KIỂM SOÁT TRUY CẬP THEO RULE (RuBAC): Định nghĩa và các phương pháp hay nhất

Kiểm soát truy cập là một tập hợp các kỹ thuật, chiến lược và chính sách cho phép các cá nhân có quyền truy cập vào máy tính, mạng và tài nguyên dữ liệu của công ty. RBAC (còn được gọi là RuBAC) cho phép hoặc hạn chế quyền truy cập dựa trên các quy tắc, đảm bảo rằng những người có thể truy cập vào cơ sở hạ tầng máy tính của công ty có quyền truy cập vào chính xác tài nguyên mà họ yêu cầu, không hơn không kém.
Nếu điều đó có vẻ hơi mơ hồ, đó là bởi vì khái niệm này rộng. Hướng dẫn này sẽ giải thích khái niệm RBAC kiểm soát truy cập dựa trên quy tắc và khi nào các doanh nghiệp có thể sử dụng nó để tự bảo vệ mình.

Kiểm soát truy cập dựa trên quy tắc (RBAC hoặc RuBAC) là gì?

Như tên của nó, kiểm soát truy cập dựa trên quy tắc RBAC là một hệ thống dựa trên các điều kiện được xác định trước để cấp hoặc từ chối quyền truy cập cho nhiều người dùng khác nhau.

Hầu hết thời gian, các quy tắc này dựa trên đặc điểm của người dùng cá nhân. Điều này cũng được gọi là kiểm soát truy cập dựa trên thuộc tính (ABAC).

Các quy tắc cũng có thể dựa trên các giá trị ngữ cảnh khác. Các yếu tố liên quan đến các hành động trước đó, ví dụ, hoặc giai đoạn hiện tại của đối tượng trong một quy trình làm việc cụ thể. Bạn thậm chí có thể tạo các quy tắc dựa trên các biến hệ thống như thời gian hiện tại trong ngày hoặc tải máy chủ.

Loại kiểm soát truy cập này đòi hỏi phải định cấu hình các điều kiện khác nhau dựa trên các thuộc tính hiện có của người dùng. Sau đó, chúng được sử dụng để tự động gán quyền cho các cá nhân.

Sau đó, hệ thống sử dụng logic boolean để xác định xem mỗi điều kiện là đúng hay sai và gán quyền hoặc chuyển sang điều kiện lồng nhau tiếp theo.

Các quy tắc có thể được xây dựng xung quanh nhiều tổ hợp thuộc tính hoặc chỉ một. Ví dụ: một hệ thống dựa trên quy tắc rất đơn giản có thể chỉ xem xét vị trí hiện tại của người dùng khi xác định quyền.

Trong một hệ thống phức tạp hơn, bạn có thể xem xét bộ phận của họ, thời gian phục vụ, thiết bị hiện tại hoặc bất kỳ thuộc tính hoặc yếu tố môi trường nào khác ngoài vị trí của họ.

Chức năng RBAC của Kiểm soát truy cập dựa trên quy tắc như thế nào?

Bộ phận CNTT thiết lập các quy tắc cấp cao dựa trên các chi tiết cụ thể về cái gì, như thế nào, ở đâu và khi ai đó cố gắng giành quyền truy cập theo RBAC. Mỗi tài nguyên được liên kết với một danh sách kiểm soát truy cập hoặc ACL. Khi ai đó cố gắng sử dụng một tài nguyên nhất định, hệ điều hành sẽ kiểm tra ACL để xem nỗ lực đó có tuân theo tất cả các quy tắc để truy cập vào tài nguyên hay không.

Thành phần "quy tắc" của RBAC đề cập đến các ràng buộc về thời điểm, cách thức và nơi cấp quyền truy cập. Dưới đây là một số ví dụ:

• Mọi người trên mạng đều có địa chỉ IP, địa chỉ này được mạng sử dụng để xác định vị trí. Một quy tắc có thể là chỉ những người có địa chỉ IP trong một phạm vi địa lý cụ thể, chẳng hạn như khu vực nơi nhóm kế toán làm việc, mới được phép sử dụng hệ thống kế toán của công ty. Nó thậm chí có thể được kiểm soát chặt chẽ hơn, chẳng hạn như cho phép mọi người ở các địa chỉ cụ thể truy cập vào các tài khoản phải trả nhưng không phải tài khoản phải thu.
• Các khoản phụ cấp và hạn chế có thể được liên kết với các cổng, đóng vai trò như các cửa mạng cụ thể. Chỉ các yêu cầu trên các cổng thích hợp mới được coi là có giá trị. Ví dụ, một cổng có thể được liên kết với một cơ sở chấp nhận tải lên tài liệu từ các vị trí từ xa. Trong trường hợp đó, yêu cầu tải lên vùng khác của mạng có thể bị từ chối.
• Một số loại quyền truy cập có thể bị hạn chế trong những thời điểm cụ thể, chẳng hạn như trong giờ làm việc tiêu chuẩn. Không ai có thể truy cập các tài nguyên máy tính đó ngoài các khoảng thời gian đó. Hạn chế về thời gian giúp ngăn chặn tội phạm xâm nhập vào hệ thống trong giờ ngoài giờ khi có ít chuyên gia bảo mật hơn có mặt và canh gác.

Đọc thêm: RBAC KIỂM SOÁT TRUY CẬP THEO VAI TRÒ: Định nghĩa, Lịch sử và Ví dụ

• Người nào đó yêu cầu quyền truy cập vào các hồ sơ nhạy cảm có thể được cấp thêm thông tin xác thực mà họ phải sử dụng trong tất cả các lần truy cập trong tương lai. Ngoài ra, họ có thể có giới hạn về số lần họ có thể sử dụng một tài nguyên cụ thể trong một tuần hoặc họ có thể có thời gian chờ để quyền chỉ là tạm thời.

• RBAC có thể được sử dụng để cho phép truy cập càng nhiều, nó cũng có thể được sử dụng để ngăn truy cập, cho dù trong cơ sở hạ tầng của doanh nghiệp hay các nguồn lực bên ngoài. Ví dụ: công ty có thể không muốn bất kỳ nhân viên nào sử dụng ứng dụng phát video trong giờ làm việc hoặc có thể chặn tất cả email (không chắc, nhưng người dùng có thể mơ).

Điều chính cần nhớ là RBAC quản lý ngữ cảnh truy cập. Mặc dù tập trung vào nhân viên của công ty, các khái niệm tương tự có thể áp dụng cho một công ty cung cấp quyền truy cập có kiểm soát vào một số tài nguyên cho khách hàng hoặc đối tác kinh doanh.

Mẹo: Kiểm soát truy cập dựa trên quy tắc RBAC rất cần thiết cho các tổ chức lớn hơn với nhiều vai trò và mức độ chuyên môn khác nhau. Một số khía cạnh của hệ thống nên được giới hạn cho bất kỳ ai không yêu cầu nó hoàn thành công việc của họ vì lý do bảo mật và hiệu quả.

Ưu điểm của Kiểm soát truy cập dựa trên quy tắc RBAC

Đối với một doanh nghiệp, kiểm soát truy cập dựa trên quy tắc RBAC có nhiều lợi thế:

• Bạn có thể điều chỉnh tốt hơn các vấn đề tuân thủ pháp luật bằng cách tiêu chuẩn hóa và kiểm soát bối cảnh truy cập tài nguyên.
• RBAC tăng cường bảo mật bằng cách thực thi các giới hạn sử dụng tài nguyên cần thiết. Điều này có thể khiến tội phạm bên ngoài khó tấn công cơ sở hạ tầng máy tính của công ty bạn hơn.
• Một hệ thống RBAC được thiết kế phù hợp không chỉ cải thiện tính bảo mật mà còn điều chỉnh việc sử dụng mạng. Bạn có thể hạn chế việc sử dụng các quy trình và phần mềm sử dụng nhiều tài nguyên vào những ngày và thời gian khi nhu cầu thấp hơn. Ví dụ: bạn có thể lập lịch các báo cáo quản lý phức tạp hoặc phân tích tiếp thị chỉ chạy vào nửa đêm, khi có đủ năng lực xử lý.
• RBAC có thể tự động áp dụng các hạn chế cần thiết mà không cần đến nhân viên hỗ trợ hoặc CNTT. Thay vì yêu cầu nhân viên CNTT của bạn theo dõi thủ công việc sử dụng và nhớ thu hồi các đặc quyền sau đó, bạn có thể tự động hóa các thay đổi và đặt các quyền bổ sung trong một thời gian giới hạn trong các trường hợp bất thường.
• Thay vì cung cấp quyền truy cập quá rộng cho quá nhiều người, bạn có thể chi tiết hóa cách bạn kiểm soát quyền truy cập tùy ý.
• Chỉ có quản trị viên mới có thẩm quyền thay đổi các quy tắc, giảm khả năng mắc sai lầm.

Nhược điểm của Kiểm soát truy cập dựa trên quy tắc RBAC

RBAC, giống như mọi thứ khác, có những hạn chế.

• Việc định cấu hình các quy tắc chi tiết ở nhiều cấp độ mất thời gian và yêu cầu một số công việc sơ bộ từ nhân viên CNTT của bạn. Bạn cũng sẽ cần một số loại giám sát liên tục để đảm bảo rằng các quy tắc hoạt động đúng và không trở nên lỗi thời.
• Nhân viên của bạn có thể thấy hệ thống kiểm soát ra vào cồng kềnh và bất tiện. Khi làm việc bên ngoài các mẫu thông thường trở nên cần thiết, bạn hoặc một quản trị viên khác sẽ cần sửa đổi quy tắc hoặc cung cấp giải pháp thay thế.
• Khi nhân viên CNTT của bạn phải lập trình lại một quy tắc cụ thể cho một trường hợp bất thường và sau đó chuyển nó trở lại, nhu cầu thay đổi thường xuyên có thể trở thành gánh nặng.
• RBAC không xem xét các mối quan hệ cụ thể giữa các nguồn lực, con người, hoạt động và các khía cạnh khác của hoạt động hoặc cơ sở hạ tầng do nó phụ thuộc vào các quy tắc. Cấu trúc cần thiết của các quy tắc có thể trở nên cực kỳ phức tạp nếu không có các cơ chế kiểm soát bổ sung.

Hệ thống kiểm soát truy cập dựa trên quy tắc có thể cung cấp bảo mật bổ sung quan trọng tùy thuộc vào nhu cầu của công ty bạn. Tuy nhiên, tự nó có thể không đủ. Công ty của bạn cũng sẽ yêu cầu chuyên môn để thiết lập và duy trì các quy tắc, cũng như điều chỉnh hoặc thay đổi chúng khi cần thiết.

Sự khác biệt giữa kiểm soát truy cập dựa trên quy tắc và dựa trên vai trò là gì?

Các cấp độ truy cập của nhân viên không được xác định bởi các biện pháp kiểm soát truy cập dựa trên quy tắc, có tính chất ngăn chặn. Thay vào đó, chúng hoạt động để ngăn chặn truy cập trái phép. Mô hình dựa trên vai trò chủ động ở chỗ chúng cung cấp cho nhân viên một tập hợp các điều kiện để họ có thể có được quyền truy cập được ủy quyền.

Quy tắc trong kiểm soát truy cập là gì?

Một miền, một loại đối tượng, trạng thái vòng đời và một người tham gia đều được gán cho một tập hợp các quyền bởi một quy tắc kiểm soát truy cập. Quy tắc kiểm soát truy cập chỉ định quyền của người dùng, nhóm, vai trò hoặc tổ chức để truy cập các đối tượng thuộc một loại và trạng thái cụ thể trong một miền.

Triển khai kiểm soát truy cập dựa trên quy tắc

Khi nói đến việc triển khai kiểm soát truy cập dựa trên quy tắc và xem xét các phương pháp hay nhất về kiểm soát dựa trên quy tắc, có một số bước quan trọng cần thực hiện:

• Kiểm tra các quy tắc truy cập hiện tại - Kiểm tra cả các quy tắc áp dụng cho các điểm truy cập cụ thể và các quy tắc chung áp dụng cho tất cả các điểm truy cập. Xác định bất kỳ khu vực rủi ro cao nào thiếu các quy tắc truy cập cụ thể. Bởi vì các lỗ hổng bảo mật liên tục thay đổi và phát triển, điều này cần được thực hiện một cách thường xuyên.
• Phân tích các tình huống "điều gì xảy ra nếu" - Xác định các tình huống tiềm ẩn có thể cần áp dụng các quy tắc bổ sung để giảm rủi ro.
• Cập nhật hoặc tạo các quy tắc dựa trên đánh giá. Đặt các quy tắc mới hoặc cập nhật các quy tắc hiện có để tăng mức độ bảo mật.
• Tránh xung đột quyền bằng cách so sánh các quy tắc với các quyền được thiết lập bởi các mô hình kiểm soát truy cập khác để đảm bảo rằng không tồn tại xung đột nào có thể từ chối quyền truy cập một cách không chính xác.
• Tài liệu và xuất bản các quy tắc -Công bố các quy tắc quan trọng nhất và thông báo bất kỳ thay đổi nào để đảm bảo rằng tất cả nhân viên đều hiểu quyền truy cập và trách nhiệm của họ. Mặc dù nhân viên có thể không cần biết các chi tiết cụ thể, nhưng điều quan trọng là họ phải hiểu những thay đổi chính sách có thể ảnh hưởng như thế nào đến hoạt động hàng ngày của họ.
• Tiến hành đánh giá thường xuyên - Tiến hành kiểm tra hệ thống thường xuyên để xác định bất kỳ vấn đề truy cập hoặc lỗ hổng bảo mật nào. Kiểm tra bất kỳ vấn đề bảo mật nào do kiểm soát truy cập lỏng lẻo gây ra và nếu cần, hãy sửa đổi các quy tắc.

Kiểm soát truy cập dựa trên quy tắc so với kiểm soát truy cập dựa trên vai trò

Quản trị viên bảo mật định cấu hình và quản lý cả hai mô hình. Nhân viên không thể thay đổi quyền của họ hoặc kiểm soát quyền truy cập vì chúng là bắt buộc chứ không phải tùy chọn. Tuy nhiên, có một số khác biệt đáng kể giữa kiểm soát truy cập dựa trên quy tắc và dựa trên vai trò có thể giúp xác định mô hình nào là tốt nhất cho một trường hợp sử dụng nhất định.

hoạt động

• Mô hình dựa trên quy tắc xác định các quy tắc áp dụng cho tất cả các vai trò công việc.
• Quyền trong mô hình dựa trên vai trò dựa trên vai trò công việc cụ thể.

Mục đích

• Các cấp độ truy cập của nhân viên không được xác định bởi các biện pháp kiểm soát truy cập dựa trên quy tắc, có tính chất ngăn chặn. Thay vào đó, chúng hoạt động để ngăn chặn truy cập trái phép.
• Mô hình dựa trên vai trò chủ động ở chỗ chúng cung cấp cho nhân viên một tập hợp các điều kiện để họ có thể có được quyền truy cập được ủy quyền.

Các Ứng Dụng

• Các mô hình dựa trên quy tắc là chung theo nghĩa là chúng áp dụng cho tất cả nhân viên, bất kể vai trò của họ.
• Mô hình dựa trên vai trò áp dụng cho nhân viên trên cơ sở cá nhân, dựa trên vai trò của họ.

nghiên cứu trường hợp

Các mô hình dựa trên vai trò thích hợp cho các tổ chức nơi các vai trò được xác định rõ ràng và các yêu cầu về nguồn lực và quyền truy cập có thể được xác định dựa trên các vai trò đó. Do đó, các mô hình RBAC phù hợp với các tổ chức có số lượng nhân viên lớn, nơi việc thiết lập quyền cho từng nhân viên sẽ khó khăn và tốn thời gian.

Hệ điều hành dựa trên quy tắc hoạt động tốt trong các tổ chức có ít nhân viên hơn hoặc ở những nơi mà các vai trò là linh hoạt, gây khó khăn cho việc chỉ định các quyền 'chặt chẽ'. Hệ điều hành dựa trên quy tắc cũng rất cần thiết cho các tổ chức có nhiều lĩnh vực yêu cầu mức độ bảo mật cao nhất. Mô hình dựa trên vai trò có thể không tự cung cấp sự bảo vệ đầy đủ, đặc biệt nếu mỗi vai trò bao gồm các cấp độ thâm niên và yêu cầu tiếp cận khác nhau.

Mô hình kết hợp

Các mô hình kiểm soát truy cập dựa trên quy tắc và dựa trên vai trò bổ sung cho nhau ở chỗ chúng thực hiện các cách tiếp cận khác nhau để đạt được cùng một mục tiêu là tối đa hóa khả năng bảo vệ. Các hệ thống dựa trên vai trò đảm bảo rằng chỉ những nhân viên được ủy quyền mới có quyền truy cập vào các khu vực hoặc tài nguyên bị hạn chế. Các hệ thống dựa trên quy tắc đảm bảo rằng các nhân viên được ủy quyền có quyền truy cập vào các tài nguyên ở đúng nơi và vào đúng thời điểm.

Một số tổ chức tin rằng không có mô hình nào cung cấp mức độ bảo mật cần thiết. Để đối phó với các tình huống khác nhau, quản trị viên bảo mật có thể sử dụng mô hình kết hợp để cung cấp cả bảo vệ cấp cao thông qua các hệ thống dựa trên vai trò và kiểm soát chi tiết linh hoạt thông qua các mô hình dựa trên quy tắc.

Quản trị viên có thể cấp quyền truy cập cho tất cả nhân viên thông qua mô hình dựa trên vai trò trong các khu vực có yêu cầu bảo mật thấp hơn, chẳng hạn như hành lang lối vào, nhưng thêm một ngoại lệ dựa trên quy tắc từ chối quyền truy cập ngoài giờ làm việc.

Quản trị viên có thể chỉ định quyền cho các vai trò cụ thể trong các khu vực bảo mật cao hơn, nhưng sử dụng hệ thống dựa trên quy tắc để loại trừ nhân viên ở một vai trò chỉ ở cấp cơ sở.

Một mô hình hybrid như vậy kết hợp những ưu điểm của cả hai mô hình trong khi cải thiện tình hình an ninh tổng thể.

Đơn giản hóa việc quản lý kiểm soát ra vào cửa

• Quyền có thể được định cấu hình dễ dàng và an toàn bằng cách sử dụng vai trò người dùng, thuộc tính và quy tắc tùy chỉnh.
• Lên lịch truy cập vào tất cả các cửa ra vào, cổng ra vào, cửa quay và thang máy.
• Mở khóa từ xa bất kỳ cửa nào hoặc kích hoạt khóa tòa nhà
• Với Wave to Unlock không cảm ứng, bạn chỉ cần một thông tin đăng nhập di động cho mỗi mục nhập.
• Đối với các khu vực bảo mật cao, xác minh sinh trắc học, MFA và video tích hợp
• Sử dụng phần mềm kiểm soát truy cập từ xa dựa trên đám mây, bạn có thể thay đổi quyền truy cập bất kỳ lúc nào.

Kiểm soát truy cập dựa trên vai trò và dựa trên quy tắc so với Kiểm soát truy cập dựa trên thuộc tính

Quản trị viên bảo mật trong hệ thống dựa trên vai trò cấp hoặc từ chối quyền truy cập vào không gian hoặc tài nguyên dựa trên vai trò của nhân viên trong doanh nghiệp.

Quản trị viên kiểm soát quyền truy cập trong hệ thống dựa trên thuộc tính dựa trên một tập hợp các thuộc tính hoặc đặc điểm đã được phê duyệt. Mặc dù vai trò của nhân viên có thể là một trong những thuộc tính của họ, nhưng hồ sơ của họ nói chung sẽ bao gồm các đặc điểm khác như tư cách thành viên trong nhóm dự án, nhóm làm việc hoặc phòng ban, cũng như cấp quản lý, giải pháp bảo mật và các tiêu chí khác.

Bởi vì người quản trị chỉ cần xác định một số lượng nhỏ các vai trò, một hệ thống dựa trên vai trò sẽ nhanh chóng và dễ thực hiện hơn. Người quản trị hệ thống dựa trên thuộc tính phải xác định và quản lý nhiều đặc tính.

Mặt khác, sử dụng nhiều đặc tính có thể có lợi trong một số trường hợp sử dụng nhất định vì nó cho phép quản trị viên áp dụng hình thức kiểm soát chi tiết hơn.

Kiểm soát truy cập dựa trên thuộc tính so với Kiểm soát truy cập dựa trên quy tắc

Quản trị viên trong hệ thống dựa trên quy tắc cấp hoặc từ chối quyền truy cập dựa trên một tập hợp các quy tắc được xác định trước.

Ngược lại, các mô hình kiểm soát truy cập dựa trên thuộc tính (ABAC) đánh giá một tập hợp các thuộc tính hoặc đặc điểm đã được phê duyệt trước khi cấp quyền truy cập. Quản trị viên có thể tạo ra một tập hợp các đặc điểm đa dạng phù hợp với các yêu cầu bảo mật cụ thể của các điểm truy cập hoặc tài nguyên khác nhau. Sự khác biệt chính giữa hai loại này là thông tin và hành động được sử dụng để cấp hoặc từ chối quyền truy cập. Các thuộc tính vẫn thường được liên kết với thông tin cá nhân về nhân viên, chẳng hạn như nhóm của họ, tình trạng công việc hoặc giải phóng mặt bằng. Giờ làm việc, lịch làm việc, thiết bị và các tiêu chí tương tự khác thường được tham chiếu trong các quy tắc.

Cả hai mô hình đều cho phép kiểm soát truy cập chi tiết, điều này có lợi cho các tổ chức có yêu cầu bảo mật cụ thể. Cả hai mô hình dựa trên quy tắc và dựa trên thuộc tính đều có thể được kết hợp với các mô hình khác, chẳng hạn như kiểm soát truy cập dựa trên vai trò. Bởi vì quản trị viên phải xác định nhiều quy tắc hoặc thuộc tính, cả hai mô hình có thể tốn thời gian để triển khai và quản lý. Mặt khác, các quy tắc và thuộc tính cung cấp khả năng mở rộng lớn hơn theo thời gian.

Kết luận

Hai trong số các mô hình quan trọng nhất để xác định ai có quyền truy cập vào các khu vực hoặc nguồn lực cụ thể trong doanh nghiệp là kiểm soát truy cập dựa trên quy tắc và vai trò. Quản trị viên bảo mật có thể quản lý quyền truy cập ở cấp độ cao hoặc áp dụng các quy tắc chi tiết để cung cấp biện pháp bảo vệ cụ thể cho các khu vực bảo mật cao bằng cách triển khai mô hình phù hợp nhất.

Kiểm soát truy cập dựa trên các quy tắc và vai trò cho phép các doanh nghiệp sử dụng công nghệ bảo mật của họ theo cách thực sự tùy chỉnh. Bằng cách xác định ai có quyền truy cập vào các khu vực và tài nguyên cụ thể trong doanh nghiệp, một công ty có thể triển khai mô hình tốt nhất và quản lý quyền truy cập ở cấp độ cao, cũng như áp dụng các quy tắc chi tiết để cung cấp khả năng bảo vệ mạnh mẽ hơn cho các khu vực bảo mật cao.

Mặc dù cả hai mô hình đều cung cấp bảo mật hiệu quả và những lợi ích đáng kể, nỗ lực cần thiết để phát triển, thực hiện và quản lý các chính sách bảo mật truy cập khác nhau. Như một phần thưởng bổ sung, các mô hình dựa trên quy tắc và dựa trên vai trò bổ sung cho nhau và có thể được sử dụng song song để cung cấp bảo mật kiểm soát truy cập cao hơn nữa.

Bài viết liên quan

• RBAC KIỂM SOÁT TRUY CẬP THEO VAI TRÒ: Định nghĩa, Lịch sử và Ví dụ
• KIỂM SOÁT TRUY CẬP PHÂN TÍCH: Định nghĩa và Ví dụ
• MAC KIỂM SOÁT TRUY CẬP MANDATORY: Cách hoạt động
• QUẢN LÝ HỆ THỐNG MẠNG: Cách thức hoạt động

dự án

• Business.com
• TMCnet.com
• Techopedia