التحكم في الوصول المستند إلى الدور مقابل التحكم في الوصول المستند إلى السمات

التحكم في الوصول المستند إلى الدور مقابل التحكم في الوصول المستند إلى السمات

يعد التحكم في الوصول المستند إلى الدور (RBAC) والتحكم في الوصول المستند إلى السمات (ABAC) أكثر طريقتين شيوعًا لتنفيذ التحكم في الوصول. يمكن أن تساعدك معرفة ما يفصل بين الطريقتين في اختيار ما هو مناسب لمؤسستك.
يمنح RBAC حق الوصول أو يرفضه بناءً على دور المستخدم الطالب داخل الشركة. تأخذ ABAC في الاعتبار العديد من السمات أو الخصائص التي تم تكوينها مسبقًا ، والتي يمكن أن تكون مرتبطة بالمستخدم و / أو البيئة و / أو المورد الذي تم الوصول إليه.

لكن أولاً - ما هو التحكم في الوصول؟

فكر في شبكة الشركة ومواردها كمبنى آمن. نقطة الدخول الوحيدة محمية من قبل حارس الأمن ، الذي يتحقق من هوية أي شخص وكل شخص يدخل المبنى. إذا فشل شخص ما في إثبات هويته ، أو إذا لم يكن لديه الحقوق اللازمة لدخول المبنى ، فسيتم إبعاده. في هذا القياس ، يشبه حارس الأمن آلية التحكم في الوصول ، والتي تضع الأساس للبنية التحتية الأمنية للشركة.
من الصعب المبالغة في تقدير الحاجة إلى التحكم في الوصول. كل عام ، تكلف خروقات البيانات الشركات ملايين الدولارات ، ويمكن تجنب الكثير من هذه من خلال تطبيق تحكم أفضل في الوصول. في الأقسام التالية ، دعنا نستكشف ما يجلبه RBAC و ABAC إلى الطاولة وكيف يتعامل كل منهما مع الآخر.

ما هو التحكم في الوصول المستند إلى الدور (RBAC)؟

في نظام RBAC ، يتم تعيين امتيازات وأذونات للأشخاص بناءً على "أدوارهم". يتم تحديد هذه الأدوار من قبل المسؤول الذي يصنف الأشخاص بناءً على إداراتهم ومسؤولياتهم ومستويات الأقدمية و / أو المواقع الجغرافية.
على سبيل المثال ، قد يتمتع كبير مسؤولي التكنولوجيا بوصول حصري إلى جميع خوادم الشركة. لا يجوز لمهندس البرمجيات الوصول إلا إلى مجموعة فرعية صغيرة من خوادم التطبيقات. قد يتم تعيين دور خاص للموظفين عن بعد ، والذي يسمح لهم فقط بالوصول إلى الخادم الذي يعملون عليه بنشاط.
قد تختلف مستويات الوصول أيضًا بناءً على الأدوار. على سبيل المثال ، يُسمح لمورد مبتدئ بقراءة المعلومات من قاعدة بيانات فقط ؛ لا يمكنهم إضافة أو تغيير أي شيء. ومع ذلك ، يتمتع مطور قواعد البيانات الأقدم بالامتيازات القصوى في جميع قواعد البيانات.
قد تختلف مدة الوصول أيضًا باختلاف الأدوار. على سبيل المثال ، يتم تعيين الدور الخارجي لمقاول خارجي ، والذي يمنحه حق الوصول إلى الخادم لمدة x ساعة. من ناحية أخرى ، قد يُسمح لمطور برامج داخلي بالوصول غير المحدود إلى نفس الخادم.
من الممكن أيضًا أن يتم تعيين أدوار متعددة لمستخدم واحد. على سبيل المثال ، يشرف مهندس برمجيات على فرق مختلفة تقوم ببناء مشاريع مختلفة. يحتاجون إلى الوصول إلى جميع الملفات المتعلقة بكل هذه المشاريع. ولهذه الغاية ، يعين لهم المسؤول أدوارًا متعددة مع منحهم كل منها حق الوصول إلى الملفات من مشروع معين.

أنواع RBAC

يحدد نموذج NIST للتحكم في الوصول المستند إلى الدور فئات RBAC التالية:

Flat RBAC: يتم تعيين دور واحد على الأقل لكل موظف ، ولكن يمكن أن يكون للبعض أكثر من دور واحد. إذا أراد شخص ما الوصول إلى ملف / مورد / خادم جديد ، فعليه أولاً الحصول على دور جديد.

RBAC الهرمي: يتم تحديد الأدوار على أساس مستويات الأقدمية. بالإضافة إلى الامتيازات الخاصة بهم ، يمتلك كبار الموظفين أيضًا امتيازات مرؤوسيهم.

RBAC المقيدة: يقدم هذا النموذج فصل الواجبات (SOD). تنشر SOD سلطة أداء مهمة ، عبر العديد من المستخدمين ، مما يقلل من مخاطر الأنشطة الاحتيالية و / أو المحفوفة بالمخاطر. على سبيل المثال ، إذا أراد أحد المطورين إيقاف تشغيل خادم ، فإنه يحتاج إلى موافقة ليس فقط من مديره المباشر ، ولكن أيضًا من رئيس البنية التحتية. هذا يعطي رئيس البنية التحتية تغييرًا لرفض الطلبات الخطرة و / أو غير الضرورية.

RBAC المتماثل: تتم مراجعة جميع الأدوار التنظيمية بانتظام. نتيجة لهذه المراجعات ، قد يتم تعيين الامتيازات أو إبطالها ، وقد تتم إضافة الأدوار أو إزالتها.

ما هو التحكم في الوصول المستند إلى السمات (ABAC)؟

في بيئة ABAC ، عندما يقوم المستخدم بتسجيل الدخول ، يمنح النظام أو يرفض الوصول بناءً على سمات مختلفة. يمكن أن ترتبط هذه السمات بما يلي:

 مستخدم. في مصطلحات ABAC ، يُعرف المستخدم الطالب أيضًا باسم الموضوع. يمكن أن تتضمن سمات المستخدم التعيين ، والمسؤوليات المعتادة ، والتصريح الأمني ، والإدارة ، و / أو مستويات الأقدمية.

على سبيل المثال ، لنفترض أن بوب ، محلل كشوف المرتبات ، يحاول الوصول إلى بوابة الموارد البشرية. يتحقق النظام من سمات "القسم" و "التعيين" و "المسؤوليات" لتحديد أنه ينبغي السماح لهم بالوصول. ومع ذلك ، إذا حاولت أليس من فريق تكنولوجيا المعلومات الوصول إلى نفس البوابة ، فلن يُسمح لها ، لأنها لا تمتلك السمات المطلوبة.

 المورد الذي تم الوصول إليه. يمكن أن يشمل ذلك اسم المورد ونوعه (والذي يمكن أن يكون ملفًا أو خادمًا أو تطبيقًا) ومنشئه ومالكه ومستوى الحساسية.

 على سبيل المثال ، تحاول أليس الوصول إلى ملف مشترك يحتوي على أفضل الممارسات لتطوير البرامج. نظرًا لأن سمة "مستوى الحساسية" للملف منخفضة ، يُسمح لـ أحمد بالوصول إليها ، على الرغم من أنها لا تملكها. ومع ذلك ، إذا حاولت الوصول إلى ملف من مشروع لا تعمل فيه ، فإن سمات "مالك الملف" و "مستوى الحساسية" ستمنعها من القيام بذلك.

     فعل. ما الذي يحاول المستخدم فعله بالمورد؟ يمكن أن تتضمن السمات ذات الصلة "كتابة" أو "قراءة" أو "نسخ" أو "حذف" أو "تحديث" أو "الكل". على سبيل المثال ، إذا كان لدى أحمد فقط السمة "read" المحددة في ملفها الشخصي ، لملف معين ، فلن يُسمح لها بتحديث الكود المصدري المكتوب في هذا الملف. ومع ذلك ، يمكن لأي شخص لديه مجموعة سمات "الكل" أن يفعل ما يريد.

     بيئة. بعض السمات المدروسة هي الوقت من اليوم وموقع المستخدم والمورد وجهاز المستخدم والجهاز الذي يستضيف الملف.

على سبيل المثال ، قد يُسمح لـ أحمد بالوصول إلى ملف في بيئة "محلية" ، ولكن ليس عند استضافته في بيئة "العميل".

متى تستخدم RBAC أو ABAC؟

على الرغم من اعتبار ABAC على نطاق واسع شكلاً متطورًا من RBAC ، إلا أنه ليس دائمًا الاختيار الصحيح. بناءً على حجم شركتك وميزانيتها واحتياجاتها الأمنية ، يمكنك اختيار أحدهما على الآخر.
اختر ABAC إذا كنت:
امتلك الوقت والموارد والميزانية لتنفيذ ABAC المناسب.
هي في منظمة كبيرة ، والتي تنمو باستمرار. يتيح ABAC قابلية التوسع.
لديك قوة عاملة موزعة جغرافيًا. يمكن أن تساعدك ABAC في إضافة سمات بناءً على الموقع والمنطقة الزمنية.
تريد سياسة تحكم في الوصول دقيقة ومرنة قدر الإمكان.
تريد إثبات سياسة التحكم في الوصول الخاصة بك في المستقبل. إن العالم يتطور ، وأخذ المكتب الإقليمي لأمريكا اللاتينية ومنطقة البحر الكاريبي يتحول ببطء إلى نهج قديم. يمنحك ABAC مزيدًا من التحكم والمرونة في عناصر التحكم في الأمان.

اختر RBAC إذا كنت:
تعمل في مؤسسة صغيرة إلى متوسطة الحجم.
لديك مجموعات محددة جيدًا داخل مؤسستك ، وتطبيق سياسات واسعة تستند إلى الأدوار أمر منطقي.
لديك وقت و / أو موارد و / أو ميزانية محدودة لتنفيذ سياسة التحكم في الوصول.
ليس لديك الكثير من المساهمين الخارجيين ولا تتوقع إشراك الكثير من الأشخاص الجدد.