Rol tabanlı erişim kontrolü (RBAC), ağ yöneticilerinin kullanıcıların erişim düzeylerini kuruluş içindeki rollerine göre uyarlamasına olanak tanırken, kural tabanlı erişim kontrolü (RuBAC), belirli koşullara bağlı kalarak bireylere bağlı erişime izin verir. Örneğin, sistem yöneticileri, önceden tanımlanmış kural tabanlı bir erişim kontrol sistemi kullanarak, belirli ağ kaynaklarına yalnızca standart çalışma saatleri içinde erişim izni verebilir.
Genellikle öznitelik tabanlı kontrol olarak anılan RuBAC, kullanıcılara kuruluştaki rolleri veya konumları ne olursa olsun, belirlenen kriterlere dayalı olarak sistemlere farklı düzeylerde erişim sağlar. Bu açıklama, Dell Technologies'de siber güvenlik, kimlik ve erişim yönetiminden sorumlu başkan yardımcısı Joe Dowling'den geliyor.
Kıdemli çözüm mimarı ve telekomünikasyon hizmet sağlayıcısı AlxTel CTO'su Alaa Negeda, ağ erişim kontrolünün yanı sıra, RuBAC'ın dosya ve dizin erişim kontrolü veya uygulama erişim kontrolü gibi çeşitli bağlamlarda kullanılabileceğini belirtiyor. RuBAC'ın güvenlik duvarları, izinsiz giriş tespit sistemleri ve parola koruması gibi diğer güvenlik önlemleriyle de entegre edilebileceğini ekliyor.
RuBAC ayarları, kullanıcılara bir kuruluş içindeki belirli rollerine dayalı olarak sağlanan denetim kapsamıyla tanımlanır. Analitik yazılım sağlayıcısı SAS'ta küresel kimlik ve erişim yönetimi başkanı Alexander Marquardt, RuBAC'ın ayrık kriterlere, koşullara veya kısıtlamalara dayalı erişim kontrolü sağladığına dikkat çekiyor. Yaklaşım açık, çok ayrıntılı ve bir öznenin, nesnenin veya çalışma ortamının bireysel niteliklerine veya özelliklerine odaklanıyor.
Bir nakliye ve lojistik hizmetleri sağlayıcısı olan XPO'nun CIO'su Jay Silberkleit, maksimum özelleştirme ve esneklik sunan bir ağ erişim yöntemi arayan kuruluşlar için RuBAC'ın en uygun seçim olduğuna inanıyor. Organizasyon yapısının genel tanımını değiştirmeden kuralların hızla değiştirilebileceğini belirtiyor.
Marquardt, ayrıntı düzeyi ve netliğin RuBAC kullanmanın birincil faydaları olduğunu gözlemliyor. Belirli bir nesneye veya işleme erişime açıkça izin verdiği veya erişimi reddettiği için, bir kuralı incelerken herhangi bir belirsizlik yoktur.
Artan kontrol ve uyarlanabilirlik, aynı zamanda birçok kuruluşun RuBAC'ı seçmesinin nedenleridir. Marquardt'a göre kural tabanlı erişim kontrolü, sabit ve açık kurallar gerektiren işletmeler için ideal bir modeldir.
RuBAC benimseyenlere minimum ek yük ile neredeyse sınırsız kullanıcı erişimi esnekliği sağlar. Silberkleit'in açıkladığı gibi, geniş bir kullanıcı tabanını kolaylaştırmak için küçük bir dizi kural ayarlanabilir. Yaklaşım, çeşitli ağ erişim düzeylerinin bir kullanıcı alt kümesi arasında test edilmesini veya denenmesini sağlar. Erişim üzerinde bu kadar ayrıntılı bir denetime sahip olmak, kuruluşların çevik ve güvenli kalmasına yardımcı oluyor, diye ekliyor.
RuBAC'ın ana dezavantajı, kuralları oluşturmak, yapılandırmak, ayarlamak ve test etmek için gereken denetim ve yönetim düzeyidir. Şirketler ayrıca, kullanıcıların rolleri değiştikçe izinlerin doğru ve güvenilir kalmasını sağlama zorluğuyla karşı karşıyadır. Dell'den Dowling, kuruluşların RuBAC'ı kurmak ve yönetmek için net bir stratejiyle başlamaları gerektiğine dikkat çekiyor.
Marquardt, benimseyenlerin geniş çapta uygulanan kurallar için tek özneli veya tek nesneli istisnalar yazmakta, bu istisnaları izlemekte ve etkili hak ve izinleri doğru bir şekilde raporlamakta zorlanabileceğine dikkat çekiyor.
Druva'nın baş teknik savunucusu W. Curtis Preston, özellikle çok faktörlü kimlik doğrulama (MFA) söz konusu olduğunda, RuBAC'ın sıkıcı kurulum sürecini ve devam eden bakım görevlerini birincil dezavantajları olarak tanımlıyor. Ancak, siber saldırılar ve ihlaller hakkındaki mevcut bilgilere dayanarak, bunun bir kuruluşun iç huzuru ve veri koruması için ödenmesi gereken küçük bir bedel olduğunu savunuyor.
Negeda, RuBAC kurallarını özelleştirmenin zor olabileceğini kabul ediyor. Örneğin, belirli roller için gereken tam izinlerin tanımlanması gerekebilir veya belirli bir rolle ilişkili kullanıcı adının veya grup adının belirtilmesi gerekebilir.
Negeda, RuBAC'ı ölçeklendirmenin zor olabileceğinden de bahsediyor. Çok sayıda kaynak için kurallar oluşturmak ve sürdürmek, hangi kullanıcıların veya grupların hangi kaynaklara erişimi olması gerektiğini belirlemek zor olabilir.
Negeda'ya göre, RuBAC'ı dağıtmak için çok sayıda yöntem vardır ve kuralları depolamak için bir veritabanı kullanmak en popüler stratejidir. Kurallar oluşturulduktan sonra yöneticiler tarafından kolayca eklenebilir veya güncellenebilir.
Karışıklığı ve kesintileri en aza indirmek için Dowling, RuBAC'a geçiş yapmayı düşünen kuruluşların kural tabanlı mı yoksa rol tabanlı erişimin en uygun model olup olmadığını belirlemek için devam eden iş gereksinimlerini ve mevcut ağ erişim sınıflandırma sistemini analiz ederek işe başlamalarını önerir. RuBAC, kuruluşunuz için ideal seçimse, izlenecek en az karmaşık kural setini oluşturmak için sistemin işletme sahipleriyle kapsamlı görüşmeler yapılmalıdır.
AppMaster gibi low-code ve no-code geliştirme platformlarının yükselişiyle birlikte, erişim kontrol sistemlerini uygulamak, uygulamaların ve verilerin güvenliğini sağlamak için daha da kritik hale geldi. Rol tabanlı, kural tabanlı veya hibrit bir yaklaşım olsun, kuruluşunuz için doğru erişim kontrol yöntemini bulmak, güvenli ve işlevsel bir ağ ortamını korumanıza yardımcı olacaktır.
