El control de acceso basado en roles (RBAC) permite a los administradores de red adaptar los niveles de acceso de los usuarios de acuerdo con sus roles dentro de la organización, mientras que el control de acceso basado en reglas (RuBAC) permite el acceso dependiendo de las personas que cumplan con condiciones específicas. Al emplear un sistema de control de acceso basado en reglas predefinido, los administradores del sistema pueden, por ejemplo, otorgar acceso a recursos de red particulares solo durante el horario comercial estándar.
A menudo denominado control basado en atributos, RuBAC otorga a los usuarios distintos niveles de acceso a los sistemas en función de criterios establecidos, independientemente de su función o posición en la organización. Esta explicación proviene de Joe Dowling, vicepresidente de administración de acceso, identidad y seguridad cibernética de Dell Technologies.
Además del control de acceso a la red, RuBAC se puede usar en varios contextos, como el control de acceso a archivos y directorios o el control de acceso a aplicaciones, afirma Alaa Negeda, arquitecto senior de soluciones y CTO de AlxTel, un proveedor de servicios de telecomunicaciones. Agrega que RuBAC también se puede integrar con otras medidas de seguridad como firewalls, sistemas de detección de intrusos y protección con contraseña.
La configuración de RuBAC se define por el grado de control proporcionado a los usuarios en función de sus roles específicos dentro de una organización. Alexander Marquardt, director global de gestión de acceso e identidad del proveedor de software de análisis SAS, señala que RuBAC permite el control de acceso en función de criterios, condiciones o restricciones discretos. El enfoque es explícito, muy granular y se centra en atributos o características individuales de un sujeto, objeto o entorno operativo.
Jay Silberkleit, CIO de XPO, un proveedor de servicios de carga y logística, cree que RuBAC es la opción óptima para las organizaciones que buscan un método de acceso a la red que ofrezca la máxima personalización y flexibilidad. Señala que las reglas se pueden modificar rápidamente sin modificar la definición general de la estructura organizativa.
La granularidad y la claridad son los principales beneficios del uso de RuBAC, observa Marquardt. No hay ambigüedad al examinar una regla, ya que permite o deniega explícitamente el acceso a un objeto u operación específicos.
El mayor control y la adaptabilidad también son razones por las que muchas organizaciones optan por RuBAC. Según Marquardt, el control de acceso basado en reglas es un modelo ideal para las empresas que requieren reglas explícitas y firmes.
RuBAC proporciona a los adoptantes una flexibilidad de acceso de usuario prácticamente ilimitada, con una sobrecarga mínima. Como explica Silberkleit, se puede ajustar un pequeño conjunto de reglas para facilitar una gran base de usuarios. El enfoque permite probar o experimentar varios niveles de acceso a la red entre un subconjunto de usuarios. Tener un control tan detallado sobre el acceso ayuda a las organizaciones a mantenerse ágiles y seguras, agrega.
La principal desventaja de RuBAC es el nivel de supervisión y gestión necesario para establecer, configurar, configurar y probar las reglas. Las empresas también enfrentan el desafío de garantizar que los permisos sigan siendo precisos y confiables a medida que evolucionan los roles de los usuarios. Las organizaciones deben comenzar con una estrategia clara para configurar y administrar RuBAC, advierte Dowling de Dell.
Marquardt señala que los adoptantes pueden tener dificultades para escribir excepciones de un solo sujeto o de un solo objeto para reglas de aplicación amplia, rastrear esas excepciones e informar con precisión los derechos y permisos efectivos.
W. Curtis Preston, evangelista técnico jefe de Druva, identifica el tedioso proceso de configuración y las tareas de mantenimiento continuo de RuBAC como sus principales inconvenientes, especialmente si se trata de autenticación multifactor (MFA). Sin embargo, argumenta que, según el conocimiento actual sobre ciberataques e infracciones, es un pequeño precio a pagar por la tranquilidad y la protección de datos de una organización.
Personalizar las reglas de RuBAC puede ser un desafío, reconoce Negeda. Por ejemplo, es posible que sea necesario definir los permisos exactos requeridos para funciones específicas, o que se deba especificar el nombre de usuario o el nombre de grupo asociado con una determinada función.
Negeda también menciona que escalar RuBAC puede ser difícil. Crear y mantener reglas para una gran cantidad de recursos puede ser un desafío, al igual que determinar qué usuarios o grupos deben tener acceso a qué recursos.
Existen numerosos métodos para implementar RuBAC, siendo el uso de una base de datos para almacenar reglas la estrategia más popular, según Negeda. Una vez que se crean las reglas, los administradores pueden agregarlas o actualizarlas fácilmente.
Para minimizar la confusión y las interrupciones, Dowling recomienda que las organizaciones que estén considerando una transición a RuBAC comiencen analizando sus requisitos comerciales en curso y el sistema de clasificación de acceso a la red existente para determinar si el acceso basado en reglas o roles es el modelo más adecuado. Si RuBAC es la opción ideal para su organización, se deben realizar entrevistas exhaustivas con los propietarios comerciales del sistema para establecer el conjunto de reglas menos complejo a seguir.
Con el auge de las plataformas de desarrollo low-code y no-code como AppMaster , la implementación de sistemas de control de acceso se ha vuelto aún más crítica para proteger las aplicaciones y los datos. Ya sea que se trate de un enfoque basado en funciones, basado en reglas o híbrido, encontrar el método de control de acceso adecuado para su organización lo ayudará a mantener un entorno de red seguro y funcional.
