¿Qué es el control de acceso basado en roles (RBAC)?

El control de acceso basado en roles permite o restringe el acceso de los usuarios a los datos en función solo del rol del usuario en la organización.

Objetivos de aprendizaje

Después de leer este artículo podrás:

  • Más información acerca de cómo funciona el control de acceso basado en roles (RBAC)
  • Comparar el RBAC con otros tipos de control de acceso, como el basado en atributos y el basado en reglas

Copiar enlace del artículo

¿Qué es el control de acceso basado en roles (RBAC)?

El control de acceso basado en roles (RBAC) es un método para controlar lo que los usuarios pueden hacer dentro de los sistemas de TI de una empresa. El RBAC lo consigue al asignar a cada usuario uno o varios "roles" y al otorgar a cada rol diferentes permisos. El RBAC puede aplicarse a una sola aplicación de software o a varias aplicaciones.

ejemplo de control de acceso basado en roles

Pensemos en una casa en la que viven varias personas. Cada residente recibe una copia de la llave que abre la puerta principal: no reciben llaves diferentes que abran todas la puerta principal. Si necesitan acceder a otra parte de la propiedad, como el cobertizo del patio trasero, puede que reciban una segunda llave. Ningún residente recibe una llave única para el cobertizo, ni una llave especial que abra tanto el cobertizo como la puerta principal.

En RBAC, los roles son estáticos, como las llaves de la casa en el ejemplo anterior. Son los mismos para cualquiera que los tenga, y a cualquiera que necesite más acceso se le asigna un rol adicional (o una segunda llave), en lugar de conseguir permisos personalizados.

En teoría, este enfoque basado en roles para el control de acceso hace que sea relativamente sencillo gestionar los permisos de los usuarios, ya que los permisos no están hechos a medida para cada usuario individual. Sin embargo, en las grandes empresas con muchos roles y muchas aplicaciones, el RBAC se puede volver complejo y difícil de seguir, y los usuarios pueden terminar con más permisos de los que necesitan.

¿Qué es el control de acceso?

En ciberseguridad, el control de acceso hace referencia a las herramientas para restringir y controlar lo que los usuarios pueden hacer y los datos que pueden ver. La introducción de un código de acceso para desbloquear un teléfono inteligente es un ejemplo básico de control de acceso: solo el que conozca el código puede acceder a los archivos y aplicaciones del teléfono.

¿Qué es un rol?

La posición de una persona en una empresa puede denominarse "rol". Pero en RBAC, un rol tiene una definición más técnica: es un conjunto claramente definido de habilidades, o permisos, para su uso dentro de los sistemas de la empresa. Cada usuario interno tiene al menos un rol asignado, y algunos pueden tener múltiples roles.

Los roles son genéricos y no están hechos a medida de ningún empleado de una organización. Por ejemplo, un empleado de ventas no recibiría permisos configurados específicamente para su cuenta de usuario. En su lugar, se le asignaría el "empleado de ventas" y todos los permisos que lo acompañan, como la capacidad de ver y editar la base de datos de cuentas de clientes. A otros empleados de ventas del equipo se les asignaría el mismo rol. Si un empleado de ventas en concreto necesitara más permisos, se le asignaría un rol adicional.

Este enfoque hace que sea relativamente sencillo añadir o eliminar un usuario: en lugar de tener que editar los permisos de los usuarios individuales, un administrador simplemente puede cambiar su rol.

¿Qué es un permiso de usuario?

En el contexto del control de acceso, un permiso es la capacidad de realizar una acción. Un ejemplo podría ser la capacidad de cargar un archivo en una base de datos de la empresa. Un usuario de confianza (por ejemplo, un empleado interno) tendrá permiso para subir archivos, mientras que un proveedor externo puede que no cuente con esta capacidad. En RBAC, cada posible rol viene con un conjunto de permisos.

¿Qué es el control de acceso basado en atributos (ABAC)?

El control de acceso basado en atributos, o ABAC, es un método alternativo para controlar el acceso en una organización. El ABAC es algo similar al RBAC pero es más granular: los permisos en el ABAC se basan en los atributos del usuario, no en los roles del usuario. Los atributos pueden ser casi cualquier cosa: características específicas del usuario (por ejemplo, cargo o acreditación de seguridad), atributos de la acción que se realiza, o incluso "propiedades del mundo real", como la hora actual del día o la ubicación física de los datos a los que se accede.

RBAC vs. ABAC

Tanto RBAC como ABAC tienen en cuenta las características del usuario. Sin embargo, ABAC puede tener en cuenta una mayor cantidad de contexto, como la acción que se realiza y las propiedades de los datos o del sistema al que accede el usuario, mientras que RBAC solo tiene en cuenta el rol o los roles del usuario. Esto hace que ABAC sea más dinámico que RBAC, pero también más complejo de gestionar con eficacia.

¿Qué es el control de acceso basado en reglas?

El control de acceso basado en roles no es lo mismo que el control de acceso basado en reglas. El control de acceso basado en reglas se basa en un conjunto de reglas, mientras que el control de acceso basado en roles se basa en el usuario. Un controlador basado en reglas bloqueará determinadas acciones, como un puerto, una dirección IP, o un tipo de entrada de datos, independientemente de la procedencia de la solicitud. Los firewalls suelen utilizarse para implementar el control de acceso basado en reglas.

¿Cómo ayuda Cloudflare a las empresas a aplicar las políticas de control de acceso?

Cloudflare Access, que forma parte de la suite Cloudflare for Teams , permite a las empresas asegurar, autenticar, supervisar y permitir o denegar el acceso de los usuarios a cualquier dominio, aplicación o ruta en Cloudflare. Cloudflare Access aplica rápidamente permisos de usuario a nivel de aplicación a los recursos internos de una empresa, y también mantiene un registro de todos los recursos a los que acceden los usuarios.

Ventas