Как работает контроль доступа на основе ролей (RBAC)?

Компании и организации назначают разрешения на доступ в своих ИТ-системах только тем пользователям, которым они действительно необходимы для осуществления их деятельности. Это защищает конфиденциальные данные от несанкционированного доступа и модификации. Для обеспечения безопасности в крупных организациях индивидуальные разрешения доступа определяются в списке контроля доступа (ACL). У этого метода есть недостаток. Чем больше число пользователей, тем более сложным и подверженным ошибкам будет назначение индивидуальных разрешений. Гибкой, но эффективной альтернативой для решения этой проблемы является управление доступом на основе ролей (RBAC).

Управление доступом на основе ролей (RBAC) — это подход к управлению безопасностью и разрешениями, при котором роли и разрешения назначаются в ИТ-инфраструктуре организации. Ключевым термином здесь является «ролевой». Именно это отличает RBAC от других подходов к безопасности, таких как обязательный контроль доступа. В этой модели системный администратор назначает уровень безопасности и категорию для каждого пользователя и объекта. Операционная система автоматически сравнивает эти два уровня и затем либо предоставляет, либо отказывает в доступе.

В RBAC разрешения на доступ назначаются на основе определенной ролевой модели. Определенные роли пользователей представляют рабочие процессы в организации и различаются в разных компаниях. Чтобы эффективно разделить роли пользователей, можно сделать это по отделам, местоположению, центрам затрат или обязанностям сотрудников.

Прежде чем внедрять RBAC в компании, необходимо как можно тщательнее определить разрешения для каждой роли. Это включает в себя точное определение разрешений для следующих областей:

• Разрешения на изменение данных (например, чтение, чтение и запись, полный доступ).
• Разрешения доступа к приложениям компании
• Разрешения внутри приложений

Чтобы в полной мере воспользоваться преимуществами модели RBAC, первым шагом всегда является создание модели ролей и разрешений. Для этого организация назначает все обязанности сотрудников на определенные роли, которые определяют соответствующие разрешения на доступ. Затем роли назначаются сотрудникам в соответствии с их обязанностями. Контроль доступа на основе ролей позволяет назначать одну или несколько ролей для каждого пользователя. Это также позволяет индивидуально назначать разрешения доступа с учетом модели роли. Целью этого является обеспечение того, чтобы разрешения доступа позволяли пользователям выполнять свои действия без необходимости внесения дополнительных изменений.

RBAC реализуется и контролируется системой управления доступом к идентификационным данным (IAM). Эта система в первую очередь помогает компаниям с большим количеством сотрудников регистрировать, отслеживать и обновлять все идентификационные данные и разрешения на доступ. Назначение разрешений называется «provisioning», а удаление разрешений — «de-provisioning». Для того чтобы использовать такую систему, необходимо создать единую стандартизированную ролевую модель.

Ролевой контроль доступа основан на трехуровневой структуре, состоящей из пользователей, ролей и групп. При ролевом управлении организации определяют роли, которые обычно основываются на организационной структуре компании. Затем каждому сотруднику назначается одна или несколько ролей, которые, в свою очередь, состоят из одного или нескольких разрешений доступа. Роли также присваивается одна или несколько групп, которые не обязательно являются одинаковыми.

В большинстве случаев при создании ролевой модели подходит подход пирамиды:

На верхнем уровне находятся разрешения, необходимые всем сотрудникам организации. Обычно они включают доступ к интрасети, пакету Office, почтовому клиенту, общему сетевому каталогу и доступ для входа в систему через Active Directory.

В организации сотрудники, работающие в одном отделе, выполняют схожую деятельность. Например, финансовому отделу нужен доступ к ERP-системе и диску отдела, а отделу кадров — доступ ко всем данным сотрудников. Соответствующие разрешения назначаются всем сотрудникам в отделе.

Дополнительные разрешения определяются на основе обязанностей сотрудников и соответствующих задач.

Во многих случаях сотрудники должны выполнять действия, которые ранее не были предусмотрены запросом ролей для их отдела и обязанностей. Поэтому в конечном итоге организация назначает каждому сотруднику дополнительные роли, которые необходимы ему для выполнения его реальных задач.

Чтобы определить и назначить роли, данные о сотрудниках организации должны быть полными и актуальными. Подробные записи этих данных регистрируются в системе управления персоналом, в основном в крупных компаниях. При создании модели ролей и разрешений также рекомендуется включить роли, которые могут быть не заполнены в данный момент. К таким ролям обычно относятся стажеры в отделе или должности, которые не были заполнены в течение длительного времени.

В некоторых случаях управление доступом на основе ролей было принято в качестве модели лучшей практики. Если модель ролей и разрешений определена, внедрена и применяется в компании, RBAC может предложить множество преимуществ:

• Гибкость: Компания назначает роли сотруднику только по мере необходимости. Любые изменения в организационной структуре или разрешениях быстро применяются ко всем сотрудникам, когда компания изменяет соответствующую роль.
• Сокращение административной работы: RBAC сделала устаревшим трудоемкий процесс индивидуального назначения разрешений.
• Меньшая вероятность ошибок: Назначение разрешений индивидуально является более сложным процессом и, следовательно, более подвержено ошибкам, чем использование ролевого управления доступом для назначения разрешений.
• Повышение эффективности: Сокращение объема работы и количества ошибок повышает эффективность работы ИТ-отдела и других сотрудников. Больше нет необходимости в ручных изменениях, обработке ошибок, времени ожидания или индивидуальных запросах на разрешения.
• Безопасность: Разрешения доступа определяются исключительно через ролевую модель, что не позволяет вам предоставлять отдельным сотрудникам больше разрешений, чем необходимо. Это соответствует принципу наименьших привилегий (PoLP).
• Прозрачность: Именование ролей обычно простое, что повышает прозрачность и понятность для пользователей.

Контроль доступа на основе ролей также имеет некоторые недостатки:

• Трудоемкая настройка: Перевод организационных структур в модель RBAC требует большой работы.
• Временные назначения: Если пользователю нужны расширенные разрешения доступа только временно, то при использовании RBAC о них легче забыть, чем при индивидуальном назначении разрешений.
• Применение: В небольших компаниях создание и поддержка ролей будет более трудоемкой задачей, чем индивидуальное назначение прав доступа. Поэтому модель RBAC используется только при достижении определенного количества ролей и сотрудников. Однако даже в крупных компаниях управление доступом на основе ролей страдает тем недостатком, что в итоге легко создать большое количество ролей. Если в компании десять отделов и десять ролей, это уже приведет к созданию 100 различных групп.

Во многих организациях управление доступом на основе ролей было принято как лучший метод управления разрешениями доступа. Кроме того, модель RBAC также используется в операционных системах и другом программном обеспечении, например, в Microsoft Windows Server Active Directory, высокозащищенной операционной системе Linux SELinux и операционной системе Unix Solaris.