Kontrol akses berbasis peran (RBAC) memungkinkan administrator jaringan untuk menyesuaikan tingkat akses pengguna sesuai dengan peran mereka dalam organisasi, sedangkan kontrol akses berbasis aturan (RuBAC) memungkinkan akses bergantung pada individu yang mengikuti kondisi tertentu. Dengan menggunakan sistem kontrol akses berbasis aturan yang telah ditentukan sebelumnya, administrator sistem dapat, misalnya, memberikan akses ke sumber daya jaringan tertentu hanya selama jam kerja standar.
Sering disebut sebagai kontrol berbasis atribut, RuBAC memberi pengguna berbagai tingkat akses ke sistem berdasarkan kriteria yang ditetapkan, terlepas dari peran atau posisi mereka dalam organisasi. Penjelasan ini datang dari Joe Dowling, wakil presiden keamanan siber, identitas, dan manajemen akses di Dell Technologies.
Selain kontrol akses jaringan, RuBAC dapat digunakan dalam berbagai konteks, seperti kontrol akses file dan direktori atau kontrol akses aplikasi, kata Alaa Negeda, arsitek solusi senior, dan CTO di AlxTel, penyedia layanan telekomunikasi. Dia menambahkan bahwa RuBAC juga dapat diintegrasikan dengan langkah-langkah keamanan lainnya seperti firewall, sistem deteksi intrusi, dan perlindungan kata sandi.
Pengaturan RuBAC ditentukan oleh tingkat kontrol yang diberikan kepada pengguna berdasarkan peran khusus mereka dalam suatu organisasi. Alexander Marquardt, kepala global identitas dan manajemen akses di penyedia perangkat lunak analitik SAS, menunjukkan bahwa RuBAC memungkinkan kontrol akses berdasarkan kriteria, kondisi, atau kendala yang terpisah. Pendekatannya eksplisit, sangat terperinci, dan berfokus pada atribut atau karakteristik individu dari subjek, objek, atau lingkungan operasi.
Jay Silberkleit, CIO di XPO, penyedia layanan pengangkutan dan logistik, yakin RuBAC adalah pilihan optimal bagi organisasi yang mencari metode akses jaringan yang menawarkan kustomisasi dan fleksibilitas maksimum. Dia mencatat bahwa aturan dapat dengan cepat diubah tanpa mengubah definisi keseluruhan dari struktur organisasi.
Perincian dan kejelasan adalah manfaat utama penggunaan RuBAC, kata Marquardt. Tidak ada ambiguitas saat memeriksa aturan, karena secara eksplisit mengizinkan atau menolak akses ke objek atau operasi tertentu.
Peningkatan kontrol dan kemampuan beradaptasi juga menjadi alasan mengapa banyak organisasi memilih RuBAC. Menurut Marquardt, kontrol akses berbasis aturan adalah model yang ideal untuk perusahaan yang membutuhkan aturan tegas dan eksplisit.
RuBAC memberi pengadopsi fleksibilitas akses pengguna yang hampir tak terbatas, dengan overhead minimal. Seperti yang dijelaskan Silverkleit, sekumpulan kecil aturan dapat disesuaikan untuk memfasilitasi basis pengguna yang besar. Pendekatan ini memungkinkan berbagai tingkat akses jaringan untuk diuji atau dicoba di antara sekelompok pengguna. Memiliki kontrol yang sangat baik atas akses membantu organisasi tetap gesit dan aman, tambahnya.
Kerugian utama RuBAC adalah tingkat pengawasan dan manajemen yang diperlukan untuk menetapkan, mengonfigurasi, menyiapkan, dan menguji aturan. Perusahaan juga menghadapi tantangan untuk memastikan izin tetap akurat dan andal seiring berkembangnya peran pengguna. Organisasi perlu memulai dengan strategi yang jelas untuk menyiapkan dan mengelola RuBAC, demikian peringatan Dell's Dowling.
Marquardt menunjukkan bahwa pengadopsi mungkin kesulitan menulis pengecualian subjek tunggal atau objek tunggal untuk aturan yang diterapkan secara luas, melacak pengecualian tersebut, dan secara akurat melaporkan hak dan izin yang efektif.
W. Curtis Preston, kepala penginjil teknis di Druva, mengidentifikasi proses penyiapan yang membosankan dan tugas pemeliharaan RuBAC yang berkelanjutan sebagai kelemahan utamanya, terutama jika melibatkan otentikasi multi-faktor (MFA). Namun, dia berpendapat bahwa, berdasarkan pengetahuan saat ini tentang serangan dan pelanggaran dunia maya, itu adalah harga kecil yang harus dibayar untuk ketenangan pikiran dan perlindungan data organisasi.
Menyesuaikan aturan RuBAC bisa jadi menantang, akui Negeda. Misalnya, izin pasti yang diperlukan untuk peran tertentu mungkin perlu ditentukan, atau nama pengguna atau nama grup yang dikaitkan dengan peran tertentu mungkin perlu ditentukan.
Negeda juga menyebutkan bahwa penskalaan RuBAC bisa jadi sulit. Membuat dan memelihara aturan untuk sejumlah besar sumber daya bisa menjadi tantangan, seperti halnya menentukan pengguna atau grup mana yang harus memiliki akses ke sumber daya mana.
Ada banyak metode untuk menerapkan RuBAC, dengan menggunakan database untuk menyimpan aturan menjadi strategi yang paling populer, menurut Negeda. Setelah aturan dibuat, mereka dapat dengan mudah ditambahkan atau diperbarui oleh administrator.
Untuk meminimalkan kebingungan dan gangguan, Dowling merekomendasikan agar organisasi yang mempertimbangkan transisi ke RuBAC mulai dengan menganalisis kebutuhan bisnis mereka yang sedang berlangsung dan sistem klasifikasi akses jaringan yang ada untuk menentukan apakah akses berbasis aturan atau peran adalah model yang paling sesuai. Jika RuBAC adalah pilihan ideal untuk organisasi Anda, wawancara komprehensif harus dilakukan dengan pemilik bisnis sistem untuk menetapkan aturan yang paling rumit untuk diikuti.
Dengan munculnya platform pengembangan low-code dan no-code seperti AppMaster , penerapan sistem kontrol akses menjadi semakin penting untuk mengamankan aplikasi dan data. Baik itu berbasis peran, berbasis aturan, atau pendekatan hibrid, menemukan metode kontrol akses yang tepat untuk organisasi Anda akan membantu Anda memelihara lingkungan jaringan yang aman dan fungsional.
