RBAC и ABAC: что следует использовать?

Основное различие между управлением доступом на основе ролей (RBAC) и управлением доступом на основе атрибутов (ABAC) заключается в том, как они предоставляют доступ пользователям и ресурсам. RBAC предоставляет пользователям доступ на основе их ролей в организации, а ABAC — на основе их характеристик, например среды.

Читайте дальше, чтобы узнать больше о RBAC и ABAC, об их существенных различиях и о том, какую форму управления доступом следует использовать в вашей организации.

Что такое управление доступом на основе ролей?

Управление доступом на основе ролей (RBAC) ограничивает доступ пользователей к системам, сетям и дополнительным ресурсам, предоставляя им только то, что необходимо для выполнения их конкретной роли. По сути своей RBAC использует принцип наименьших привилегий (PoLP), чтобы пользователям предоставлялся доступ только к тому, что им нужно для эффективной работы. Например, представьте, что все сотрудники вашей организации, от службы поддержки клиентов до ИТ-специалистов, имеют одинаковый доступ ко всей конфиденциальной информации. Если учетная запись одного сотрудника будет скомпрометирована, злоумышленники смогут похитить данные на уровне выше того, к которому сотрудник должен был иметь доступ. Когда в вашей организации внедряется RBAC, сотрудники не могут получить доступ к чему-либо, кроме того, что требуется для выполнения их функций. Таким образом, в случае утечки данных или кибератаки злоумышленники будут ограничены данными и информацией, к которым имеют доступ только пострадавшие сотрудники, а не вся организация.

Что такое управление доступом на основе атрибутов?

Управление доступом на основе атрибутов (ABAC) определяет, кто может получать доступ к системам, сетям и данным на основе атрибутов, связанных со стандартами безопасности, ресурсами организации и средой пользователя. В отличие от RBAC, ABAC выходит за рамки роли пользователя и для авторизации доступа к ресурсам учитывает факторы, не относящиеся к его личности, например его характеристики, среду и устройство. Предположим, что в вашей организации есть финансовый аналитик, который должен проверять финансовые данные, но вы хотите, чтобы он видел эти конфиденциальные данные только в офисе и в рабочее время. ABAC гарантирует, что просматривать или редактировать отчеты смогут только пользователи соответствующих должностей и отделов, и предоставляет им возможность просматривать конфиденциальную информацию с учетом определенных параметров для повышения безопасности рабочей среды.

Основные различия между RBAC и ABAC

Хотя и RBAC, и ABAC управляют разрешениями и средствами управления доступом, между ними есть значительные различия, которые определяют порядок предоставления доступа.

RBAC работает на основе ролей, а ABAC — на основе атрибутов

Наиболее очевидное различие между RBAC и ABAC заключается в названиях: RBAC работает на основе ролей, а ABAC — на основе атрибутов. Это означает, что RBAC предоставляет доступ на основе роли пользователя в организации, а ABAC предоставляет доступ на основе его атрибутов. Например, при использовании RBAC сотрудники отдела кадров могут получить доступ к информации о заработной плате, а сотрудники отдела продаж не могут, поскольку это не относится к их роли. ABAC определяет характеристики и факторы, необходимые для доступа авторизованного пользователя к определенным ресурсам. Например, врач может получить доступ к карте пациента только в больнице в рабочее время, когда тот у него на приеме.

RBAC имеет статические разрешения, а ABAC позволяет выполнять настройку контроля

После того как роль сотрудника будет классифицирована с помощью RBAC, эти разрешения останутся неизменными до тех пор, пока не будут обновлены администратором. Сотруднику отдела маркетинга будут предоставлены все разрешения к ресурсам, связанным с маркетингом с помощью RBAC, даже если ему также нужен доступ к данным о продажах или финансовой информации. Однако в случае с ABAC управление основывается на нескольких характеристиках, что обеспечивает более высокий уровень контроля и гибкости, поскольку изменить разрешения пользователей не так сложно. Допустим, тот же сотрудник отдела маркетинга, который обычно работает в офисе, внезапно вынужден перейти в удаленную среду. ABAC позволит вам изменить характеристики разрешений путем отмены для него требования находиться в офисе для доступа к определенным данным или ресурсам.

RBAC хуже адаптируется к изменениям, а ABAC быстро подстраивается под изменения атрибутов

Изменить или обновить разрешения сотрудника намного проще с помощью ABAC, чем с помощью RBAC. В случае с RBAC представьте, что вы повышаете в должности сотрудника финансовой службы до начальника отдела, для чего ему требуется больше доступа к данным. Чтобы сделать это обновление с помощью RBAC, вам нужно создать новую роль и назначить повторно этого сотрудника на роль с ограниченным, но обновленным доступом. Этот утомительный процесс упрощается с помощью ABAC, который автоматически настраивается в зависимости от новой должности сотрудника, предоставляя ему необходимые разрешения с учетом его роли и дополнительных факторов. Благодаря быстрой корректировке с помощью ABAC вы экономите время и можете легко менять разрешения, а не целые роли и переводить сотрудников на конкретные должности.

RBAC работает с большим количеством ролей, ABAC лучше масштабируется с атрибутами

В большой организации может быть много отделов с разными должностями в каждом из них. По мере роста организации потребуется создавать новые роли. RBAC работает с большим количеством ролей, так как для каждой из них требуется уникальный доступ к определенным ресурсам и материалам. В этом случае администраторы должны отслеживать эти роли и управлять ими, а также связанными с ними авторизованными разрешениями. При внедрении ABAC в большой организации можно предоставлять доступ к ресурсам на основе различных атрибутов, таких как отдел, место работы и уникальная должность сотрудника. ABAC лучше масштабируется для крупных организаций, поскольку новым пользователям можно предоставлять доступ на основе их специфических атрибутов без создания совершенно новых ролей и назначений.

RBAC проще внедрить, чем ABAC

Внедрить RBAC намного проще, чем ABAC, благодаря более простой структуре, из-за чего он лучше подходит для малого бизнеса. Использование RBAC означает, что каждая роль должна быть определена и назначена с соответствующими разрешениями, ограничивающими доступ к определенным ресурсам или данным. Если структурой RBAC легко управлять в небольших масштабах, то ABAC реализовать гораздо сложнее, поскольку атрибуты могут сильно различаться. В большой организации нужно определить, какие атрибуты будут предоставлять определенные привилегии и к каким ресурсам сотрудники могут получить доступ на основе этих атрибутов. Внедрение ABAC требует тщательного планирования и времени на оценку атрибутов для разных типов информации, систем и ресурсов.

Что следует использовать: RBAC или ABAC?

Выбор модели авторизации RBAC или ABAC во многом зависит от размера организации, ее бюджета и потребностей в безопасности.

Когда лучше использовать RBAC

Когда лучше использовать ABAC

Внедрение контроля доступа с помощью решения PAM

Простой способ внедрить любую из моделей авторизации в организации — использовать решение для управления привилегированным доступом (PAM). Большинство решений PAM предоставляют администраторам полную информацию о том, какие пользователи получают доступ к вашей сети, приложениям, системам и устройствам. Контролируя доступ к конфиденциальным данным, вы можете управлять безопасностью любых привилегированных учетных записей с помощью решения PAM, такого как KeeperPAM^®.

Чтобы лучше защитить данные организации и легко управлять контролем доступа, запросите демоверсию KeeperPAM.