การควบคุมการเข้าถึงตามบทบาท (RBAC) ช่วยให้ผู้ดูแลระบบเครือข่ายสามารถปรับแต่งระดับการเข้าถึงของผู้ใช้ตามบทบาทของตนภายในองค์กร ในขณะที่การควบคุมการเข้าถึงตามกฎ (RuBAC) อนุญาตการเข้าถึงโดยขึ้นอยู่กับบุคคลที่ปฏิบัติตามเงื่อนไขเฉพาะ ด้วยการใช้ระบบควบคุมการเข้าถึงตามกฎที่กำหนดไว้ล่วงหน้า ผู้ดูแลระบบสามารถ เช่น ให้สิทธิ์การเข้าถึงทรัพยากรเครือข่ายเฉพาะในช่วงเวลาทำการมาตรฐานเท่านั้น
มักเรียกว่าการควบคุมตามคุณลักษณะ RuBAC ให้สิทธิ์ผู้ใช้ในระดับต่างๆ ในการเข้าถึงระบบตามเกณฑ์ที่กำหนด โดยไม่คำนึงถึงบทบาทหรือตำแหน่งในองค์กร คำอธิบายนี้มาจาก Joe Dowling รองประธานฝ่ายความปลอดภัยทางไซเบอร์ ข้อมูลประจำตัว และการจัดการการเข้าถึงของ Dell Technologies
นอกจากการควบคุมการเข้าถึงเครือข่ายแล้ว RuBAC ยังสามารถใช้ในบริบทต่างๆ เช่น การควบคุมการเข้าถึงไฟล์และไดเร็กทอรี หรือการควบคุมการเข้าถึงแอปพลิเคชัน ระบุ Alaa Negeda สถาปนิกโซลูชันอาวุโส และ CTO ที่ AlxTel ผู้ให้บริการโทรคมนาคม เขาเสริมว่า RuBAC ยังสามารถรวมเข้ากับมาตรการรักษาความปลอดภัยอื่นๆ เช่น ไฟร์วอลล์ ระบบตรวจจับการบุกรุก และการป้องกันด้วยรหัสผ่าน
การตั้งค่า RuBAC ถูกกำหนดโดยขอบเขตของการควบคุมที่มีให้กับผู้ใช้ตามบทบาทเฉพาะของพวกเขาภายในองค์กร Alexander Marquardt หัวหน้าระดับโลกของการจัดการข้อมูลประจำตัวและการเข้าถึงของผู้ให้บริการซอฟต์แวร์การวิเคราะห์ SAS ชี้ให้เห็นว่า RuBAC เปิดใช้งานการควบคุมการเข้าถึงตามเกณฑ์ เงื่อนไข หรือข้อจำกัดที่ไม่ต่อเนื่อง แนวทางมีความชัดเจน ละเอียดมาก และเน้นที่แอตทริบิวต์หรือลักษณะเฉพาะตัวของหัวเรื่อง วัตถุ หรือสภาพแวดล้อมในการปฏิบัติงาน
Jay Silberkleit ซีไอโอของ XPO ซึ่งเป็นผู้ให้บริการขนส่งสินค้าและโลจิสติกส์ เชื่อว่า RuBAC เป็นตัวเลือกที่เหมาะสมที่สุดสำหรับองค์กรที่กำลังมองหาวิธีการเข้าถึงเครือข่ายที่ให้การปรับแต่งและความยืดหยุ่นสูงสุด เขาตั้งข้อสังเกตว่ากฎสามารถเปลี่ยนแปลงได้อย่างรวดเร็วโดยไม่ต้องแก้ไขคำจำกัดความโดยรวมของโครงสร้างองค์กร
ความละเอียดและความชัดเจนคือประโยชน์หลักของการใช้ RuBAC Marquardt ตั้งข้อสังเกต ไม่มีความคลุมเครือเมื่อตรวจสอบกฎ เนื่องจากกฎอนุญาตหรือปฏิเสธการเข้าถึงวัตถุหรือการดำเนินการบางอย่างอย่างชัดเจน
การควบคุมและความสามารถในการปรับตัวที่เพิ่มขึ้นเป็นเหตุผลที่หลายองค์กรเลือกใช้ RuBAC จากข้อมูลของ Marquardt การควบคุมการเข้าถึงตามกฎคือรูปแบบที่เหมาะสำหรับองค์กรที่ต้องการกฎที่แน่วแน่และชัดเจน
RuBAC มอบความยืดหยุ่นในการเข้าถึงของผู้ใช้ที่แทบไม่มีขีดจำกัดให้กับผู้ใช้งาน โดยมีค่าใช้จ่ายเพียงเล็กน้อย ดังที่ Silberkleit อธิบายไว้ ชุดกฎเล็กๆ น้อยๆ สามารถปรับเปลี่ยนได้เพื่ออำนวยความสะดวกแก่ฐานผู้ใช้จำนวนมาก วิธีการนี้ทำให้สามารถทดสอบหรือทดลองระดับการเข้าถึงเครือข่ายต่างๆ กับผู้ใช้กลุ่มย่อยได้ การควบคุมการเข้าถึงอย่างละเอียดช่วยให้องค์กรยังคงคล่องตัวและปลอดภัย เขากล่าวเสริม
ข้อเสียเปรียบหลักของ RuBAC คือระดับการกำกับดูแลและการจัดการที่จำเป็นในการสร้าง กำหนดค่า ตั้งค่า และทดสอบกฎ นอกจากนี้ บริษัทต่างๆ ยังเผชิญกับความท้าทายในการดูแลให้สิทธิ์ถูกต้องและเชื่อถือได้เมื่อบทบาทของผู้ใช้เปลี่ยนแปลงไป องค์กรจำเป็นต้องเริ่มต้นด้วยกลยุทธ์ที่ชัดเจนในการตั้งค่าและจัดการ RuBAC Dowl's Dowling เตือน
Marquardt ชี้ให้เห็นว่าผู้รับใช้อาจมีปัญหากับการเขียนข้อยกเว้นเรื่องเดียวหรือเรื่องเดียวสำหรับกฎที่ใช้อย่างกว้างๆ การติดตามข้อยกเว้นเหล่านั้น และการรายงานสิทธิ์และการอนุญาตอย่างถูกต้อง
W. Curtis Preston หัวหน้าผู้เผยแพร่ข่าวด้านเทคนิคของ Druva ระบุว่ากระบวนการติดตั้งที่น่าเบื่อและหน้าที่การบำรุงรักษาอย่างต่อเนื่องของ RuBAC เป็นข้อเสียเปรียบหลัก โดยเฉพาะอย่างยิ่งหากมีการตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) อย่างไรก็ตาม เขาให้เหตุผลว่า จากความรู้ในปัจจุบันเกี่ยวกับการโจมตีทางไซเบอร์และการเจาะระบบ การจ่ายเพื่อความสบายใจขององค์กรและการปกป้องข้อมูลเป็นราคาเพียงเล็กน้อย
การปรับแต่งกฎ RuBAC อาจเป็นเรื่องที่ท้าทาย Negeda รับทราบ ตัวอย่างเช่น อาจต้องมีการกำหนดสิทธิ์ที่จำเป็นสำหรับบทบาทเฉพาะ หรืออาจต้องระบุชื่อผู้ใช้หรือชื่อกลุ่มที่เกี่ยวข้องกับบทบาทบางอย่าง
Negeda ยังกล่าวอีกว่าการปรับ RuBAC อาจเป็นเรื่องยาก การสร้างและรักษากฎสำหรับทรัพยากรจำนวนมากอาจเป็นเรื่องที่ท้าทาย เช่นเดียวกับการกำหนดว่าผู้ใช้หรือกลุ่มใดควรมีสิทธิ์เข้าถึงทรัพยากรใด
มีหลายวิธีในการปรับใช้ RuBAC โดยการใช้ฐานข้อมูลเพื่อจัดเก็บกฎเป็นกลยุทธ์ที่ได้รับความนิยมมากที่สุด ตามข้อมูลของ Negeda เมื่อสร้างกฎแล้ว ผู้ดูแลระบบสามารถเพิ่มหรืออัปเดตกฎเหล่านั้นได้อย่างง่ายดาย
เพื่อลดความสับสนและการหยุดชะงัก Dowling ขอแนะนำให้องค์กรต่างๆ ที่กำลังพิจารณาการเปลี่ยนไปใช้ RuBAC เริ่มต้นด้วยการวิเคราะห์ความต้องการทางธุรกิจที่กำลังดำเนินอยู่และระบบการจัดประเภทการเข้าถึงเครือข่ายที่มีอยู่ เพื่อพิจารณาว่าการเข้าถึงตามกฎหรือตามบทบาทเป็นรูปแบบที่เหมาะสมที่สุด หาก RuBAC เป็นตัวเลือกที่เหมาะสมที่สุดสำหรับองค์กรของคุณ ควรดำเนินการสัมภาษณ์อย่างครอบคลุมกับเจ้าของธุรกิจของระบบเพื่อสร้างชุดกฎที่ซับซ้อนน้อยที่สุดในการปฏิบัติตาม
ด้วยการเพิ่มขึ้นของ แพลตฟอร์มการพัฒนา low-code และ no-code เช่น AppMaster การนำระบบควบคุมการเข้าถึงมาใช้จึงมีความสำคัญยิ่งขึ้นสำหรับการรักษาความปลอดภัยแอปพลิเคชันและข้อมูล ไม่ว่าจะเป็นแนวทางตามบทบาท ตามกฎ หรือแนวทางแบบผสมผสาน การค้นหาวิธีการควบคุมการเข้าถึงที่เหมาะสมสำหรับองค์กรของคุณจะช่วยให้คุณรักษาสภาพแวดล้อมเครือข่ายที่ปลอดภัยและใช้งานได้
