O controle de acesso baseado em função (RBAC) permite que os administradores de rede ajustem os níveis de acesso dos usuários de acordo com suas funções dentro da organização, enquanto o controle de acesso baseado em regra (RuBAC) permite acesso contingente a indivíduos que aderem a condições específicas. Ao empregar um sistema de controle de acesso baseado em regras predefinidas, os administradores do sistema podem, por exemplo, conceder acesso a determinados recursos de rede somente durante o horário comercial padrão.
Muitas vezes referido como controle baseado em atributos, o RuBAC concede aos usuários níveis variados de acesso a sistemas com base em critérios definidos, independentemente de sua função ou posição na organização. Esta explicação vem de Joe Dowling, vice-presidente de segurança cibernética, identidade e gerenciamento de acesso da Dell Technologies.
Além do controle de acesso à rede, o RuBAC pode ser usado em vários contextos, como controle de acesso a arquivos e diretórios ou controle de acesso a aplicativos, afirma Alaa Negeda, arquiteto sênior de soluções e CTO da AlxTel, uma provedora de serviços de telecomunicações. Ele acrescenta que o RuBAC também pode ser integrado a outras medidas de segurança, como firewalls, sistemas de detecção de intrusão e proteção por senha.
As configurações do RuBAC são definidas pela extensão do controle fornecido aos usuários com base em suas funções específicas dentro de uma organização. Alexander Marquardt, diretor global de identidade e gerenciamento de acesso do provedor de software analítico SAS, aponta que o RuBAC permite o controle de acesso com base em critérios, condições ou restrições discretos. A abordagem é explícita, muito granular e se concentra em atributos ou características individuais de um sujeito, objeto ou ambiente operacional.
Jay Silberkleit, CIO da XPO, fornecedora de serviços de frete e logística, acredita que o RuBAC é a escolha ideal para organizações que buscam um método de acesso à rede que ofereça o máximo de personalização e flexibilidade. Ele observa que as regras podem ser rapidamente alteradas sem modificar a definição geral da estrutura organizacional.
Granularidade e clareza são os principais benefícios do uso do RuBAC, observa Marquardt. Não há ambiguidade ao examinar uma regra, pois ela permite ou nega explicitamente o acesso a um objeto ou operação específica.
Maior controle e adaptabilidade também são motivos pelos quais muitas organizações optam pelo RuBAC. De acordo com Marquardt, o controle de acesso baseado em regras é um modelo ideal para empresas que exigem regras rígidas e explícitas.
O RuBAC fornece aos adotantes flexibilidade de acesso de usuário virtualmente ilimitada, com sobrecarga mínima. Como explica Silberkleit, um pequeno conjunto de regras pode ser ajustado para facilitar uma grande base de usuários. A abordagem permite que vários níveis de acesso à rede sejam testados ou experimentados entre um subconjunto de usuários. Ter um controle tão refinado sobre o acesso ajuda as organizações a permanecerem ágeis e seguras, acrescenta.
A principal desvantagem do RuBAC é o nível de supervisão e gerenciamento necessário para estabelecer, configurar, configurar e testar regras. As empresas também enfrentam o desafio de garantir que as permissões permaneçam precisas e confiáveis à medida que as funções dos usuários evoluem. As organizações precisam começar com uma estratégia clara para configurar e gerenciar o RuBAC, adverte Dowling, da Dell.
Marquardt aponta que os adotantes podem ter dificuldade em escrever exceções de assunto único ou de objeto único para regras amplamente aplicadas, rastrear essas exceções e relatar com precisão direitos e permissões efetivos.
W. Curtis Preston, principal evangelista técnico da Druva, identifica o tedioso processo de configuração e as tarefas de manutenção contínua do RuBAC como suas principais desvantagens, especialmente se a autenticação multifator (MFA) estiver envolvida. No entanto, ele argumenta que, com base no conhecimento atual sobre ataques cibernéticos e violações, é um pequeno preço a pagar pela tranquilidade e proteção de dados de uma organização.
Personalizar regras RuBAC pode ser um desafio, reconhece Negeda. Por exemplo, pode ser necessário definir as permissões exatas necessárias para funções específicas ou especificar o nome de usuário ou o nome do grupo associado a uma determinada função.
Negeda também menciona que escalar o RuBAC pode ser difícil. Criar e manter regras para um grande número de recursos pode ser um desafio, assim como determinar quais usuários ou grupos devem ter acesso a quais recursos.
Existem vários métodos para implantar o RuBAC, sendo o uso de um banco de dados para armazenar regras a estratégia mais popular, de acordo com Negeda. Depois que as regras são criadas, elas podem ser facilmente adicionadas ou atualizadas pelos administradores.
Para minimizar a confusão e a interrupção, Dowling recomenda que as organizações que consideram uma transição para o RuBAC comecem analisando seus requisitos de negócios contínuos e o sistema de classificação de acesso à rede existente para determinar se o acesso baseado em regras ou funções é o modelo mais adequado. Se o RuBAC for a escolha ideal para sua organização, entrevistas abrangentes devem ser realizadas com os proprietários de negócios do sistema para estabelecer o conjunto de regras menos complexo a ser seguido.
Com o surgimento de plataformas de desenvolvimento low-code e no-code , como AppMaster , a implementação de sistemas de controle de acesso tornou-se ainda mais crítica para proteger aplicativos e dados. Seja uma abordagem baseada em funções, regras ou híbrida, encontrar o método de controle de acesso certo para sua organização o ajudará a manter um ambiente de rede seguro e funcional.
