ניהול הגישה הוא אלמנט בסיסי בתשתיות האבטחה של הארגון שלך. עם מספר גישות שונות ליישום מערכת ניהול גישה, בחירת הגישה המתאימה ביותר לארגון שלך עשויה להיות מרתקת.
במאמר זה, אנו נבצע ניתוח של שני הדגמים הפופולריים ביותר לבקרת גישה: המבוסס על תפקידים והמבוסס על תכונות. אנו נעסוק במה הם RBAC ו-ABAC, נבחן את יתרונותיהם וחסרונותיהם של כל דגם, נבצע השוואה ביניהם, ונבדוק האם ישנה אפשרות לשלב אותם.
מהי בקרת גישה מבוססת תפקידים ?
בקרת גישה מבוססת תפקידים הבקרת גישה המבוססת על תפקידים היא שיטת בקרת גישה המבוססת על הגדרת תפקידי העובדים וההרשאות התואמות שלהם בתוך הארגון. הרעיון של הדגם הזה הוא שכל עובד מוקצה לתפקיד. לתפקיד יש אוסף של הרשאות גישה ומגבלות. עובד יכול לגשת לאובייקטים ולבצע פעולות רק אם התפקיד שלו במערכת מורשה עם הרשאות רלוונטיות.
לדוגמה, ספק החשבונאות של החברה צריך לקבל גישה למידע פיננסי, אך לא צריך לקבל גישה למידע אישי של לקוחות או לנתוני כרטיסי האשראי.
כאשר עובד חדש מצטרף לחברה שלך, זה פשוט להקצות לו תפקיד. וכאשר מישהו עוזב את החברה, אין צורך לשנות את פרמטרי התפקיד או מדיניות מרכזית, מאחר שניתן פשוט לשלול את התפקיד של המשתמש.
הגדרת תפקיד יכולה להיות אתגרתית למדי. עליך לשקול את כל ההרשאות שמשתמש צריך כדי לבצע את תפקידו ואת מיקומו של התפקיד הזה במבנה ההיררכייה שלך. הקצאת יתר הרשאות לתפקיד יחיד יכולה לשבור את מתכון העיקרי של ההרשאה הנמוכה ביותר ועשוי להוביל להרחבת ההרשאות ושימוש לרעה.
פעם שכל התפקידים הנדרשים הוקמו, בקרת הגישה המבוססת תפקידים אינה דורשת תחזוקה קבועה מהמחלקה הטכנולוגית. מימוש של RBAC יכול לעזור לך לעמוד בדרישותיו של תקן האבטחה דרישות אבטחת מידע של מערכות המידע בלי הרבה כאב.
אולם, יצירת מערכת תפקידים מורכבת עבור עסק גדול עשוי להיות מאתגרת. ארגון עם אלפי עובדים עשוי להסתיים עם מספר תפקידים מרבי. מדובר במצב שנקרא פיצוץ תפקידים, וזה לא נמנע לחברה גדולה.
איך פועלת בקרת גישה מבוססת תפקידים ?
בואו נשקול את הרכיבים העיקריים של הגישה המבוססת על תפקידים:
- משתמש – משתמש – אדם עם זיהוי ייחודי (UID) שיש לו גישה למערכת
- תפקיד – תפקיד – תפקיד עבודה מזומן (מציין את רמת הרשות)
- הרשאה – הרשאה – שווה לזכויות גישה
- הפעלה – סשן – תקופת זמן עבודה במהלכה המשתמש משתמש בהרשאות התפקידים שהוקצו לו
- אובייקט – אובייקט – משאב במערכת שדורש הרשאה לגישה
- פעולה – כל פעולה ברשת המוגנת
החוקים הבסיסיים של RBAC הם:
- כל פעילויות המשתמש נעשות דרך פעולות.
- משתמש יכול לבצע פעולה רק אם הוקצה לו תפקיד שמאפשר לו לעשות זאת.
- זיהוי ואימות לא נחשבים לפעולות.
סוגי דגמי RBAC כוללים:
RBAC ניתן ליישום בארבע רמות על פי דגם NIST של RBAC. דגם RBAC של NIST.כל רמה לאחר מכילה את המאפיינים של הרמה הקודמת. בואו נסתכל עליהם:
- Flat RBAC שטוח הוא יישום של הפונקציונליות הבסיסית של דגם RBAC. כל המשתמשים וההרשאות מוקצות לתפקידים. המשתמשים מקבלים את ההרשאות שצריכים על ידי רכישת תפקידים אלה. יכולות ותפקידים יכולים להיות כמה שחברה צריכה. ניתן להקצות מספר תפקידים למשתמש יחיד, ותפקיד יכול להיות מוקצה למספר משתמשים.
- Hierarchical RBAC, כמו שמשמע מהשם, Hierarchical RBAC (RBAC הייררכי) מיישם היררכיה במבנה התפקידים. ההיררכיה מקבעת את היחסים בין התפקידים. משתמשים עם תפקידים עליונים רוכשים גם את ההרשאות של כל התפקידים הפחותים שמוקצים לחייליהם. מורכבות ההיררכיה מוגדרת על פי צרכי החברה.
- Constrained RBAC (RBAC מוגבל) מוסיף הפרדת תפקידים (SOD) הוספה למערכת אבטחה. SOD הוא מימוש אבטחה ידוע המבוסס על הפרדת תפקידים בהם משובצים מספר עובדים. זה חשוב לעסקים בגודל בינוני ועסקים גדולים. הפרדת תפקידים מבטיחה שאף עובד לא יכול להכניס שינויים מפתיעים למערכת שלך שאף אחד אחר אינו יכול לבדוק ו/או לתקן.
- Symmetric RBAC (RBAC סימטרי) תומך בסקירת הרשאות-תפקיד וגם בסקירת משתמש-תפקיד. זה מאפשר למנהלי אבטחה לזהות הרשאות שהוקצו לתפקידים קיימים (וההפך). לדוגמה, על ידי זיהוי תפקידים של עובד שנפטר במהלך פרוצדורת סקירת גישת משתמש, מנהל יכול לבטל את ההרשאות של העובד ולאחר מכן להקצות מחדש את התפקידים למשתמש אחר עם אותו או עם מערכת הרשאות שונה.
בשליטת הגישה המבוססת על תפקידים בחברות קטנות ובינוניות. ארגונים כאלה נטיים להיות להם זרימות עבודה פשוטות, מספר מוגבל של תפקידים, והיררכיה פשוטה יחסית, מה שהופך אפשרי לקבוע ולתאר את תפקידי המשתמשים ביעילות.
מהי בקרת גישה מבוססת תכונות?
בקרת גישה מבוססת מאפיינים (RBAC) התפתחה מתוך RBAC ומצייעת על הקמת סט של מאפיינים עבור כל רכיב במערכת שלך. מדיניות מרכזית מגדירה אילו קומבינציות של מאפייני משתמש ואובייקט נדרשות כדי לבצע כל פעולה.
פעם שיצרת מדיניות עבור עמדות העבודה הנפוצות ביותר והמשאבים בחברתך, תוכל פשוט להעתיק אותם עבור כל משתמש ומשאב חדש.
זה דומה לאיך שתפקיד עובד בדרך כלל עובד במודל RBAC. אבל במודל ABAC, ניתן לשנות מאפיינים לצורך צרכיו של משתמש מסוים בלי ליצור תפקיד חדש. המאפיינים הופכים את ABAC למודל של בקרת גישה יותר דקות מאשר RBAC.
בואו נשקול את הרכיבים העיקריים של מודל ABAC לפי NIST
- מאפיין – מאפיין – מאפיין של כל רכיב ברשת. מאפיין יכול להגדיר:
- תכונות המשתמש – עמדת העובד, מחלקה, כתובת IP, רמת אישור, וכו '.
- תכונות האובייקט – סוג, יוצר, רגישות, רמת אישור נדרשת, וכו '.
- סוג הפעולה – קריאה, כתיבה, עריכה, העתקה, הדבקה, וכו '.
- תכונות הסביבה – זמן, יום בשבוע, מיקום, וכו '.
- נושא – כל משתמש או משאב שיכול לבצע פעולות ברשת; סובייקט מקוצר מאפיינים כדי להגדיר את רמת האישור שלו
- לְהִתְנַגֵד – כל הנתונים המאוחסנים ברשת; עצמים מקוצרים מאפיינים כדי לתאר ולזהות אותם
- מבצע – כל פעולה שננקטת על ידי כל נושא ברשת
- מְדִינִיוּת – מערכת כללי יכולות והגבלות עבור מערכת השגת מידע שלך; החוקים הם ביטויים IF/THEN מבוססים על מאפיינים של כל רכיב (משתמש, משאב, סביבה).
הגישה הזו היא מתאימה לחברות בכל גודלן אך היא בעיקר משמשת בארגונים גדולים. ABAC דורשת מאמצים נוספים לתצורה ולהטמעה מאשר RBAC, מכיוון שמנהלי האבטחה צריכים להגדיר את כל המאפיינים עבור כל הרכיבים במערכת שלך. בנוסף, יש להם להקצות באופן ידני מאפיינים לכל רכיב במערכת בהתחלה.
השוואת RBAC ו-ABAC
בואו נכנס לעומק ביתורי השליטה בגישה מבוססת מאפיינים ובגישת השליטה בגישה מבוססת תפקידים, נתעמק ביתרונות וחסרונות שלהם.
יתרונות וחסרונות של RBAC
לפני שנכנס לפרטי יתרונות וחסרונות של שליטת גישה מבוססת תפקידים, רוצים לציין כי RBAC היא הגישה הכי נפוצה לניהול גישה. אחד היתרונות העיקריים של שליטת גישה מבוססת תפקידים הוא שחברות כבר אינן צריכות לאשר או לבטל גישה באופן יחידני, אלא מבוססות על התפקידים של המשתמשים. יצירת סט של תפקידים בחברה קטנה או בינונית אינה אהודה או יקרה.
מצד שני, הקמת מערכת כזו בחברה גדולה היא משימה זמן רב. שימוש ב-RBAC עשוי לגרום לפיצוץ תפקידים ולהביא להוצאות בלתי צפויות הנדרשות כדי לתמוך במערכת שליטת גישה זו, מאחר שככל שיש יותר תפקידים בארגון, כך נדרשות יותר משאבים כדי ליישם מודל זה של שליטת גישה.
ישנם מספר חסרונות נוספים לשליטת גישה מבוססת תפקידים. אי אפשר להגדיר כלל באמצעות פרמטרים שאינם ידועים למערכת לפני שהמשתמש מתחיל לעבוד. הרשאות יכולות להיות משוייכות רק לתפקידי משתמש, ולא לאובייקטים ולפעולות. בנוסף, בשימוש ב-RBAC, ניתן להגביל פעולה מסוימת במערכת, אך לא את הגישה לנתונים מסוימים.
ABAC יתרונות וחסרונות
ה היתרון העיקרי של ABACכן, נכון! אחד מיתרונות העיקריים של שליטת גישה מבוססת מאפיינים (ABAC) הוא שהיא מאפשרת להעניק גישה לפי מאפיינים של כל רכיב במערכת, לא רק לפי תפקיד המשתמש. בכך, ניתן לתאר כלל עסקי בכל רמת רכיביות שתרצו. אפילו אם תרצו להפוך נתונים מסוימים לנגישים רק בשעות העבודה, זה יכול להתבצע בקלות באמצעות מדיניות פשוטה אחת.
בנוסף, חוקי ABAC יכולים לבדוק את המאפיינים של נושאים ומשאבים שעדיין לא נמצאו במלאי על ידי מערכת ההרשאות. זה הרבה יותר פשוט להוסיף ולשלול הרשאות של משתמשים ספציפיים על ידי שינוי מאפיינים מאשר באמצעות שינוי או הגדרת תפקידים חדשים.
בנוגע ל מגבלות ABAC, סוג זה של מודל שליטת גישה דורש הגדרה זמנית ועשויה לדרוש כלים יקרים עקב הדרך בה יש לציין ולתחזק מדיניות. זה עשוי להגביר באופן משמעותי את ההוצאות באבטחת מידע.
RBAC נגד ABAC
לסיכום, בואו נשווה את המאפיינים העיקריים של שליטת גישה מבוססת מאפיינים לעומת שליטת גישה מבוססת תפקידים.
| מאפיין | RBAC | ABAC | |
|---|---|---|---|
| גְמִישׁוּת |  (עבור ארגונים קטנים ובינוניים) |
|
|
| הרחבה |  |
|
|
| פשטות | קלות בהקמת תפקידים והרשאות עבור חברה קטנה (קשה לתחזק את המערכת עבור חברה גדולה) |
קשה להקים את כל המדיניות בהתחלה (קל לתחזק ולתמוך במערכת) |
|
| תמיכה בכללים פשוטים | |
|
|
| תמיכה בכללים מורכבים | |
|
|
| תמיכה בכללים עם פרמטרים דינמיים | |
|
|
| התאמת הרשאות משתמש נתונות | (התאמת משתמש מסוים דורשת יצירת תפקיד חדש) |
|
|
| עדינות | נמוכה | גבוהה |
ישנם המון הבדלים בין דגמי ABAC ו-RBAC. שני הדגמים מגיעים עם יתרונות וחסרונות, אך לבסוף הבחירה בין הדגמים תלויה בצרכי הארגון הספציפיים שלך.
בואו נבחן את השיקולים העיקריים שמגדירים אם RBAC או ABAC הם האפשרויות המתאימות ביותר עבור הארגון שלך.
מתי להשתמש ב-RBAC או ב-ABAC?
RBAC הוא יותר פשוט ליישום ולניהול, מה שהופך אותו לבחירה האידיאלית עבור חברות קטנות עם דרישות שליטת גישה פשוטות. אם אין לך תכניות לקבל משתמשים חדשים וכבר הקמת אחריות בתוך צוותיך, החלטה על יישום דגם של RBAC היא ההחלטה האופטימלית.
ABAC מציע רמת גמישות ורמת פירוט גבוהה יותר, שעשויות להיות מכריעות לארגונים גדולים וצומחים. ככל שהארגון שלך מתפתח, ABAC יכול להסתדר עם משתמשים, משאבים ודרישות גישה חדשים בלי לצרוך משאבים או לצרוך את מערכות הקיימות שלך.
למרות שיישום של ABAC דורש יותר מאמץ ראשוני כדי להקים מדיניות בהשוואה ל-RBAC, דגם ה-ABAC קל יותר לתחזק מאורך.
לבסוף, הבחירה בין RBAC ו-ABAC צריכה להתבסס על צרכיך הספציפיים ותפיסות הצמיחה בעתיד.
שלושה דרכים להשתמש ב-RBAC ו-ABAC יחד
חברות רבות מתחילות ביישום דגם של RBAC פשוט, משום שזה יותר קל להקים ולתחזק. כאשר הארגונים גדלים ומתמודדים עם נתונים רגישים יותר, הם כמעט תמיד מבינים שנדרשת מהם מערכת שליטה בגישה גמישה יותר. אך נטישת המערכת הישנה לשליטת גישה ובניית חדשה מאפס היא תהליך זמן רב ויקר. לכן, רוב החברות מוסיפות את התכונות הנדרשות למערכת הקיימת. במקרים כאלה, ניתן להשתמש ב-RBAC ו-ABAC יחד.
דגם הגישה הזה נכון להכיר גם כשליטת גישה בהתבסס על תפקידים עם מאפיינים (RBAC-A). זהו הרחבה של דגם ה-RBAC המסורתי, המוסיפה מאפיינים או תכונות נוספות לתפקידים כדי לשפר את החלטות בשליטת הגישה עוד יותר. באמצעות דגם RBAC-A, ניתן להגדיר תפקידים לא רק בהתבסס על אחריות בעבודה, אלא גם על מאפיינים כגון מיקום, זמן ביום, מאפייני משתמש (מחלקה, כותרת תפקיד וכו') או מאפייני משאבים (רמת רגישות, סיווג וכו').
יש שלושה גישות RBAC-A שמתמודדות עם היחסים בין תפקידים ומאפיינים:
- מתמקד במאפיינים. בדגם זה, תפקיד הופך לשם של אחד מהמאפיינים של המשתמש, המזכיר כותרת תפקיד. המאפיין "תפקיד" בדגם כזה משמש לסימון של סט של מאפיינים נדרשים עבור תפקיד מסוים.
- מתמקד בתפקידים. מאפיינים מתווספים כדי להגביל את התפקידים. בדגם כזה, מאפיינים מתווספים כדי להפחית ולא להרחיב את ההרשאות של המשתמש.
- תפקידים דינמיים. מאפיינים כגון שעת היום משמשים לקביעת התפקיד של הנושא. במקרים מסוימים, תפקיד המשתמש יכול להיקבע לחלוטין על ידי מאפיינים דינמיים.
בנוסף, קיים שיטה בשם שליטת גישה של הדור הבא (NGAC) פותח על ידי NIST. NGAC פותר את ההגבלות של דגמי שליטת הגישה הקיימים ומספק יכולות שליטה בגישה יותר עדינות, דינמיות ועקביות להקשר. יישומו דומה לשליטת גישה מבוססת מאפיינים אך משתמש בגישה ממוקדת יותר למדיניות. לדוגמה, NGAC תומך במספר סוגים שונים של מדיניות בו זמנית, כולל מדיניות שניתן להחיל אותן גם בסביבת המקומית וגם ברשת.
ניהול גישה למשתמשים עם מערכת Ekran.
מערכת Ekran היא פלטפורמה לניהול סיכוני פנים ומסייעת לך לבצע בצורה יעילה את השמעה והשליטה בגישת המשתמש בעזרת התכונות הבאות:
- ניהול גישה פריבילגי במערכת Ekran מאפשר לך לבדוק ולנהל בצורה פרטנית הרשאות גישה עבור משתמשים פריווילגיים ורגילים ברשת שלך. פונקציית PAM של מערכת Ekran יכולה לעזור לארגון שלך לייעל ניהול משתמשים פריבלגים ולהגדיר תהליך בקשת גישה ואישור נוח.
- ניהול סיסמאות במערכת Ekran ניתן ליצור ולספק סיסמאות וסודות בצורה מאובטחת למשתמשים, לספק גישה חד-פעמית, ולאוטומטיזציה של סיבוב סיסמאות עבור חשבונות Windows ו-Active Directory. כל הסיסמאות והסודות מאוחסנים בגן מאובטח ומוצפן.
Ekran System מציע סט נוסף של תכונות שימושיות לעזור לך לשפר את אבטחת המידע של הארגון שלך:
- של Ekran System מעקב אחר פעילות המשתמש התכונה למעקב אחר פעילות המשתמש מאפשרת לך למצוא ולרשום את פעולות המשתמש בפורמט תפיסת מסך יחד עם מטא נתונים שימושיים, כגון שמות של אפליקציות פעילות, אתרי אינטרנט שנכנסו, ופקודות שבוצעו. ניתן לייצא רכיבים שנרשמו או כל הסשנים של המשתמש למטרות חקירת אירועים.
- אימות דו-שלבי ב Ekran System יכול לעזור לך לאמת זהויות משתמש כדי להגן על מערכות ונתונים רגישים מפני גישה לא מורשית.
- תגובה לאירועים בזמן אמת הפונקציונליות של מערכת Ekran מאפשרת לך לקבל התראות בזמן אמת על פעילות חשודה ולחסום אותה במהירות. ניתן גם להגדיר את מערכת Ekran לטפל באיומים באופן אוטומטי בזמן אמת.
סיכום
ניהול הגישה הוא רכיב חיוני בכל מערכת אבטחה אמינה. שני דגמים, RBAC ו-ABAC, יש להם יתרונות וחסרונותם. בין שתי האפשרויות או בשילוב שלהם, חשוב גם לשקול כיצד לאמת משתמשים בצורה מאובטחת ולנהל את ההרשאות שלהם לגישה.
של מערכת Ekran ניהול זהות ומ ניהול גישה תכונות יכולות לשמש במגוון רחב של פלטפורמות ובכמעט כל ארכיטקטורת רשת. תודות לגמישותנו תוכנית הרישוי, Ekran System מתאימה לעסקים בכל גודלם, מעסקים חדשים ועד עסקים גדולים.
