역할 기반 액세스 제어 (RBAC)

역할 기반 액세스 제어 (RBAC) 설명

RBAC는 각 사용자 또는 프로세스가 자신의 역할을 수행하는 데 필요한 정보, 데이터 및 리소스에 대한 최소한의 액세스만 허용한다는 최소 권한이라는 개념과 관련이 있습니다.

역할 기반 액세스 제어를 요청할 때 조직은 먼저 특정 사용자가 업무 수행을 위해 수행해야 하는 작업을 결정한 다음 자신의 직책과 관련된 특정 작업만 수행하도록 허용하는 적절한 역할 (액세스 정책) 을 만들거나 할당해야 합니다.향후 어느 시점에서든 더 많은 권한이나 추가 권한이 필요한 경우에만 권한이 확장됩니다.지나치게 광범위한 권한을 만들어 나중에 제한하는 경우에는 그 반대의 경우를 피해야 합니다.

RBAC가 왜 중요한가요?

최소 권한을 구현하는 RBAC 컨트롤은 데이터 보안 위험을 줄이고 데이터 프라이버시를 강화하여 민감한 데이터에 대한 액세스 권한을 부여해야 하는 사용자에게만 실제로 액세스 권한을 부여합니다.RBAC 제어가 회사에 적합한 경우가 많이 있습니다.예를 들어, 이러한 제어 기능은 초급 직원이 잘못 해석할 수 있는 민감한 정보를 우연히 발견하는 것을 방지하는 데 도움이 될 수 있습니다.또한 통제 기능을 사용하면 직원들이 업무를 시도하여 엉망이 될 수 있는 상위 수준의 작업에 액세스하지 못하게 할 수 있습니다.

RBAC 통제는 회사가 계약자 또는 제3자와 정보를 공유할 때도 유용할 수 있습니다.RBAC를 사용하면 외부 당사자에게 필요한 정보로만 권한을 제한할 수 있습니다.이러한 제어를 통해 콘텐츠를 공유할 때 중요한 회사 정보를 보호할 수 있습니다.

RBAC 제어는 특히 채용 시 유용합니다.일반적으로 신입 직원을 고용할 때는 다양한 수준의 데이터에 액세스할 수 있는 권한을 부여하는 프로세스를 거칩니다.기존 직원을 교체할 때는 여러 채널에서 기존 직원을 차단하고 신입 직원이 데이터에 액세스하고 데이터를 제어할 수 있도록 수많은 암호를 변경할 수 있는 권한을 부여합니다.

그러나 RBAC 제어를 통해 신규 직원의 온보딩 및 기존 직원 교체 전환이 훨씬 더 원활하게 이루어질 수 있습니다.RBAC를 사용하면 기존 직원의 데이터 액세스를 더 이상 허용하지 않고 신입 직원이 데이터에 액세스할 수 있도록 설정만 변경하면 됩니다.이를 통해 정보 및 데이터 액세스의 전환이 훨씬 더 원활하게 이루어질 수 있습니다.

게다가 조직은 데이터 액세스 방법을 엄격하게 제어할 수 있기 때문에 보안 및 개인 정보 보호에 대한 규제 요구 사항을 충족하기 위해 RBAC 제어를 구현합니다.이러한 보안은 고객 간의 신뢰를 구축하고 회사와 공유한 정보가 비공개로 유지된다는 확신을 높이는 데 도움이 될 수 있습니다.또한 조직은 RBAC를 통해 애플리케이션 액세스 및 사용과 관련하여 업무 분리를 구현할 수 있습니다.

역할, 권한 및 범위

RBAC와 관련된 몇 가지 관련 용어를 살펴보겠습니다.

첫 번째는 역할에 대한 아이디어입니다.역할은 사용자의 작업과 관련하여 생성되므로 사용자에게는 권한에 따라 정의된 특정 수준의 액세스 (예: 수행할 수 있는 작업과 수행할 수 없는 작업) 에 대한 역할이 할당됩니다.

역할은 관리자 또는 수퍼유저부터 사용자, 편집자, 뷰어, 독자 등에 이르기까지 다양하며 각 역할은 소수의 권한으로 구성됩니다.

역할이 생성되면 해당 역할이 수행할 수 있는 작업을 정의하는 권한이 할당됩니다.권한은 수정 및 삭제를 위한 전체 권한부터 정책 초안을 작성할 수 있는 부분 권한 (예: 승인 및 프로비저닝할 수 없는 권한, 리소스를 보기만 가능) 까지 다양합니다.여기서는 직원이 업무를 수행하는 데 필요한 최소한의 액세스 권한을 할당하기 위해 최소 권한을 부여하는 것이 매우 중요합니다.

최소 권한의 영향을 더욱 강화하기 위해 권한을 가진 올바른 역할을 통해 권한을 부여할 리소스를 정의하거나 제한하는 범위를 추가할 수 있습니다.

RBAC의 이점

역할 기반 액세스 제어에는 다음과 같은 여러 가지 이점이 있습니다.

• RBAC의 역할은 권한을 한 번에 임시로 부여하는 것이 아니라 명확하고 반복 가능한 액세스 관리를 가능하게 합니다.
• 조직이 데이터 프라이버시와 관련된 규정 준수 의무를 이행할 수 있도록 합니다.
• 어떤 사용자가 어떤 액세스 권한 및 권한을 가지고 있는지 알아내는 과정에서 수수께끼를 풀어줍니다.
• 기업의 직무를 명확하게 구분할 수 있습니다.

마이크로 세분화가 포함된 RBAC 예제

ERP 애플리케이션을 위한 마이크로 세분화 정책의 생성 및 프로비저닝에 대한 RBAC 예를 살펴보겠습니다.애플리케이션 소유자가 애플리케이션을 가장 잘 알고 있으므로 정책을 생성하도록 하고 싶지만 관리자가 정책을 검토하고 프로비저닝하기를 바랍니다.

우선 앱 소유자에게 제한된 규칙 세트 관리자 역할이 할당됩니다.해당 역할에는 모든 세그멘테이션 규칙 세트를 추가, 편집 및 삭제할 수 있는 권한이 있습니다.그러나 이들이 작동할 수 있는 범위는 ERP 애플리케이션, 개발 주기의 어느 단계에 있든, ERP 앱 워크로드가 상주할 수 있는 위치로 제한됩니다.즉, ERP 앱에 대한 정책을 보고 생성할 수만 있습니다.

ERP 소유자가 적절한 세그멘테이션 정책을 만들면 더 큰 “글로벌” 권한을 가진 역할이 애플리케이션 소유자가 생성한 정책을 검토하고 프로비저닝 (푸시 라이브) 하게 됩니다.

보시다시피 RBAC를 사용하면 앱 소유자와 IT 관리자 간의 업무를 강력하게 분리할 수 있으며 조직은 규칙 세트 관리자 역할을 배정받은 사람이 수행할 수 있는 작업과 수행할 수 없는 작업을 정확하게 파악할 수 있습니다.

RBAC와 ABAC의 차이점

역할 기반 액세스 제어와 ABAC (속성 기반 제어) 는 접근 방식이 다르지만 두 가지 유형의 액세스 제어 방법입니다.

ABAC를 사용하면 시스템이 인식하고 구성할 수 있는 다양한 속성 조합을 기반으로 액세스를 제어할 수 있습니다.속성의 예로는 특성, 작업 유형, 역할, ID, 보안 클리어런스, 리소스 속성 등이 있습니다.이에 비해 RBAC는 사용자의 역할에 따라 액세스를 허용합니다.

RBAC 방법은 기본적인 비즈니스 제어 액세스를 시작하기에 가장 좋은 방법입니다.ABAC 제어는 좀 더 기술적일 수 있으므로 액세스 제어 방법에 아직 익숙하지 않은 경우 더 혼란스러울 수 있습니다.하지만 두 방법 모두 모든 비즈니스 또는 조직에 유용할 수 있습니다.

RBAC 구현을 위한 모범 사례

처음에는 RBAC 구현이 어려워 보일 수 있습니다.하지만 RBAC를 구현하고 사용하면 조직을 더 원활하고 효율적으로 운영할 수 있습니다.아래에는 회사에 역할 기반 액세스 제어를 구현할 때 염두에 두어야 할 모범 사례가 나열되어 있습니다.

• 현재 역할: 회사 내에서 역할을 구분하는 것은 어려울 수 있습니다.하지만 직원들이 필요한 정보에만 액세스할 수 있도록 하려면 역할 기반 액세스 제어에서 역할을 설정하는 것이 필수적입니다.먼저 액세스 요구 사항이 동일한 역할을 생성하십시오.예를 들어, 이메일과 회사 인트라넷에 액세스할 수 있는 기본 액세스 역할을 만들 수 있습니다.다음으로 조직 내 다양한 직책과 관련된 역할을 생성한 다음 조직 내 정보에 액세스해야 하는 타사 사용자와 관련된 역할을 생성하십시오.역할을 사용자 기반 액세스 제어가 아닌 역할 기반 액세스 제어에 맞게 유지하려면 역할을 너무 많이 생성하지 않는 것이 좋습니다.
• 역할 할당: 다음으로 각 역할을 살펴보고 해당 역할 내의 각 사람이 액세스해야 하는 리소스를 배정합니다.이메일, 관리 시스템 또는 특정 데이터베이스를 예로 들 수 있습니다.
• 사용자 가이드 작성: 각 역할에 사용할 수 있는 역할과 액세스 권한을 모두 기록해 두는 것이 중요합니다.이 단계는 구현 프로세스에서 잘 진행되고 있는 부분과 개선해야 할 점을 더 잘 분석하는 데 도움이 됩니다.또한 사용 설명서는 향후 역할을 할당할 때 해당 역할 내에서 각 사람에게 부여된 액세스 권한을 기억하는 데도 도움이 됩니다.
• 변경 사항 구현: 역할을 작성하고, 지원서를 할당하고, 사용 설명서를 작성한 후에는 각 역할에 직원을 배정하고 운영을 시작하세요.이 부분이 가장 두려울 수도 있지만, 직원들에게 미리 경고하고, 프로세스가 더 순조롭게 진행될 수 있도록 처음 몇 주 동안은 조정에 도움을 줄 수 있는 모든 인력을 준비시키세요.
• 교육 실시: 직원들이 회사 내 변화에 대해 약간의 좌절감을 느낄 수 있습니다.이는 모든 변화, 특히 소프트웨어 전환에서 예상할 수 있는 일입니다.일이 더 순조롭게 진행되도록 하려면 구현 전후에 직원을 대상으로 교육을 실시하여 직원들이 변경 사항에 더 익숙해지고 앞으로 나아갈 수 있다는 자신감을 가질 수 있도록 하세요.
• 학습 및 적응: 구현 후에는 정기적으로 직원, 역할 및 보안 상태에 대한 감사를 실시해야 합니다.구현 후 처음 몇 주, 몇 달 동안은 자주 변경해야 할 수도 있습니다.일이 순조롭게 진행되기 시작한 후에는 최상의 회사 보안을 보장하기 위해 필요한 부분을 계속 감사하고 조정하세요.

Illumio는 RBAC를 회사 또는 조직에 효과적으로 구현하는 데 필요한 소프트웨어를 제공할 수 있습니다.