Escrito por: Autor/a: Jonathan Blackwell
O controlo do acesso aos dados, aplicações e outros recursos de TI de uma organização é uma tarefa vital e complexa. É essencial garantir que cada utilizador possa aceder aos recursos de que necessita para fazer o seu trabalho, mas que nenhum deles consiga aceder a dados ou sistemas de que não tenha uma necessidade legítima.
Este artigo explora dois populares modelos de controlo de acesso, o controlo de acesso baseado em funções (RBAC) e o controlo de acesso baseado em atributos (ABAC), e oferece orientações para escolher a opção mais adequada para a sua organização.
No modelo RBAC, os funcionários e outros utilizadores recebem direitos de acesso com base na função ou funções que desempenham na organização. Ou seja, os administradores definem um conjunto de funções, concedem as permissões de acesso adequadas a cada uma dessas funções e, em seguida, atribuem a cada utilizador uma ou mais funções - as funções atribuídas a uma pessoa determinam os seus direitos de acesso aos recursos de TI.
Exemplos de RBAC
Seguem-se alguns exemplos de funções e alguns dos direitos de acesso que lhes podem ser concedidos:
A implementação do RBAC simplifica a gestão do acesso. Quando um novo funcionário entra para a organização, os administradores não têm de lhe conceder uma série de permissões, uma de cada vez; podem simplesmente atribuir ao novo colaborador as funções relevantes e este passa imediatamente a ter todos os direitos de acesso relacionados. Da mesma forma, quando um colaborador muda de equipa ou de departamento, conceder-lhe os novos direitos de acesso adequados (e, mais importante, remover os que já não são necessários) é tão simples como alterar as suas atribuições de funções.
Muitos sistemas empresariais oferecem controlo de acesso baseado em funções. Aqui está uma visão geral de como o Microsoft Entra (anteriormente Azure), o Active Directory e o SharePoint utilizam o RBAC.
O controle de acesso baseado em funções no Microsoft Entra ajuda os administradores a gerir o acesso aos recursos da cloud. Por exemplo, é possível usar o RBAC para:
No Active Directory, os grupos de segurança funcionam como funções. A cada grupo é concedido acesso a determinados recursos, e todos os membros do grupo herdam esses direitos. O AD inclui um conjunto de grupos de segurança predefinidos e os administradores podem criar grupos adicionais.
Seguem-se alguns dos grupos de segurança incorporados e as respectivas permissões:
O SharePoint também tem funções predefinidas com permissões que os membros herdam. Estas funções incluem:
O Microsoft Exchange também segue um modelo RBAC. Algumas das funções de gestão incorporadas são as seguintes:
O ABAC concede privilégios de acesso de acordo com os atributos de um utilizador, em vez de ou para além das suas funções. Exemplos de atributos incluem:
Funciona da seguinte forma:
Exemplos de ABAC
Seguem-se dois exemplos de políticas ABAC:
Benefícios do ABAC
A utilização de atributos em vez de funções permite uma abordagem mais granular ao controlo de acesso. No entanto, o ABAC pode ser mais complicado do que o RBAC.
Como vimos, o Microsoft Entra permite a atribuição de permissões com base em funções. Mas também permite que os administradores adicionem condições para determinadas acções, o que ilustra como o ABAC pode ser considerado uma extensão do RBAC. Por exemplo, é possível adicionar uma condição segundo a qual, para que um utilizador possa ler um determinado objeto, o utilizador deve ter uma determinada função e o objeto deve ter uma etiqueta de metadados específica.
As tabelas abaixo mostram os prós e os contras do controlo de acesso baseado em funções (RBAC) e do controlo de acesso baseado em atribuições (ABAC):
A escolha entre RBAC e ABAC requer a compreensão da estrutura, orçamento, dimensão e requisitos de segurança da sua organização. Em alguns cenários, o ABAC acaba por ser o vencedor e, noutros, é melhor utilizar o RBAC.
Escolha o modelo RBAC quando:
Escolha o ABAC quando:
O Netwrix GroupID é uma solução robusta de gestão de identidade e acesso (IAM) que segue o modelo RBAC. Inclui as seguintes funções predefinidas:
Pode criar funções adicionais e atribuir-lhes as permissões adequadas. Por exemplo, pode criar funções que permitam aos membros da função:
As políticas do Netwrix GroupID refinam e fortalecem o acesso baseado em função. Para cada função, é possível definir as seguintes políticas:
O controlo de acesso é essencial para proteger os dados e os sistemas de TI. A escolha entre o controlo de acesso baseado em funções e o controlo de acesso baseado em atributos requer uma avaliação cuidada da estrutura da sua organização, dos requisitos de segurança e conformidade e das projecções de crescimento.
O Netwrix GroupID torna a gestão de acesso mais fácil de compreender, implementar e supervisionar, fornecendo permissões e políticas de funções adaptáveis, adequadas a todas as organizações, independentemente do tamanho ou do sector.
Qual é a diferença entre RBAC e ABAC?
O RBAC atribui acesso com base nas funções de um utilizador, como o seu cargo e departamento. O ABAC permite um controlo mais granular, concedendo acesso com base em atributos como o nível de antiguidade de um utilizador, o nível de sensibilidade dos dados e a data ou hora do pedido de acesso.
O ABAC é melhor do que o RBAC?
A um nível elevado, o ABAC e o RBAC têm o mesmo objetivo: ajudar a garantir que o acesso aos dados e a outros recursos de TI é devidamente limitado. Qual é o melhor depende de factores como a dimensão, a estrutura e os requisitos de segurança e conformidade da organização.
Em geral, o ABAC é considerado mais flexível e granular, o que o torna adequado para grandes organizações com necessidades complexas de controlo de acesso. O RBAC, por outro lado, é mais simples e frequentemente preferido por organizações de pequeno e médio porte com grupos bem definidos e recursos limitados.
Qual é a diferença entre o controlo de acesso baseado em políticas (PBAC) e o ABAC?
O PBAC controla o acesso utilizando políticas baseadas em critérios como condições, regras ou funções. O ABAC concede acesso com base nos atributos do utilizador, do recurso e do ambiente.
Qual é a diferença entre o controlo de acesso baseado no contexto (CBAC) e o ABAC?
O ABAC concede acesso com base nos atributos do utilizador, do recurso e do ambiente. O CBAC considera o contexto mais amplo em que o acesso está a ser solicitado, como o estado de uma sessão ou o nível de risco de uma transação.
Post original aqui.