Kontrola dostępu oparta na rolach (RBAC) umożliwia administratorom sieci dostosowywanie poziomów dostępu użytkowników zgodnie z ich rolami w organizacji, podczas gdy kontrola dostępu oparta na regułach (RuBAC) umożliwia dostęp zależny od przestrzegania przez osoby określonych warunków. Wykorzystując predefiniowany system kontroli dostępu oparty na regułach, administratorzy systemu mogą na przykład przyznawać dostęp do określonych zasobów sieciowych tylko w standardowych godzinach pracy.
Często określany jako kontrola oparta na atrybutach, RuBAC zapewnia użytkownikom różne poziomy dostępu do systemów w oparciu o ustalone kryteria, niezależnie od ich roli lub pozycji w organizacji. To wyjaśnienie pochodzi od Joe Dowlinga, wiceprezesa ds. cyberbezpieczeństwa, zarządzania tożsamością i dostępem w firmie Dell Technologies.
Oprócz kontroli dostępu do sieci, RuBAC może być używany w różnych kontekstach, takich jak kontrola dostępu do plików i katalogów lub kontrola dostępu do aplikacji, stwierdza Alaa Negeda, starszy architekt rozwiązań i CTO w firmie AlxTel, dostawcy usług telekomunikacyjnych. Dodaje, że RuBAC można również zintegrować z innymi środkami bezpieczeństwa, takimi jak zapory ogniowe, systemy wykrywania włamań i ochrona hasłem.
Ustawienia RuBAC są definiowane przez zakres kontroli zapewnianej użytkownikom w oparciu o ich określone role w organizacji. Alexander Marquardt, globalny szef ds. zarządzania tożsamością i dostępem w SAS, dostawcy oprogramowania analitycznego, zwraca uwagę, że RuBAC umożliwia kontrolę dostępu w oparciu o dyskretne kryteria, warunki lub ograniczenia. Podejście to jest jednoznaczne, bardzo szczegółowe i koncentruje się na indywidualnych atrybutach lub cechach podmiotu, obiektu lub środowiska operacyjnego.
Jay Silberkleit, CIO w XPO, dostawcy usług transportowych i logistycznych, uważa, że RuBAC to optymalny wybór dla organizacji poszukujących metody dostępu do sieci, która zapewnia maksymalne dostosowanie i elastyczność. Zauważa, że zasady można szybko zmienić bez zmiany ogólnej definicji struktury organizacyjnej.
Marquardt zauważa, że szczegółowość i przejrzystość to główne zalety korzystania z RuBAC. Podczas sprawdzania reguły nie ma dwuznaczności, ponieważ wyraźnie zezwala ona lub odmawia dostępu do określonego obiektu lub operacji.
Zwiększona kontrola i możliwości adaptacyjne to również powody, dla których wiele organizacji wybiera RuBAC. Według Marquardta kontrola dostępu oparta na regułach jest idealnym modelem dla przedsiębiorstw, które wymagają stałych, wyraźnych reguł.
RuBAC zapewnia użytkownikom praktycznie nieograniczoną elastyczność dostępu przy minimalnych kosztach. Jak wyjaśnia Silberkleit, mały zestaw reguł można dostosować, aby ułatwić dużą bazę użytkowników. Podejście to umożliwia testowanie lub eksperymentowanie z różnymi poziomami dostępu do sieci wśród podzbioru użytkowników. Dodaje, że posiadanie tak precyzyjnej kontroli nad dostępem pomaga organizacjom zachować elastyczność i bezpieczeństwo.
Główną wadą RuBAC jest poziom nadzoru i zarządzania potrzebny do ustanowienia, skonfigurowania, skonfigurowania i przetestowania reguł. Przedsiębiorstwa stoją również przed wyzwaniem zapewnienia dokładności i niezawodności uprawnień w miarę ewolucji ról użytkowników. Organizacje muszą zacząć od jasnej strategii konfigurowania i zarządzania RuBAC, ostrzega Dowling firmy Dell.
Marquardt zwraca uwagę, że adopcyjni mogą mieć trudności z pisaniem wyjątków dotyczących jednego podmiotu lub jednego obiektu dla szeroko stosowanych reguł, śledzeniem tych wyjątków i dokładnym zgłaszaniem skutecznych praw i zezwoleń.
W. Curtis Preston, główny ewangelista techniczny w firmie Druva, wskazuje żmudny proces konfiguracji i bieżące obowiązki konserwacyjne RuBAC jako główne wady, zwłaszcza jeśli w grę wchodzi uwierzytelnianie wieloskładnikowe (MFA). Przekonuje jednak, że w oparciu o obecną wiedzę na temat cyberataków i naruszeń bezpieczeństwa to niewielka cena za spokój organizacji i ochronę danych.
Dostosowywanie reguł RuBAC może być trudne, przyznaje Negeda. Na przykład może być konieczne zdefiniowanie dokładnych uprawnień wymaganych dla określonych ról albo nazwa użytkownika lub nazwa grupy powiązana z określoną rolą.
Negeda wspomina również, że skalowanie RuBAC może być trudne. Tworzenie i utrzymywanie reguł dla dużej liczby zasobów może być wyzwaniem, podobnie jak określanie, którzy użytkownicy lub grupy powinni mieć dostęp do jakich zasobów.
Istnieje wiele metod wdrażania RuBAC, przy czym według Negedy najpopularniejszą strategią jest użycie bazy danych do przechowywania reguł. Po utworzeniu reguł administratorzy mogą je łatwo dodawać lub aktualizować.
Aby zminimalizować zamieszanie i zakłócenia, Dowling zaleca organizacjom rozważającym przejście na RuBAC rozpoczęcie od analizy bieżących wymagań biznesowych i istniejącego systemu klasyfikacji dostępu do sieci w celu określenia, czy dostęp oparty na regułach lub rolach jest najbardziej odpowiednim modelem. Jeśli RuBAC jest idealnym wyborem dla Twojej organizacji, należy przeprowadzić kompleksowe wywiady z właścicielami biznesowymi systemu, aby ustalić jak najmniej skomplikowany zestaw reguł, których należy przestrzegać.
Wraz z pojawieniem się platform programistycznych low-code i no-code, takich jak AppMaster , wdrażanie systemów kontroli dostępu stało się jeszcze bardziej krytyczne dla zabezpieczania aplikacji i danych. Niezależnie od tego, czy jest to podejście oparte na rolach, regułach czy podejście hybrydowe, znalezienie odpowiedniej metody kontroli dostępu dla Twojej organizacji pomoże w utrzymaniu bezpiecznego i funkcjonalnego środowiska sieciowego.
