websights De voordelen van PBAC ten opzichte van RBAC en ABAC begrijpen

Op zoek naar inwebo.com? Dan ben je hier op de juiste plek! Lees er alles over in onze blogpost

Kom en bezoek ons persoonlijk op de komende branchebeurzen en conferenties

Inhoud

De kracht van toegangsbeheer op basis van beleid benutten: voordelen en kansen

Identiteit en Access Management is een raamwerk voor informatiebeveiliging dat al langer bestaat dan de meesten van ons. Naarmate de digitalisering voortschreed, nam de noodzaak om bronnen en identiteiten te beschermen toe en werd IAM complexer. Gelukkig maken nieuwe methoden en methodologieën het leven voor gebruikers en beheerders ook eenvoudiger. Policy-based access control (PBAC) is een relatief nieuw concept dat afrekent met de traditionele nadelen van Role-based access control (RBAC) en Attribute-based access control (ABAC). TrustBuilder's visie op PBAC vergroot zelfs de voordelen.

Wat is het belang van toegangscontrole?

Toegangscontrole tot applicaties, gegevens en diensten is een cruciaal aspect geworden van de moderne bedrijfsvoering en zorgt ervoor dat alleen geautoriseerde personen toegang hebben tot gevoelige informatie. In het verleden gebruikten organisaties alleen on-premise systemen, waarbij de controle werd gehandhaafd binnen een fysieke locatie of een eigen netwerk. De verschuiving naar cloud diensten en Software-as-a-Service (SaaS) toepassingen heeft het toegangsbeheer echter drastisch veranderd. Webgebaseerde toepassingen bieden het voordeel dat ze toegang bieden aan een breder publiek, bijvoorbeeld niet alleen aan werknemers, maar ook aan klanten. Aan de andere kant maken ze toegangscontrole nog belangrijker, omdat gegevens en toepassingen gemakkelijker toegankelijk worden.

In het geval van on-premise systemen was toegangscontrole vrij eenvoudig en gebaseerd op de rol die een medewerker had: een financieel manager had toegang tot financiële rapporten, andere medewerkers niet. Salesmanagers hadden toegang tot een applicatie om offertes te maken, andere medewerkers niet. Naarmate er meer applicaties online beschikbaar kwamen, werd het moeilijker om de applicaties af te stemmen op rollen binnen een organisatie en was het grofkorrelige type toegangscontrole niet langer toereikend. En omdat bedrijven samenwerken met een groeiend aantal partners die ook toegang tot deze applicaties nodig hebben, wordt de behoefte aan fijnkorrelig toegangsbeheer nog crucialer. Het kernprincipe blijft dat alleen de juiste mensen toegang krijgen tot specifieke bronnen.

Wat is rolgebaseerde toegangscontrole?

Rolgebaseerde toegangscontrole (RBAC) is een methode om de toegang tot computer- of netwerkbronnen te regelen. In RBAC zijn toegangsrechten gekoppeld aan rollen en worden gebruikers toegewezen aan verschillende rollen. Een rol omvat de permissies die nodig zijn om een specifieke functie binnen een organisatie uit te voeren. Wanneer een gebruiker aan een rol wordt toegewezen, krijgt hij de bijbehorende toegangsrechten, waardoor hij bepaalde taken kan uitvoeren. In RBAC worden rollen in de applicatie geplaatst en organisaties moeten die rollen kopiëren naar hun Active Directory of een andere Identity Provider (IdP) die ze gebruiken, zodat ze een match krijgen tussen de applicatie en de gebruiker, gebaseerd op hun rol. Dit vereenvoudigt de zaken: het enige wat een organisatie moet doen is dezelfde rollen voorzien in de IdP als in de applicatie (in IAM-terminologie ook wel Service Provider genoemd). RBAC is een goed systeem voor de toegang van werknemers tot on-premise applicaties en voor eenvoudige use cases.

In het geval van toegang voor klanten is dit gecompliceerder: je kent de gebruiker niet als hij onboard gaat, dus je moet de klant identificeren en pas toegang verlenen tot bronnen nadat je een aantal variabelen hebt gecontroleerd.

Wat is toegangscontrole op basis van attributen?

In tegenstelling tot toegangscontrole op basis van rollen, geeft toegangscontrole op basis van attributen geen toegang op basis van technische rollen, maar op basis van attributen. Attributen zijn kenmerken of eigenschappen die geassocieerd kunnen worden met gebruikers, objecten, acties of de omgeving. Deze attributen kunnen worden gecombineerd om complexe toegangscontroleregels te maken, die ervoor zorgen dat alleen geautoriseerde personen specifieke acties kunnen uitvoeren op bepaalde bronnen onder bepaalde voorwaarden. Voorbeelden van attributen zijn:

  • Gebruikersattributen: Rol, afdeling, titel, veiligheidsmachtiging, enz.
  • Bronattributen: Type bestand, classificatieniveau, eigenaar, enz.
  • Actieattributen: Lezen, schrijven, verwijderen, bijwerken, enz.
  • Omgevingsattributen: Tijd, locatie, apparaattype, netwerkverbinding, enz.

Deze kenmerken worden opgeslagen in een systeem voor klantidentiteit en Access Management (CIAM).

Wat zijn de mogelijke tekortkomingen van RBAC en ABAC?

Naarmate onze maatschappij en de manier waarop bedrijven werken complexer worden, worden de tekortkomingen van rolgebaseerde toegangscontrole en attribuutgebaseerde toegangscontrole duidelijk.

  • RBAC kan leiden tot een rol-explosie, waardoor het systeem omslachtig te beheren is. RBAC kent permissies toe aan rollen en niet direct aan gebruikers, wat het beheren van individuele gebruikerspermissies lastig kan maken in complexe omgevingen. Deze rigiditeit kan leiden tot een role explosion, waarbij talloze rollen moeten worden aangemaakt om tegemoet te komen aan specifieke gebruikersbehoeften. Het kan ook scenario's bemoeilijken waar uitzonderingen nodig zijn om meer verfijnd te worden, omdat dit meestal het aanmaken van een nieuwe rol vereist.
  • Omdat rollen inherent zijn aan een toepassing, moeten er extra rollen worden aangemaakt voor specifieke toepassingen, wat het gevaar van rolexplosie en tegenstrijdigheden binnen die rollen vergroot.
  • Wanneer gebruikers van bedrijfsrol veranderen, moeten ook de technische rollen worden aangepast en de complexiteit kan in bepaalde gevallen leiden tot ongeautoriseerde toegang.
  • ABAC biedt weliswaar een meer genuanceerde aanpak door middel van attributen, maar heeft ook zijn eigen gebreken. De complexiteit kan leiden tot meer overhead bij het beheren en evalueren van beleidsregels, wat zorgvuldige planning en continue monitoring vereist. In tegenstelling tot RBAC, waar rollen vooraf gedefinieerd zijn, vereist de flexibiliteit van ABAC om voorwaarden toe te passen op elk attribuut veel overweging vooraf en configuratie om het correct in te stellen. Om fijnkorrelige beveiliging te leveren, kunnen veel attributen nodig zijn, waardoor het systeem moeilijk te configureren is.

Wat is toegangscontrole op basis van beleid?

Policy-based Access Control (PBAC) beheert de toegang van gebruikers tot bronnen met behulp van vooraf gedefinieerde beleidsregels. Dit beleid specificeert wie toegang heeft tot wat, onder welke omstandigheden. Declaratief beleid maakt het beheer eenvoudiger door het gebruik van een standaardtaal of -syntax om regels uit te drukken, waardoor ze eenvoudig aangemaakt, gewijzigd en beheerd kunnen worden. Declaratieve beleidsregels stroomlijnen het proces van het toevoegen van nieuwe applicaties door beheerders toegangsregels te laten definiëren in een meer menselijk leesbare vorm, waardoor de complexiteit afneemt en de efficiëntie toeneemt bij het onderhouden van de toegangscontroles.

Als de CIAM van je boekhoudprogramma bijvoorbeeld moet definiëren welke boekhouder welke klantaccounts mag beheren, kun je ervoor zorgen dat de accounts waarvoor hij verantwoordelijk is, overeenkomen met die specifieke accountnamen. Vergelijk dat met RBAC, waarbij je per klantaccount een nieuwe rol zou moeten maken. In ABAC heb je veel meer attributen nodig om dit te beheren.

In een declaratief beleid kun je ook de tijdsperiode toevoegen waarbinnen mensen toegang hebben tot accounts.

Wat zijn use-cases voor toegangscontrole op basis van beleid?

PBAC wordt meestal gebruikt in organisaties met een complexe rolstructuur, bijvoorbeeld wanneer bedrijven samenwerken met externe partners. Een en dezelfde persoon kan een ontwikkelaar zijn die bij zijn bedrijf werkt, maar de rol van projectmanager op zich nemen in het consortium waarin verschillende bedrijven werken. Deze projectmanagementrol vereist meer toegangsrechten dan de ontwikkelaarsrol. PBAC maakt het mogelijk om complexe beleidsregels op te stellen die toegang regelen op basis van rollen, relaties of andere attributen.

Andere gebruiksmogelijkheden zijn:

  • Naleving van regelgeving: Veel industrieën zijn onderworpen aan voorschriften zoals GDPR, HIPAA of SOX, die een strikte controle over de toegang tot gevoelige informatie voorschrijven. PBAC stelt organisaties in staat om beleidsregels op te stellen die ervoor zorgen dat alleen bevoegde personen toegang hebben tot specifieke gegevens, waardoor wordt voldaan aan de wettelijke vereisten.
  • Dynamische bedrijfsomgevingen: Moderne bedrijven moeten zich vaak snel aanpassen aan veranderende omstandigheden. De flexibiliteit van PBAC bij het definiëren van toegangscontroles kan worden aangepast aan verschillende scenario's, zoals werken op afstand of plotselinge organisatorische veranderingen. Dit dynamische aanpassingsvermogen zorgt ervoor dat de beveiliging intact blijft zonder de flexibiliteit van de bedrijfsvoering te belemmeren.

Hoe vergroot TrustBuilder de kracht van PBAC?

Verschillende CIAM leveranciers hebben de voordelen van toegangscontrole op basis van beleid ontdekt. Als innovator in de markt maakt TrustBuilder PBAC nog sterker voor zijn klanten door extra mogelijkheden toe te voegen zoals persona's, sessiegebaseerd beheer en gedelegeerd beheer.

  • Persona's: TrustBuilder gelooft fundamenteel dat elke gebruiker slechts één profiel nodig heeft, in plaats van een apart profiel per rol die een gebruiker aanneemt. Om dit te realiseren in CIAM, gebruikt TrustBuilder de notie van persona: een persona weerspiegelt het aspect van iemand als gebruiker van een digitaal systeem of dienst en maakt het mogelijk om deze activiteiten duidelijk te scheiden, om redenen van gebruikersgemak en/of om redenen van veiligheid. Bekijk deze lange leeservaring voor meer informatie over persona's.
  • Sessiegebaseerd beheer: met ons beleid kun je niet alleen de time-to-live (TTL) of hoplimiet definiëren om de lengte van een sessie te beperken, maar kun je ook de Access Control Rule (ACR) opstellen die een sessie kan beheren op basis van het Authentication Method Level (AML). Gebaseerd op het benodigde AML kan het beleid het gebruik van Single Sign-on wel of niet toestaan bij het overgaan van de ene applicatie naar de andere, in combinatie met tijdsbeperkingen. Wanneer de gebruiker toegang wil krijgen tot een applicatie waarvoor de AML niet voldoet aan de vereisten van de ACR, is step-up authenticatie nodig.
  • Gedelegeerd beheer: het persona-concept maakt het ook gemakkelijker om beheer te delegeren aan een andere gebruiker, die dan bepaalde taken kan uitvoeren gedurende een bepaalde periode. Een voorbeeld hiervan in de financiële dienstverlening is wanneer een oudere persoon alle financiële transacties kan delegeren aan haar dochter en de bank er zeker van moet zijn dat de dochter mag optreden als haar gevolmachtigde.

In de nabije toekomst zullen RBAC, ABAC en PBAC zeker allemaal hun use-cases hebben. In eenvoudige organisaties is Rolgebaseerd toegangsbeheer een eenvoudig te implementeren oplossing. Maar naarmate organisaties complexer worden en in de geest van open samenwerking met andere partnerbedrijven werken, zal Policy-based toegangscontrole zeker steeds aantrekkelijker worden om organisaties veilig te houden en tegelijkertijd een goede klantervaring te garanderen. Onnodig te zeggen dat TrustBuilder, als een moderne end-to-end IAM-oplossing, zowel RBAC, ABAC als PBAC ondersteunt, waardoor de lat voor elk van deze systemen hoger komt te liggen.

Role-Based Access Control (RBAC) is een beveiligingsmethode waarbij toegangsrechten worden gekoppeld aan rollen binnen een organisatie. Gebruikers krijgen rollen toegewezen, die elk de benodigde rechten voor specifieke functies bevatten. Dit vereenvoudigt het toegangsbeheer, vooral in eenvoudige scenario's zoals de toegang van werknemers tot bedrijfsapplicaties.

Attribuutgebaseerde toegangscontrole (ABAC) verleent toegang op basis van een combinatie van gebruikers-, object-, actie- en omgevingskenmerken. Het creëert regels die ervoor zorgen dat geautoriseerde individuen specifieke acties uitvoeren onder bepaalde voorwaarden, en biedt fijnmazige toegangscontrole voor diverse en dynamische bedrijfsvereisten.

Policy-Based Access Control (PBAC) is een methode om gebruikerstoegang tot bronnen te beheren via vooraf gedefinieerde beleidsregels. Dit beleid dicteert wie toegang heeft tot welke bronnen en onder welke voorwaarden, met behulp van een standaardtaal voor het eenvoudig maken en beheren van regels, waardoor de beveiliging en efficiëntie in complexe digitale omgevingen wordt verbeterd.