websights Comprendere i vantaggi del PBAC rispetto a RBAC e ABAC

Stai cercando inwebo.com? Siete nel posto giusto! Leggete tutto nel nostro post sul blog

Venite a trovarci di persona alle prossime fiere e conferenze del settore.

Contenuti

Sfruttare la potenza del controllo degli accessi basato su policy: vantaggi e opportunità

Identità e Access Management è un framework per la sicurezza delle informazioni che esiste da più tempo della maggior parte di noi. Con l'evoluzione della digitalizzazione, la necessità di proteggere le risorse e le identità è aumentata e l'IAM è diventato più complesso. Fortunatamente, nuovi metodi e metodologie stanno semplificando la vita di utenti e amministratori. Il controllo degli accessi basato su policy (PBAC) è un concetto relativamente nuovo che elimina gli svantaggi tradizionali del controllo degli accessi basato su ruoli (RBAC) e del controllo degli accessi basato su attributi (ABAC). La visione di TrustBuilder sul PBAC ne aumenta addirittura i vantaggi.

Qual è l'importanza del controllo degli accessi?

Il controllo degli accessi alle applicazioni, ai dati e ai servizi è diventato un aspetto fondamentale delle moderne operazioni aziendali, in quanto garantisce che solo le persone autorizzate possano interagire con le informazioni sensibili. Storicamente, le organizzazioni utilizzavano solo sistemi on-premise, in cui il controllo era mantenuto all'interno di una sede fisica o di una rete proprietaria. Tuttavia, il passaggio ai servizi cloud e alle applicazioni Software-as-a-Service (SaaS) ha cambiato radicalmente il controllo degli accessi. Le applicazioni basate sul Web presentano il vantaggio di offrire l'accesso a un pubblico più ampio, ad esempio non solo ai dipendenti, ma anche ai clienti. D'altro canto, rendono il controllo degli accessi ancora più importante, poiché i dati e le applicazioni diventano più facilmente accessibili.

Nel caso dei sistemi on-premise, il controllo degli accessi era piuttosto semplice e si basava sul ruolo ricoperto da un dipendente: un responsabile finanziario aveva accesso ai report finanziari, gli altri dipendenti no. I responsabili delle vendite avevano accesso a un'applicazione per fare preventivi, gli altri dipendenti no. Con l'aumento delle applicazioni disponibili online, è diventato più difficile abbinare le applicazioni ai ruoli all'interno dell'organizzazione e il tipo di controllo degli accessi a grana grossa non era più sufficiente. Inoltre, poiché le aziende collaborano con un numero crescente di partner che richiedono anch'essi l'accesso a queste applicazioni, la necessità di un controllo degli accessi a grana fine diventa ancora più cruciale. Il principio fondamentale rimane quello di far accedere a determinate risorse solo le persone giuste.

Che cos'è il controllo degli accessi basato sui ruoli?

Il controllo dell'accesso basato sui ruoli (RBAC) è un metodo per regolare l'accesso alle risorse del computer o della rete. In RBAC, i permessi di accesso sono legati ai ruoli e gli utenti sono assegnati a ruoli diversi. Un ruolo racchiude le autorizzazioni necessarie per svolgere una funzione specifica all'interno di un'organizzazione. Quando un utente viene assegnato a un ruolo, riceve i diritti di accesso che esso conferisce, consentendogli di svolgere determinate attività. In RBAC, i ruoli sono inseriti nell'applicazione e le organizzazioni dovranno copiare tali ruoli in Active Directory o in qualsiasi altro Identity Provider (IdP) utilizzato, in modo da ottenere una corrispondenza tra l'applicazione e l'utente, in base al suo ruolo. Questo semplifica le cose: tutto ciò che un'organizzazione deve fare è fornire all'IdP gli stessi ruoli dell'applicazione (nella terminologia IAM chiamato anche Service Provider). RBAC è un buon sistema per l'accesso dei dipendenti alle applicazioni on-premise e per casi d'uso semplici.

Nel caso dell'accesso dei clienti, la situazione è più complicata: non conoscete l'utente al momento dell'iscrizione, quindi dovrete identificare il cliente e concedere l'accesso alle risorse solo dopo aver controllato una serie di variabili.

Che cos'è il controllo dell'accesso basato sugli attributi?

Contrariamente al controllo degli accessi basato sui ruoli, il controllo degli accessi basato sugli attributi non concede l'accesso in base ai ruoli tecnici, ma in base agli attributi. Gli attributi sono caratteristiche o proprietà che possono essere associate a utenti, oggetti, azioni o all'ambiente. Questi attributi possono essere combinati per creare regole di controllo dell'accesso complesse, garantendo che solo le persone autorizzate possano eseguire azioni specifiche su determinate risorse in determinate condizioni. Esempi di attributi sono:

  • Attributi dell'utente: Ruolo, reparto, titolo, autorizzazione di sicurezza, ecc.
  • Attributi delle risorse: Tipo di file, livello di classificazione, proprietario, ecc.
  • Attributi dell'azione: Lettura, scrittura, cancellazione, aggiornamento, ecc.
  • Attributi ambientali: Ora, posizione, tipo di dispositivo, connessione di rete, ecc.

Questi attributi sono memorizzati in un sistema di Customer Identity e Access Management (CIAM).

Quali sono le potenziali carenze di RBAC e ABAC?

Con la crescente complessità della nostra società e del modo in cui operano le aziende, le carenze del controllo degli accessi basato sui ruoli e degli accessi basati sugli attributi stanno diventando evidenti.

  • RBAC può portare a un'esplosione dei ruoli, rendendo il sistema complicato da gestire. Il RBAC assegna le autorizzazioni ai ruoli e non direttamente agli utenti, il che può rendere la gestione delle autorizzazioni dei singoli utenti complessa. Questa rigidità può portare all'esplosione dei ruoli, dove è necessario creare numerosi ruoli per soddisfare le esigenze specifiche degli utenti. Può anche complicare gli scenari in cui le eccezioni sono richieste per diventare più fini, in quanto ciò richiede tipicamente la creazione di un nuovo ruolo.
  • Poiché i ruoli sono inerenti a un'applicazione, è necessario creare ruoli aggiuntivi per applicazioni specifiche, il che aumenta il pericolo di esplosione dei ruoli e di contraddizioni all'interno degli stessi.
  • Quando gli utenti cambiano i ruoli aziendali, anche i ruoli tecnici devono essere adattati e la complessità potrebbe portare ad accessi non autorizzati in alcuni casi.
  • ABAC, pur fornendo un approccio più sfumato attraverso gli attributi, ha i suoi difetti. La sua complessità può portare a un aumento del carico di lavoro sia nella gestione che nella valutazione delle politiche, richiedendo un'attenta pianificazione e un monitoraggio continuo. A differenza di RBAC, in cui i ruoli sono predefiniti, la flessibilità di ABAC, che consente di applicare condizioni a qualsiasi attributo, richiede una notevole considerazione e configurazione iniziale per essere impostata correttamente. Per garantire una sicurezza a grana fine, possono essere necessari molti attributi, rendendo il sistema difficile da configurare.

Che cos'è il controllo degli accessi basato sui criteri?

Il controllo dell'accesso basato su criteri (PBAC) gestisce l'accesso degli utenti alle risorse utilizzando criteri predefiniti. Queste politiche specificano chi può accedere a cosa e in quali circostanze. I criteri dichiarativi semplificano la gestione utilizzando un linguaggio o una sintassi standard per esprimere le regole, consentendo una facile creazione, modifica e gestione. I criteri dichiarativi semplificano il processo di aggiunta di nuove applicazioni, consentendo agli amministratori di definire le regole di accesso in una forma più leggibile, riducendo la complessità e aumentando l'efficienza nella manutenzione dei controlli di accesso.

Ad esempio, se il sito CIAM della vostra applicazione di contabilità deve definire quale contabile può gestire quali conti clienti, potete assicurarvi che i conti di cui è responsabile corrispondano a quei nomi di conti specifici. Rispetto a RBAC, è necessario creare un nuovo ruolo per ogni conto cliente. In ABAC, sono necessari molti più attributi per gestire questo aspetto.

In un criterio dichiarativo, è possibile aggiungere anche il periodo di tempo in cui le persone possono accedere agli account.

Quali sono i casi d'uso del controllo degli accessi basato sui criteri?

Il PBAC viene tipicamente utilizzato in organizzazioni con una struttura di ruoli complessa, ad esempio quando le aziende collaborano con partner esterni. Una stessa persona può essere uno sviluppatore che lavora nella sua azienda, ma assumere il ruolo di project manager nel consorzio in cui lavorano diverse aziende. Questo ruolo di gestione del progetto richiede maggiori privilegi di accesso rispetto al ruolo di sviluppatore. Il PBAC consente di stabilire politiche complesse che regolano l'accesso in base a ruoli, relazioni o altri attributi.

Altri casi d'uso includono:

  • Conformità alle normative: Molti settori sono soggetti a normative come GDPR, HIPAA o SOX, che impongono un controllo rigoroso sull'accesso alle informazioni sensibili. Il PBAC consente alle organizzazioni di definire politiche che garantiscono che solo le persone autorizzate possano accedere a dati specifici, contribuendo così alla conformità con i requisiti legali.
  • Ambienti aziendali dinamici: Le aziende moderne devono spesso adattarsi rapidamente a condizioni mutevoli. La flessibilità del PBAC nel definire i controlli di accesso può essere adattata a vari scenari, come il lavoro a distanza o i cambiamenti organizzativi improvvisi. Questa adattabilità dinamica garantisce che la sicurezza rimanga intatta senza ostacolare l'agilità delle operazioni aziendali.

In che modo TrustBuilder aumenta la potenza del PBAC?

Diversi fornitori di CIAM hanno scoperto i vantaggi del controllo degli accessi basato su policy. In qualità di innovatore del mercato, TrustBuilder rende il PBAC ancora più forte per i suoi clienti, aggiungendo ulteriori funzionalità come le personas, la gestione basata sulle sessioni e l'amministrazione delegata.

  • Personas: TrustBuilder crede fondamentalmente che ogni utente abbia bisogno di un solo profilo, invece di avere un profilo separato per ogni ruolo che un utente assume. Per realizzare ciò in CIAM, TrustBuilder utilizza la nozione di persona: una persona riflette l'aspetto di una persona come utente di un sistema o servizio digitale e consente di segregare chiaramente queste attività, per ragioni di comodità dell'utente e/o di sicurezza. Per ulteriori informazioni sulle personas, consultate questa lunga lettura.
  • Gestione basata sulla sessione: le nostre policy non solo consentono di definire il time-to-live (TTL) o l'hop limit per limitare la durata di una sessione, ma delineano anche le Access Control Rule (ACR) che possono gestire una sessione in base all'Authentication Method Level (AML). In base all'AML necessario, il criterio può consentire o meno l'uso del Single Sign-on quando si passa da un'applicazione all'altra, insieme ai limiti di tempo. Quando l'utente vuole accedere a un'applicazione per la quale l'AML non soddisfa i requisiti stabiliti dall'ACR, è necessaria un'autenticazione step-up.
  • Amministrazione delegata: il concetto di persona facilita anche la delega dell'amministrazione a un altro utente, che può eseguire determinati compiti durante un periodo di tempo definito. Un esempio nei servizi finanziari è il caso in cui una persona anziana può delegare tutte le transazioni finanziarie alla figlia e la banca deve essere certa che la figlia sia autorizzata ad agire come sua delegata.

Nel prossimo futuro, RBAC, ABAC e PBAC avranno sicuramente tutti i loro casi d'uso. Nelle organizzazioni semplici, il controllo degli accessi basato sui ruoli è una soluzione facile da implementare. Ma se le organizzazioni sono sempre più complesse e lavorano in uno spirito di collaborazione aperta con altre aziende partner, il controllo degli accessi basato sui criteri diventerà sicuramente sempre più interessante per mantenere le organizzazioni sicure e garantire una buona esperienza ai clienti. Inutile dire che TrustBuilder, in quanto moderna soluzione IAM end-to-end, supporta sia RBAC che ABAC e PBAC, alzando il livello di ciascuno di questi sistemi.

Il controllo degli accessi basato sui ruoli (RBAC) è un metodo di sicurezza in cui i permessi di accesso sono legati ai ruoli all'interno di un'organizzazione. Agli utenti vengono assegnati dei ruoli, ciascuno dei quali comprende le autorizzazioni necessarie per funzioni specifiche. Semplifica la gestione degli accessi, soprattutto in scenari semplici come l'accesso dei dipendenti alle applicazioni aziendali.

Il controllo dell'accesso basato sugli attributi (Attribute-Based Access Control, ABAC) garantisce l'accesso in base a una combinazione di attributi dell'utente, dell'oggetto, dell'azione e dell'ambiente. Crea regole che assicurano che gli individui autorizzati eseguano azioni specifiche in determinate condizioni, offrendo un controllo dell'accesso a grana fine per requisiti aziendali diversi e dinamici.

Il Policy-Based Access Control (PBAC) è un metodo per gestire l'accesso degli utenti alle risorse attraverso criteri predefiniti. Queste politiche stabiliscono chi può accedere a quali risorse e a quali condizioni, utilizzando un linguaggio standard per la creazione e la gestione di regole semplici, migliorando la sicurezza e l'efficienza in ambienti digitali complessi.