O que é o controle de acesso baseado em função (RBAC)?

O controle de acesso baseado em função permite ou restringe o acesso de usuários aos dados com base unicamente na função do usuário dentro da organização.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Saber como funciona o controle de acesso baseado em função (RBAC)
  • Compare o RBAC com outros tipos de controle de acesso, como os controles de acesso baseado em atributos e baseado em regras

Copiar o link do artigo

O que é o controle de acesso baseado em função (RBAC)?

O controle de acesso baseado em função (RBAC) é um método para controlar o que os usuários podem fazer nos sistemas de TI de uma empresa. O RBAC faz isso atribuindo uma ou mais "funções" a cada usuário e concedendo permissões diferentes a cada função. O RBAC pode ser aplicado em um único aplicativo de software ou em vários aplicativos.

Pense em uma casa onde várias pessoas moram. Cada morador recebe uma cópia da chave que abre a porta da frente: eles não recebem chaves de design diferente que abrem a porta da frente. Se precisarem acessar outra parte da propriedade, como o galpão de armazenamento no quintal, podem receber uma segunda chave. Nenhum morador recebe uma chave exclusiva para o galpão, ou uma chave especial que abre tanto o galpão quanto a porta da frente.

No RBAC, as funções são estáticas, como as chaves da casa no exemplo acima. Elas são as mesmas para quem as possui, e quem precisa de mais acesso recebe uma função adicional (ou uma segunda chave), em vez de obter permissões personalizadas.

Teoricamente, essa abordagem baseada em função para o controle de acesso torna relativamente simples gerenciar as permissões dos usuários, pois as permissões não são personalizadas para usuários individuais. No entanto, em grandes empresas com muitas funções e muitos aplicativos, o RBAC às vezes se torna complexo e difícil de monitorar e os usuários podem acabar com mais permissões do que precisam como resultado.

O que é controle de acesso?

Na segurança cibernética, o controle de acesso refere-se a ferramentas para restringir e controlar o que os usuários podem fazer e quais dados eles podem ver. Digitar uma senha para desbloquear um smartphone é um exemplo básico de controle de acesso: somente alguém que conhece a senha pode acessar os arquivos e aplicativos no telefone.

O que é uma função?

A posição de uma pessoa em uma empresa pode ser chamada de "função". Mas uma função tem uma definição mais técnica no RBAC: é um conjunto claramente definido de habilidades, ou permissões, para uso nos sistemas da empresa. Cada usuário interno tem pelo menos uma função atribuída a ele e alguns podem ter várias funções.

As funções são genéricas e não são adaptadas a nenhum funcionário dentro de uma organização. Por exemplo, um vendedor não receberia permissões configuradas especificamente para sua conta de usuário. Em vez disso, seria atribuída a ele a função de "vendedor" e todas as permissões que a acompanham, tais como a capacidade de visualizar e editar o banco de dados da conta do cliente. A outros vendedores da equipe seria atribuída a mesma função. Se um vendedor específico precisasse de permissões ampliadas, ele receberia uma função adicional.

Esta abordagem torna a adição ou remoção de um usuário relativamente simples — em vez de editar permissões para usuários individuais, um administrador pode simplesmente mudar suas funções.

O que é uma permissão de usuário?

No contexto de controle de acesso, uma permissão é a capacidade de realizar uma ação. Um exemplo pode ser a capacidade de carregar um arquivo para um banco de dados da empresa. Um usuário confiável — digamos, um funcionário interno — terá permissão para carregar arquivos, enquanto um contratado externo pode não ter essa capacidade. No RBAC, cada função possível vem com um conjunto de permissões.

O que é controle de acesso baseado em atributos (ABAC)?

O controle de acesso baseado em atributos, ou ABAC, é um método alternativo para controlar o acesso dentro de uma organização. O ABAC é semelhante ao RBAC, mas é mais granular: as permissões no ABAC são baseadas nos atributos do usuário, não nas funções do usuário. Atributos podem ser quase qualquer coisa: características específicas do usuário (por exemplo, cargo ou autorização de segurança), atributos da ação que está sendo executada ou até mesmo propriedades do "mundo real", como a hora atual do dia ou a localização física dos dados sendo acessados.

RBAC X ABAC

Tanto o RBAC quanto o ABAC levam em consideração as características do usuário. No entanto, o ABAC pode levar em consideração uma quantidade maior de contexto, como a ação que está sendo executada e as propriedades dos dados ou sistema que o usuário está acessando, enquanto o RBAC leva em consideração apenas a(s) função(ões) do usuário. Isso torna o ABAC mais dinâmico que o RBAC, mas também mais complexo para ser gerenciado com eficácia.

O que é controle de acesso baseado em regras?

O controle de acesso baseado em função não é a mesma coisa que o controle de acesso baseado em regras. O controle de acesso baseado em regras é baseado em um conjunto de regras, enquanto o controle de acesso baseado em função é baseado no usuário. Um controlador baseado em regras bloqueará determinadas ações, como uma porta, um endereço de IP ou um tipo de entrada de dados, não importa de onde venha a solicitação. Geralmente, são usados firewalls para implementar o controle de acesso baseado em regras.

Como a Cloudflare ajuda as empresas a aplicar políticas de controle de acesso?

O Cloudflare Access, parte do pacote do Cloudflare for Teams, capacita as empresas a proteger, autenticar, monitorar e permitir ou negar o acesso do usuário a qualquer domínio, aplicativo, ou caminho na Cloudflare. O Cloudflare Access aplica rapidamente permissões de usuário em nível de aplicativo aos recursos internos de uma empresa e também mantém um registro de todos os recursos que os usuários acessam.