RBAC KIỂM SOÁT TRUY CẬP THEO VAI TRÒ: Định nghĩa, Lịch sử và Ví dụ

Bài viết này giải thích đầy đủ về kiểm soát truy cập dựa trên vai trò (RBAC) cũng như hướng dẫn từng bước để triển khai, duy trì và mở rộng RBAC để đáp ứng nhu cầu của tổ chức của bạn. Bạn sẽ tìm hiểu về các vai trò, cách xác định chúng và cách sử dụng chúng để điều chỉnh quyền truy cập có thể giúp bảo mật mạng của bạn, giảm chi phí quản trị và đảm bảo tuân thủ quy định. Chúng ta cũng sẽ thấy một số ví dụ về kiểm soát truy cập dựa trên vai trò. Bắt đầu nào.

Kiểm soát truy cập dựa trên vai trò (RBAC) là gì?

Khái niệm cung cấp quyền cho mọi người dựa trên vai trò của họ trong tổ chức được gọi là kiểm soát truy cập dựa trên vai trò (RBAC). Nó cung cấp một cách tiếp cận cơ bản, có kiểm soát để quản lý truy cập ít bị lỗi hơn so với việc cung cấp quyền riêng lẻ cho người dùng.

Khi bạn sử dụng RBAC cho Quản lý quyền truy cập vai trò, bạn kiểm tra nhu cầu của người dùng và nhóm họ thành các vai trò dựa trên các nhiệm vụ được chia sẻ. Sau đó, đối với mỗi người dùng, bạn chỉ định một hoặc nhiều vai trò và một hoặc nhiều quyền cho mỗi vai trò. Bởi vì người dùng không còn cần được quản lý bừa bãi, các mối quan hệ vai trò người dùng và quyền vai trò giúp dễ dàng thực hiện các nhiệm vụ của người dùng.

Lịch sử của Kiểm soát truy cập dựa trên vai trò

Ít nhất là từ những năm 1970, mọi người đã sử dụng các vai trò và trách nhiệm để kiểm soát quyền truy cập vào các hệ thống máy tính thương mại. Tuy nhiên, những phương pháp này là đặc biệt và thường xuyên phải được sửa đổi theo từng trường hợp cho mỗi hệ thống mới.

Các nhà nghiên cứu tại Viện Tiêu chuẩn Quốc gia Hoa Kỳ (NIST) đã không bắt đầu xác định hệ thống được gọi là kiểm soát truy cập dựa trên vai trò cho đến năm 1992. Cùng năm đó, Ferraiolo và Kuhn đã xuất bản một bài báo xác định một cơ chế kiểm soát truy cập có mục đích chung phù hợp cho dân sự và sử dụng thương mại, đặt nền móng cho mô hình chúng ta sử dụng ngày nay.

Trong suốt những năm 1990 và đầu những năm 2000, Ferraiolo, Kuhn và những người khác đã cải tiến RBAC, dựa trên công việc trước đó để điều tra các lợi ích kinh tế của RBAC, xác định một mô hình thống nhất và quan trọng nhất là xác định sự phân chia các hình thức nhiệm vụ. RBAC chính thức được NIST áp dụng như một tiêu chuẩn công nghiệp vào năm 2004.

RBAC kiểm soát truy cập dựa trên vai trò hoạt động như thế nào?

Trước khi triển khai RBAC trong một doanh nghiệp, tổ chức nên chỉ định kỹ lưỡng các quyền cho từng vai trò. Điều này bao gồm việc chỉ định chính xác các quyền trong các danh mục được liệt kê bên dưới:

• Quyền sửa đổi dữ liệu (ví dụ: đọc, ghi, toàn quyền truy cập)
• Truy cập để sử dụng phần mềm của công ty
• Quyền trong một chương trình

Để tận dụng tối đa RBAC, trước tiên bạn phải lập mô hình các vai trò và quyền. Giao tất cả trách nhiệm của nhân viên cho những công việc cụ thể thiết lập các đặc quyền phù hợp là một phần của việc này. Sau đó tổ chức có thể phân công các vị trí dựa trên nhiệm vụ của các nhân viên.

Các tổ chức có thể sử dụng kiểm soát truy cập dựa trên vai trò để chỉ định một hoặc nhiều vai trò cho từng người dùng hoặc để chỉ định các quyền riêng lẻ. Ý tưởng là thiết lập các quyền cho phép người dùng hoàn thành nhiệm vụ của họ mà không cần thực hiện bất kỳ điều chỉnh bổ sung nào.

Các công nghệ Quản lý Danh tính và Truy cập (IAM) được các tổ chức sử dụng để triển khai và giám sát RBAC. IAM chủ yếu phục vụ các tổ chức lớn bằng cách ghi nhật ký, giám sát và cập nhật tất cả danh tính và quyền. Quá trình cấp quyền được gọi là “cấp phép” và quá trình thu hồi quyền được gọi là “hủy cấp phép”. Loại hệ thống này đòi hỏi phải thiết lập một bộ vai trò thống nhất và được tiêu chuẩn hóa.

Kiểm soát truy cập dựa trên vai trò Vai trò RBAC là gì?

Vai trò là ngữ nghĩa trong kiến ​​trúc RBAC mà các tổ chức có thể sử dụng để xây dựng các đặc quyền của họ. Quyền hạn, trách nhiệm, trung tâm chi phí, đơn vị kinh doanh và các yếu tố khác có thể được sử dụng để xác định vai trò.

Vai trò là một nhóm các đặc quyền của người dùng. Các nhóm truyền thống, là tập hợp những người dùng, không giống như vai trò. Quyền không liên quan trực tiếp đến danh tính trong ngữ cảnh của RBAC, mà là các vai trò. Bởi vì chúng được tổ chức xung quanh quản lý truy cập, các vai trò đáng tin cậy hơn các nhóm. Danh tính thay đổi thường xuyên hơn các tính năng và hoạt động trong một doanh nghiệp bình thường.

Mô hình RBAC kiểm soát truy cập dựa trên vai trò

Tiêu chuẩn RBAC xác định ba hình thức kiểm soát truy cập: lõi, phân cấp và hạn chế.

# 1. RBAC lõi

Mô hình cốt lõi xác định các thành phần chính của bất kỳ hệ thống kiểm soát truy cập dựa trên vai trò nào. Trong khi RBAC cơ bản có thể được sử dụng như một cách tiếp cận kiểm soát truy cập độc lập, nó cũng đóng vai trò là nền tảng cho cả mô hình phân cấp và hạn chế.

Do đó, tất cả RBAC phải tuân theo ba quy tắc được nêu dưới đây:

• Lựa chọn hoặc phân công vai trò: Một người chỉ có thể thực hiện giấy phép nếu người đó đã chọn hoặc được giao một vai trò.
• Ủy quyền vai trò: Vai trò tích cực của một chủ thể phải được ủy quyền.
• Ủy quyền các quyền: Chủ thể chỉ có thể thực hiện các quyền được cho phép đối với vai trò tích cực của chủ thể.

# 2. RBAC phân cấp

Bằng cách tin rằng hệ thống phòng thủ của bạn đã bị vi phạm, bạn có thể thực hiện một tư thế bảo mật mạnh mẽ hơn để chống lại các cuộc tấn công tiềm ẩn, giảm ảnh hưởng của việc vi phạm. Hạn chế "bán kính nổ" của thiệt hại có thể xảy ra do vi phạm bằng cách phân đoạn quyền truy cập và giảm bề mặt tấn công của bạn, xác nhận mã hóa đầu cuối và giám sát mạng của bạn trong thời gian thực.

# 3. RBAC hạn chế

Tiêu chuẩn RBAC thứ ba này mở rộng sự phân chia vai trò của mô hình cốt lõi. Tách biệt các mối quan hệ nhiệm vụ được phân loại là tĩnh hoặc động.

• Một người dùng không thể giữ các trách nhiệm loại trừ lẫn nhau trong các mối quan hệ Tách nhiệm vụ tĩnh (SSD) (theo định nghĩa của tổ chức). Điều này đảm bảo rằng một người không thể vừa thực hiện vừa phê duyệt mua hàng.
• Người dùng theo mô hình Tách Nhiệm vụ Động (DSD) có thể có các vai trò trái ngược nhau. Tuy nhiên, người dùng có thể không thực hiện cả hai tác vụ trong cùng một phiên. Ràng buộc này hỗ trợ việc kiểm soát các mối quan tâm về an ninh nội bộ, ví dụ, bằng cách thực hiện quy tắc hai người, quy tắc này yêu cầu hai người dùng duy nhất cho phép một hành động.

Ví dụ về kiểm soát truy cập dựa trên vai trò

RBAC cho phép bạn kiểm soát những gì người dùng cuối có thể làm ở cả cấp độ rộng và cấp độ chi tiết. Bạn có thể chỉ định người dùng là quản trị viên, người dùng chuyên nghiệp hay người dùng cuối và bạn có thể khớp các trách nhiệm và quyền truy cập cho các vị trí tổ chức của nhân viên. Quyền chỉ được cấp với đủ quyền truy cập để nhân viên hoàn thành nhiệm vụ của họ.

Điều gì sẽ xảy ra nếu mô tả của người dùng cuối của công việc thay đổi? Bạn có thể cần phải giao vai trò của họ cho người dùng khác theo cách thủ công hoặc bạn có thể chỉ định vai trò cho một nhóm vai trò hoặc sử dụng chính sách phân công vai trò để thêm hoặc xóa thành viên nhóm vai trò.

Một công cụ RBAC có thể bao gồm các chỉ định sau:

• Phạm vi vai trò quản lý - nó hạn chế những mục nào mà nhóm vai trò có thể xử lý.
• Nhóm vai trò quản lý - Bạn có thể thêm và xóa thành viên khỏi nhóm vai trò quản lý.
• Vai trò quản lý - đây là những loại nhiệm vụ mà một nhóm vai trò nhất định có thể hoàn thành.
• Phân công vai trò quản lý- Đây là quá trình phân công vai trò cho một nhóm vai trò.

Khi người dùng được thêm vào một nhóm vai trò, người dùng sẽ có quyền truy cập vào tất cả các vai trò trong nhóm đó. Khi chúng bị xóa, quyền truy cập sẽ bị hạn chế. Người dùng cũng có thể được chỉ định vào nhiều nhóm nếu họ yêu cầu quyền truy cập tạm thời vào dữ liệu hoặc ứng dụng cụ thể và sau đó bị xóa sau khi dự án kết thúc.

Các khả năng truy cập người dùng khác có thể bao gồm:

• Địa chỉ liên hệ chính cho một tài khoản hoặc vai trò nhất định.
• Thanh toán - quyền truy cập vào tài khoản thanh toán cho một người dùng cuối.
• Người sử dụng kỹ thuật là những người thực hiện nhiệm vụ kỹ thuật.
• Quyền truy cập quản trị được cấp cho người dùng thực hiện các hoạt động quản trị.

Các giải pháp thay thế RBAC: Các loại kiểm soát truy cập

Các cơ chế kiểm soát truy cập khác có thể được sử dụng thay cho kiểm soát truy cập dựa trên vai trò.

Danh sách kiểm soát truy cập (ACL)

Danh sách kiểm soát truy cập (ACL) là một bảng liệt kê các quyền được liên kết với tài nguyên máy tính. Nó thông báo cho hệ điều hành về việc người dùng nào có quyền truy cập vào một đối tượng và những hành động mà họ có thể thực hiện trên nó. Mỗi người dùng có một mục nhập được liên kết với các thuộc tính bảo mật của từng mục. Đối với các hệ thống DAC cổ điển, ACL thường được sử dụng.

ACL so với RBAC

Về bảo mật và chi phí quản trị, RBAC vượt trội hơn ACL cho hầu hết các ứng dụng kinh doanh. ACL phù hợp hơn để triển khai bảo mật ở cấp độ người dùng cá nhân và đối với dữ liệu cấp thấp, nhưng RBAC phù hợp hơn với hệ thống bảo mật toàn công ty do quản trị viên giám sát. Ví dụ, một ACL có thể cho phép truy cập ghi vào một tệp nhất định nhưng không thể xác định cách tệp sẽ được thay đổi bởi người dùng.

Kiểm soát truy cập dựa trên thuộc tính (ABAC)

ABAC đánh giá một tập hợp các quy tắc và chính sách để kiểm soát các quyền truy cập dựa trên các phẩm chất nhất định như thông tin về môi trường, hệ thống, đối tượng hoặc người dùng. Nó sử dụng logic boolean để cho phép hoặc từ chối mọi người truy cập dựa trên một đánh giá phức tạp về các thuộc tính nguyên tử hoặc giá trị đặt và các mối quan hệ của chúng.

Trên thực tế, điều này cho phép bạn xác định các quy tắc trong Ngôn ngữ đánh dấu kiểm soát truy cập eXtensible (XACML) sử dụng các tổ hợp khóa-giá trị như Vai trò = Người quản lý và Danh mục = Tài chính.

ABAC so với RBAC

RBAC dựa trên các vai trò được xác định trước, trong khi ABAC năng động hơn và sử dụng kiểm soát truy cập dựa trên mối quan hệ. RBAC có thể được sử dụng để xác định các điều khiển truy cập trong các nét rộng, trong khi ABAC cung cấp mức độ chi tiết hơn. Ví dụ, một hệ thống RBAC cấp quyền truy cập cho tất cả các nhà quản lý, trong khi chính sách ABAC chỉ cấp quyền truy cập cho các nhà quản lý trong bộ phận tài chính. ABAC thực hiện một tìm kiếm phức tạp hơn, đòi hỏi nhiều sức mạnh và thời gian xử lý hơn, do đó chỉ sử dụng nó khi không đủ RBAC.

Ưu điểm của RBAC

• Việc quản lý và kiểm tra việc truy cập mạng là rất quan trọng đối với an ninh thông tin. Quyền truy cập có thể và nên được phép dựa trên những điều cần biết. Bảo mật được quản lý dễ dàng hơn với hàng trăm hoặc hàng nghìn nhân viên bằng cách hạn chế quyền truy cập không cần thiết vào thông tin quan trọng dựa trên vai trò đã nêu của mỗi người dùng trong doanh nghiệp. Các lợi ích khác bao gồm:
• Hỗ trợ hành chính và CNTT sẽ giảm. Khi một nhân viên được thuê hoặc thay đổi vai trò, bạn có thể sử dụng RBAC để giảm yêu cầu về thủ tục giấy tờ và thay đổi mật khẩu. Thay vào đó, bạn có thể sử dụng RBAC để nhanh chóng thêm và chuyển các vai trò trên các hệ điều hành, nền tảng và ứng dụng. Nó cũng làm giảm khả năng xảy ra lỗi khi cấp quyền cho người dùng. Một trong những lợi ích kinh tế của RBAC là giảm thời gian dành cho các hoạt động hành chính. RBAC cũng tạo điều kiện thuận lợi cho việc tích hợp người dùng bên thứ ba vào mạng của bạn bằng cách gán cho họ các vai trò được xác định trước.
• Tăng hiệu quả hoạt động. RBAC cung cấp một cách tiếp cận hợp lý với các định nghĩa hợp lý. Thay vì cố gắng quản lý kiểm soát truy cập cấp thấp hơn, tất cả các vai trò có thể phù hợp với cơ cấu tổ chức của doanh nghiệp, cho phép người dùng hoàn thành nhiệm vụ của họ một cách hiệu quả và tự chủ hơn.
• Tăng cường tuân thủ. Các hạn chế của liên bang, tiểu bang và thành phố áp dụng cho tất cả các tổ chức. Các công ty có thể dễ dàng đáp ứng các tiêu chuẩn luật định và quy định về quyền riêng tư và bảo mật với một hệ thống RBAC vì các bộ phận CNTT và giám đốc điều hành có thể quản lý cách dữ liệu được truy cập và sử dụng. Điều này đặc biệt quan trọng đối với các tổ chức tài chính và chăm sóc sức khỏe, những tổ chức xử lý một lượng lớn dữ liệu nhạy cảm như PHI và PCI.

Các phương pháp hay nhất để triển khai RBAC

Việc triển khai RBAC trong tổ chức của bạn không nên được thực hiện một cách nhẹ nhàng. Có một số giai đoạn chung cần thực hiện để đưa nhóm vào cuộc mà không tạo ra sự nhầm lẫn không cần thiết hoặc gây khó chịu tại nơi làm việc. Dưới đây là một vài ý tưởng để bắt đầu.

• Tình trạng hiện tại: Lập danh sách mọi phần mềm, phần cứng và ứng dụng có bảo mật. Phần lớn trong số này sẽ yêu cầu mật khẩu. Tuy nhiên, bạn có thể muốn bao gồm các phòng máy chủ được khóa và có chìa khóa. Bảo mật vật lý có thể là một thành phần quan trọng của bảo vệ dữ liệu. Ngoài ra, hãy chỉ định ai có quyền truy cập vào từng chương trình và địa điểm này. Điều này sẽ cung cấp cho bạn cái nhìn sơ lược về tình hình dữ liệu hiện tại của bạn.
• Nhiệm vụ hiện tại: Ngay cả khi bạn không có danh sách chính thức và danh sách các vai trò, việc xác định những gì từng thành viên trong nhóm làm có thể đơn giản như một cuộc nói chuyện nhanh. Cố gắng sắp xếp đội theo cách không cản trở sự sáng tạo hoặc văn hóa hiện tại (nếu thích).
• Tạo chính sách: Bất kỳ sửa đổi nào phải được ghi lại cho tất cả công nhân hiện tại và tương lai xem. Ngay cả khi bạn sử dụng giải pháp RBAC, việc có một tờ báo trình bày rõ ràng về hệ thống mới của bạn sẽ giúp bạn ngăn ngừa sự cố.
• Thay đổi: Khi tình trạng và vai trò bảo mật hiện tại đã được biết (và một chính sách được áp dụng), đã đến lúc thực hiện các thay đổi.
• Liên tục thích ứng: Có khả năng là lần lặp lại RBAC đầu tiên sẽ cần một số sửa đổi. Ngay từ sớm, bạn nên thường xuyên đánh giá các nhiệm vụ và tình trạng an ninh của mình. Trước tiên, hãy đánh giá quy trình sáng tạo / sản xuất của bạn đang hoạt động tốt như thế nào, sau đó đánh giá mức độ an toàn của quy trình của bạn.

Kết luận

Bảo vệ dữ liệu là một chức năng kinh doanh quan trọng đối với bất kỳ công ty nào. Hệ thống RBAC có thể đảm bảo rằng thông tin của công ty tuân thủ luật bảo mật và quyền riêng tư. Hơn nữa, nó có thể đảm bảo các hoạt động kinh doanh thiết yếu, chẳng hạn như tiếp cận tài sản trí tuệ, có tác động cạnh tranh đối với tổ chức.

Câu hỏi thường gặp về Kiểm soát truy cập dựa trên vai trò

Ba quy tắc chính cho RBAC là gì?

Các thành phần RBAC như quyền vai trò, vai trò người dùng và mối quan hệ vai trò làm cho việc phân công người dùng trở nên đơn giản.

Tại sao ACL được sử dụng?

Giảm lưu lượng mạng để cải thiện hiệu suất mạng. Cấp độ bảo mật mạng chỉ định phần nào của máy chủ / mạng / dịch vụ mà người dùng có thể và không thể truy cập. Theo dõi chi tiết lưu lượng vào và ra khỏi hệ thống.

Sự khác biệt giữa kiểm soát truy cập dựa trên vai trò và kiểm soát truy cập dựa trên quy tắc là gì?

Các cấp độ truy cập của nhân viên không được xác định bởi các biện pháp kiểm soát truy cập dựa trên quy tắc, có tính chất ngăn chặn. Thay vào đó, chúng hoạt động để ngăn chặn truy cập không mong muốn. Mô hình dựa trên vai trò chủ động ở chỗ họ đưa ra cho nhân viên một tập hợp các điều kiện để họ có thể có được quyền truy cập đã được phê duyệt.

Bài viết liên quan

• KIỂM SOÁT TRUY CẬP PHÂN TÍCH: Định nghĩa và Ví dụ
• MAC KIỂM SOÁT TRUY CẬP MANDATORY: Cách hoạt động
• Công cụ quản lý Active Directory: Nó là gì và tất cả những gì bạn cần biết về nó
• PHÒNG TIẾP THỊ: Tổng quan, cấu trúc, vai trò, kỳ vọng (+ mẹo miễn phí)
• Trợ lý hành chính ảo: Công việc, Dịch vụ, Công ty, Yêu cầu & Tất cả những gì bạn cần.

dự án

• Kỹ thuật sốGuardian
• Mục tiêu công nghệ
• Imperva