Відповідний контент
Розуміння вкидання облікових даних
Чому компанії не слід використовувати своє рішення з управління ідентифікаційними даними?
Що таке контроль доступу?
Важливість багатофакторної автентифікації
Важливість OAuth
SAML VS OAuth: відмінності та подібності
Усе, що вам потрібно було знати про безпеку Zero Trust
Що таке управління доступом на основі ролей (RBAC)?
Що таке управління доступом на основі ролей (RBAC)?
Необхідність управління доступом на основі ролей (RBAC) в системі
Незалежно від того, велике це підприємство чи мале, у кожної організації є конфіденційні дані, записи, файли і програми, які потребують захисту. Якщо вони захищені занадто суворо, офіційна робота зупиняється або стикається з вузькими місцями. Якщо вони залишаються відкритими для доступу всіх бажаючих, виникають проблеми з безпекою. З цією ситуацією найкраще впоратися, якщо організація реалізує управління доступом на основі ролей.
У RBAC існує процес надання прав користувачам, яким це потрібно, і блокування інших користувачів, яким не потрібен доступ до певних активів. Конфігурація заснована на ролі людини, а не на його особистості або індивідуальних якостях. І ІТ-адміністратор вносить зміни швидше, змінюючи доступ тільки за ролями. ІТ-адміністратори повинні бути добре знайомі з RBAC. Це має вирішальне значення в організаціях і захищає дані від витоків з боку внутрішніх учасників загроз.
Якщо в організації немає RBAC, їм необхідно оцінити безпеку своєї ІТ-інфраструктури, а потім вирішити, навіщо їм потрібен або не потрібен RBAC.
Точна природа RBAC
- Адміністратори-вони визначають ролі і надають дозволи. Оскільки він відповідає за це, вони підтримують системи безпеки.
- Ролі-співробітники згруповані відповідно до виконуваної ними завданням.Дозволи-кожній ролі надається доступ і які дії вони можуть виконувати.
Система RBAC визначається роллю Користувача, а не індивідуальними уподобаннями або особистими даними. Це спрощує управління наданням дозволів. Дозвіл надається ролям, і кожна нова посадова функція стає новою роллю, яка застосовується до багатьох співробітників. Просування по службі змінює ролі.
Як працює роль у контексті RBAC?
Дуже важливо ефективно і критично визначати ролі. В іншому випадку багато людей не будуть виконувати свою роботу правильно. Ролі визначають авторизацію в системі RBAC.
В організації ролі визначаються наступним параметром:
- Повноваження дозволяють тільки вищому керівництву отримувати доступ до файлів. Ці файли не призначені для працівників нижчого рівня.
- Відповідальність розмежовує основні функції для інших керівників вищої ланки, які можуть володіти однаковими повноваженнями — наприклад, генерального директора і члена правління.
- Компетентність гарантує, що кваліфікованим працівникам можна довіряти обробку конфіденційних документів без будь-яких помилок. Навпаки, новачок може робити помилки, які можуть мати катастрофічні наслідки для компанії. Дуже важливо відповідним чином адаптувати ролі.
Обов'язки та привілеї також можуть перекриватися в ролях. Ієрархія ролей визначає, як один тип людей може володіти якостями багатьох інших людей. Управління доступом на основі ролей управляє дозволами, які визначають, хто може отримати доступ до системи і що вони можуть робити. Дозволи включають в себе наступні дії:
- Доступ - хто може відкривати певні файли і записи або Програми. Це обмежить кількість користувачів.
- Читання і запис-хто може бачити документи тільки в режимі читання, але не може їх змінювати. Інший матиме дозвіл на редагування, який може бути тимчасовим або постійним.
- Спільний доступ-хто може завантажувати і прикріплювати по електронній пошті і ділитися з іншими.
- Фінанси-хто має право стягувати гроші, здійснювати платежі, скасовувати платежі, здійснювати повернення коштів?
Важливо знати, що дозвіл слідує за ролями, а не навпаки. ІТ-адміністратори повинні визначити, що повинна робити кожна роль, і відповідно подати заявку на отримання дозволів. Крім того, вони не повинні надавати дозволи на основі індивідуальних вимог, незважаючи на обмеження їх ролі. Якщо адміністратори почнуть змінювати дозволи на разовій основі, системи вийдуть з ладу.
Переваги RBAC
Варіантів забезпечення безпеки безліч, і зробити правильний вибір для організації непросто. Відомо, що RBAC володіє багатьма перевагами, які відрізняють його від конкурентів.
Система RBAC може виконувати наступні дії:
- Зниження складності-нові учасники отримують доступ на основі ролей, а не за іншими критеріями. Політики легко створювати, підтримувати і перевіряти.
- Дозволити глобальне адміністрування-змініть доступ до ролі для групи співробітників, змінивши дозвіл відразу.
- Просте впровадження-новим співробітникам призначається доступ відповідно до їх ролями. Коли вони переходять або отримують підвищення, їх доступ автоматично змінюється відповідно до нових ролей. Не потрібно турбуватися про дозвіл окремої особи. Вони повинні бути в правильній рольовій групі.
- Зменшіть кількість помилок-традиційні служби безпеки схильні до помилок. Дозволи дають безліч можливостей зробити помилку. Якщо зміни будуть відповідати ролям, менше буде помилок або ризику присвоєння занадто малого або занадто великої кількості повноважень для доступу.
- Зниження загальних витрат - коли робоче навантаження скорочується, потрібно менше робочої сили, і організація економить час і гроші.
Впровадження системи RBAC
Впровадження завдань безпеки вимагає системного підходу. Кожен крок повинен бути виконаний по порядку.
Для створення правильної системи потрібно наступне
- Проведіть інвентаризацію системи-визначте файли, програми, документи, сервери і записи, які є частиною бізнесу. Знайдіть час, щоб організувати це, і не поспішайте з цим процесом, так як нічого не повинно бути упущено.
- Визначте ролі - це повинно координуватися з персоналом і керівництвом. Кількість ролей в організаціях необхідно налаштувати після консультацій з ними, а потім визначити дозволи на основі цих ролей.
- Розробіть графік інтеграції-система RBAC повинна бути впроваджена з належною підготовкою та впровадженням. Зміни не слід впроваджувати без повідомлення співробітників.
- Приймайте відгуки-поширюйте плани ролей і дозволів і запитуйте менеджерів, чи згодні вони з пропозиціями або коригують їх відповідним чином. У процесі налаштування будуть використовуватися методи проб і помилок.
В цьому немає нічого поганого.
- Реалізувати план. Як тільки ролі та дозволи визначені, вони повинні бути виконані в системі.
Висновок
Впровадження системи RBAC не повинно здійснюватися поспішно. Кожна комбінація ролей і дозволів повинна бути обговорена, спланована і доопрацьована, і час не повинно бути обмеженням. Окремі особи та відділи наполягатимуть і вимагатимуть додаткового дозволу. Адміністратори повинні ретельно розглянути кожен запит, перш ніж приєднатися до запитів. Крім того, потрібно часте співробітництво, щоб занадто суворі правила безпеки не приводили до вузьких місць в роботі.
