчислювальних ресурсів поза цими часовими інтервалами. Часові обмеження допомагають не допустити зловмисників до систем у неробочий час, коли доступних та на сторожі менше експертів із безпеки.
Читайте також: РОЛЬОВИЙ КЕРУВАННЯ ДОСТУПОМ RBAC: визначення, історія та приклади
  • Хтось, кому потрібен доступ до конфіденційних записів, може отримати додаткові облікові дані, які він повинен використовувати під час усіх майбутніх спроб доступу. Крім того, вони можуть мати обмеження щодо того, скільки разів вони можуть використовувати певний ресурс на тиждень, або вони можуть мати тайм-аут, щоб дозвіл був лише тимчасовим.
  • Наскільки RBAC можна використовувати для дозволу доступу, він також може використовуватися для запобігання доступу, будь то в межах інфраструктури підприємства чи до зовнішніх ресурсів. Наприклад, компанія може не захотіти, щоб будь-який співробітник використовував програми потокового відео в робочий час, або вона може заблокувати всю електронну пошту (малоймовірно, але користувач може мріяти).

Головне пам’ятати, що RBAC керує контекстом доступу. Хоча акцент робиться на співробітниках компанії, ті самі поняття можуть застосовуватися до компанії, яка надає контрольований доступ до деяких ресурсів клієнтам або діловим партнерам.

Порада: Контроль доступу на основі правил RBAC необхідний для великих організацій із кількома ролями та різними рівнями знань. Певні аспекти системи повинні бути заборонені для тих, кому вона не потрібна для виконання своєї роботи з міркувань безпеки та ефективності.

Переваги керування доступом на основі правил RBAC

Для бізнесу керування доступом на основі правил RBAC має численні переваги:

  • Ви можете краще регулювати питання відповідності законодавству, стандартизуючи та контролюючи контекст доступу до ресурсів.
  • RBAC підвищує безпеку, встановлюючи необхідні обмеження на використання ресурсів. Це може ускладнити атаку зовнішніх злочинців на обчислювальну інфраструктуру вашої компанії.
  • Правильно спроектована система RBAC не тільки покращує безпеку, але й регулює використання мережі. Ви можете обмежити використання ресурсомістких процесів і програмного забезпечення днями й часом, коли попит нижчий. Наприклад, ви можете запланувати виконання складних управлінських звітів або маркетингової аналітики лише посеред ночі, коли є достатня потужність обробки.
  • RBAC може автоматично застосовувати необхідні обмеження без залучення ІТ-спеціалістів або персоналу підтримки. Замість того, щоб вимагати від вашого ІТ-персоналу вручну відстежувати використання та не забувати відкликати привілеї пізніше, ви можете автоматизувати зміни та встановити додаткові дозволи на обмежений час за незвичайних обставин.
  • Замість того, щоб надавати надто широкий доступ занадто багатьом людям, ви можете якомога детальніше контролювати доступ.
  • Тільки адміністратори мають право змінювати правила, зменшуючи ймовірність помилок.

Недоліки керування доступом на основі правил RBAC

RBAC, як і все інше, має обмеження.

  • Налаштування детальних правил на кількох рівнях потребує часу та певної попередньої роботи від вашого ІТ-персоналу. Вам також знадобиться якийсь постійний моніторинг, щоб переконатися, що правила функціонують належним чином і не застаріють.
  • Ваші співробітники можуть вважати систему контролю доступу громіздкою та незручною. Коли виникає необхідність працювати поза звичайними шаблонами, вам або іншому адміністратору потрібно буде змінити правило або надати обхідний шлях.
  • Коли ваш ІТ-спеціаліст повинен перепрограмувати конкретне правило для незвичних обставин, а потім увімкнути його назад, необхідність регулярних змін може стати тягарем.
  • RBAC не враховує конкретні зв’язки між ресурсами, людьми, операціями та іншими аспектами операцій чи інфраструктури через свою залежність від правил. Необхідна структура правил може стати надзвичайно складною без додаткових механізмів контролю.

Система контролю доступу на основі правил може забезпечити важливу додаткову безпеку залежно від потреб вашої компанії. Однак цього може бути недостатньо самостійно. Вашій компанії також знадобляться знання для встановлення та підтримки правил, а також для їх адаптації чи зміни за потреби.

Яка різниця між керуванням доступом на основі правил і на основі ролей?

Рівні доступу працівників не визначаються засобами контролю доступу на основі правил, які мають превентивний характер. Натомість вони запобігають несанкціонованому доступу. Рольові моделі є проактивними, оскільки вони надають співробітникам набір умов, за яких вони можуть отримати авторизований доступ.

Яке правило контролю доступу?

Домен, тип об’єкта, стан життєвого циклу та учасник призначаються набору дозволів за допомогою правила контролю доступу. Правило керування доступом визначає права користувача, групи, ролі або організації на доступ до об’єктів певного типу та стану в межах домену.

Впровадження контролю доступу на основі правил

Коли справа доходить до впровадження контролю доступу на основі правил і розгляду найкращих методів керування на основі правил, потрібно зробити кілька важливих кроків:

  • Перегляньте поточні правила доступу – Вивчіть як правила, які застосовуються до конкретних точок доступу, так і загальні правила, які застосовуються до всіх точок доступу. Визначте будь-які зони високого ризику, для яких відсутні спеціальні правила доступу. Оскільки вразливі місця безпеки постійно змінюються та розвиваються, це слід робити на регулярній основі.
  • Аналізуйте сценарії «що-якщо» – Визначте можливі сценарії, які можуть вимагати застосування додаткових правил для зменшення ризику.
  • Оновіть або створіть правила на основі оцінки. Встановіть нові правила або оновіть існуючі, щоб підвищити рівень безпеки.
  • Уникайте конфліктів дозволів шляхом порівняння правил із дозволами, встановленими іншими моделями контролю доступу, щоб переконатися, що немає конфлікту, який би некоректно забороняв доступ.
  • Правила документування та публікації –Опублікуйте найважливіші правила та повідомте про будь-які зміни, щоб гарантувати, що всі працівники розуміють свої права доступу та обов’язки. Хоча співробітникам може не знадобитися знати деталі, важливо, щоб вони розуміли, як зміни в політиці можуть вплинути на їх повсякденну діяльність.
  • Проводьте регулярні огляди – Проводьте регулярні перевірки системи, щоб виявити будь-які проблеми з доступом або прогалини в безпеці. Вивчіть будь-які проблеми безпеки, викликані слабким контролем доступу, і, якщо необхідно, перегляньте правила.

Керування доступом на основі правил проти рольового

Адміністратори безпеки налаштовують обидві моделі та керують ними. Співробітники не можуть змінювати свої дозволи чи контролювати доступ, оскільки вони є обов’язковими, а не факультативними. Проте є деякі значні відмінності між керуванням доступом на основі правил і на основі ролей, які можуть допомогти визначити, яка модель найкраща для певного випадку використання.

операція

  • Моделі на основі правил визначають правила, які застосовуються до всіх робочих ролей.
  • Дозволи в рольових моделях базуються на конкретних посадових ролях.

Мета

  • Рівні доступу працівників не визначаються засобами контролю доступу на основі правил, які мають превентивний характер. Натомість вони запобігають несанкціонованому доступу.
  • Рольові моделі є проактивними, оскільки вони надають співробітникам набір умов, за яких вони можуть отримати авторизований доступ.

додаток

  • Моделі, засновані на правилах, є загальними в тому сенсі, що вони застосовуються до всіх співробітників, незалежно від їх ролі.
  • Рольові моделі застосовуються до працівників на індивідуальній основі, виходячи з їхніх ролей.

Тематичні дослідження

Рольові моделі підходять для організацій, де ролі чітко визначені, а вимоги до ресурсів і доступу можна визначити на основі цих ролей. Як наслідок, моделі RBAC підходять для організацій із великою кількістю співробітників, де встановлення дозволів для окремих працівників буде складним і трудомістким.

Операційні системи, засновані на правилах, добре працюють в організаціях з меншою кількістю співробітників або де ролі змінюються, що ускладнює призначення «жорстких» дозволів. Операційні системи, засновані на правилах, також важливі для організацій, де багато областей потребують найвищого рівня безпеки. Рольова модель сама по собі може не забезпечити належний захист, особливо якщо кожна роль охоплює різні рівні старшинства та вимоги до доступу.

Гібридні моделі

Моделі керування доступом на основі правил і ролей доповнюють один одного в тому, що вони використовують різні підходи для досягнення однієї мети – максимального захисту. Рольові системи гарантують, що лише авторизовані співробітники мають доступ до обмежених зон або ресурсів. Системи, засновані на правилах, гарантують, що авторизовані співробітники мають доступ до ресурсів у потрібних місцях і в потрібний час.

Деякі організації вважають, що жодна з моделей не забезпечує необхідного рівня безпеки. Щоб працювати з різними сценаріями, адміністратори безпеки можуть використовувати гібридну модель, щоб забезпечити як захист високого рівня за допомогою ролевих систем, так і гнучкий детальний контроль за допомогою моделей на основі правил.

Адміністратори можуть надати доступ усім співробітникам за допомогою рольової моделі в зонах із нижчими вимогами до безпеки, наприклад у вестибюлях, але додати виняток на основі правил, що забороняє доступ у неробочий час.

Адміністратори можуть призначати дозволи певним ролям у зонах з підвищеним рівнем безпеки, але використовувати системи на основі правил, щоб виключити працівників, які виконують роль лише молодшого рівня.

Така гібридна модель поєднує в собі переваги обох моделей, покращуючи загальну безпеку.

Спростіть керування контролем доступу до дверей

  • Дозволи можна легко та безпечно налаштувати за допомогою ролей користувачів, атрибутів і спеціальних правил.
  • Заплануйте доступ до всіх дверей, воріт, турнікетів і ліфтів.
  • Дистанційне розблокування будь-яких дверей або активація блокування будівлі
  • З безконтактним Wave to Unlock вам потрібен лише один мобільний обліковий запис для кожного входу.
  • Для зон високого рівня безпеки вбудована біометрія, MFA та відеоверифікація
  • За допомогою віддаленого хмарного програмного забезпечення для контролю доступу ви можете будь-коли змінити дозволи доступу.

Контроль доступу на основі ролей і правил проти контролю доступу на основі атрибутів

Адміністратори безпеки в рольовій системі надають або забороняють доступ до простору чи ресурсу залежно від ролі працівника в бізнесі.

Адміністратори контролюють доступ у системі на основі атрибутів на основі набору затверджених атрибутів або характеристик. Хоча роль працівника може бути одним із його атрибутів, його профіль, як правило, включатиме інші характеристики, такі як членство в команді проекту, робочій групі чи відділі, а також рівень керівництва, допуск до безпеки та інші критерії.

Оскільки адміністратору потрібно визначити лише невелику кількість ролей, рольову систему впровадити швидше та легше. Адміністратор системи, заснованої на атрибутах, повинен визначати та керувати кількома характеристиками.

З іншого боку, використання кількох характеристик може бути вигідним у певних випадках використання, оскільки це дозволяє адміністраторам застосовувати більш детальну форму контролю.

Контроль доступу на основі атрибутів проти контролю доступу на основі правил

Адміністратори в системі на основі правил надають або забороняють доступ на основі набору заздалегідь визначених правил.

Навпаки, моделі контролю доступу на основі атрибутів (ABAC) оцінюють набір затверджених атрибутів або характеристик перед наданням доступу. Адміністратори можуть створити різноманітний набір характеристик, адаптованих до конкретних вимог безпеки різних точок доступу або ресурсів. Основною відмінністю між цими двома типами є інформація та дії, які використовуються для надання або заборони доступу. Атрибути все ще зазвичай пов’язані з особистою інформацією про працівника, такою як його команда, робочий статус або дозвіл. У правилах часто згадуються години роботи, розклад дверей, пристрої та інші подібні критерії.

Обидві моделі забезпечують детальний контроль доступу, що є перевагою для організацій із особливими вимогами до безпеки. Як моделі на основі правил, так і моделі на основі атрибутів можна комбінувати з іншими моделями, такими як керування доступом на основі ролей. Оскільки адміністратори повинні визначати кілька правил або атрибутів, впровадження та керування обома моделями може зайняти багато часу. Правила й атрибути, з іншого боку, забезпечують більшу масштабованість з часом.

Висновок

Двома найважливішими моделями для визначення того, хто має доступ до певних областей або ресурсів у межах підприємства, є контроль доступу на основі правил і ролей. Адміністратор безпеки може керувати доступом на високому рівні або застосовувати детальні правила, щоб забезпечити спеціальний захист для зон із високим рівнем безпеки, реалізувавши найбільш відповідну модель.

Контроль доступу, заснований на правилах і ролях, дозволяє компаніям використовувати свої технології безпеки справді індивідуально. Визначаючи, хто має доступ до певних областей і ресурсів у бізнесі, компанія може запровадити найкращу модель і керувати доступом на високому рівні, а також застосувати деталізовані правила для забезпечення більш надійного захисту для зон із високим рівнем безпеки.

Хоча обидві моделі забезпечують ефективну безпеку та значні переваги, зусилля, необхідні для розробки, впровадження та керування політиками безпеки доступу відрізняються. Як додатковий бонус, моделі на основі правил і на основі ролей доповнюють одна одну і можуть використовуватися в тандемі для забезпечення ще більшої безпеки контролю доступу.

посилання

Піс є старшим автором контенту, стратегом і редактором, надавши свої таланти таким організаціям, як BusinessYield. Вона має досвід створення контенту та інтелектуального лідерства, а також досвід роботи в галузі B2B SaaS, спеціалізованих маркетингових агентств і розваг. Мешкає в Міссісаузі, Онтаріо, Каліфорнія, має ступінь магістра цифрових комунікацій та журналістських інновацій в Університеті Ватерлоо. Коли їй не важко на роботі, вона любить подорожувати, читати та їсти вуглеводи. Вона любить писати бізнес-статті на основі свого багатого фінансового та маркетингового досвіду.

залишити коментар

Ваша електронна адреса не буде опублікований. Обов'язкові поля позначені * *

- Попередня стаття

Веселі офісні різдвяні ідеї, ігри та подарунки у 2023 році

Наступна стаття -

РОЛЬОВИЙ КЕРУВАННЯ ДОСТУПОМ RBAC: визначення, історія та приклади

Вам також може сподобатися
Технічні компанії:
Детальніше
    TТехнологія

    КРАЩІ ТЕХНОЛОГІЧНІ КОМПАНІЇ: найкращі компанії для роботи у світі, Чикаго та Остін

    Зміст Приховати технічні компанії. Найпопулярніші технологічні компанії Чикаго, для яких можна працювати №1. Аванс №2. Чотири змія №3. Хвиля Maven №4. OppLoans#5. Cisco…
    Моніторинг безпеки
    Детальніше
      TТехнологія

      МОНІТОРИНГ БЕЗПЕКИ: визначення, процес, інструменти та важливість

      Зміст Приховати Що таке моніторинг безпеки? Система моніторингу домашньої безпеки Моніторинг безпеки КомпаніяМережа моніторингу безпеки Чому моніторинг безпеки…