Was ist rollenbasierte Zugriffskontrolle (RBAC)?

Rollenbasierte Zugriffskontrolle erlaubt oder beschränkt den Benutzerzugriff auf Daten ausschließlich auf Grundlage der Rolle des Benutzers innerhalb der Organisation.

Share facebook icon linkedin icon twitter icon email icon

RBAC

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Lernen, wie rollenbasierte Zugriffskontrolle (RBAC) funktioniert
  • RBAC mit anderen Arten der Zugriffskontrolle vergleichen, z. B. attribut- oder regelbasierter Zugriffskontrolle

Was ist rollenbasierte Zugriffskontrolle (RBAC)?

Rollenbasierte Zugriffskontrolle (RBAC) ist eine Methode, mit der gesteuert wird, was Benutzer in den IT-Systemen eines Unternehmens tun dürfen. Dazu weist RBAC jedem Benutzer eine oder mehrere „Rollen“ zu und erteilt jeder Rolle unterschiedliche Berechtigungen. RBAC kann für eine einzelne Softwareanwendung oder für mehrere Anwendungen eingesetzt werden.

Stellen Sie sich ein Haus vor, in dem mehrere Menschen leben. Jeder Bewohner erhält ein Exemplar des Haustürschlüssels, und diese Schlüssel für die Haustür sehen alle gleich aus. Wenn ein Bewohner Zugang zu einem anderen Teil der Immobilie braucht, z. B. zum Schuppen im Hof, bekommt derjenige möglicherweise einen zweiten Schlüssel. Aber kein Bewohner erhält einen einzigartigen Schlüssel für den Schuppen oder einen speziellen Schlüssel, mit dem man sowohl Schuppen- als auch Haustür öffnen kann.

Bei RBAC sind die Rollen statisch, wie die Schlüssel für das Haus im obigen Beispiel. Sie sind für jeden gleich, und jeder, der mehr Zugriff benötigt, erhält eine zusätzliche Rolle (oder einen zweiten Schlüssel), anstatt dass individuelle Berechtigungen vergeben werden.

Theoretisch ist die Verwaltung der Benutzerberechtigungen bei dieser rollenbasierten Zugriffssteuerungsmethode relativ einfach, denn die Berechtigungen werden nicht auf einzelne Benutzer zugeschnitten. In großen Unternehmen mit vielen Rollen und Anwendungen kann RBAC jedoch komplex und schwer nachvollziehbar sein, und die Benutzer erhalten möglicherweise mehr Berechtigungen als nötig.

Was ist Zugriffskontrolle?

Im Bereich Cybersicherheit bedeutet Zugriffskontrolle, dass es Einschränkungs- und Steuerungswerkzeuge dafür gibt, was Benutzer tun und welche Daten sie sehen dürfen. Die Eingabe eines Passcodes zum Entsperren eines Smartphones ist ein einfaches Beispiel für Zugriffskontrolle: Nur jemand, der den Passcode kennt, kann auf die Dateien und Anwendungen auf dem Telefon zugreifen.

Was ist eine Rolle?

Die Stelle, die man in einem Unternehmen einnimmt, kann als „Rolle“ bezeichnet werden. Für RBAC gilt jedoch eine eher technische Definition einer Rolle: Es handelt sich um eine klar definierte Reihe von Fähigkeiten oder Berechtigungen bezogen auf Unternehmenssysteme. Jedem internen Benutzer wird mindestens eine Rolle zugewiesen, und einige haben möglicherweise mehrere Rollen.

Rollen werden allgemein gehalten und nicht auf einen Mitarbeiter einer Organisation zugeschnitten. Ein Verkäufer beispielsweise würde nicht speziell für sein Benutzerkonto bestimmte Berechtigungen erhalten. Stattdessen würde ihm die Rolle „Verkäufer“ und damit alle zugehörigen Berechtigungen zugewiesen, z. B. die Möglichkeit, die Datenbank der Kundenkonten aufzurufen und zu bearbeiten. Anderen Verkäufern im Team würde dieselbe Rolle zugewiesen. Wenn ein bestimmter Verkäufer weitergehende Berechtigungen benötigt, wird ihm eine weitere Rolle zugewiesen.

Mit dieser Vorgehensweise ist es relativ einfach, Benutzer aufzunehmen oder zu entfernen. Anstatt die Berechtigungen eines einzelnen Benutzers zu bearbeiten, kann ein Administrator einfach dessen Rolle ändern.

Was ist eine Benutzerberechtigung?

Im Kontext der Zugriffskontrolle ist eine Berechtigung die Fähigkeit, eine Aktion auszuführen. Das könnte zum Beispiel die Fähigkeit sein, eine Datei in eine Unternehmensdatenbank hochzuladen. Ein vertrauenswürdiger Benutzer – beispielsweise ein interner Mitarbeiter – hat die Berechtigung, Dateien hochzuladen, ein externer Auftragnehmer darf dies möglicherweise nicht. Bei RBAC besitzt jede mögliche Rolle eine Reihe von Berechtigungen.

Was ist attributbasierte Zugriffskontrolle (ABAC)?

Attributbasierte Zugriffssteuerung (ABAC) ist eine alternative Methode zur Zugriffssteuerung innerhalb einer Organisation. ABAC ist in gewisser Hinsicht mit RBAC vergleichbar, jedoch detaillierter: Berechtigungen in ABAC basieren auf Attributen von Benutzern, nicht auf deren Rollen. Attribute können fast alles sein: spezifische Merkmale des Benutzers (z. B. Berufsbezeichnung oder Sicherheitsfreigabe), Attribute der ausgeführten Aktion oder sogar Eigenschaften der „wirklichen Welt“, etwa die aktuelle Tageszeit oder der physische Standort der Daten, auf die zugegriffen werden soll.

RBAC im Vergleich zu ABAC

Bei RBAC werden ebenso wie bei ABAC Eigenschaften des Benutzers berücksichtigt. Bei ABAC kann jedoch mehr Kontext einbezogen werden, z. B. die ausgeführte Aktion und die Eigenschaften der Daten oder des Systems, auf die der Benutzer zugreift, während bei RBAC nur die Rollen des Benutzers berücksichtigt werden. ABAC ist deshalb dynamischer als RBAC, es ist aber auch komplizierter, ABAC effektiv zu verwalten.

Was ist regelbasierte Zugriffskontrolle?

Rollenbasierte Zugriffssteuerung ist nicht dasselbe wie die regelbasierte Zugriffssteuerung. Die Grundlage regelbasierter Zugriffssteuerung ist eine Reihe von Regeln, die Grundlage rollenbasierter Zugriffssteuerung ist der Benutzer. Eine regelbasierte Steuerung blockiert bestimmte Aktionen, z. B. einen Port, eine IP-Adresse oder eine bestimmte Art der Dateneingabe, unabhängig davon, woher die Anfrage stammt. Firewalls werden häufig zur Implementierung einer regelbasierten Zugriffssteuerung eingesetzt.

Wie unterstützt Cloudflare Unternehmen bei der Durchsetzung von Richtlinien für die Zugriffssteuerung?

Cloudflare Access gehört zur Produktsuite Cloudflare for Teams und ermöglicht es Unternehmen, Benutzerzugriffe auf Domains, Anwendungen oder Pfade in Cloudflare zu schützen, zu authentifizieren, zu überwachen und zuzulassen oder zu verweigern. Mit Cloudflare Access werden Benutzerberechtigungen auf Anwendungsebene schnell auf die internen Ressourcen eines Unternehmens angewendet. Außerdem wird Protokoll darüber geführt, auf welche Ressourcen ein Benutzer zugreift.