Muitas organizações ainda não investiram em uma solução de PAM porque podem ser caras e complexas. Embora isso seja verdade para algumas soluções de PAM legadas,
A autorização desempenha um papel importante no gerenciamento de acesso de identidade (IAM). O IAM é uma estrutura de segurança de políticas e processos empresariais projetada para garantir que usuários autorizados tenham o acesso necessário para realizar seus trabalhos. Escolher o modelo de autorização certo para a sua organização é importante para proteger recursos confidenciais contra acesso não autorizado. Os cinco principais modelos de autorização são controle de acesso baseado em função, controle de acesso baseado em atributos, controle de acesso baseado em relação, controle de acesso discricionário e controle de acesso obrigatório.
Continue lendo para saber mais sobre os cinco diferentes tipos de modelos de autorização, como escolher o modelo de autorização certo para a sua organização e como implementá-lo.
O que é autorização?
A autorização é o processo após a autenticação que determina o nível de acesso que um usuário tem aos recursos do sistema, como dados, aplicativos e redes. Para obter acesso à rede de uma organização, os usuários devem comprovar sua identidade através de um processo conhecido como autenticação. Após um usuário ou máquina ser autenticada, um administrador ou sistema determina quais permissões o usuário autorizado tem sobre determinados recursos da organização. A autorização limita o acesso aos recursos de uma organização com base nas configurações estabelecidas pela organização. As organizações determinam o nível de acesso de um usuário de acordo com a sensibilidade do recurso e as necessidades do usuário.
Cinco tipos de modelos de autorização
Modelos de autorização ajudam a aprimorar a produtividade de uma organização e prevenir violações de dados. No entanto, os modelos de autorização que as organizações utilizam variam dependendo dos seus requisitos de complexidade e segurança. Aqui estão os cinco diferentes tipos de modelos de autorização.
Controle de acesso baseado em função
O controle de acesso baseado em função (RBAC) define funções e privilégios para restringir o acesso de sistemas apenas a usuários autorizados. Com o RBAC, as organizações precisam determinar permissões para dados confidenciais, quem deve acessá-los, quanto acesso o usuário precisa e por quanto tempo. Em seguida, elas devem definir qual função cada membro terá e quais permissões ele terá com base em sua função. As funções são determinadas pela autoridade, responsabilidade e atribuição do trabalho do usuário.
O RBAC autoriza o acesso limitado dos usuários a dados e sistemas específicos com base em suas funções dentro da organização. Os usuários devem receber acesso apenas a dados e sistemas específicos necessários para desempenhar seus trabalhos. Eles não devem acessar qualquer recurso fora de sua área de trabalho. O RBAC também limita o que os usuários podem fazer com os recursos que acessam.
Controle de acesso baseado em atributos
O controle de acesso baseado em atribuição (ABAC) é um modelo de autorização mais granular que o RBAC. O ABAC concede aos usuários acesso a dados e sistemas específicos de uma organização com base nos atributos específicos associados ao usuário. Ele vai além da função do usuário na organização e busca outros fatores para autorizar o acesso. Os atributos que o ABAC busca incluem as características do usuário, dispositivo, ambiente e recurso que o usuário está tentando acessar.
Controle de acesso baseado em relação
O controle de acesso baseado em relação (ReBAC) é um modelo de autorização que concede acesso aos recursos específicos de uma organização com base na relação entre o usuário e o recurso. Por exemplo, o criador de um recurso pode ter acesso e controle total sobre ele. No entanto, um colega da mesma equipe do criador pode ter acesso apenas para visualizar o recurso, mas não para editá-lo. Um colega do criador que não esteja na mesma equipe pode não ter permissão para acessar o recurso.
Controle de acesso obrigatório
O controle de acesso obrigatório (MAC) restringe o acesso com base no nível de sensibilidade dos recursos. O MAC define rótulos e categorias de segurança para controlar quais usuários ou sistemas têm acesso a recursos específicos. Ele tenta ao máximo limitar o acesso apenas para quem realmente precisa, como administradores.
Os usuários com rótulos de segurança são limitados no que podem fazer com esses recursos. Eles não podem editar os recursos ou compartilhar o acesso a eles. Apenas os administradores da organização podem alterar os privilégios. Qualquer um abaixo do nível de liberação não poderá acessar os recursos. O MAC é utilizado principalmente em organizações como agências governamentais que possuem informações altamente confidenciais.
Controle de acesso discricionário
O controle de acesso discricionário (DAC) é o oposto do MAC, pois atribui privilégios com base no usuário e no grupo de acesso. Ao invés da organização determinar o acesso com base na sensibilidade dos dados, o proprietário do recurso e aqueles que podem acessá-lo concedem acesso a outros usuários conforme necessário. Usuários com privilégios mais altos podem determinar como outros usuários podem utilizar os recursos.
Como escolher o modelo de autorização certo
Cada modelo de autorização é diferente e atende às diferentes necessidades de cada organização. As organizações precisam encontrar o modelo de autorização certo para elas. Aqui estão os fatores a considerar ao escolher um modelo de autorização para sua organização.
Requisitos de segurança
As organizações devem considerar os requisitos de segurança de seus dados confidenciais. Elas precisam avaliar a sensibilidade de seus dados e o nível de segurança necessário. Alguns modelos de autorização, como o MAC, têm níveis de acesso mais rigorosos do que outros e podem ser mais adequados para lidar com dados altamente confidenciais. Outros modelos de autorização, como o DAC, têm níveis de acesso mais brandos e seriam mais adequados para dados menos confidenciais.
Experiência do usuário
As organizações precisam considerar a experiência do usuário para os funcionários. Modelos de autorização muito complexos para serem utilizados pelos funcionários podem ser confusos e contraproducentes. Isso pode até causar problemas de segurança, pois os funcionários podem tentar contornar protocolos de autorização para facilitar o uso. As organizações devem escolher um modelo de autorização que seja fácil de entender para os usuários, mas que também forneça o nível de segurança necessário.
Complexidade
As organizações precisam considerar a complexidade do modelo de autorização que desejam implementar. Elas devem analisar o nível de segurança e a experiência do usuário necessários para determinar a complexidade do modelo de autorização. Se uma organização puder lidar com um modelo de autorização mais complexo e dinâmico, ela deve escolher um que possa lidar com cenários intrincados, como ABAC ou ReBAC. Organizações que precisam de um modelo de autorização mais simples devem escolher o RBAC.
Escalabilidade
As organizações devem considerar a escalabilidade do seu modelo de autorização. Elas precisam pensar no quanto sua organização crescerá e se o modelo de autorização escolhido pode lidar com tal nível de crescimento. Um modelo de autorização deve atender ao tamanho atual da organização e poder ser dimensionado para uma organização potencialmente maior no futuro. Geralmente, o ABAC é altamente escalável e dinâmico para ser adaptado a organizações em crescimento.
Utilize o Keeper® para implementar um modelo de autorização
A melhor maneira de implementar um modelo de autorização é com uma solução de gerenciamento de acesso privilegiado (PAM). O PAM serve para proteger e gerenciar contas com acesso a sistemas e dados altamente confidenciais de uma organização. Com uma solução de PAM, as organizações têm visibilidade total sobre quem está acessando sua rede, aplicativos, servidores e dispositivos. Elas têm controle total sobre quem pode acessar seus recursos, quanto acesso cada usuário tem e a segurança de senhas de contas privilegiadas. Uma solução de PAM ajuda as organizações a determinar privilégios com base em seu modelo de autorização.
O KeeperPAM™ é uma solução de gerenciamento de acesso privilegiado que combina o Keeper Enterprise Password Manager (EPM), o Keeper Secrets Manager® (KSM) e o Keeper Connection Manager® (KCM). Ele permite que as organizações tenham visibilidade, segurança e controle totais sobre cada usuário privilegiado em cada dispositivo da organização, garantindo que os níveis certos de autorização sejam aplicados.
Solicite uma demonstração do KeeperPAM para ver como ele pode proteger os dados confidenciais da sua organização.