Op rollen gebaseerde toegangscontrole (RBAC) stelt netwerkbeheerders in staat om de toegangsniveaus van gebruikers aan te passen aan hun rol binnen de organisatie, terwijl op regels gebaseerde toegangscontrole (RuBAC) toegang toestaat afhankelijk van individuen die zich aan specifieke voorwaarden houden. Door gebruik te maken van een vooraf gedefinieerd, op regels gebaseerd toegangscontrolesysteem, kunnen systeembeheerders bijvoorbeeld alleen tijdens standaard kantooruren toegang verlenen tot bepaalde netwerkbronnen.
RuBAC, vaak attribuut-gebaseerde controle genoemd, verleent gebruikers verschillende niveaus van toegang tot systemen op basis van vastgestelde criteria, ongeacht hun rol of positie in de organisatie. Deze uitleg is afkomstig van Joe Dowling, vice-president cyberbeveiliging, identiteits- en toegangsbeheer bij Dell Technologies.
Naast netwerktoegangscontrole kan RuBAC in verschillende contexten worden gebruikt, zoals toegangscontrole voor bestanden en mappen of toegangscontrole voor applicaties, stelt Alaa Negeda, senior solution architect en CTO bij AlxTel, een telecommunicatiedienstverlener. Hij voegt eraan toe dat RuBAC ook kan worden geïntegreerd met andere beveiligingsmaatregelen, zoals firewalls, inbraakdetectiesystemen en wachtwoordbeveiliging.
RuBAC-instellingen worden bepaald door de mate van controle die aan gebruikers wordt geboden op basis van hun specifieke rollen binnen een organisatie. Alexander Marquardt, wereldwijd hoofd identiteits- en toegangsbeheer bij analysesoftwareleverancier SAS, wijst erop dat RuBAC toegangscontrole mogelijk maakt op basis van discrete criteria, voorwaarden of beperkingen. De benadering is expliciet, zeer gedetailleerd en richt zich op individuele attributen of kenmerken van een onderwerp, object of werkomgeving.
Jay Silberkleit, CIO bij XPO, een dienstverlener op het gebied van vracht en logistiek, is van mening dat RuBAC de optimale keuze is voor organisaties die op zoek zijn naar een netwerktoegangsmethode die maximaal maatwerk en flexibiliteit biedt. Hij merkt op dat regels snel kunnen worden gewijzigd zonder de algehele definitie van de organisatiestructuur te wijzigen.
Granulariteit en duidelijkheid zijn de belangrijkste voordelen van het gebruik van RuBAC, merkt Marquardt op. Er is geen dubbelzinnigheid bij het onderzoeken van een regel, aangezien deze expliciet de toegang tot een specifiek object of een specifieke bewerking toestaat of weigert.
Meer controle en aanpassingsvermogen zijn ook redenen waarom veel organisaties voor RuBAC kiezen. Volgens Marquardt is op regels gebaseerde toegangscontrole een ideaal model voor ondernemingen die standvastige, expliciete regels nodig hebben.
RuBAC biedt adoptanten vrijwel onbeperkte flexibiliteit voor gebruikerstoegang, met minimale overhead. Zoals Silberkleit uitlegt, kan een kleine set regels worden aangepast om een groot gebruikersbestand mogelijk te maken. Met deze aanpak kunnen verschillende netwerktoegangsniveaus worden getest of geëxperimenteerd onder een subset van gebruikers. Een dergelijke fijnmazige controle over toegang helpt organisaties om wendbaar en veilig te blijven, voegt hij eraan toe.
Het grootste nadeel van RuBAC is het niveau van supervisie en beheer dat nodig is om regels vast te stellen, te configureren, in te stellen en te testen. Bedrijven staan ook voor de uitdaging om ervoor te zorgen dat machtigingen nauwkeurig en betrouwbaar blijven naarmate de rollen van gebruikers evolueren. Organisaties moeten beginnen met een duidelijke strategie voor het opzetten en beheren van RuBAC, waarschuwt Dowling van Dell.
Marquardt wijst erop dat adoptanten moeite kunnen hebben met het schrijven van single-subject of single-object uitzonderingen voor algemeen toegepaste regels, het bijhouden van die uitzonderingen en het nauwkeurig rapporteren van effectieve rechten en machtigingen.
W. Curtis Preston, chief technical evangelist bij Druva, identificeert het vervelende installatieproces en de voortdurende onderhoudstaken van RuBAC als de belangrijkste nadelen, vooral als het gaat om multi-factor authenticatie (MFA). Hij betoogt echter dat het, op basis van de huidige kennis over cyberaanvallen en inbreuken, een kleine prijs is om te betalen voor de gemoedsrust en gegevensbescherming van een organisatie.
Het aanpassen van RuBAC-regels kan een uitdaging zijn, erkent Negeda. Er moeten bijvoorbeeld exacte machtigingen worden gedefinieerd die nodig zijn voor specifieke rollen, of de gebruikersnaam of groepsnaam die aan een bepaalde rol is gekoppeld, moet mogelijk worden opgegeven.
Negeda geeft ook aan dat het opschalen van RuBAC lastig kan zijn. Het maken en onderhouden van regels voor een groot aantal bronnen kan een uitdaging zijn, net als het bepalen welke gebruikers of groepen toegang moeten hebben tot welke bronnen.
Er zijn talloze methoden om RuBAC in te zetten, waarbij volgens Negeda het gebruik van een database om regels op te slaan de meest populaire strategie is. Nadat regels zijn gemaakt, kunnen ze eenvoudig worden toegevoegd of bijgewerkt door beheerders.
Om verwarring en verstoring tot een minimum te beperken, raadt Dowling aan dat organisaties die een overgang naar RuBAC overwegen, beginnen met het analyseren van hun lopende zakelijke vereisten en het bestaande classificatiesysteem voor netwerktoegang om te bepalen of op regels of rollen gebaseerde toegang het meest geschikte model is. Als RuBAC de ideale keuze is voor uw organisatie, moeten uitgebreide interviews worden gehouden met de bedrijfseigenaren van het systeem om de minst complexe regelset vast te stellen die moet worden gevolgd.
Met de opkomst van low-code en no-code ontwikkelingsplatforms zoals AppMaster , is het implementeren van toegangscontrolesystemen nog belangrijker geworden voor het beveiligen van applicaties en gegevens. Of het nu gaat om een op rollen gebaseerde, op regels gebaseerde of een hybride benadering, het vinden van de juiste toegangsbeheermethode voor uw organisatie zal u helpen een veilige en functionele netwerkomgeving te behouden.
