Mit der rollenbasierten Zugriffskontrolle (RBAC) können Netzwerkadministratoren die Zugriffsebenen der Benutzer an ihre Rollen innerhalb der Organisation anpassen, während die regelbasierte Zugriffskontrolle (RuBAC) den Zugriff von Einzelpersonen abhängig macht, die bestimmte Bedingungen einhalten. Durch den Einsatz eines vordefinierten regelbasierten Zugriffskontrollsystems können Systemadministratoren beispielsweise den Zugriff auf bestimmte Netzwerkressourcen nur während der üblichen Geschäftszeiten gewähren.
RuBAC wird oft als attributbasierte Kontrolle bezeichnet und gewährt Benutzern basierend auf festgelegten Kriterien unterschiedliche Zugriffsebenen auf Systeme, unabhängig von ihrer Rolle oder Position in der Organisation. Diese Erklärung stammt von Joe Dowling, Vizepräsident für Cybersicherheit, Identität und Zugriffsverwaltung bei Dell Technologies.
Neben der Netzwerkzugriffskontrolle kann RuBAC in verschiedenen Kontexten eingesetzt werden, beispielsweise zur Datei- und Verzeichniszugriffskontrolle oder zur Anwendungszugriffskontrolle, erklärt Alaa Negeda, leitender Lösungsarchitekt und CTO bei AlxTel, einem Telekommunikationsdienstleister. Er fügt hinzu, dass RuBAC auch in andere Sicherheitsmaßnahmen wie Firewalls, Intrusion-Detection-Systeme und Passwortschutz integriert werden kann.
RuBAC-Einstellungen werden durch den Umfang der Kontrolle definiert, die Benutzern basierend auf ihren spezifischen Rollen innerhalb einer Organisation gewährt wird. Alexander Marquardt, globaler Leiter für Identitäts- und Zugriffsmanagement beim Analysesoftwareanbieter SAS, weist darauf hin, dass RuBAC eine Zugriffskontrolle basierend auf diskreten Kriterien, Bedingungen oder Einschränkungen ermöglicht. Der Ansatz ist explizit, sehr granular und konzentriert sich auf einzelne Attribute oder Merkmale eines Subjekts, Objekts oder einer Betriebsumgebung.
Jay Silberkleit, CIO bei XPO, einem Fracht- und Logistikdienstleister, ist davon überzeugt, dass RuBAC die optimale Wahl für Unternehmen ist, die eine Netzwerkzugriffsmethode suchen, die maximale Anpassung und Flexibilität bietet. Er weist darauf hin, dass Regeln schnell geändert werden können, ohne die Gesamtdefinition der Organisationsstruktur zu ändern.
Granularität und Klarheit sind laut Marquardt die Hauptvorteile der Verwendung von RuBAC. Bei der Prüfung einer Regel besteht keine Unklarheit, da sie den Zugriff auf ein bestimmtes Objekt oder eine bestimmte Operation explizit erlaubt oder verweigert.
Erhöhte Kontrolle und Anpassungsfähigkeit sind auch Gründe, warum sich viele Organisationen für RuBAC entscheiden. Laut Marquardt ist die regelbasierte Zugriffskontrolle ein ideales Modell für Unternehmen, die feste, eindeutige Regeln benötigen.
RuBAC bietet Anwendern praktisch unbegrenzte Benutzerzugriffsflexibilität bei minimalem Overhead. Wie Silberkleit erklärt, kann ein kleines Regelwerk angepasst werden, um eine große Nutzerbasis zu ermöglichen. Der Ansatz ermöglicht das Testen oder Experimentieren verschiedener Netzwerkzugriffsebenen bei einer Untergruppe von Benutzern. Eine derart detaillierte Zugriffskontrolle helfe Unternehmen dabei, agil und sicher zu bleiben, fügt er hinzu.
Der Hauptnachteil von RuBAC ist der Grad an Überwachung und Verwaltung, der zum Festlegen, Konfigurieren, Einrichten und Testen von Regeln erforderlich ist. Unternehmen stehen auch vor der Herausforderung, sicherzustellen, dass Berechtigungen korrekt und zuverlässig bleiben, wenn sich die Rollen der Benutzer ändern. Unternehmen müssen mit einer klaren Strategie für die Einrichtung und Verwaltung von RuBAC beginnen, warnt Dowling von Dell.
Marquardt weist darauf hin, dass Anwender möglicherweise Schwierigkeiten damit haben, Ausnahmen für ein einzelnes Subjekt oder ein einzelnes Objekt für allgemein anwendbare Regeln zu schreiben, diese Ausnahmen zu verfolgen und wirksame Rechte und Berechtigungen genau zu melden.
W. Curtis Preston, Chief Technical Evangelist bei Druva, identifiziert den langwierigen Einrichtungsprozess und die laufenden Wartungsaufgaben von RuBAC als seine Hauptnachteile, insbesondere wenn es um Multi-Faktor-Authentifizierung (MFA) geht. Er argumentiert jedoch, dass es sich nach dem aktuellen Wissensstand über Cyberangriffe und Sicherheitsverletzungen um einen geringen Preis für die Sicherheit und den Datenschutz eines Unternehmens handele.
Das Anpassen von RuBAC-Regeln kann eine Herausforderung sein, räumt Negeda ein. Beispielsweise müssen möglicherweise die genauen Berechtigungen definiert werden, die für bestimmte Rollen erforderlich sind, oder der Benutzername oder Gruppenname, der einer bestimmten Rolle zugeordnet ist, muss möglicherweise angegeben werden.
Negeda erwähnt auch, dass die Skalierung von RuBAC schwierig sein kann. Das Erstellen und Verwalten von Regeln für eine große Anzahl von Ressourcen kann eine Herausforderung sein, ebenso wie die Bestimmung, welche Benutzer oder Gruppen Zugriff auf welche Ressourcen haben sollen.
Es gibt zahlreiche Methoden für die Bereitstellung von RuBAC, wobei laut Negeda die Verwendung einer Datenbank zum Speichern von Regeln die beliebteste Strategie ist. Sobald Regeln erstellt wurden, können sie von Administratoren problemlos hinzugefügt oder aktualisiert werden.
Um Verwirrung und Störungen zu minimieren, empfiehlt Dowling, dass Unternehmen, die einen Übergang zu RuBAC in Betracht ziehen, zunächst ihre laufenden Geschäftsanforderungen und das bestehende Klassifizierungssystem für den Netzwerkzugriff analysieren, um festzustellen, ob regel- oder rollenbasierter Zugriff das am besten geeignete Modell ist. Wenn RuBAC die ideale Wahl für Ihr Unternehmen ist, sollten umfassende Interviews mit den Geschäftsinhabern des Systems geführt werden, um den am wenigsten komplexen Regelsatz festzulegen, der befolgt werden soll.
Mit dem Aufkommen von low-code und no-code Entwicklungsplattformen wie AppMaster ist die Implementierung von Zugangskontrollsystemen für die Sicherheit von Anwendungen und Daten noch wichtiger geworden. Ganz gleich, ob es sich um einen rollenbasierten, regelbasierten oder hybriden Ansatz handelt: Wenn Sie die richtige Zugriffskontrollmethode für Ihr Unternehmen finden, können Sie eine sichere und funktionierende Netzwerkumgebung aufrechterhalten.
