Administrador De Red

Modelos de control de acceso RBAC frente a ABAC: ¿Cuál es la diferencia?

Modelos de control de acceso RBAC frente a ABAC



Controlar el acceso a dispositivos y recursos es una de las protecciones más básicas que una empresa debe tener para mantenerse segura. La implementación de controles de acceso minimiza la exposición de recursos clave y le ayuda a cumplir con las regulaciones de su industria. Actualmente, existen dos métodos principales de control de acceso: RBAC vs ABAC.

RBACrepresentaControl de acceso basado en rolesyABACrepresentaControl de acceso basado en atributos.



En este artículo, veremos qué son RBAC y ABAC y qué es mejor para administrar el acceso de los usuarios a los recursos.

Contenido [ esconder ]



¿Qué es RBAC?

RBAC es un método que gestiona los controles de acceso basados ​​en roles. Un administrador de red determinará los privilegios de acceso de una función, por ejemplo, si la función puede crear y modificar archivos o si está restringida a la lectura. Según RBAC, el rol que se asigna a los empleados determina a qué recursos tienen acceso.

El nivel de acceso puede verse influenciado por la antigüedad de los usuarios en cuestión y si los materiales son críticos para su trabajo diario. Al utilizar RBAC, la mejor práctica es restringir el acceso a los recursos a menos que sea absolutamente necesario, para limitar el riesgo de fugas de datos.

En otras palabras, los empleados sólo deberían tener acceso a los sistemas y materiales necesarios para realizar su trabajo y nada más para minimizar el riesgo de que un activo se vea comprometido.

Hay cuatro niveles de control de acceso basado en roles que se pueden implementar:

  1. Piso RBAC– A todos los usuarios y permisos se les asignan roles. Un usuario debe asumir un rol para obtener los permisos necesarios. Como consecuencia, a un usuario se le pueden asignar múltiples roles para tener múltiples permisos. Se pueden asignar roles a varios usuarios.
  2. RBAC jerárquico– Agrega una jerarquía a la estructura de roles que establece las relaciones entre roles. Los roles de mayor antigüedad adquieren los permisos de los roles junior.
  3. RBAC restringido– Agrega una separación de tareas para que varios usuarios deban completar una sola tarea para garantizar que no se puedan realizar cambios maliciosos en su sistema.
  4. RBAC simétrico– La empresa revisa periódicamente los permisos asociados a cada rol. Un administrador puede obtener permisos de un usuario y luego reasignarlos a otro individuo.

¿Qué es ABAC?

ABAC utiliza atributos, un conjunto de etiquetas y propiedades, para determinar quién tiene acceso a qué recursos. Los atributos incluyen atributos del sujeto, atributos de los objetos, condiciones ambientales y políticas. En la práctica, los atributos pueden incluir todo, desde elposición de los empleados en sus departamentos, direcciones IP, dispositivos,y más.

Por ejemplo, un administrador podría restringir el acceso a un recurso estableciendo uno de los atributos enrol = supervisory otro comodepartamento = marketing. Estos atributos actúan como condiciones y determinan lo que un usuario necesita para tener acceso a un recurso o sistema.

El acceso se puede controlar utilizando el lenguaje de marcado de control de acceso extensible (XACML) para establecer reglas de control de acceso. El modelo utiliza lógica booleana siguiendo un formato SI, ENTONCES que decide el acceso de un usuario en función de los atributos.

El proceso está automatizado, lo que constituye una forma eficaz de gestionar los permisos de acceso, ya que un administrador no necesita asignar o reasignar funciones continuamente a los usuarios.

¿Cuál es la diferencia entre RBAC y ABAC?

La principal diferencia entre RBAC y ABAC es que el primero se basa en roles y asigna permisos según el rol, y el segundo se basa en atributos y otorga acceso según atributos que cambian en tiempo real.

Por ejemplo, si los empleados son trasladados a un departamento diferente, los permisos actuales se pueden revocar automáticamente y se les puede otorgar inmediatamente el acceso necesario para desempeñar sus nuevas funciones.

ABAC es utilizado principalmente por empresas más grandes debido a su complejidad. Se necesita tiempo para definir los atributos necesarios para que el sistema funcione. Sin embargo, una vez que se configura ABAC, es mucho más eficiente que RBAC porque todo el proceso está automatizado.

¿Cómo puedo elegir entre los dos?

La elección entre los dos depende de cuál sea su caso de uso. Si desea tomar decisiones simples y amplias sobre funciones de acceso, entonces RBAC es una elección natural. Sin embargo, si necesita agregar muchas restricciones y condiciones de acceso específicas, entonces debería usar ABAC.

Como regla general, debe implementar RBAC antes que ABAC. La razón es que tanto RBAC como ABAC actúan como filtros. Si RBAC puede controlar suficientemente el acceso a sus recursos clave, entonces no tiene sentido pagar por ABAC adicional. Es importante tener en cuenta que también puede adoptar el enfoque híbrido y utilizar tanto RBAC como ABAC. A continuación veremos las ventajas y desventajas de cada solución con más detalle.

Beneficios de RBAC

Si bien RBAC puede no ser tan innovador como ABAC, aún tiene un conjunto de ventajas arraigadas para administrar los permisos de acceso. Estos son los siguientes:

  • Eficiencia incrementada
  • Menor riesgo de violaciones de datos
  • Cumplimiento normativo
  • Costos mas bajos

Una ventaja clave de RBAC es que es más eficiente. Puede agregar nuevos roles y editar roles existentes rápidamente, lo que le permite incorporar personal nuevo rápidamente. Otra es que controlar el acceso a datos confidenciales reduce el riesgo de violaciones de datos. El acceso controlado a datos confidenciales reduce el riesgo de ser víctima de un ciberataque.

La mayor eficiencia también ayuda desde una perspectiva de cumplimiento, ya que le permite verificar que mantiene la privacidad de los datos confidenciales. También es lo suficientemente simple como para poder ver cómo los empleados interactúan con los datos. Esto es invaluable para asegurarse de no infringir ninguna regulación de su industria.

RBAC también se puede utilizar para reducir costos limitando el acceso a ciertos recursos. Por ejemplo, si impide que los empleados accedan a una aplicación que consume mucho ancho de banda, podrá conservar otros recursos, como el ancho de banda de su red.

Limitaciones de RBAC

Aunque RBAC tiene muchos beneficios, no está exento de algunas desventajas importantes; estos son:

  • Explosión de roles
  • Complejidad
  • Escalabilidad
  • Seguridad

Uno de los mayores problemas que tiene RBAC es el de la explosión de roles. Si se encuentra en un entorno con muchos roles con permisos únicos, puede resultar difícil administrar todos los roles que su equipo necesita para trabajar de manera efectiva. Es aquí donde la naturaleza automatizada de ABAC se destaca como una mejor alternativa.

Si bien RBAC puede ser eficiente, también puede resultar difícil de gestionar en comparación con ABAC porque no está automatizado. Se vuelve muy difícil de administrar si los administradores agregan roles a los usuarios sin eliminarlos. No es raro que los usuarios terminen con múltiples roles y permisos que deben administrarse de manera proactiva o pueden salirse de control fácilmente.

Si su empresa incorpora muchas contrataciones nuevas, le resultará muy difícil mejorar cuando utilice RBAC. Deberá definir nuevos roles para cada contratación, lo que incluirá mucho trabajo manual.

Beneficios de ABAC

ABAC tiene una serie de beneficios para gestionar permisos:

  • Actualiza automáticamente los permisos
  • Menos administrador
  • Seguridad

Los usuarios no tienen que administrar roles manualmente con ABAC; en cambio, pueden definir atributos y automatizar el sistema. El sistema permite o deniega solicitudes de acceso según los atributos del usuario y del objeto. Entonces, una vez que cambian los atributos de los usuarios, también cambian los materiales a los que pueden acceder. Los usuarios sólo necesitan cambiar los valores de los atributos en lugar de cambiar las relaciones entre sujetos y objetos.

ABAC viene con menos administración (¡al menos después de configurarlo!). Dado que los permisos de acceso cambian automáticamente a medida que cambian los atributos del usuario, hay menos administración al incorporar nuevos usuarios. Por ejemplo, no es necesario asignar autorización a los sujetos antes de que intenten acceder al material.

También existen ventajas de seguridad al usar ABAC, como la posibilidad de restringir el acceso de los usuarios a recursos en dispositivos desconocidos. Esto proporciona a los administradores otro colchón de seguridad para que puedan asegurarse de que los usuarios tengan que utilizar dispositivos seguros para interactuar con servicios importantes.

Desventajas de ABAC

Aunque ABAC tiene algunas fortalezas distintas, no está exenta de desventajas:

  • Complejidad
  • Difícil de auditar
  • Escalabilidad

ABAC puede volverse muy complejo de configurar, particularmente en entornos con mucha información compartida. Un administrador tiene que especificar muchas políticas para determinar qué atributos deben tener los usuarios para acceder a los recursos. Intentar gestionar atributos para todos los usuarios puede ser un desafío.

Otro desafío clave es que ABAC es muy difícil de auditar. Para la seguridad y el cumplimiento normativo, es importante poder ver los recursos exactos a los que tiene acceso un usuario. Con RBAC esto es fácil ya que simplemente puede ver los privilegios que se le han asignado al usuario. Con ABAC rara vez es posible buscar usuarios y ver a qué tienen permiso para acceder, ya que tendría que comparar cada objeto con la política de acceso.

La escalabilidad de ABAC aún no está clara. Los sistemas con cientos o miles de usuarios son extremadamente difíciles de administrar y consumen una huella significativa de recursos del sistema.

Haga lo mejor paraSuProceso de control de acceso

Independientemente del camino que elija para apoyarse en el debate entre RBAC y ABAC, debe contar con un plan concertado para determinar su proceso de control de acceso.

Sin controles de acceso, no hay nada que impida que un empleado acceda a datos confidenciales. Cumplir con el principio de acceso mínimo y asegurarse de que los empleados solo tengan acceso a lo esencial reduce el riesgo de que se encuentre con problemas de ciberseguridad y pierda datos importantes.

Elija una metodología de control de acceso que funcione para su entorno. Si el enfoque simple de RBAC funciona para usted, continúe con eso. Si desea una mayor eficiencia con la automatización, entonces vale la pena echarle un vistazo a ABAC.

^