Veel organisaties moeten nog investeren in een PAM-oplossing, omdat ze duur en complex kunnen zijn. Hoewel dit geldt voor sommige verouderde PAM-oplossingen, houden deze organisaties geen
Autorisatie speelt een belangrijke rol bij Identity Access Management (IAM). IAM is een beveiligingsraamwerk van beleidsregels en bedrijfsprocessen dat ervoor zorgt dat geautoriseerde gebruikers de benodigde toegang krijgen om hun werk uit te voeren. Het is belangrijk om het juiste autorisatiemodel voor uw organisatie te kiezen om gevoelige bronnen te beschermen tegen onbevoegde toegang. De vijf primaire autorisatiemodellen zijn: op rollen gebaseerde toegangscontrole, op attributen gebaseerde toegangscontrole, op relaties gebaseerde toegangscontrole, discretionaire toegangscontrole en verplichte toegangscontrole.
Lees verder voor meer informatie over de vijf verschillende soorten autorisatiemodellen, hoe u het juiste autorisatiemodel voor uw organisatie kiest en hoe u het implementeert.
Wat is autorisatie?
Autorisatie is het proces na authenticatie dat bepaalt in welke mate een gebruiker toegang heeft tot systeembronnen zoals gegevens, applicaties en netwerken. Om toegang te krijgen tot het netwerk van een organisatie moeten gebruikers hun identiteit bewijzen aan de hand van een proces dat authenticatie wordt genoemd. Nadat een gebruiker of machine is geverifieerd, bepaalt een beheerder of systeem welke rechten de geautoriseerde gebruiker heeft tot bepaalde bronnen binnen de organisatie. Autorisatie beperkt de toegang tot de bronnen van een organisatie via de instellingen die door de organisatie zijn vastgelegd. Organisaties bepalen het toegangsniveau van een gebruiker op basis van de gevoeligheid van de bronnen en de behoeften van de gebruiker.
5 soorten autorisatiemodellen
Autorisatiemodellen verhogen de productiviteit van een organisatie en voorkomen gegevenslekken. De autorisatiemodellen die organisaties gebruiken, hangen af van de mate van complexiteit en beveiliging die de organisatie wil. Dit zijn de vijf verschillende soorten autorisatiemodellen.
Op rollen gebaseerde toegangscontrole
Op rollen gebaseerde toegangscontrole (RBAC, Role-Based Access Control) definieert rollen en privileges om de toegang van systemen te beperken tot alleen geautoriseerde gebruikers. Bij RBAC moeten organisaties privileges bepalen voor gevoelige gegevens: wie moet toegang hebben, hoeveel toegang heeft de gebruiker nodig en hoelang heeft hij toegang nodig? Vervolgens moeten organisaties definiëren welke rol elk lid heeft en welke rechten ze nodig hebben voor hun rol. De rollen worden bepaald door de autoriteit, verantwoordelijkheid en competenties van de gebruiker.
RBAC geeft gebruikers beperkte toegang tot specifieke gegevens en systemen op basis van hun rol binnen de organisatie. Gebruikers mogen alleen toegang krijgen tot specifieke gegevens en systemen die ze nodig hebben om hun werk uit te voeren. Ze mogen geen toegang hebben tot bronnen buiten hun takenpakket. RBAC beperkt ook wat gebruikers kunnen doen met de bronnen waartoe ze toegang hebben.
Op attributen gebaseerde toegangscontrole
Op attributen gebaseerde toegangscontrole (ABAC, Attributed-Based Access Control) is een granulairder autorisatiemodel van RBAC. ABAC geeft gebruikers toegang tot specifieke gegevens en systemen van een organisatie op basis van bepaalde kenmerken die zijn gekoppeld aan de gebruiker. Het kijkt niet alleen naar de rol van de gebruiker binnen de organisatie, maar ook naar andere factoren om toegang te autoriseren. De attributen waar ABAC naar kijkt zijn bijvoorbeeld de kenmerken van de gebruiker, het apparaat, de omgeving en de bron waartoe de gebruiker toegang probeert te krijgen.
Op relaties gebaseerde toegangscontrole
Op relaties gebaseerde toegangscontrole (ReBAC, Relationship-Based Access Control) is een autorisatiemodel dat toegang verleent tot specifieke bronnen van een organisatie op basis van de relatie tussen de gebruiker en de bron. Zo kan de maker van een bron er volledige toegang en controle over hebben. Een collega van de maker uit hetzelfde team kan de bron misschien alleen bekijken en niet bewerken. Een collega van de maker die niet in hetzelfde team zit, krijgt mogelijk helemaal geen toegang tot de bron.
Verplichte toegangscontrole
Verplichte toegangscontrole (MAC, Mandatory Access Control) beperkt de toegang op basis van het gevoeligheidsniveau van de bronnen. MAC stelt beveiligingslabels en -categorieën in om te bepalen welke gebruikers of systemen toegang hebben tot specifieke bronnen. Het probeert de toegang te beperken tot alleen de gebruikers die écht toegang nodig hebben, zoals beheerders.
Gebruikers in de beveiligingslabels zijn beperkt in wat ze kunnen doen met die bronnen. Ze kunnen de bronnen niet bewerken of de toegang ertoe delen. Alleen de beheerders van de organisatie kunnen de privileges wijzigen. Iedereen onder het toestemmingsniveau heeft geen toegang tot de bronnen. MAC wordt voornamelijk gebruikt voor organisaties zoals overheidsinstellingen die zeer vertrouwelijke informatie hebben.
Discretionaire toegangscontrole
Discretionaire toegangscontrole (DAC, Discretionary Access Control) is het tegenovergestelde van MAC, omdat het privileges toekent op basis van de gebruiker en de toegangsgroep. Het is hier niet de organisatie die de toegang bepaalt op basis van de gevoeligheid van de gegevens, maar is het juist de eigenaar van de bron en de gebruikers die toegang hebben die andere gebruikers toegang kunnen geven. Gebruikers met hogere privileges kunnen bepalen hoe andere gebruikers de bronnen kunnen gebruiken.
Zo kiest u het juiste autorisatiemodel
Elk autorisatiemodel is anders en past bij de verschillende behoeften van elke organisatie. Het is belangrijk dat organisaties het geschikte autorisatiemethode vinden. U moet met de volgende factoren rekening houden bij het kiezen van een autorisatiemodel voor uw organisatie.
Beveiligingsvereiste
Organisaties moeten rekening houden met de beveiligingsvereisten van hun gevoelige gegevens. Ze moeten de gevoeligheid van hun gegevens en het vereiste beveiligingsniveau beoordelen. Sommige autorisatiemodellen zoals MAC hebben strengere toegangsniveaus dan andere en zijn misschien geschikter voor zeer vertrouwelijke gegevens. Andere autorisatiemodellen zoals DAC hebben soepelere toegangsniveaus en zijn beter voor minder gevoelige gegevens.
Gebruikerservaring
Organisaties moeten rekening houden met de gebruikerservaring voor hun werknemers. Te complexe autorisatiemodellen voor werknemers kunnen verwarrend en contraproductief zijn. Het kan zelfs leiden tot beveiligingsproblemen als werknemers autorisatieprotocollen proberen te omzeilen om het gebruik te vereenvoudigen. Organisaties moeten een autorisatiemodel kiezen dat eenvoudig te begrijpen is voor gebruikers, maar tegelijk het vereiste beveiligingsniveau biedt.
Complexiteit
Organisaties moeten rekening houden met de complexiteit van het autorisatiemodel dat ze willen implementeren. Organisaties moeten kijken naar het beveiligingsniveau en de gebruikerservaring die ze nodig hebben om te bepalen hoe complex hun autorisatiemodel moet zijn. Als een organisatie een complexer en dynamischer autorisatiemodel aankan, dan valt de keuze voor een autorisatiemodel dat ingewikkelde scenario’s kan verwerken, zoals ABAC of ReBAC. RBAC is geschikt voor organisaties die een eenvoudiger autorisatiemodel nodig hebben.
Schaalbaarheid
Organisaties moeten rekening houden met de schaalbaarheid van hun autorisatiemodel. Ze moeten nadenken over hoeveel hun organisatie zal groeien en of het autorisatiemodel dat ze kiezen hun groeiniveau aankan. Een autorisatiemodel moet passen bij de omvang van de huidige organisatie en moet kunnen opschalen als de organisatie groter wordt in de toekomst. ABAC is vaak zeer schaalbaar en dynamisch voor groeiende organisaties.
Gebruik Keeper® om een autorisatiemodel te implementeren
Een autorisatiemodel kunt u het beste implementeren met een oplossing voor geprivilegieerd toegangsbeheer (PAM). PAM verwijst naar het beveiligen en beheren van accounts met toegang tot zeer gevoelige systemen en gegevens van een organisatie. Met een PAM-oplossing hebben organisaties volledig inzicht in wie toegang heeft tot hun netwerk, applicaties, servers en apparaten. Ze hebben volledige controle over wie toegang heeft tot hun bronnen, hoeveel toegang elke gebruiker heeft en de wachtwoordbeveiliging van privileged accounts. Met een PAM-oplossing kunnen organisaties privileges bepalen op basis van hun autorisatiemodel.
KeeperPAM™ is een oplossing voor geprivilegieerd toegangsbeheer die de Keeper Enterprise Password Manager (EPM), Keeper Secrets Manager® (KSM) en Keeper Connection Manager® (KCM) combineert. Zo beschikken organisaties over volledige zichtbaarheid, beveiliging en controle over elke geprivilegieerde gebruiker op elk apparaat in de organisatie, zodat de juiste autorisatieniveaus zijn vastgelegd.
Vraag een demo aan van KeeperPAM en ontdek hoe het de gevoelige gegevens van uw organisatie kan beschermen.