zurück zum Glossar

Was ist

Rollenbasierte Zugriffskontrolle (RBAC)

?

Rollenbasierte Zugriffskontrolle (RBAC) erklärt

RBAC steht für die Idee der geringsten Rechte, bei der jeder Benutzer oder Prozess nur minimalen Zugriff auf die Informationen, Daten und Ressourcen hat, die für die Erfüllung seiner Rolle erforderlich sind, nichts weiter.

Wenn Unternehmen rollenbasierte Zugriffskontrollen in Anspruch nehmen, müssen sie zunächst festlegen, was ein bestimmter Benutzer tun muss, um seine Arbeit auszuführen — und dann die richtige Rolle (Zugriffsrichtlinien) erstellen oder zuweisen, die es ihm nur ermöglicht, die spezifischen Aufgaben im Zusammenhang mit seiner Position auszuführen. Wenn sie zu irgendeinem Zeitpunkt in der Zukunft mehr oder zusätzliche Berechtigungen benötigen, werden ihre Berechtigungen erst dann erweitert. Das Gegenteil sollte vermieden werden, indem zu weit gefasste Genehmigungen eingeführt und diese später eingeschränkt werden.

Warum ist RBAC wichtig?

RBAC-Kontrollen, die die geringste Zugriffsrechte implementieren, reduzieren Datensicherheitsrisiken und verbessern den Datenschutz, sodass nur diejenigen, denen Zugriff auf sensible Daten gewährt werden muss, tatsächlich Zugriff erhalten. Es gibt viele Fälle, in denen RBAC-Kontrollen für Ihr Unternehmen relevant sind. Diese Kontrollen können beispielsweise dazu beitragen, dass ein neuer Mitarbeiter nicht über vertrauliche Informationen stolpert, die er möglicherweise falsch interpretiert. Kontrollen können Mitarbeiter auch daran hindern, auf eine übergeordnete Aufgabe zuzugreifen, an der sie möglicherweise zu arbeiten versuchen und die sie dann vermasseln.

RBAC-Kontrollen können auch nützlich sein, wenn ein Unternehmen Informationen an Auftragnehmer oder Dritte weitergibt. RBAC kann zulassen, dass Berechtigungen nur auf die Informationen beschränkt werden, die für Dritte benötigt werden. Mit diesen Kontrollen können Sie sicher sein, dass vertrauliche Unternehmensinformationen beim Teilen von Inhalten geschützt sind.

RBAC-Kontrollen sind besonders bei der Anmietung praktisch. Traditionell müssen Sie bei der Einstellung eines neuen Mitarbeiters die Erlaubnis zum Zugriff auf verschiedene Datenebenen erteilen. Wenn Sie einen alten Mitarbeiter ersetzen, sperren Sie den alten Mitarbeiter auf mehreren Kanälen und gewähren dem neuen Mitarbeiter die Erlaubnis, unzählige Passwörter zu ändern, damit er Zugriff auf die Daten und die Kontrolle über sie erhält.

RBAC-Kontrollen ermöglichen jedoch einen viel reibungsloseren Übergang zwischen der Aufnahme neuer Mitarbeiter und der Ablösung alter Mitarbeiter. Mit RBAC müssen Sie lediglich Ihre Einstellungen ändern, um alten Mitarbeitern keinen Zugriff mehr auf Daten zu gewähren und neuen Mitarbeitern den Zugriff auf Daten zu ermöglichen. Dadurch kann der Übergang von Informationen und Datenzugriff viel reibungsloser ablaufen.

Darüber hinaus implementieren Unternehmen RBAC-Kontrollen, um die regulatorischen Anforderungen an Sicherheit und Datenschutz zu erfüllen, da der Zugriff auf Daten streng kontrolliert wird. Diese Sicherheit kann dazu beitragen, das Vertrauen der Kunden aufzubauen und das Vertrauen zu stärken, dass die mit Ihrem Unternehmen geteilten Informationen vertraulich behandelt werden. Darüber hinaus können Unternehmen mit RBAC eine Aufgabentrennung in Bezug auf den Zugriff auf und die Nutzung von Anwendungen einführen.

Rollen, Berechtigungen und Bereiche

Schauen wir uns einige der relevanten Begriffe im Zusammenhang mit RBAC an.

Die erste ist die Idee einer Rolle. Rollen werden im Zusammenhang mit der Tätigkeit eines Benutzers erstellt, sodass einem Benutzer eine Rolle für bestimmte Zugriffsebenen zugewiesen wird, d. h. was er tun kann und was nicht, die durch Berechtigungen definiert werden.

Die Rollen können von Admin oder Superuser bis hin zu Benutzern, Redakteuren, Betrachtern, Lesern usw. reichen und jede besteht aus einer Handvoll Berechtigungen.

Sobald eine Rolle erstellt wurde, werden Berechtigungen zugewiesen, um zu definieren, was diese bestimmte Rolle tun darf. Die Berechtigungen reichen von vollständigen Bearbeitungs- und Löschberechtigungen bis hin zu Teilberechtigungen für den Entwurf einer Richtlinie, beispielsweise ohne Genehmigung und Bereitstellung, bis hin zur ausschließlichen Anzeige von Ressourcen. Die geringste Zugriffsrechte sind in diesem Zusammenhang von großer Bedeutung, um einem Mitarbeiter den geringsten Zugriff zu gewähren, der für die Erledigung seiner Arbeit erforderlich ist.

Um die Wirkung der geringsten Rechte weiter zu verstärken, können wir Bereiche hinzufügen, um zu definieren oder einzuschränken, welchen Ressourcen der Zugriff (über die richtige Rolle mit Berechtigungen) gewährt wird.

Vorteile von RBAC

Die rollenbasierte Zugriffskontrolle bietet eine Reihe von Vorteilen, darunter:

  • Statt einmaliger Ad-hoc-Vergabe von Berechtigungen sorgen die Rollen in RBAC dafür, dass die Zugriffsverwaltung klar definiert und wiederholbar ist.
  • Wir ermöglichen es Unternehmen, ihre Datenschutzverpflichtungen zu erfüllen.
  • Wir lösen das Geheimnis, herauszufinden, welche Benutzer welche Zugriffsberechtigungen und Privilegien haben.
  • Ermöglicht eine klare Aufgabentrennung in Unternehmen.

Beispiel für RBAC mit Mikrosegmentierung

Schauen wir uns ein RBAC-Beispiel für die Erstellung und Bereitstellung einer Mikrosegmentierungsrichtlinie für eine ERP-Anwendung an. Der Anwendungseigentümer kennt die Anwendung am besten, daher möchten wir, dass er die Richtlinie erstellt, aber wir möchten, dass Administratoren die Richtlinie überprüfen und bereitstellen.

Zunächst einmal wird dem App-Besitzer eine begrenzte Ruleset-Manager-Rolle zugewiesen. Diese Rolle hat die Berechtigung, alle Segmentierungsregelsätze hinzuzufügen, zu bearbeiten und zu löschen. Der Umfang, in dem sie arbeiten können, ist jedoch auf die ERP-Anwendung beschränkt, unabhängig davon, wo sie sich im Entwicklungszyklus befindet und wo sich die Workloads der ERP-App befinden. Mit anderen Worten, sie können nur Richtlinien für die ERP-App sehen und erstellen.

Sobald der ERP-Eigentümer die entsprechenden Segmentierungsrichtlinien erstellt hat, überprüft eine Rolle mit größeren, „globalen“ Berechtigungen die vom Anwendungseigentümer erstellte Richtlinie und stellt sie bereit (Push Live).

Wie Sie sehen, ermöglicht RBAC eine strikte Aufgabentrennung zwischen App-Besitzern und IT-Administratoren, und Unternehmen wissen genau, was jemand, dem die Rolle des Regelsatzmanagers zugewiesen wurde, tun kann und was nicht.

Der Unterschied zwischen RBAC und ABAC

Die rollenbasierte Zugriffskontrolle und die attributebasierte Steuerung (ABAC) verfolgen unterschiedliche Ansätze, sind jedoch beide Arten von Zugriffskontrollmethoden.

ABAC ermöglicht die Zugriffskontrolle auf der Grundlage verschiedener Kombinationen von Attributen, die ein System erkennen und organisieren kann. Zu den Attributen gehören beispielsweise Merkmale, Aktionstypen, Rolle, ID, Sicherheitsfreigabe, Ressourcenattribute usw. Im Vergleich dazu ermöglicht RBAC den Zugriff in Abhängigkeit von den Rollen der Benutzer.

RBAC-Methoden sind der beste Ausgangspunkt für grundlegende Zugriffskontrollen. ABAC-Steuerelemente können technischer und daher verwirrender werden, wenn Sie mit den Methoden der Zugriffskontrolle noch nicht vertraut sind. Beides kann jedoch für jedes Unternehmen oder jede Organisation von Vorteil sein.

Bewährte Methoden für die Implementierung von RBAC

Die Implementierung von RBAC kann zunächst entmutigend wirken. Durch die Implementierung und Verwendung von RBAC kann Ihr Unternehmen jedoch reibungsloser und effizienter arbeiten. Im Folgenden werden bewährte Methoden aufgeführt, die Sie bei der Implementierung der rollenbasierten Zugriffskontrolle in Ihrem Unternehmen berücksichtigen sollten.

  • Aktuelle Rollen: Es kann schwierig sein, zwischen Rollen in Ihrem Unternehmen zu unterscheiden. Die Festlegung von Rollen ist jedoch bei der rollenbasierten Zugriffskontrolle unerlässlich, um sicherzustellen, dass Mitarbeiter nur auf die Informationen zugreifen können, die sie benötigen. Erstellen Sie zunächst Rollen, die dieselben Zugriffsanforderungen haben. Sie können beispielsweise eine grundlegende Zugriffsrolle erstellen, die Zugriff auf E-Mails und das Unternehmensintranet hat. Erstellen Sie als Nächstes Rollen, die mit verschiedenen Positionen innerhalb der Organisation zu tun haben, und erstellen Sie dann Rollen, die mit Dritten zu tun haben, die Zugriff auf Informationen innerhalb Ihrer Organisation benötigen. Denken Sie daran, dass Sie vermeiden sollten, zu viele Rollen zu erstellen, damit die Rollen der rollenbasierten und nicht der benutzerbasierten Zugriffskontrolle entsprechen.
  • Rollenzuweisungen: Gehen Sie als Nächstes jede Rolle durch und weisen Sie Ressourcen zu, auf die jede Person in dieser Rolle Zugriff benötigen würde. Zum Beispiel E-Mail, Managementsysteme oder bestimmte Datenbanken.
  • Schreiben Sie ein Benutzerhandbuch: Es ist wichtig, alle Rollen und den Zugriff aufzuschreiben, die für jede dieser Rollen verfügbar sind. Dieser Schritt hilft Ihnen dabei, im Implementierungsprozess besser zu analysieren, was gut läuft und was verbessert werden kann. Ein Benutzerhandbuch hilft Ihnen auch bei der zukünftigen Zuweisung von Rollen, damit Sie sich daran erinnern können, welcher Zugriff jeder Person in dieser Rolle gewährt wird.
  • Änderungen umsetzen: Sobald Sie Rollen geschrieben, Anwendungen zugewiesen und ein Benutzerhandbuch fertiggestellt haben, weisen Sie jeder Rolle Mitarbeiter zu und gehen Sie live. Das kann der gruseligste Teil sein, aber warnen Sie Ihre Mitarbeiter im Voraus und halten Sie alle Hände bereit, um in den ersten Wochen bei der Anpassung zu helfen, damit der Prozess reibungsloser abläuft.
  • Schulung durchführen: Es ist wahrscheinlich, dass Ihre Mitarbeiter aufgrund von Veränderungen innerhalb des Unternehmens etwas frustriert sind. Dies ist bei allen Änderungen zu erwarten, insbesondere bei Softwareübergängen. Damit alles reibungsloser abläuft, führen Sie vor und nach der Implementierung Schulungen für Ihre Mitarbeiter durch, damit sie sich besser mit den Änderungen vertraut machen und sich selbstbewusster in die Zukunft fühlen.
  • Lerne und passe dich an: Denken Sie daran, nach der Implementierung regelmäßig Audits Ihrer Mitarbeiter, ihrer Rollen und ihres Sicherheitsstatus durchzuführen. Es ist wahrscheinlich, dass in den ersten Wochen und Monaten der Implementierung häufig Änderungen vorgenommen werden müssen. Wenn die Dinge reibungsloser laufen, sollten Sie die Prüfungen fortsetzen und gegebenenfalls Anpassungen vornehmen, um die beste Unternehmenssicherheit zu gewährleisten.

Illumio kann Ihnen die Software zur Verfügung stellen, die Sie für die effektive Implementierung von RBAC in Ihrem Unternehmen oder Ihrer Organisation benötigen.

zurück zum Glossar

Gehen Sie von einem Verstoß aus.
Auswirkungen minimieren.
Erhöhen Sie die Widerstandsfähigkeit.

Sind Sie bereit, mehr über Zero-Trust-Segmentierung zu erfahren?

Erfahre mehr