Le contrôle d'accès basé sur les rôles (RBAC) permet aux administrateurs réseau d'adapter les niveaux d'accès des utilisateurs en fonction de leurs rôles au sein de l'organisation, tandis que le contrôle d'accès basé sur des règles (RuBAC) permet un accès subordonné à des individus respectant des conditions spécifiques. En utilisant un système de contrôle d'accès basé sur des règles prédéfinies, les administrateurs système peuvent, par exemple, accorder l'accès à des ressources réseau particulières uniquement pendant les heures de bureau standard.
Souvent appelé contrôle basé sur les attributs, RuBAC accorde aux utilisateurs différents niveaux d'accès aux systèmes en fonction de critères définis, quel que soit leur rôle ou leur position dans l'organisation. Cette explication vient de Joe Dowling, vice-président de la gestion de la cybersécurité, des identités et des accès chez Dell Technologies.
Outre le contrôle d'accès au réseau, RuBAC peut être utilisé dans divers contextes, tels que le contrôle d'accès aux fichiers et aux répertoires ou le contrôle d'accès aux applications, déclare Alaa Negeda, architecte de solutions senior et CTO chez AlxTel, un fournisseur de services de télécommunications. Il ajoute que RuBAC peut également être intégré à d'autres mesures de sécurité comme les pare-feu, les systèmes de détection d'intrusion et la protection par mot de passe.
Les paramètres RuBAC sont définis par l'étendue du contrôle fourni aux utilisateurs en fonction de leurs rôles spécifiques au sein d'une organisation. Alexander Marquardt, responsable mondial de la gestion des identités et des accès chez le fournisseur de logiciels d'analyse SAS, souligne que RuBAC permet un contrôle d'accès basé sur des critères, des conditions ou des contraintes discrets. L'approche est explicite, très granulaire et se concentre sur les attributs individuels ou les caractéristiques d'un sujet, d'un objet ou d'un environnement d'exploitation.
Jay Silberkleit, CIO chez XPO, un fournisseur de services de fret et de logistique, estime que RuBAC est le choix optimal pour les organisations à la recherche d'une méthode d'accès au réseau offrant une personnalisation et une flexibilité maximales. Il note que les règles peuvent être rapidement modifiées sans modifier la définition globale de la structure organisationnelle.
La granularité et la clarté sont les principaux avantages de l'utilisation de RuBAC, observe Marquardt. Il n'y a aucune ambiguïté lors de l'examen d'une règle, car elle autorise ou refuse explicitement l'accès à un objet ou à une opération spécifique.
Un contrôle et une adaptabilité accrus sont également des raisons pour lesquelles de nombreuses organisations optent pour RuBAC. Selon Marquardt, le contrôle d'accès basé sur des règles est un modèle idéal pour les entreprises qui ont besoin de règles explicites et constantes.
RuBAC offre aux adoptants une flexibilité d'accès utilisateur pratiquement illimitée, avec une surcharge minimale. Comme l'explique Silberkleit, un petit ensemble de règles peut être ajusté pour faciliter une large base d'utilisateurs. L'approche permet de tester ou d'expérimenter différents niveaux d'accès au réseau parmi un sous-ensemble d'utilisateurs. Un contrôle aussi précis de l'accès aide les organisations à rester agiles et sécurisées, ajoute-t-il.
Le principal inconvénient de RuBAC est le niveau de supervision et de gestion nécessaire pour établir, configurer, paramétrer et tester les règles. Les entreprises sont également confrontées au défi de s'assurer que les autorisations restent exactes et fiables à mesure que les rôles des utilisateurs évoluent. Les organisations doivent commencer par une stratégie claire pour configurer et gérer RuBAC, prévient Dowling de Dell.
Marquardt souligne que les adopteurs peuvent avoir du mal à écrire des exceptions à un seul sujet ou à un seul objet pour des règles largement appliquées, à suivre ces exceptions et à signaler avec précision les droits et autorisations effectifs.
W. Curtis Preston, évangéliste technique en chef chez Druva, identifie le processus de configuration fastidieux et les tâches de maintenance continues de RuBAC comme ses principaux inconvénients, en particulier si l'authentification multifacteur (MFA) est impliquée. Cependant, il soutient que, sur la base des connaissances actuelles sur les cyberattaques et les violations, c'est un petit prix à payer pour la tranquillité d'esprit et la protection des données d'une organisation.
La personnalisation des règles RuBAC peut être difficile, reconnaît Negeda. Par exemple, les autorisations exactes requises pour des rôles spécifiques peuvent devoir être définies, ou le nom d'utilisateur ou le nom de groupe associé à un certain rôle peut devoir être spécifié.
Negeda mentionne également que la mise à l'échelle de RuBAC peut être difficile. La création et la maintenance de règles pour un grand nombre de ressources peuvent constituer un défi, tout comme la détermination des utilisateurs ou des groupes qui doivent avoir accès à quelles ressources.
Il existe de nombreuses méthodes pour déployer RuBAC, l'utilisation d'une base de données pour stocker les règles étant la stratégie la plus populaire, selon Negeda. Une fois les règles créées, elles peuvent être facilement ajoutées ou mises à jour par les administrateurs.
Pour minimiser la confusion et les perturbations, Dowling recommande aux organisations qui envisagent une transition vers RuBAC de commencer par analyser leurs besoins commerciaux en cours et le système de classification d'accès au réseau existant pour déterminer si l'accès basé sur des règles ou des rôles est le modèle le plus approprié. Si RuBAC est le choix idéal pour votre organisation, des entretiens complets doivent être menés avec les propriétaires d'entreprise du système pour établir l'ensemble de règles le moins complexe à suivre.
Avec l'essor des plates-formes de développement low-code et no-code comme AppMaster , la mise en œuvre de systèmes de contrôle d'accès est devenue encore plus critique pour la sécurisation des applications et des données. Qu'il s'agisse d'une approche basée sur les rôles, basée sur des règles ou hybride, trouver la bonne méthode de contrôle d'accès pour votre organisation vous aidera à maintenir un environnement réseau sécurisé et fonctionnel.
