Cos'è il controllo degli accessi basato sui ruoli (RBAC)?

Cos'è il controllo degli accessi basato sui ruoli (RBAC)?

Il controllo degli accessi basato sui ruoli (RBAC) è un metodo per controllare ciò che gli utenti sono in grado di fare all'interno dei sistemi IT di un'azienda. RBAC realizza questo assegnando uno o più "ruoli" a ciascun utente e assegnando a ciascun ruolo autorizzazioni diverse. RBAC può essere applicato a una singola applicazione software o a più applicazioni.

Pensa a una casa in cui vivono più persone. Ogni residente riceve una copia della chiave che apre la porta d'ingresso: non vengono fornite chiavi diverse che aprono tutte la porta d'ingresso. Se hanno bisogno di accedere a un'altra parte della proprietà, come ad esempio il ripostiglio nel cortile sul retro, potrebbero ricevere una seconda chiave. Nessun residente riceve una chiave unica per il ripostiglio, né una chiave speciale che apra sia il ripostiglio sia la porta d'ingresso.

In RBAC i ruoli sono statici, proprio come le chiavi di casa nell'esempio precedente. Sono gli stessi per chiunque li abbia e a chiunque necessiti di un maggiore accesso viene assegnato un ruolo aggiuntivo (o una seconda chiave), invece di ottenere autorizzazioni personalizzate.

In teoria, questo approccio basato sui ruoli per controllare gli accessi semplifica relativamente la gestione delle autorizzazioni degli utenti, poiché queste non sono personalizzate in base ai singoli utenti. Tuttavia, nelle grandi aziende con molti ruoli e molte applicazioni, il sistema RBAC a volte diventa complesso e difficile da tracciare e, di conseguenza, gli utenti potrebbero ritrovarsi con più autorizzazioni del necessario.

Cos'è il controllo degli accessi?

Nell'ambito della sicurezza informatica, il controllo degli accessi si riferisce a strumenti che consentono di limitare e controllare ciò che gli utenti possono fare e quali dati possono visualizzare. L'immissione di un codice di accesso per sbloccare uno smartphone è un esempio basilare di controllo degli accessi: solo chi conosce il codice di accesso può accedere ai file e alle applicazioni del telefono.

Cos'è un ruolo?

La posizione di un individuo in un'azienda può essere definita "ruolo". Ma in RBAC il ruolo ha una definizione più tecnica: è un insieme chiaramente definito di capacità o autorizzazioni da utilizzare nei sistemi aziendali. A ciascun utente interno è assegnato almeno un ruolo e alcuni possono avere più ruoli.

I ruoli sono generici e non sono personalizzati per un determinato dipendente all'interno di un'organizzazione. Ad esempio, un addetto alle vendite non riceverebbe autorizzazioni specificatamente configurate per il suo account utente. Al contrario, verrebbe loro assegnato il ruolo di "addetto alle vendite" e tutte le autorizzazioni ad esso connesse, come la possibilità di visualizzare e modificare il database degli account dei clienti. Lo stesso ruolo verrebbe assegnato anche ad altri venditori del team. Se un determinato venditore necessitava di autorizzazioni più ampie, gli veniva assegnato un ruolo aggiuntivo.

Questo approccio rende relativamente semplice l'aggiunta o la rimozione di un utente: invece di modificare le autorizzazioni per i singoli utenti, un amministratore può semplicemente cambiarne il ruolo.

Cos'è un'autorizzazione utente?

Nel contesto del controllo degli accessi, un'autorizzazione è la capacità di eseguire un'azione. Un esempio potrebbe essere la possibilità di caricare un file in un database aziendale. Un utente fidato, ad esempio un dipendente interno, avrà l'autorizzazione a caricare file, mentre un collaboratore esterno potrebbe non avere questa possibilità. In RBAC, ogni ruolo possibile viene fornito con una serie di autorizzazioni.

Cos'è il controllo degli accessi basato sugli attributi (ABAC)?

Il controllo degli accessi basato sugli attributi, o ABAC, è un metodo alternativo per controllare l'accesso all'interno di un'organizzazione. ABAC è in qualche modo simile a RBAC, ma è più granulare: i permessi in ABAC si basano sugli attributi utente, non sui ruoli utente. Gli attributi possono essere quasi qualsiasi cosa: caratteristiche specifiche dell'utente (ad esempio, titolo di lavoro o autorizzazione di sicurezza), attributi dell'azione eseguita o persino proprietà del "mondo reale", come l'ora corrente del giorno o la posizione fisica dei dati a cui si accede.

RBAC e ABAC

Sia RBAC che ABAC tengono conto delle caratteristiche dell'utente. Tuttavia, ABAC può prendere in considerazione una quantità maggiore di contesto, come l'azione eseguita e le proprietà dei dati o del sistema a cui l'utente accede, mentre RBAC prende in considerazione solo i ruoli dell'utente. Ciò rende l'ABAC più dinamico dell'RBAC, ma anche più complesso da gestire in modo efficace.

Cos'è il controllo degli accessi basato su regole?

Il controllo degli accessi basato sui ruoli non è la stessa cosa del controllo degli accessi basato sulle regole. Il controllo degli accessi basato su regole si basa su un insieme di regole, mentre il controllo degli accessi basato sui ruoli si basa sull'utente. Un controller basato sulle regole bloccherà determinate azioni, come una porta, un indirizzo IP o un tipo di input di dati, indipendentemente dalla provenienza della richiesta. I firewall vengono spesso utilizzati per implementare il controllo degli accessi basato su regole.

In che modo Cloudflare aiuta le aziende a far rispettare le politiche di controllo degli accessi?

Cloudflare Zero Trust consente alle aziende di proteggere, autenticare, monitorare e consentire o negare l'accesso degli utenti a qualsiasi dominio, applicazione o percorso su Cloudflare. Cloudflare Zero Trust applica rapidamente le autorizzazioni utente a livello di applicazione alle risorse interne di un'azienda e conserva inoltre un registro di tutte le risorse a cui gli utenti accedono.