Что такое RBAC? Объяснение управления доступом на основе ролей


Управление доступом на основе ролей или RBAC, — это подход к ограничению доступа к цифровым ресурсам на основе роли пользователя в организации. Например, в соответствии с RBAC бухгалтер компании должен иметь доступ к корпоративным финансовым записям, но не к системе управления контентом, используемой для обновления веб-сайта компании, в то время как эти разрешения будут отменены для команды веб-разработчиков этой компании.

Почти каждая организация применяет какие-либо средства контроля доступа к своим цифровым активам — действительно, каждая используемая сегодня операционная система имеет встроенные средства контроля доступа. Средства контроля доступа обычно предоставляют определенные разрешения (и налагают ограничения) отдельным пользователям или группам, которые эти пользователи могут принадлежать. Что отличает модель RBAC от других форм управления доступом, так это то, что пользователи группируются на основе ролей, которые они играют, и разрешения определяются главным образом этими ролями, а не настраиваются для каждого отдельного пользователя. В этой статье вы узнаете, как работает RBAC, и увидите преимущества и недостатки этого подхода.

Как работает RBAC

RBAC в основном основан на том, что известно как принцип наименьших привилегий, что по сути говорит о том, что любой пользователь должен иметь доступ к нужным ему данным и функциям и ничего больше. Это звучит разумно в теории, но одна из центральных дилемм при внедрении контроля доступа заключается в том, как заставить его работать на практике: как определить, что нужно делать пользователям, и как применить разрешения и ограничения ко всем пользователям? что не обременяет админов?

RBAC решает эти проблемы, основываясь на том, что делают пользователи, а не на том, кем они являются. Вместо того, чтобы устанавливать индивидуальный набор разрешений для каждого пользователя, в рамках RBAC существует ограниченный набор предопределенных ролей в организации, и каждый пользователь выполняет одну (или несколько) из этих ролей. Набор разрешений настраивается для каждой роли в соответствии с ее конкретными потребностями и наследуется всеми пользователями, выполняющими эту роль. Если необходимо изменить разрешения для роли, эти изменения аналогичным образом передаются пользователям, что упрощает администрирование системы.

Роли RBAC

Роли, очевидно, лежат в основе управления доступом на основе ролей. Но важно помнить, что определение ролей — это административное и концептуальное упражнение, а не техническое. Что касается базовых систем, каждая из этих ролей — это просто группа пользователей; Ваша организация должна определить логическое разделение ролей для своих сотрудников и тех, кто попадает в каждую категорию, и это одна из наиболее важных частей процесса развертывания RBAC.

Таким образом, роли могут сильно различаться от организации к организации. Тем не менее, большинство предприятий будут устанавливать роли, так или иначе основанные на их собственной внутренней организационной структуре. В своем блоге поставщик систем безопасности UpGuard приводит несколько примеров таких ролей и приложений, к которым у них будет доступ:

Авторское право © 2022 IDG Communications, Inc.

https://cyberxhack.org/