Маршрут согласования
Узнать большеБольшинство информационных систем для управления доступом к данным используют готовые модели. С их помощью становится возможным эффективно и безопасно управлять доступом, делегировать права пользователей, предотвращать несанкционированный доступ к информации. Одним из широко используемых вариантов является модель RBAC. Она широко применяется в IT-отрасли, банкинге, облачных услугах.
Что такое RBAC?
Когда говорят о Role Based Access Control (RBAC), подразумевают систему, построенную на использовании ролей и прав пользователей (включая ролевые разрешения, пользовательские роли и контакты между разными ролями). RBAC рассматривается в качестве решения для удовлетворения большей части потребностей по управлению доступом в государственных, коммерческих организациях. Это одна из самых часто используемых моделей на практике.
Управление доступом на основе ролей востребовано там, где присутствует необходимость точного разграничения прав и установлен четкий круг обязанностей. Роли представляют собой совокупность делегированных прав на получение доступа к объектам. Такой подход сочетает элементы мандатного и избирательного управления доступом, при этом отличается повышенной гибкостью. Важным моментом здесь считается тот факт, что привилегии приобретаются за счет назначенной роли. Тем самым упрощается исполнение таких действий, как добавление или перевод пользователя в иное подразделение.
Преимущества и недостатки RBAC
Сильными сторонами RBAC считаются:
-
Высокая гибкость. Роли могут меняться для решения нужных задач. При необходимости легко добавить новую роль, дополнить старую, установить ее группе пользователей.
-
Облегчение рутинной административной работы. Роли привязаны к группам пользователей, легко обновляются и корректируются в автоматическом режиме. Нет нужды вручную настраивать права каждому отдельному сотруднику.
-
Снижение роли человеческого фактора и возникновения ошибок. Автоматические настройки и создание групп облегчают назначение прав, охватывают всю систему, снижают риски неправильно назначенной роли.
-
Повышение эффективности работы. Снижение лишней нагрузки на IT-отдел увеличивает эффективность его работы, снижает время ожидания предоставления прав.
-
Высокая безопасность. Управление доступом на основе ролей использует принцип наименьших привилегий, поэтому сотрудники располагают только теми правами, которые им нужны при исполнении своей работы.
-
Прозрачность управления. Система на базе ролей носит понятный, очевидный для персонала характер, где каждый участник занимается своим делом.
Слабыми сторонами RBAC считаются:
-
Высокая трудоемкость реализации. Разработка модели проводится индивидуально, требует времени и сил, чтобы задать первоначальные условия и настройки для использования.
-
Слабо подходит для временных прав, выдающихся на короткое время. RBAC рассчитана в первую очередь на создание и корректировку ролей под определенные задачи. В случае кратковременных прав велика вероятность развития конфликтов и сложностей контроля временных прав.
-
Подходит в первую очередь для крупных и средних компаний. Ролевая модель и ее обслуживание оправдано при определенном количестве сотрудников, привилегий и ролей. Нет смысла ее использовать со штатом до 30-50 человек, где всего 5-6 разных ролей и 1-2 привилегированных пользователя.
Связь RBAC с иными моделями
Role Based Access Control нередко сравнивают с другими подходами по управлению доступом. В первую очередь это избирательная (Discretionary Access Control) и мандатная (Mandatory Access Control) модели. Перед тем, как появилась и стала широко использоваться ролевая модель доступа, повсеместно использовали модель Bell-LaPadula (BLP), которая ассоциировалась с MAC, а разрешения файловой системы рассматривались как синоним DAC. В будущем в ходе проведения исследований эксперты отвергли факт того, что RBAC рассматривается в качестве тождественного решения DAC и MAC. Скорее это отдельный подвид со своей спецификой использования и более гибким подходом к организации управления, на основе которого моделируют иные варианты систем. Также некорректно сравнивать ролевую модель с контекстной (Context-Based Access Control), так как первая не рассматривает контекст сообщений, например, источник соединения.
Стоит отметить, что сходным моментом для DAC и RBAC является использование списков контроля доступа (Access Control List). Разница сводится к тому, что ролевая модель управления использует ACL лишь частично, например, для установки разрешения группам пользователей. Также ACL подходит для установки разрешения или запрета на проведение записей в системном файле, но при этом без указания какие записи подвергаются изменениям и какие изменения с файлом допустимы. Также данные ACL при желании переводятся в XACML (eXtensible Access Control Markup Language): с целью повышения удобства проведения обмена данными.
Использование RBAC
Ролевая система подходит для дальнейшего применения в качестве основы для формирования других моделей: пользователям делегируются полномочия для исполнения своих обязанностей, с учетом принципа минимальных привилегий для выполнения закрепленных за пользователями функций.
Одним из примеров успешного использования RBAC можно считать Solar inRights. Этот инструмент помогает осуществлять централизованное и эффективное управление доступом в рамках работы организации. Также данный продукт автоматизирует процессы принятия и обработки заявок на доступ согласно внутренним регламентам и политикам безопасности. Проводит аудит, и собирает отчетность по действиям сотрудников. Контролирует исполнение регламентов, выявляет попытки несанкционированного доступа и дает сигналы офицерам безопасности в случае обнаружения угроз.