O controle de acesso baseado em função permite ou restringe o acesso de usuários aos dados com base unicamente na função do usuário dentro da organização.
Após ler este artigo, você será capaz de:
Conteúdo relacionado
Controle de acesso
Segurança Zero Trust
O que é IAM?
Filtragem de DNS
Prevenção de perda de dados (DLP)
Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.
Copiar o link do artigo
O controle de acesso baseado em função (RBAC) é um método para controlar o que os usuários podem fazer nos sistemas de TI de uma empresa. O RBAC faz isso atribuindo uma ou mais "funções" a cada usuário e concedendo permissões diferentes a cada função. O RBAC pode ser aplicado em um único aplicativo de software ou em vários aplicativos.
Pense em uma casa onde várias pessoas moram. Cada morador recebe uma cópia da chave que abre a porta da frente: eles não recebem chaves de design diferente que abrem a porta da frente. Se precisarem acessar outra parte da propriedade, como o galpão de armazenamento no quintal, podem receber uma segunda chave. Nenhum morador recebe uma chave exclusiva para o galpão, ou uma chave especial que abre tanto o galpão quanto a porta da frente.
No RBAC, as funções são estáticas, como as chaves da casa no exemplo acima. Elas são as mesmas para quem as possui, e quem precisa de mais acesso recebe uma função adicional (ou uma segunda chave), em vez de obter permissões personalizadas.
Teoricamente, essa abordagem baseada em função para o controle de acesso torna relativamente simples gerenciar as permissões dos usuários, pois as permissões não são personalizadas para usuários individuais. No entanto, em grandes empresas com muitas funções e muitos aplicativos, o RBAC às vezes se torna complexo e difícil de monitorar e os usuários podem acabar com mais permissões do que precisam como resultado.
Na segurança cibernética, o controle de acesso refere-se a ferramentas para restringir e controlar o que os usuários podem fazer e quais dados eles podem ver. Digitar uma senha para desbloquear um smartphone é um exemplo básico de controle de acesso: somente alguém que conhece a senha pode acessar os arquivos e aplicativos no telefone.
A posição de uma pessoa em uma empresa pode ser chamada de "função". Mas uma função tem uma definição mais técnica no RBAC: é um conjunto claramente definido de habilidades, ou permissões, para uso nos sistemas da empresa. Cada usuário interno tem pelo menos uma função atribuída a ele e alguns podem ter várias funções.
As funções são genéricas e não são adaptadas a nenhum funcionário dentro de uma organização. Por exemplo, um vendedor não receberia permissões configuradas especificamente para sua conta de usuário. Em vez disso, seria atribuída a ele a função de "vendedor" e todas as permissões que a acompanham, tais como a capacidade de visualizar e editar o banco de dados da conta do cliente. A outros vendedores da equipe seria atribuída a mesma função. Se um vendedor específico precisasse de permissões ampliadas, ele receberia uma função adicional.
Esta abordagem torna a adição ou remoção de um usuário relativamente simples — em vez de editar permissões para usuários individuais, um administrador pode simplesmente mudar suas funções.
No contexto de controle de acesso, uma permissão é a capacidade de realizar uma ação. Um exemplo pode ser a capacidade de carregar um arquivo para um banco de dados da empresa. Um usuário confiável — digamos, um funcionário interno — terá permissão para carregar arquivos, enquanto um contratado externo pode não ter essa capacidade. No RBAC, cada função possível vem com um conjunto de permissões.
O controle de acesso baseado em atributos, ou ABAC, é um método alternativo para controlar o acesso dentro de uma organização. O ABAC é semelhante ao RBAC, mas é mais granular: as permissões no ABAC são baseadas nos atributos do usuário, não nas funções do usuário. Atributos podem ser quase qualquer coisa: características específicas do usuário (por exemplo, cargo ou autorização de segurança), atributos da ação que está sendo executada ou até mesmo propriedades do "mundo real", como a hora atual do dia ou a localização física dos dados sendo acessados.
Tanto o RBAC quanto o ABAC levam em consideração as características do usuário. No entanto, o ABAC pode levar em consideração uma quantidade maior de contexto, como a ação que está sendo executada e as propriedades dos dados ou sistema que o usuário está acessando, enquanto o RBAC leva em consideração apenas a(s) função(ões) do usuário. Isso torna o ABAC mais dinâmico que o RBAC, mas também mais complexo para ser gerenciado com eficácia.
Controle de acesso baseado em função não é a mesma coisa que controle de acesso baseado em regras. O controle de acesso baseado em regras é baseado em um conjunto de regras, enquanto o controle de acesso baseado em função é baseado no usuário. Um controlador baseado em regras bloqueará determinadas ações, como uma porta, um endereço de IP ou um tipo de entrada de dados, independentemente de onde venha a solicitação. Os firewalls costumam ser usados com frequência para implementar o controle de acesso baseado em regras.
O Cloudflare Zero Trust permite que as empresas protejam, autentiquem, monitorem e permitam ou neguem o acesso do usuário a qualquer domínio, aplicativo ou caminho na Cloudflare. O Cloudflare Zero Trust aplica rapidamente permissões de usuário no nível do aplicativo aos recursos internos da empresa e também mantém um registro de todos os recursos que os usuários acessam.