Wiele organizacji nadal nie wdrożyło rozwiązania PAM, ponieważ może to być kosztowny i złożony proces. Chociaż jest to prawdą w przypadku niektórych starszych rozwiązań PAM, organizacje powinny zwrócić
Autoryzacja odgrywa ważną rolę w zarządzaniu dostępem do tożsamości (IAM). IAM to ramy bezpieczeństwa polityk i procesów biznesowych opracowane w celu zapewnienia upoważnionym użytkownikom dostępu niezbędnego do wykonywania zadań. Wybór prawidłowego modelu autoryzacji dla organizacji jest ważny, aby chronić poufne zasoby przed nieautoryzowanym dostępem. Pięć podstawowych modeli autoryzacji to kontrola dostępu oparta na rolach, kontrola dostępu oparta na atrybutach, kontrola dostępu oparta na relacjach, uznaniowa kontrola dostępu i obowiązkowa kontrola dostępu.
Czytaj dalej, aby dowiedzieć się więcej o pięciu różnych rodzajach modeli autoryzacji, jak wybrać odpowiedni model autoryzacji dla organizacji i jak go wdrożyć.
Czym jest autoryzacja?
Autoryzacja to proces po uwierzytelnianiu, który określa poziom dostępu użytkownika do zasobów systemowych, takich jak dane, aplikacje i sieci. Aby uzyskać dostęp do sieci organizacji, użytkownicy muszą potwierdzić swoją tożsamość w procesie znanym jako uwierzytelnianie. Po uwierzytelnieniu użytkownika lub maszyny administrator lub system określa, jakie uprawnienia ma upoważniony użytkownik do określonych zasobów w organizacji. Autoryzacja ogranicza dostęp do zasobów organizacji na podstawie ustawień ustalonych przez organizację. Organizacje określają poziom dostępu użytkownika na podstawie wrażliwości zasobu i potrzeb użytkownika.
Pięć rodzajów modeli autoryzacji
Modele autoryzacji pomagają zwiększyć produktywność organizacji i zapobiegać naruszeniom danych. Jednak modele autoryzacji wykorzystywane przez organizacje różnią się w zależności od tego, jak organizacja potrzebuje, aby były złożone i bezpieczne. Oto pięć różnych rodzajów modeli autoryzacji.
Kontrola dostępu oparta na rolach
Kontrola dostępu oparta na rolach (RBAC) określa role i uprawnienia w celu ograniczenia dostępu do systemów tylko dla upoważnionych użytkowników. Korzystając z RBAC, organizacje muszą określić uprawnienia do danych poufnych, kto powinien mieć do nich dostęp, jaki dostęp jest potrzebny użytkownikowi i jak długo potrzebuje dostępu. Następnie organizacje muszą określić, jaką rolę ma każdy członek i jakich uprawnień potrzebuje na podstawie swojej roli. Role są określone na podstawie władzy użytkownika, odpowiedzialności i kompetencji do wykonywania pracy.
RBAC autoryzuje ograniczony dostęp użytkowników do określonych danych i systemów na podstawie ich ról w organizacji. Użytkownicy powinni mieć dostęp tylko do określonych danych i systemów, których potrzebują do wykonywania swojej pracy. Nie powinni mieć dostępu do zasobów poza obszarem pracy. RBAC ogranicza również to, co użytkownicy mogą zrobić z zasobami, do których mogą uzyskać dostęp.
Kontrola dostępu oparta na atrybutach
Kontrola dostępu oparta na atrybutach (ABAC) to bardziej szczegółowy model autoryzacji RBAC. ABAC przyznaje użytkownikom dostęp do określonych danych i systemów organizacji na podstawie określonych atrybutów powiązanych z użytkownikiem. Wykracza poza rolę użytkownika w organizacji i szuka innych czynników w celu autoryzacji dostępu. Atrybuty, których szuka ABAC, obejmują cechy użytkownika, urządzenia, środowiska i zasobu, do którego użytkownik próbuje uzyskać dostęp.
Kontrola dostępu oparta na relacjach
Kontrola dostępu oparta na relacjach (ReBAC) to model autoryzacji, który przyznaje dostęp do określonych zasobów organizacji na podstawie relacji między użytkownikiem a zasobem. Na przykład twórca zasobu może mieć pełny dostęp do niego i kontrolę nad nim. Jednak współpracownik twórcy z tego samego zespołu może być w stanie wyświetlić tylko zasób, ale nie może go edytować. Współpracownik twórcy, który nie jest w tym samym zespole, może nie uzyskać dostępu do zasobu w ogóle.
Obowiązkowa kontrola dostępu
Obowiązkowa kontrola dostępu (MAC) ogranicza dostęp na podstawie poziomu wrażliwości zasobów. MAC ustawia etykiety i kategorie zabezpieczeń, aby kontrolować, którzy użytkownicy lub systemy mają dostęp do określonych zasobów. Stara się maksymalnie ograniczyć dostęp tylko do tych, którzy naprawdę go potrzebują, takich jak administratorzy.
Użytkownicy w etykietach zabezpieczeń mają ograniczony dostęp do tego, co mogą zrobić z tymi zasobami. Nie mogą edytować zasobów ani udostępniać do nich dostępu. Tylko administratorzy organizacji mogą wprowadzać zmiany w uprawnieniach. Osoby poniżej poziomu dostępu nie mogą uzyskać dostępu do zasobów. MAC jest stosowany głównie w organizacjach, takich jak agencje rządowe, które mają wysoce poufne informacje.
Uznaniowa kontrola dostępu
Uznaniowa kontrola dostępu (DAC) jest przeciwieństwem MAC, ponieważ przypisuje uprawnienia na podstawie użytkownika i grupy dostępu. Zamiast ustalania dostępu przez organizację na podstawie wrażliwości danych właściciel zasobu i osoby, które mogą uzyskać do niego dostęp, przyznają dostęp innym użytkownikom w razie potrzeby. Użytkownicy z wyższymi uprawnieniami mogą określić, jak inni użytkownicy mogą korzystać z zasobów.
Jak wybrać odpowiedni model autoryzacji?
Każdy model autoryzacji jest inny i pasuje do różnych potrzeb każdej organizacji. Organizacje muszą znaleźć odpowiedni model autoryzacji. Oto czynniki, które należy wziąć pod uwagę podczas wybierania modelu autoryzacji dla organizacji.
Wymóg bezpieczeństwa
Organizacje muszą wziąć pod uwagę wymagania dotyczące bezpieczeństwa danych poufnych. Muszą zbadać wrażliwość danych i wymagany poziom bezpieczeństwa. Niektóre modele autoryzacji, takie jak MAC, mają bardziej rygorystyczne poziomy dostępu niż inne i mogą lepiej pasować do danych wysoce poufnych. Inne modele autoryzacji, takie jak DAC, mają łagodniejsze poziomy dostępu i lepiej pasują do mniej poufnych danych.
Doświadczenie użytkownika
Organizacje muszą wziąć pod uwagę doświadczenie użytkownika dla pracowników. Modele autoryzacji, które są zbyt złożone, aby pracownicy mogli z nich skorzystać, mogą być mylące i przynosić efekt przeciwny do zamierzonego. Może nawet powodować problemy z bezpieczeństwem, gdy pracownicy próbują ominąć protokoły autoryzacji, aby ułatwić korzystanie z nich. Organizacje muszą wybrać model autoryzacji, który jest łatwy do zrozumienia dla użytkowników, ale zapewnia również wymagany poziom bezpieczeństwa.
Złożoność
Organizacje muszą wziąć pod uwagę złożoność modelu autoryzacji, który chcą wdrożyć. Organizacje powinny przyjrzeć się wymaganemu poziomowi bezpieczeństwa i doświadczeniu użytkownika, aby określić, jak złożony powinien być model autoryzacji. Jeśli organizacja może obsługiwać bardziej złożony i dynamiczny model autoryzacji, powinna wybrać model autoryzacji, który może obsługiwać skomplikowane scenariusze, takie jak ABAC lub ReBAC. Organizacje, które potrzebują prostszego modelu autoryzacji, powinny wybrać RBAC.
Skalowalność
Organizacje powinny wziąć pod uwagę skalowalność modelu autoryzacji. Muszą przemyśleć, jak bardzo organizacja się rozwinie i czy wybrany model autoryzacji może poradzić sobie z poziomem wzrostu. Model autoryzacji musi pasować do rozmiaru obecnej organizacji i mieć możliwości skalowania do potencjalnie większej organizacji w przyszłości. ABAC jest często wysoce skalowalny i dynamiczny, aby dostosować się do rozwijających się organizacji.
Korzystaj z rozwiązania Keeper®, aby wdrożyć model autoryzacji
Najlepszym sposobem na wdrożenie modelu autoryzacji jest skorzystanie z rozwiązania do zarządzania dostępem uprzywilejowanym (PAM). PAM odnosi się do zabezpieczania kont i zarządzania nimi z dostępem do wysoce poufnych systemów i danych organizacji. Rozwiązanie PAM zapewnia organizacjom pełny wgląd w to, kto uzyskuje dostęp do sieci, aplikacji, serwerów i urządzeń. Mają całkowitą kontrolę nad tym, kto może uzyskać dostęp do zasobów, jaki dostęp ma każdy użytkownik oraz nad bezpieczeństwem haseł kont uprzywilejowanych. Rozwiązanie PAM pomaga organizacjom określić uprawnienia na podstawie modelu autoryzacji.
KeeperPAM™ to rozwiązanie do zarządzania uprzywilejowanym dostępem, które łączy w sobie następujące składniki: Keeper Enterprise Password Manager (EPM), Keeper Secrets Manager® (KSM) i Keeper Connection Manager® (KCM). Umożliwia organizacjom osiągnięcie pełnego wglądu, bezpieczeństwa i kontroli nad każdym uprzywilejowanym użytkownikiem na każdym urządzeniu w organizacji, zapewniając odpowiedni poziom autoryzacji.
Poproś o demo rozwiązania KeeperPAM, aby zobaczyć, jak może chronić dane poufne organizacji.