Controle de acesso baseado em funções (RBAC)

Explicação do controle de acesso baseado em funções (RBAC)

O RBAC está associado à ideia de menor privilégio, em que cada usuário ou processo só tem acesso mínimo às informações, dados e recursos necessários para desempenhar sua função, nada mais.

Ao usar controles de acesso baseados em funções, as organizações devem primeiro determinar o que um usuário específico precisa fazer para realizar seu trabalho e, em seguida, criar ou atribuir a função correta (políticas de acesso) que permita que eles executem apenas as tarefas específicas relacionadas à sua posição. Se, em algum momento no futuro, eles precisarem de mais ou mais permissões, somente então suas permissões serão expandidas. O oposto deve ser evitado ao criar permissões excessivamente amplas e restringi-las posteriormente.

Por que o RBAC é importante?

Os controles do RBAC que implementam o menor privilégio reduzem os riscos de segurança de dados e aprimoram a privacidade dos dados, de modo que somente aqueles que precisam ter acesso a dados confidenciais tenham acesso de fato. Há muitos casos em que os controles do RBAC são pertinentes à sua empresa. Por exemplo, esses controles podem ajudar a evitar que um funcionário iniciante encontre informações confidenciais que ele possa interpretar mal. Os controles também podem impedir que os funcionários tenham acesso a uma tarefa de alto nível na qual eles possam tentar trabalhar e atrapalhar.

Os controles do RBAC também podem ser úteis quando uma empresa compartilha informações com prestadores de serviços ou terceiros. O RBAC pode permitir que as permissões sejam limitadas somente às informações necessárias para terceiros. Com esses controles, você pode ter certeza de que as informações confidenciais da empresa estão protegidas ao compartilhar conteúdo.

Os controles RBAC são úteis, especialmente durante a contratação. Tradicionalmente, ao contratar um novo funcionário, você passa pelo processo de concessão de permissão para acessar vários níveis de dados. Ao substituir um funcionário antigo, você bloqueia o funcionário antigo em vários canais e permite a permissão de alterar inúmeras senhas para que o novo funcionário tenha acesso e controle sobre os dados.

No entanto, os controles do RBAC permitem que a transição entre a integração de novos funcionários e a substituição de funcionários antigos ocorra com muito mais facilidade. Com o RBAC, você simplesmente precisa alterar suas configurações para não permitir mais que funcionários antigos acessem os dados e permitir que novos funcionários acessem os dados. Isso permite que a transição do acesso às informações e aos dados ocorra com muito mais facilidade.

Além disso, as organizações implementam controles RBAC para atender aos requisitos regulatórios de segurança e privacidade, pois há um controle rígido sobre como os dados são acessados. Essa segurança pode ajudar a criar confiança entre os clientes e aumentar a confiança de que as informações compartilhadas com sua empresa sejam mantidas em sigilo. Além disso, com o RBAC em vigor, as organizações podem implementar a separação de tarefas com relação ao acesso e uso de aplicativos.

Funções, permissões e escopos

Vejamos alguns dos termos relevantes vinculados ao RBAC.

A primeira é a ideia de um papel. As funções são criadas relacionadas ao trabalho de um usuário, portanto, um usuário receberá uma função para níveis específicos de acesso, ou seja, o que ele pode ou não fazer, definido pelas permissões.

As funções podem variar de administrador ou superusuário a usuário, editor, visualizador, leitor etc. e cada uma consiste em várias permissões.

Depois que uma função é criada, as permissões são atribuídas para definir o que essa função específica pode fazer. As permissões podem abranger desde privilégios totais para editar e excluir até permissões parciais para redigir uma política, por exemplo, sem poder aprová-la e provisioná-la, até somente poder visualizar recursos. O menor privilégio é muito relevante aqui para atribuir a menor quantidade de acesso necessária para que um funcionário realize seu trabalho.

Para aumentar ainda mais o impacto do menor privilégio, podemos adicionar escopos para definir ou limitar a quais recursos o acesso (por meio da função certa com permissões) será concedido.

Benefícios do RBAC

Há vários benefícios do controle de acesso baseado em funções, incluindo:

• Em vez de conceder permissões pontuais e ad hoc, as funções no RBAC tornam o gerenciamento de acesso bem definido e reproduzível.
• Permitir que as organizações cumpram as obrigações de conformidade com relação à privacidade dos dados.
• Desvendando o mistério de descobrir quais usuários têm quais permissões e privilégios de acesso.
• Permite uma separação clara de funções nas empresas.

Exemplo de RBAC com microssegmentação

Vejamos um exemplo de RBAC para a criação e provisionamento de uma política de microssegmentação para um aplicativo de ERP. O proprietário do aplicativo conhece melhor o aplicativo, então gostaríamos que ele criasse a política, mas queremos que os administradores revisem a política e a provisionem.

Para começar, o proprietário do aplicativo recebe uma função de Gerente de Conjunto de Regras Limitado. Essa função tem permissões para adicionar, editar e excluir todos os conjuntos de regras de segmentação. No entanto, o escopo de onde eles podem operar é limitado ao aplicativo ERP, onde quer que ele esteja no ciclo de desenvolvimento e onde quer que as cargas de trabalho do aplicativo ERP residam. Em outras palavras, eles só podem ver e criar políticas para o aplicativo ERP.

Depois que o proprietário do ERP tiver criado as políticas de segmentação apropriadas, uma função com maiores permissões “globais” analisará e provisionará (por push live) a política criada pelo proprietário do aplicativo.

Como você pode ver, o RBAC permite uma forte separação de tarefas entre proprietários de aplicativos e administradores de TI, e as organizações sabem exatamente o que alguém designado para a função de gerente de conjunto de regras pode ou não fazer.

A diferença entre RBAC e ABAC

O controle de acesso baseado em funções e o controle baseado em atributos (ABAC) têm abordagens diferentes, mas são dois tipos de métodos de controle de acesso.

O ABAC permite o controle de acesso com base em diferentes combinações de atributos que um sistema pode reconhecer e organizar. Exemplos de atributos incluem características, tipos de ação, função, ID, autorização de segurança, atributos de recursos e assim por diante. Em comparação, o RBAC permite o acesso dependendo das funções dos usuários.

Os métodos RBAC são o melhor ponto de partida para o acesso básico ao controle de negócios. Os controles ABAC podem ficar mais técnicos e, portanto, mais confusos se você ainda não estiver familiarizado com os métodos de controle de acesso. No entanto, ambos podem ser benéficos para qualquer empresa ou organização.

Melhores práticas para implementar o RBAC

A implementação do RBAC pode parecer assustadora no início. No entanto, a implementação e o uso do RBAC permitirão que sua organização funcione com mais facilidade e eficiência. Abaixo, listaremos as melhores práticas a serem lembradas ao implementar o controle de acesso baseado em funções em sua empresa.

• Funções atuais: Pode ser difícil diferenciar as funções em sua empresa. No entanto, estabelecer funções é essencial no controle de acesso baseado em funções para garantir que os funcionários tenham acesso apenas às informações de que precisam. Comece criando funções que tenham as mesmas necessidades de acesso. Por exemplo, você pode criar uma função de acesso básica que tenha acesso ao e-mail e à intranet corporativa. Em seguida, crie funções que tenham a ver com diferentes posições dentro da organização e, em seguida, crie funções que tenham a ver com pessoas terceirizadas que precisam acessar as informações em sua organização. Lembre-se de que você deseja evitar a criação de muitas funções para mantê-las alinhadas com o controle de acesso baseado em funções e não com o controle de acesso baseado no usuário.
• Atribuições de função: Em seguida, analise cada função e atribua recursos aos quais cada pessoa dentro dessa função precisaria acessar. Por exemplo, e-mail, sistemas de gerenciamento ou bancos de dados específicos.
• Escreva um guia do usuário: É importante anotar todas as funções e o acesso disponível para cada uma dessas funções. Essa etapa o ajudará no processo de implementação a analisar melhor o que está indo bem e o que pode ser melhorado. Um Guia do usuário também ajudará você a atribuir funções no futuro para lembrar qual acesso é concedido a cada pessoa dentro dessa função.
• Implemente mudanças: Depois de escrever as funções, atribuir as inscrições e concluir um guia do usuário, atribua funcionários a cada função e entre em operação. Essa pode ser a parte mais assustadora, mas avise seus funcionários com antecedência e tenha todas as mãos prontas para ajudar no ajuste durante as primeiras semanas para que o processo ocorra com mais tranquilidade.
• Conduza o treinamento: É provável que seus funcionários sintam alguma frustração com as mudanças na empresa. Isso é esperado com qualquer alteração, especialmente transições de software. Para que tudo corra melhor, conduza treinamentos para seus funcionários antes e depois da implementação para ajudá-los a se familiarizarem com as mudanças e a se sentirem mais confiantes para seguir em frente.
• Aprenda e se adapte: Após a implementação, lembre-se de realizar auditorias periódicas de seus funcionários, suas funções e status de segurança. É provável que, nas primeiras semanas e meses de implementação, mudanças frequentes precisem ser feitas. Depois que as coisas começarem a funcionar melhor, continue auditando e ajustando quando necessário para garantir a melhor segurança da empresa.

A Illumio pode fornecer o software necessário para implementar o RBAC de forma eficaz em sua empresa ou organização.