Wat is op rollen gebaseerde toegangscontrole (RBAC, Role-Based Access Control)?

• IAM-woordenlijst
• Wat is op rollen gebaseerde toegangscontrole (RBAC, Role-Based Access Control)?

Op rollen gebaseerde toegangscontrole (RBAC) maakt gebruik van vaste rollen en privileges om toegang tot systemen voor bevoegde gebruikers te beperken. RBAC is de basis van toegang met minimale privileges en u kunt het ook gebruiken om andere toegangsmodellen te implementeren, zoals attribuutgebaseerde toegangscontrole (ABAC, Attribute-Based Access Control).

Hoe werkt op rollen gebaseerde toegangscontrole (RBAC)?

Het idee achter op rollen gebaseerde toegangscontrole is eenvoudig: beperk de gebruikerstoegang tot systemen en gegevens tot het absolute minimum dat nodig is om het werk te doen, niet meer, een principe dat bekend is als het principe van minimale privileges.

In een op rollen gebaseerde toegangsomgeving bepaalt een gebruikersol binnen de organisatie de specifieke netwerkmachtigingen die worden verleend. Dit betekent dat werknemers van een lager niveau geen toegang krijgen tot sterk vertrouwelijke informatie en bronnen, maar op rollen gebaseerde toegangsniveaus zijn vaak nog verfijnder. Wanneer RBAC goed wordt geïmplementeerd, hebben gebruikers geen toegang tot bronnen buiten hun toegewezen functiegebieden; zo moeten marketingmedewerkers bijvoorbeeld geen toegang hebben tot ontwikkelaarsomgevingen, en vice versa.

Verder wordt op rollen gebaseerde toegang gebruikt om te beperken wat gebruikers kunnen doen met een systeem of bestand waartoe de gebruiker toegang heeft gekregen. Een gebruiker heeft mogelijk alleen-lezen-toegang tot bepaalde bestanden of systemen, zoals databases, maar lees/-schrijftoegang tot andere.

RBAC versus ABAC

Op rollen gebaseerde toegangscontrole wordt vaak synoniem gebruikt met op attributen gebaseerde toegangscontrole. Hoewel ABAC en RBAC verschillend zijn, wordt RBAC vaak gebruikt samen met ABAC.

ABAC is verfijnder dan RBAC en kan worden beschouwd als een uitbreiding of een verbetering van op rollen gebaseerde toegang. Waar RBAC afhankelijk is van een gebruikersrol binnen de organisatie, zijn in een ABAC-model toegangsrechten van gebruikers afhankelijk van een combinatie van attributen, niet alleen gebruikersrollen. Hiertoe behoren, maar zijn niet beperkt tot, de gebruikersrol in de organisatie, het punt waarvandaan ze de bronnen proberen te benaderen, het apparaat dat wordt gebruikt, en attributen in relatie tot het systeem of de app waartoe toegang wordt geprobeerd te krijgen. Zo kunnen organisaties toegang verlenen en beperkingen afdwingen op basis van het risicoprofiel van een individuele gebruiker.

U wilt bijvoorbeeld uw IT-beheerders beperken bij de externe toegang tot back-endsystemen, tenzij ze een VPN of een externe verbindingsmanager voor desktops gebruiken, of u wilt bijvoorbeeld alle werknemers uitsluiten van de toegang tot bedrijfsbronnen, tenzij ze een door het bedrijf verstrekt apparaat gebruiken.

RBAC versus toegangscontrolelijsten (ACL's, Access Control Lists)

Een toegangscontrolelijst (ACL) is een lijst met gebruikers die toegang hebben tot een bepaalde bron, samen met de privileges die elke gebruiker heeft voor die bron (alleen-lezen, lezen-schrijven, etc.). ACL's vormen de basis van het DAC-model (Discretionary Access Control).

Het bekendste voorbeeld van ACL's en DAC in actie is het Windows-bestandssysteem, waarmee gebruikers en beheerders individuele ACL's voor elk object kunnen bepalen, zoals een tekstdocument of een bestandsmap.

Toegangscontrolelijsten, vaak bestaand uit IP-adressen, worden ook gebruikt door netwerkbeheerders om verkeer te filteren naar VPN's, webapp-firewalls (WAF's) en netwerkrouters en switches. De ACL kan een 'acceptatielijst' met toegestane IP's bevatten, of een 'blokkeerlijst' met niet-toegestane IP's.

Als dit u een boel werk lijkt, dan hebt u gelijk. Uitgebreide acceptatie- en blokkeerlijsten onderhouden is tijdrovend en onderhevig aan fouten. Daarom zijn ACL's (en het DAC-model) alleen handig in geïsoleerde gevallen met kleine aantallen gebruikers.

Puntje bij paaltje: waar RBAC toegangsprivileges instelt op groepsniveau, bepaalt een ACL ze op het individuele gebruikers- of IP-niveau. Hierdoor is RBAC minder arbeidsintensief en foutbestendiger dan toegangscontrolelijsten, en daarmee veel handiger in een bedrijfsomgeving met tientallen, honderden en zelfs duizenden gebruikers.

Wat zijn de voordelen van RBAC?

Er kleven veel voordelen aan het implementeren van op rollen gebaseerde toegangscontrole, waaronder:

Verbeterde beveiliging

De toegang van werknemers beperken tot alleen de bronnen die ze nodig hebben om hun werk te doen, voorkomt dat achteloze of kwaadwillende insiders bestanden en andere digitale middelen, zoals databases en broncodes, verwijderen, extraheren of de integriteit ervan compromitteren.

Daarnaast zal in het geval een externe bedreiger een set met werkende aanmeldingsgegevens steelt, RBAC en toegang met minimale privileges voorkomen dat deze zich lateraal binnen het netwerk kan bewegen en privileges kan escaleren.

RBAC en toegang met minimale toegang zijn belangrijke onderdelen van moderne zero-trust netwerktoegangsmodellen.

Nalevingsinitiatieven ondersteunen

Op rollen gebaseerde toegang stelt bedrijven in staat om de nalevingsvereisten van branches en regelgeving, waaronder HIPAA, de AVG en andere gegevensbeschermings- en privacykaders na te leven, om te voldoen aan de vertrouwelijkheids- en privacy-vereisten voor persoonlijk identificeerbare informatie (PII) en andere vertrouwelijke gegevens. Dit is met name van belang in sterk gereguleerde branches, zoals de gezondheidszorg en financiën, plus bij overheidsinstanties.

Kosten en administratieve overhead verlagen

De vooraf bepaalde gebruikersrollen van een RBAC-model minimaliseren administratieve overhead bij het toevoegen en verwijderen van werknemers, wanneer werknemers nieuwe rollen of functieverantwoordelijkheden binnen het bedrijf op zich nemen, of wanneer de organisatie toegang moet verlenen aan een leverancier of externe contractant. Een nieuwe gebruiker toegang verlenen, of de toegang van een bestaande gebruiker wijzigen, is eenvoudigweg een kwestie van de juiste rol(len) toewijzen. Op dezelfde manier kunnen, wanneer gebruikers het bedrijf verlaten, IT- en beveiligingsbeheerders snel hun systeemtoegang intrekken.

Door beheerders inzicht te geven in gebruikerstoegang en -activiteit, stelt RBAC organisaties in staat om de gebieden te identificeren waarop ze het meest voordelig netwerkbronnen kunnen gebruiken, zoals bandbreedte en opslag.

Op rollen gebaseerde toegangscontrole implementeren

1. Ontwikkel een strategie die voldoet aan de bedrijfsbehoeften.

   Inventariseer uw systemen voordat u aan de slag gaat en rollen instelt om te kijken tot welke bronnen u toegang nodig hebt. Identificeer systemen die vertrouwelijke informatie verwerken of opslaan, zoals klantdatabases en ontwikkelaarsomgevingen, evenals systemen waartoe iedereen toegang nodig heeft, zoals systemen voor zakelijke e-mail en helpdesk-ticketingsystemen.

   Onderzoek ook de bedrijfsprocessen van uw bedrijf, technologieën, nalevingsvereisten en huidige beveiligingspositie. Identificeer eventuele hiaten, zoals inconsistente afdwinging van beleidsregels in de organisatie.

   Onthoud dat u mogelijk RBAC wilt gebruiken samen met ABAC of een ander model, helemaal als u zero-trust netwerktoegang implementeert.

2. Definieer gebruikersrollen.

   Nu is het tijd om uw personeelsbestand en groepen gebruikers te analyseren met vergelijkbare toegangsbehoeften. Begin breed - zoals kijken naar gebruikers per afdeling - en verfijn van daaruit de gebruikersrollen.

   Probeer niet teveel rollen te definiëren, aangezien dat het doel van het gebruik van RBAC voorbij zou schieten. Overweeg om team-naar-rol-mapping te gebruiken, waarbij gebruikers rechtstreeks worden toegewezen aan teams, om ze dan aangepaste rollen te geven. Hiermee bespaart u tijd, verbetert u de consistentie van het beleid, vermindert u het aantal fouten en maakt u het makkelijker voor beheerders.

   Pas ook op voor andere veelvoorkomende valkuilen, zoals onvoldoende verfijning, rollenoverlap en een groot aantal uitzonderingen voor RBAC-machtigingen.

3. Stel een geschikte toezichtstructuur in.

   Nadat u uw RBAC-strategie en gebruikersrollen hebt bepaald, hebt u een manier nodig om uw nieuwe beleidsregels af te dwingen, plus een veranderingsmanagementproces om ze te veranderen naarmate uw bedrijfsbehoeften veranderen.

   Ontwikkel een schriftelijk toegangscontrolebeleid met regels en richtlijnen voor uw RBAC-model, inclusief prestatie-indicatoren, risicobeheerstrategieën, herevaluatieprocedures voor rollen en afdwingingsmechanismen. Een duidelijke set met regels helpt 'rollen-sprawls' en interne conflicten tussen afdelingen en individuele gebruikers voorkomen.

4. Implementeer uw RBAC-model.

   Een grote organisatie, met name eentje zonder op rollen gebaseerd model, wil mogelijk het nieuwe programma in fases uitrollen om gebruikersverwarring en verstoring van de dagelijkse werkzaamheden te vermijden. Anticipeer op problemen onderweg, inclusief problemen waarbij u uw oorspronkelijke programma moet aanpassen. Dit is normaal en door het programma in fases uit te rollen, kunt u ze makkelijker tackelen.

5. Onderhoud uw RBAC-model.

   Gebruikers komen en gaan. Bedrijven moeten veranderen. Technologie verandert. De markt verandert. Alleen: op rollen gebaseerde toegangscontroles onderhouden zichzelf niet. Verzamel feedback van uw gebruikers, monitor doorlopend uw beveiligingsstatus en voer periodieke controles uit van rollen, rollentoewijzingen en toegangslogs om te begrijpen wat werkt en wat moet worden aangepast.