O que é RBAC? Role-based access control
O controle de acesso baseado na função (RBAC – Role-based access control) é um método de restringir o acesso à rede com base nas funções de usuários individuais em uma empresa. O RBAC permite que os funcionários tenham direitos de acesso apenas às informações de que precisam para fazer o seu trabalho e os impede de acessar informações que não pertencem a eles.
A função de um funcionário em uma organização determina as permissões que o indivíduo recebe e garante que os funcionários de nível inferior não possam acessar informações confidenciais ou executar tarefas de alto nível.
No modelo de dados de controle de acesso baseado nas funções, as funções são baseadas em vários fatores, incluindo autorização, responsabilidade e competência para o trabalho. Como tal, as empresas podem designar se um usuário é um usuário final, um administrador ou um usuário especialista. Além disso, o acesso aos recursos do computador pode ser limitado a tarefas específicas, como a capacidade de visualizar, criar ou modificar arquivos.
Limitar o acesso à rede é importante para organizações que têm muitos funcionários, empregam empreiteiros ou permitem acesso a terceiros, como clientes e fornecedores, dificultando o monitoramento eficaz do acesso à rede. As empresas que dependem do RBAC são mais capazes de proteger os seus dados confidenciais e aplicativos essenciais.
Benefícios do RBA
Há uma série de benefícios em usar o RBAC para restringir o acesso desnecessário à rede com base nas funções das pessoas em uma organização, incluindo:
Melhorar a eficiência operacional: Com o RBAC, as empresas podem diminuir a necessidade de alterações na papelada e na senha ao contratar novos funcionários ou trocar as funções dos funcionários existentes. O RBAC permite que as organizações adicionem e alterem funções rapidamente, bem como as implementem em plataformas, sistemas operacionais (SOs) e aplicativos. Também reduz o potencial de erro quando as permissões do usuário estão sendo atribuídas. Além disso, com o RBAC, as empresas podem integrar mais facilmente usuários de terceiros em suas redes, dando-lhes funções predefinidas.
Melhorar a conformidade: Cada organização deve cumprir os regulamentos locais, estaduais e federais. As empresas geralmente preferem implementar sistemas RBAC para atender aos requisitos regulamentares e estatutários de confidencialidade e privacidade porque os executivos e departamentos de TI podem gerenciar de forma mais eficaz como os dados são acessados e usados. Isso é particularmente importante para instituições financeiras e empresas de saúde que gerenciam dados confidenciais.
Dar aos administradores maior visibilidade: O RBAC dá aos administradores e gerentes de rede mais visibilidade e supervisão dos negócios, ao mesmo tempo que garante que os usuários autorizados e convidados no sistema tenham acesso apenas ao que precisam para fazer seu trabalho.
Redução de custos: Ao não permitir o acesso do usuário a certos processos e aplicativos, as empresas podem conservar ou usar recursos de maneira mais econômica, como largura de banda de rede, memória e armazenamento.
Diminuição do risco de violações e vazamento de dados. Implementar RBAC significa restringir o acesso a informações confidenciais, reduzindo assim o potencial de violações ou vazamento de dados.
Melhores práticas para implementações de controle de acesso baseado em função:
Existem várias práticas recomendadas que as organizações devem seguir para implementar o RBAC, incluindo:
Determine os recursos para os quais eles precisam controlar o acesso, se ainda não estiverem listados – por exemplo, bancos de dados de clientes, sistemas de e-mail e sistemas de gerenciamento de contatos.
Analise a força de trabalho e estabeleça funções com as mesmas necessidades de acesso. No entanto, não crie muitas funções porque isso invalidaria o propósito do controle de acesso baseado na função e criaria controle de acesso baseado em usuário em vez de controle de acesso baseado na função. Por exemplo, pode haver uma função de usuário básica que inclua o acesso de que todos os funcionários precisam, como e-mail e intranet corporativa. Outra função poderia ser a de um representante de atendimento ao cliente que teria acesso de leitura / gravação ao banco de dados do cliente, e ainda outra função poderia ser a de administrador do banco de dados do cliente com controle total do banco de dados do cliente.
Depois de criar uma lista de funções e seus direitos de acesso, alinhe os funcionários a essas funções e defina o acesso.
Avalie como as funções podem ser alteradas, bem como as contas de funcionários que estão deixando a empresa podem ser encerradas e como novos funcionários podem ser registrados.
Certifique-se de que o RBAC esteja integrado em todos os sistemas da empresa.
Realize treinamentos para que os colaboradores entendam os princípios do RBAC.
Conduza auditorias periódicas das funções, dos funcionários atribuídos a elas e do acesso permitido para cada função. Se for descoberto que uma função tem acesso desnecessário a um determinado sistema, altere a função e modifique o nível de acesso para os indivíduos que estão nessa função.
RBAC vs ABAC
O controle de acesso baseado na função e o controle de acesso baseado em atributo (ABAC) são ambos tipos de métodos de controle de acesso, mas suas abordagens são diferentes.
Enquanto o RBAC concede direitos de acesso dependendo das funções dos usuários, o ABAC controla o acesso com base em uma combinação de atributos, ou seja, atributos do usuário, atributos do recurso, atributos associados ao sistema ou aplicativo a ser acessado e atributos ambientais.
Os atributos do usuário podem incluir nome, nacionalidade, organização, identidade, função, habilitação de segurança e assim por diante. Exemplos de atributos de recursos incluem proprietário, nome, data de criação de dados e assim por diante, enquanto os atributos ambientais incluem local de acesso, hora de acesso e níveis de ameaça.
Além de simplificar o gerenciamento de acesso, o ABAC permite que as empresas reduzam os riscos devido ao acesso não autorizado e ajuda a centralizar a auditoria.
As organizações devem usar o RBAC para controle de acesso de baixa granularidade, como fornecer a todos os professores de uma universidade acesso ao Google para fazer pesquisas ou fornecer a todos os contratados acesso ao e-mail corporativo. Por outro lado, as empresas devem usar o ABAC para controle de acesso refinado ou se precisarem tomar decisões sob condições específicas, por exemplo, dar aos professores acesso ao Google apenas se trabalharem no prédio X e darem aulas para calouros.
Ref: https://searchsecurity.techtarget.com/definition/role-based-access-control-RBAC