Kiểm soát truy cập dựa trên vai trò (RBAC) cho phép quản trị viên mạng điều chỉnh cấp độ truy cập của người dùng theo vai trò của họ trong tổ chức, trong khi kiểm soát truy cập dựa trên quy tắc (RuBAC) cho phép truy cập tùy thuộc vào các cá nhân tuân thủ các điều kiện cụ thể. Ví dụ, bằng cách sử dụng hệ thống kiểm soát truy cập dựa trên quy tắc được xác định trước, quản trị viên hệ thống có thể chỉ cấp quyền truy cập vào các tài nguyên mạng cụ thể trong giờ làm việc tiêu chuẩn.
Thường được gọi là kiểm soát dựa trên thuộc tính, RuBAC cấp cho người dùng các cấp độ truy cập khác nhau vào hệ thống dựa trên các tiêu chí đã đặt, bất kể vai trò hoặc vị trí của họ trong tổ chức. Lời giải thích này đến từ Joe Dowling, phó chủ tịch an ninh mạng, danh tính và quản lý truy cập tại Dell Technologies.
Bên cạnh kiểm soát truy cập mạng, RuBAC có thể được sử dụng trong nhiều ngữ cảnh khác nhau, chẳng hạn như kiểm soát truy cập tệp và thư mục hoặc kiểm soát truy cập ứng dụng, Alaa Negeda, kiến trúc sư giải pháp cao cấp và CTO tại AlxTel, một nhà cung cấp dịch vụ viễn thông. Ông nói thêm rằng RuBAC cũng có thể được tích hợp với các biện pháp bảo mật khác như tường lửa, hệ thống phát hiện xâm nhập và bảo vệ bằng mật khẩu.
Cài đặt RuBAC được xác định theo mức độ kiểm soát được cung cấp cho người dùng dựa trên vai trò cụ thể của họ trong một tổ chức. Alexander Marquardt, người đứng đầu toàn cầu về quản lý truy cập và nhận dạng tại nhà cung cấp phần mềm phân tích SAS, chỉ ra rằng RuBAC cho phép kiểm soát truy cập dựa trên các tiêu chí, điều kiện hoặc ràng buộc riêng biệt. Cách tiếp cận rõ ràng, rất chi tiết và tập trung vào các thuộc tính hoặc đặc điểm riêng lẻ của chủ thể, đối tượng hoặc môi trường hoạt động.
Jay Silberkleit, CIO tại XPO, nhà cung cấp dịch vụ vận chuyển hàng hóa và hậu cần, tin rằng RuBAC là lựa chọn tối ưu cho các tổ chức đang tìm kiếm một phương pháp truy cập mạng mang lại khả năng tùy chỉnh và tính linh hoạt tối đa. Ông lưu ý rằng các quy tắc có thể được thay đổi nhanh chóng mà không cần sửa đổi định nghĩa tổng thể của cơ cấu tổ chức.
Marquardt quan sát thấy tính chi tiết và rõ ràng là những lợi ích chính của việc sử dụng RuBAC. Không có sự mơ hồ khi kiểm tra một quy tắc, vì nó rõ ràng cho phép hoặc từ chối quyền truy cập vào một đối tượng hoặc hoạt động cụ thể.
Tăng khả năng kiểm soát và khả năng thích ứng cũng là lý do tại sao nhiều tổ chức lựa chọn RuBAC. Theo Marquardt, kiểm soát truy cập dựa trên quy tắc là một mô hình lý tưởng cho các doanh nghiệp yêu cầu các quy tắc rõ ràng, kiên định.
RuBAC cung cấp cho người dùng khả năng truy cập linh hoạt của người dùng gần như vô hạn, với chi phí tối thiểu. Như Silberkleit giải thích, một bộ quy tắc nhỏ có thể được điều chỉnh để tạo điều kiện thuận lợi cho cơ sở người dùng lớn. Cách tiếp cận này cho phép kiểm tra hoặc thử nghiệm các cấp độ truy cập mạng khác nhau giữa một nhóm nhỏ người dùng. Ông cho biết thêm, việc có quyền kiểm soát chi tiết như vậy đối với quyền truy cập giúp các tổ chức luôn linh hoạt và an toàn.
Nhược điểm chính của RuBAC là mức độ giám sát và quản lý cần thiết để thiết lập, định cấu hình, thiết lập và kiểm tra các quy tắc. Các công ty cũng phải đối mặt với thách thức đảm bảo các quyền vẫn chính xác và đáng tin cậy khi vai trò của người dùng phát triển. Các tổ chức cần bắt đầu với một chiến lược rõ ràng để thiết lập và quản lý RuBAC, Dowling của Dell cảnh báo.
Marquardt chỉ ra rằng những người áp dụng có thể gặp khó khăn với việc viết các ngoại lệ cho một chủ đề hoặc một đối tượng cho các quy tắc được áp dụng rộng rãi, theo dõi các ngoại lệ đó và báo cáo chính xác các quyền và quyền có hiệu lực.
W. Curtis Preston, trưởng nhóm truyền bá kỹ thuật tại Druva, xác định quy trình thiết lập tẻ nhạt và nhiệm vụ bảo trì liên tục của RuBAC là nhược điểm chính của nó, đặc biệt nếu có liên quan đến xác thực đa yếu tố (MFA). Tuy nhiên, ông lập luận rằng, dựa trên kiến thức hiện tại về các cuộc tấn công mạng và vi phạm, đó là một cái giá nhỏ phải trả cho sự an tâm và bảo vệ dữ liệu của một tổ chức.
Negeda thừa nhận việc tùy chỉnh các quy tắc RuBAC có thể là một thách thức. Ví dụ: có thể cần xác định các quyền chính xác cần thiết cho các vai trò cụ thể hoặc có thể cần chỉ định tên người dùng hoặc tên nhóm được liên kết với một vai trò nhất định.
Negeda cũng đề cập rằng việc mở rộng quy mô RuBAC có thể khó khăn. Việc tạo và duy trì các quy tắc cho một số lượng lớn tài nguyên có thể là một thách thức, cũng như việc xác định người dùng hoặc nhóm nào sẽ có quyền truy cập vào tài nguyên nào.
Theo Negeda, có rất nhiều phương pháp để triển khai RuBAC, trong đó sử dụng cơ sở dữ liệu để lưu trữ các quy tắc là chiến lược phổ biến nhất. Khi các quy tắc được tạo, quản trị viên có thể dễ dàng thêm hoặc cập nhật chúng.
Để giảm thiểu sự nhầm lẫn và gián đoạn, Dowling khuyến nghị rằng các tổ chức đang xem xét chuyển đổi sang RuBAC nên bắt đầu bằng cách phân tích các yêu cầu kinh doanh liên tục của họ và hệ thống phân loại truy cập mạng hiện có để xác định xem truy cập dựa trên quy tắc hoặc dựa trên vai trò có phải là mô hình phù hợp nhất hay không. Nếu RuBAC là lựa chọn lý tưởng cho tổ chức của bạn, thì nên tiến hành các cuộc phỏng vấn toàn diện với các chủ sở hữu doanh nghiệp của hệ thống để thiết lập bộ quy tắc ít phức tạp nhất để tuân theo.
Với sự gia tăng của các nền tảng phát triển low-code và no-code như AppMaster , việc triển khai các hệ thống kiểm soát truy cập thậm chí còn trở nên quan trọng hơn để bảo mật ứng dụng và dữ liệu. Cho dù đó là cách tiếp cận dựa trên vai trò, dựa trên quy tắc hay kết hợp, thì việc tìm ra phương pháp kiểm soát truy cập phù hợp cho tổ chức của bạn sẽ giúp bạn duy trì một môi trường mạng an toàn và hoạt động hiệu quả.
