Qu'est-ce que
Contrôle d'accès basé sur les rôles (RBAC)
?
Explication du contrôle d'accès basé sur les rôles (RBAC)
Le RBAC est associé à l'idée du moindre privilège, selon laquelle chaque utilisateur ou processus ne dispose que d'un accès minimal aux informations, aux données et aux ressources nécessaires à l'accomplissement de son rôle, rien de plus.
Lorsqu'elles font appel à des contrôles d'accès basés sur les rôles, les organisations doivent d'abord déterminer ce que doit faire un utilisateur particulier pour effectuer son travail, puis créer ou attribuer le rôle approprié (politiques d'accès) qui lui permet uniquement d'effectuer les tâches spécifiques liées à son poste. Si, à tout moment dans le futur, ils ont besoin d'autorisations supplémentaires ou supplémentaires, ce n'est qu'à ce moment-là que leurs autorisations seront étendues. Il convient d'éviter le contraire en créant des autorisations trop générales et en les restreignant ultérieurement.
Pourquoi le RBAC est-il important ?
Les contrôles RBAC qui mettent en œuvre le principe du moindre privilège réduisent les risques liés à la sécurité des données et améliorent la confidentialité des données, de sorte que seules les personnes qui doivent avoir accès aux données sensibles y ont réellement accès. Dans de nombreux cas, les contrôles RBAC sont pertinents pour votre entreprise. Par exemple, ces contrôles peuvent aider à empêcher un employé débutant de tomber sur des informations sensibles qu'il pourrait mal interpréter. Les contrôles peuvent également empêcher les employés d'accéder à une tâche de haut niveau sur laquelle ils pourraient essayer de travailler et gâcher.
Les contrôles RBAC peuvent également être utiles lorsqu'une entreprise partage des informations avec des sous-traitants ou des tiers. Le RBAC peut autoriser la limitation des autorisations aux seules informations nécessaires aux tiers. Grâce à ces contrôles, vous pouvez être assuré que les informations sensibles de l'entreprise sont protégées lors du partage de contenu.
Les contrôles RBAC sont pratiques, en particulier lors de l'embauche. Traditionnellement, lors de l'embauche d'un nouvel employé, vous devez accorder l'autorisation d'accéder à différents niveaux de données. Lorsque vous remplacez un ancien employé, vous bloquez l'ancien employé sur plusieurs canaux et vous autorisez le nouvel employé à modifier d'innombrables mots de passe pour qu'il puisse accéder aux données et en avoir le contrôle.
Cependant, les contrôles RBAC permettent de faciliter la transition entre l'intégration de nouveaux employés et le remplacement des anciens employés. Avec RBAC, il vous suffit de modifier vos paramètres pour ne plus autoriser les anciens employés à accéder aux données et autoriser les nouveaux employés à accéder aux données. Cela permet de faciliter la transition de l'accès à l'information et aux données.
De plus, les organisations mettent en œuvre des contrôles RBAC pour répondre aux exigences réglementaires en matière de sécurité et de confidentialité, car elles contrôlent étroitement la manière dont les données sont accessibles. Cette sécurité peut contribuer à renforcer la confiance des clients et à garantir que les informations partagées avec votre entreprise restent confidentielles. En outre, une fois le RBAC en place, les organisations peuvent mettre en œuvre une séparation des tâches en ce qui concerne l'accès aux applications et leur utilisation.
Rôles, autorisations et champs d'application
Examinons certains des termes pertinents liés au RBAC.
Le premier est l'idée d'un rôle. Les rôles sont créés en fonction du travail d'un utilisateur, de sorte que celui-ci se voit attribuer un rôle pour des niveaux d'accès spécifiques, c'est-à-dire ce qu'il peut ou ne peut pas faire, défini par des autorisations.
Les rôles peuvent aller d'administrateur ou de superutilisateur à utilisateur, éditeur, afficheur, lecteur, etc. et chacun comprend une poignée d'autorisations.
Une fois qu'un rôle est créé, des autorisations sont attribuées pour définir ce que ce rôle particulier est autorisé à faire. Les autorisations peuvent aller de privilèges complets pour modifier et supprimer à des autorisations partielles pour rédiger une politique, par exemple, sans pouvoir l'approuver ni la mettre en service, ou uniquement la possibilité de visualiser les ressources. Le moindre privilège est très pertinent ici afin d'attribuer le moins d'accès nécessaire à un employé pour effectuer son travail.
Pour renforcer encore l'impact du moindre privilège, nous pouvons ajouter des étendues pour définir ou limiter les ressources auxquelles l'accès (via le bon rôle avec des autorisations) sera accordé.
Avantages du RBAC
Le contrôle d'accès basé sur les rôles présente de nombreux avantages, notamment :
- Plutôt que d'accorder des autorisations ponctuelles et ad hoc, les rôles du RBAC permettent de définir clairement et de reproduire la gestion des accès.
- Permettre aux organisations de remplir leurs obligations de conformité en matière de confidentialité des données.
- Démystifier quels utilisateurs disposent de quels droits d'accès et de quels privilèges.
- Permet une séparation claire des tâches dans les entreprises.
Exemple de RBAC avec micro-segmentation
Examinons un exemple RBAC pour la création et la mise en place d'une politique de microsegmentation pour une application ERP. C'est le propriétaire de l'application qui connaît le mieux l'application, c'est pourquoi nous aimerions qu'il crée la politique, mais nous voulons que les administrateurs la révisent et la provisionnent.
Pour commencer, le propriétaire de l'application se voit attribuer un rôle limité de gestionnaire des ensembles de règles. Ce rôle est autorisé à ajouter, modifier et supprimer tous les ensembles de règles de segmentation. Cependant, leur champ d'activité est limité à l'application ERP, où qu'elle se trouve dans le cycle de développement et où se situent les charges de travail de l'application ERP. En d'autres termes, ils peuvent uniquement voir et créer des politiques pour l'application ERP.
Une fois que le propriétaire de l'ERP a créé les politiques de segmentation appropriées, un rôle doté d'autorisations « globales » plus importantes examinera et provisionnera (push live) la politique créée par le propriétaire de l'application.
Comme vous pouvez le constater, le RBAC permet une séparation stricte des tâches entre les propriétaires d'applications et les administrateurs informatiques, et les organisations savent exactement ce que peut et ne peut pas faire une personne chargée du rôle de responsable des ensembles de règles.
La différence entre RBAC et ABAC
Le contrôle d'accès basé sur les rôles et le contrôle basé sur les attributs (ABAC) ont des approches différentes, mais sont deux types de méthodes de contrôle d'accès.
ABAC permet un contrôle d'accès basé sur différentes combinaisons d'attributs qu'un système peut reconnaître et organiser. Les exemples d'attributs incluent les caractéristiques, les types d'actions, le rôle, l'identifiant, l'habilitation de sécurité, les attributs de ressources, etc. En comparaison, le RBAC autorise l'accès en fonction des rôles des utilisateurs.
Les méthodes RBAC constituent le meilleur point de départ pour l'accès de base au contrôle métier. Les contrôles ABAC peuvent devenir plus techniques et donc plus confus si vous n'êtes pas encore familiarisé avec les méthodes de contrôle d'accès. Cependant, les deux peuvent être bénéfiques pour toute entreprise ou organisation.
Meilleures pratiques pour la mise en œuvre du RBAC
La mise en œuvre du RBAC peut sembler intimidante au début. Cependant, la mise en œuvre et l'utilisation du RBAC permettront à votre organisation de fonctionner de manière plus fluide et plus efficace. Vous trouverez ci-dessous une liste des meilleures pratiques à prendre en compte lors de la mise en œuvre du contrôle d'accès basé sur les rôles dans votre entreprise.
- Rôles actuels : Il peut être difficile de différencier les rôles au sein de votre entreprise. Cependant, la définition des rôles est essentielle dans le contrôle d'accès basé sur les rôles afin de garantir que les employés n'ont accès qu'aux informations dont ils ont besoin. Commencez par créer des rôles ayant les mêmes besoins d'accès. Par exemple, vous pouvez créer un rôle d'accès de base qui permet d'accéder au courrier électronique et à l'intranet de l'entreprise. Ensuite, créez des rôles qui concernent différents postes au sein de l'organisation, puis créez des rôles qui concernent des tiers qui ont besoin d'accéder à des informations au sein de votre organisation. N'oubliez pas que vous voulez éviter de créer trop de rôles afin de les adapter au contrôle d'accès basé sur les rôles et non au contrôle d'accès basé sur les utilisateurs.
- Attributions de rôles : Ensuite, passez en revue chaque rôle et attribuez les ressources auxquelles chaque personne occupant ce rôle devrait avoir accès. Par exemple, le courrier électronique, les systèmes de gestion ou des bases de données spécifiques.
- Rédigez un guide de l'utilisateur : Il est important de noter tous les rôles et les accès disponibles pour chacun de ces rôles. Cette étape vous aidera dans le processus de mise en œuvre à mieux analyser ce qui fonctionne bien et ce qui peut être amélioré. Un guide de l'utilisateur vous aidera également, lors de l'attribution des rôles à l'avenir, à vous souvenir des accès accordés à chaque personne occupant ce rôle.
- Mettre en œuvre les modifications : Une fois les rôles écrits, les candidatures attribuées et le guide de l'utilisateur terminé, affectez les employés à chaque rôle et passez en ligne. Cela peut être la partie la plus effrayante, mais prévenez vos employés à l'avance et faites en sorte que tout le monde soit prêt à aider à l'ajustement au cours des premières semaines afin que le processus se déroule plus facilement.
- Conduite de la formation : Il est probable que vos employés éprouvent une certaine frustration face aux changements au sein de l'entreprise. Il faut s'y attendre pour tout changement, en particulier pour les transitions logicielles. Pour que les choses se passent mieux, organisez des formations pour vos employés avant et après la mise en œuvre afin de les aider à mieux se familiariser avec les changements et à se sentir plus en confiance pour l'avenir.
- Apprenez et adaptez-vous : Après la mise en œuvre, pensez à effectuer régulièrement des audits de vos employés, de leurs rôles et de leur statut de sécurité. Il est probable qu'au cours des premières semaines et des premiers mois de mise en œuvre, de fréquentes modifications devront être apportées. Une fois que les choses se seront améliorées, continuez à auditer et à ajuster si nécessaire pour garantir la meilleure sécurité de l'entreprise.
Illumio peut vous fournir le logiciel nécessaire pour implémenter efficacement le RBAC dans votre entreprise ou organisation.