O controlo do acesso aos dados, aplicações e outros recursos de TI de uma organização é uma tarefa vital e complexa. É essencial garantir que cada utilizador possa aceder aos recursos de que necessita para fazer o seu trabalho, mas que nenhum deles consiga aceder a dados ou sistemas de que não tenha uma necessidade legítima.
Este artigo explora dois populares modelos de controlo de acesso, o controlo de acesso baseado em funções (RBAC) e o controlo de acesso baseado em atributos (ABAC), e oferece orientações para escolher a opção mais adequada para a sua organização.
O que é o controlo de acesso baseado em funções?
No modelo RBAC, os funcionários e outros utilizadores recebem direitos de acesso com base na função ou funções que desempenham na organização. Ou seja, os administradores definem um conjunto de funções, concedem as permissões de acesso adequadas a cada uma dessas funções e, em seguida, atribuem a cada utilizador uma ou mais funções – as funções atribuídas a uma pessoa determinam os seus direitos de acesso aos recursos de TI.
Exemplos de RBAC
Seguem-se alguns exemplos de funções e alguns dos direitos de acesso que lhes podem ser concedidos:
- CTO (Chief Technology Officer) – Acesso a todos os servidores da empresa
- Software Engineer – Acesso a servidores de aplicações específicas
- Técnico de helpdesk – Restauro das palavras-passe dos utilizadores e desbloqueio de contas de utilizador
Benefícios do RBAC
A implementação do RBAC simplifica a gestão do acesso. Quando um novo funcionário entra para a organização, os administradores não têm de lhe conceder uma série de permissões, uma de cada vez; podem simplesmente atribuir ao novo colaborador as funções relevantes e este passa imediatamente a ter todos os direitos de acesso relacionados. Da mesma forma, quando um colaborador muda de equipa ou de departamento, conceder-lhe os novos direitos de acesso adequados (e, mais importante, remover os que já não são necessários) é tão simples como alterar as suas atribuições de funções.
Muitos sistemas empresariais oferecem controlo de acesso baseado em funções. Aqui está uma visão geral de como o Microsoft Entra (anteriormente Azure), o Active Directory e o SharePoint utilizam o RBAC.
RBAC no Microsoft Entra
O controle de acesso baseado em funções no Microsoft Entra ajuda os administradores a gerir o acesso aos recursos da cloud. Por exemplo, é possível usar o RBAC para:
- Permitir que um conjunto de utilizadores faça a gestão de redes virtuais e que outro grupo faça a gestão de máquinas virtuais.
- Permitir aos administradores de bases de dados gerir bases de dados SQL.
- Permitir que um grupo específico de utilizadores faça a gestão de determinados sítios Web.
- Permitir que uma aplicação aceda a todos os recursos de um grupo de recursos.
RBAC no Active Directory
No Active Directory, os grupos de segurança funcionam como funções. A cada grupo é concedido acesso a determinados recursos, e todos os membros do grupo herdam esses direitos. O AD inclui um conjunto de grupos de segurança predefinidos e os administradores podem criar grupos adicionais.
Seguem-se alguns dos grupos de segurança incorporados e as respectivas permissões:
- Operadores de Backup – Os membros podem restaurar e substituir ficheiros num computador, independentemente das permissões necessárias para aceder a esses ficheiros.
- Utilizadores de Remote Desktop – Os membros podem ligar-se remotamente a um servidor RD Session Host.
- Domain Admins (Administradores do domínio) – Os membros têm direitos alargados num domínio AD específico. Por exemplo, podem atualizar os membros de todos os grupos e controlar o acesso aos controladores de domínio.
- Enterprise Admins – Os membros podem efetuar alterações em toda a floresta, como adicionar domínios secundários.
- Shema Admins – Podem modificar o esquema do Active Directory.
RBAC no SharePoint
O SharePoint também tem funções predefinidas com permissões que os membros herdam. Estas funções incluem:
- Utilizadores finais – Os membros podem trabalhar com conteúdo em itens de lista e bibliotecas de documentos, mas não podem configurar ou gerir sites.
- Utilizadores avançados – Os membros podem interagir com determinados componentes do site, como listas, páginas da Web, bibliotecas, etc.
- Proprietários de sítios – Os membros têm controlo sobre todo o site SharePoint, incluindo a criação de sub-sites, o design e a gestão de permissões.
- Administradores de colecções de sites – Os membros têm controlo sobre os sites de uma coleção de sites.
- Administradores de SharePoint Farm – Estes administradores de nível superior têm controlo total sobre o farm SharePoint, como a manutenção, o armazenamento, as aplicações Web e as colecções de sites.
RBAC no Exchange
O Microsoft Exchange também segue um modelo RBAC. Algumas das funções de gestão incorporadas são as seguintes:
- Gestão de destinatários – Os membros podem criar ou atualizar destinatários do Exchange Server dentro da organização do Exchange Server.Helpdesk – Os membros podem ver e atualizar atributos de utilizador como endereços, números de telefone e nomes de apresentação.
- Gestão do Servidor – Os membros podem configurar funcionalidades específicas do servidor, como certificados, protocolos de acesso de clientes e directórios virtuais.
- Gestão da Organização – Os membros têm acesso de nível superior à organização do Exchange Server, o que significa que podem executar quase todas as tarefas de um objeto do Exchange.
- Gestão de Higiene – Os membros podem configurar funcionalidades anti-spam e anti-malware no Exchange.
O que é o controlo de acesso baseado em atributos?
O ABAC concede privilégios de acesso de acordo com os atributos de um utilizador, em vez de ou para além das suas funções. Exemplos de atributos incluem:
- Atributos do utilizador – Título do cargo, nível de antiguidade, departamento, função do cargo
- Atributos do recurso – Tipo de ficheiro, proprietário do ficheiro, nível de sensibilidade do ficheiro
- Ambiente – Rede, geolocalização, data, hora do dia
Funciona da seguinte forma:
- Os administradores definem políticas que especificam que combinação de atributos é necessária para executar uma ação num recurso.
- Quando um utilizador solicita acesso a um recurso, o ABAC verifica os atributos desse utilizador. Se estiverem de acordo com as políticas definidas, o acesso é concedido; caso contrário, o pedido é recusado.
Exemplos de ABAC
Seguem-se dois exemplos de políticas ABAC:
- Para aceder a informações sobre os salários, o utilizador tem de ser membro do departamento de RH. Além disso, o pedido de acesso deve ser efectuado durante o horário normal de expediente e o utilizador só pode aceder aos dados da sua própria filial da empresa.
- Para aceder aos contactos de vendas e aos dados sensíveis relacionados, o utilizador tem de ser um representante de vendas e estar na região dos Estados Unidos.
Benefícios do ABAC
A utilização de atributos em vez de funções permite uma abordagem mais granular ao controlo de acesso. No entanto, o ABAC pode ser mais complicado do que o RBAC.
ABAC no Microsoft Entra
Como vimos, o Microsoft Entra permite a atribuição de permissões com base em funções. Mas também permite que os administradores adicionem condições para determinadas acções, o que ilustra como o ABAC pode ser considerado uma extensão do RBAC. Por exemplo, é possível adicionar uma condição segundo a qual, para que um utilizador possa ler um determinado objeto, o utilizador deve ter uma determinada função e o objeto deve ter uma etiqueta de metadados específica.
Controlo de acesso baseado em atributos vs Controlo de acesso baseado em funções: uma comparação
As tabelas abaixo mostram os prós e os contras do controlo de acesso baseado em funções (RBAC) e do controlo de acesso baseado em atribuições (ABAC):
RBAC vs ABAC: Qual deles escolher?
A escolha entre RBAC e ABAC requer a compreensão da estrutura, orçamento, dimensão e requisitos de segurança da sua organização. Em alguns cenários, o ABAC acaba por ser o vencedor e, noutros, é melhor utilizar o RBAC.
Escolha o modelo RBAC quando:
- Tem uma organização de pequena ou média dimensão
- Não espera um grande afluxo de novos utilizadores
- Tem grupos de utilizadores bem definidos
- Tem um orçamento, recursos ou tempo limitados
Escolha o ABAC quando:
- Tem uma grande organização
- Espera que a sua base de utilizadores se expanda significativamente
- Tem orçamento e recursos suficientes
- Pretende uma política de controlo de acesso altamente personalizável e flexível
Controlo de Acesso através do Netwrix GroupID
O Netwrix GroupID é uma solução robusta de gestão de identidade e acesso (IAM) que segue o modelo RBAC. Inclui as seguintes funções predefinidas:
- Administrador – Pode executar todas as funções do Netwrix GroupID num armazenamento de identidades
- Helpdesk – Pode atualizar informações de diretório, redefinir palavras-passe de contas e desbloquear contas em nome de outros utilizadores
- Utilizador – Pode criar grupos, gerir os seus grupos e gerir o seu próprio perfil de diretório e palavras-passe
Pode criar funções adicionais e atribuir-lhes as permissões adequadas. Por exemplo, pode criar funções que permitam aos membros da função:
- Criar e gerir grupos
- Gerir perfis de utilizador
- Gerir tarefas agendadas
Políticas no Netwrix GroupID
As políticas do Netwrix GroupID refinam e fortalecem o acesso baseado em função. Para cada função, é possível definir as seguintes políticas:
- Política de imposição de propriedade de grupo – Impede a criação de um grupo sem um proprietário principal e restringe o número de proprietários adicionais que um grupo pode ter
- Política de prefixos de nome de grupo – Exige o uso de um prefixo no nome do grupo durante a criação do grupo
- Política de novos objectos – Limita a criação de novos objectos a uma unidade organizacional (OU) específica no diretório
- Política de pesquisa – Limita a pesquisa de objectos a uma OU específica
- Política de autenticação – Requer o uso de métodos de autenticação específicos (como SMS ou Windows Hello) para entrar no Netwrix GroupID
- Política de palavras-passe – Especifica regras de passwords e verificações de validação
- Política de helpdesk – Implementa restrições aos técnicos de helpdesk quando estes redefinem palavras-passe de utilizadores e desbloqueiam contas de utilizadores
Conclusão
O controlo de acesso é essencial para proteger os dados e os sistemas de TI. A escolha entre o controlo de acesso baseado em funções e o controlo de acesso baseado em atributos requer uma avaliação cuidada da estrutura da sua organização, dos requisitos de segurança e conformidade e das projecções de crescimento.
O Netwrix GroupID torna a gestão de acesso mais fácil de compreender, implementar e supervisionar, fornecendo permissões e políticas de funções adaptáveis, adequadas a todas as organizações, independentemente do tamanho ou do sector.
FAQ
Qual é a diferença entre RBAC e ABAC?
O RBAC atribui acesso com base nas funções de um utilizador, como o seu cargo e departamento. O ABAC permite um controlo mais granular, concedendo acesso com base em atributos como o nível de antiguidade de um utilizador, o nível de sensibilidade dos dados e a data ou hora do pedido de acesso.
O ABAC é melhor do que o RBAC?
A um nível elevado, o ABAC e o RBAC têm o mesmo objetivo: ajudar a garantir que o acesso aos dados e a outros recursos de TI é devidamente limitado. Qual é o melhor depende de factores como a dimensão, a estrutura e os requisitos de segurança e conformidade da organização.
Em geral, o ABAC é considerado mais flexível e granular, o que o torna adequado para grandes organizações com necessidades complexas de controlo de acesso. O RBAC, por outro lado, é mais simples e frequentemente preferido por organizações de pequeno e médio porte com grupos bem definidos e recursos limitados.
Qual é a diferença entre o controlo de acesso baseado em políticas (PBAC) e o ABAC?
O PBAC controla o acesso utilizando políticas baseadas em critérios como condições, regras ou funções. O ABAC concede acesso com base nos atributos do utilizador, do recurso e do ambiente.
Qual é a diferença entre o controlo de acesso baseado no contexto (CBAC) e o ABAC?
O ABAC concede acesso com base nos atributos do utilizador, do recurso e do ambiente. O CBAC considera o contexto mais amplo em que o acesso está a ser solicitado, como o estado de uma sessão ou o nível de risco de uma transação.
Post original aqui.