ABAC, Permissionamento, rbac, Segurança da informação

Controles de acesso: RBAC vs ABAC

Conhecendo mais sobre o RBAC

O controle de acesso baseado em funções (RBAC – Role-based access control) é um método de restringir o acesso à rede com base nas funções de usuários em uma empresa. Permitindo que os funcionários tenham direitos de acesso apenas às informações de que precisam para fazer o seu trabalho e os impede de acessar informações que não lhes pertencem, o que vai de encontro com um dos princípios básicos de controle de acesso, que é a idéia de“privilégio mínimo”.

A função de um funcionário em uma organização determina as permissões que ele recebe e garante que os funcionários de nível hierárquico inferior não possam acessar informações confidenciais ou executar tarefas de alto nível.

No modelo de dados RBAC, as funções são baseadas em vários fatores, incluindo autorização, responsabilidade e competência para o trabalho. Como tal, as empresas podem designar se um usuário é um usuário final, um administrador ou um usuário especialista. Além disso, o acesso aos recursos do computador pode ser limitado a tarefas específicas, como a capacidade de visualizar, criar ou modificar arquivos.

Limitar também o acesso à rede é importante para organizações, principalmente se estas permitem acesso a terceiros, como clientes e fornecedores aonde o monitoramento eficaz do acesso à rede é dificultado.

    Os principais benefícios do RBAC

    • Permite aos administradores, maior visibilidade do mapa da empresa.
    • Permite atribuição sistemática e reproduzível de permissões aos usuários.
    • Facilita a auditoria de privilégios de usuários e a correção de possíveis problemas identificados.
    • Permite a adição e alterar de funções rapidamente, bem como implementação de APIs, melhorando a eficiência operacional.
    • Reduz o potencial de erro ao atribuir permissões aos usuários.
    • Permite a integrar de usuários terceirizados, dando-lhes funções predefinidas.
    • Melhora o compliance, permitindo cumprir com mais eficácia os requisitos regulamentares e estatutários de confidencialidade e privacidade.
    • Redução de custos.

      Exemplos do uso de RBAC

      Por meio do RBAC, você pode designar e alinhar funções e permissões de acesso com as posições de seus funcionários na organização. Como mencionado anteriormente as permissões são alocadas apenas com acesso necessário para os funcionários possam fazer seus trabalhos. E se o trabalho de um usuário mudar? Você pode atribuir outra função ao usuário

      • Role de gerenciamento de escopo: Você pode limitar quais objetos a roles de grupo tem permissão para gerenciar.
      • Role de gerenciamento de grupo: Aonde você pode adicionar e remover membros.
      • Role de gerenciamento: Esses são os tipos de tarefas que podem ser realizadas por um grupo de funções específico e limitado de usuários.
      • Role de atribuição de gerenciamento: Esta vincula uma função a um grupo de funções.

      Lembrando que ao adicionar um usuário a um grupo de funções, o usuário tem acesso a todas as funções desse grupo. Se eles forem removidos, o acesso se tornará restrito. Os usuários também podem ser atribuídos a vários grupos no caso de precisarem de acesso temporário a determinados dados ou programas e, em seguida, removidos quando o projeto for concluído.

        Uso e disponibilidade

        O uso do RBAC para gerenciar os privilégios do usuário (permissões do computador) em um único sistema ou aplicativo é amplamente aceito como uma prática recomendada. Em relatórios preparados para o NIST pelo Research Triangle Institute foi analisado o valor econômico do RBAC para as empresas e os benefícios estimados por funcionário de tempo de inatividade reduzido, provisionamento mais eficiente e administração de política de controle de acesso mais eficiente.

        Em uma organização com uma infraestrutura heterogênea e requisitos que abrangem centenas de sistemas e aplicativos, usar o RBAC para gerenciar e atribuir a usuários associações de funções adequadas torna-se extremamente complexo sem a criação hierárquica de funções e atribuições de privilégios.

          Melhores práticas para implementações de RBAC

          • Coloque no papel a situação atual: Determine os recursos para os quais necessite do controle de acesso, se ainda não estiverem listados. Crie uma lista de todos os softwares, hardwares e aplicativos que possuem algum tipo de segurança.
          • Desenhe a política: Analise a força de trabalho e estabeleça funções com as mesmas necessidades de acesso. No entanto, não crie muitas funções, pois isso invalidaria o propósito do controle de acesso baseado em função e criaria controle de acesso baseado em usuário em vez de controle de acesso baseado em função. Depois de criar uma lista de funções e seus direitos de acesso, alinhe os funcionários a essas funções e defina seu acesso.
          • Realize as mudanças: Certifique-se de que o RBAC esteja integrado em todos os sistemas da empresa. Avalie como as funções podem ser alteradas, bem como as contas de funcionários que estão deixando a empresa podem ser encerradas e como novos funcionários podem ser registrados.
          • Ensine o usuário: Realize treinamentos para que os colaboradores entendam os princípios do RBAC.
          • Adaptação contínua: É provável que a primeira iteração do RBAC exija alguns ajustes. No início, você deve avaliar suas funções e status de segurança com freqüência. Avalie primeiro se o processo de produção está funcionando e, em segundo lugar, se o seu processo é seguro.
          • Auditorias: Conduza auditorias periódicas das funções, dos funcionários atribuídos a elas e do acesso permitido para cada função. Se for descoberto que uma função tem acesso desnecessário a um determinado sistema, altere a função e modifique o nível de acesso para os indivíduos que estão nessa função.

            RBAC x ABAC

            O controle de acesso baseado em funções (RBAC) e o controle de acesso baseado em atributos (ABAC) são ambos tipos de métodos de controle de acesso, mas suas abordagens são diferentes. Enquanto o RBAC concede direitos de acesso dependendo das funções dos usuários, o ABAC controla o acesso com base em uma combinação de atributos, ou seja, atributos do usuário, de recursos, associados ao sistema ou aplicativo a ser acessado e atributos ambientais.

            Os atributos do usuário podem incluir nome, nacionalidade, organização, identidade, função, habilitação de segurança e assim por diante. Exemplos de atributos de recursos incluem proprietário, nome, data de criação de dados e assim por diante, enquanto os atributos ambientais incluem local de acesso, hora de acesso e níveis de ameaça. Além de simplificar o gerenciamento de acesso, o ABAC permite que as empresas reduzam os riscos devido ao acesso não autorizado e ajuda a centralizar a auditoria.

            As organizações devem usar o RBAC para controle de acesso de baixa granularidade, como fornecer a todos os professores de uma universidade acesso ao Google para fazer pesquisas ou fornecer a todos os contratados acessão ao e-mail corporativo. Por outro lado, as empresas devem usar o ABAC para controle de acesso refinado ou se precisarem tomar decisões sob condições específicas, por exemplo, dar aos professores, acesso ao Google apenas se trabalharem no edifício X e darem aulas para calouros.

            Fonte:

            https://digitalguardian.com
            https://auth0.com
            https://searchsecurity.techtarget.com
            https://csrc.nist.gov

             

            Publicado por

            love4tek

            Tech savvy, entusiasta e apaixonado por tecnologia e segurança da informação. Atenção: Site sem fins lucrativos!

            Deixe um comentário