Rollenbasierte Zugriffskontrolle vs. Attributbasierte Zugriffskontrolle: Was ist zu wählen?

Die Zugangskontrolle ist ein grundlegendes Element der Sicherheitsinfrastruktur Ihres Unternehmens. Es gibt zahlreiche Ansätze für die Implementierung eines Zugangsverwaltungssystems, und die Auswahl des für Ihr Unternehmen am besten geeigneten Systems kann entmutigend sein.

In diesem Artikel analysieren wir die beiden gängigsten Modelle der Zugriffskontrolle: rollenbasiert und attributbasiert. Wir gehen der Frage nach, was RBAC und ABAC sind, untersuchen die Vor- und Nachteile der beiden Modelle, vergleichen sie und prüfen, ob es möglich ist, sie zu kombinieren.

Was ist eine rollenbasierte Zugriffskontrolle (RBAC)?

Die rollenbasierte Zugriffskontrolle (RBAC) ist eine Zugriffskontrollmethode, die auf der Definition der Rollen der Mitarbeiter und der entsprechenden Privilegien innerhalb der Organisation basiert. Die Idee dieses Modells ist, dass jedem Mitarbeiter eine Rolle zugewiesen wird. Jede Rolle wiederum hat eine Sammlung von Zugriffsberechtigungen und -beschränkungen. Ein Mitarbeiter kann nur dann auf Objekte zugreifen und Vorgänge ausführen, wenn seine Rolle im System über entsprechende Berechtigungen verfügt.

So sollte beispielsweise der Buchhalter eines Unternehmens mit Finanzdaten arbeiten dürfen, aber keinen Zugang zu den Kontaktinformationen der Kunden oder Kreditkartendaten haben.

Wenn ein neuer Mitarbeiter in Ihr Unternehmen kommt, ist es einfach, ihm eine Rolle zuzuweisen. Und wenn jemand das Unternehmen verlässt, brauchen Sie die Rollenparameter oder eine zentrale Richtlinie nicht zu ändern, da Sie die Rolle des Benutzers einfach widerrufen können.

Die Definition einer Rolle kann jedoch recht anspruchsvoll sein. Sie müssen alle Berechtigungen berücksichtigen, die ein Benutzer zur Erfüllung seiner Aufgaben benötigt, sowie die Position dieser Rolle in Ihrer Hierarchie. Wenn Sie einer einzelnen Rolle zu viele Berechtigungen zuweisen, kann dies den Grundsatz der geringsten Rechte verletzen und zu einer Ausweitung der Berechtigungen und zu Missbrauch führen.

Sobald alle erforderlichen Rollen eingerichtet sind, erfordert die rollenbasierte Zugriffskontrolle keine ständige Wartung durch die IT-Abteilung. Die Implementierung von RBAC kann Ihnen helfen, die IT-Sicherheitsanforderungen ohne großen Aufwand zu erfüllen.

Die Erstellung eines komplexen Rollensystems für ein großes Unternehmen kann jedoch eine Herausforderung darstellen. Ein Unternehmen mit Tausenden von Mitarbeitern kann am Ende einige tausend Rollen haben. Dies wird als Rollenexplosion bezeichnet und ist in einem großen Unternehmen unvermeidlich.

Wie funktioniert RBAC?

Betrachten wir nun die Hauptkomponenten des rollenbasierten Ansatzes für die Zugangskontrolle:

• Benutzer – eine Person mit einer eindeutigen Kennung (UID), die Zugang zu einem System hat
• Rolle – eine benannte Arbeitsfunktion (gibt die Ebene der Autorität an)
• Erlaubnis – entspricht den Zugriffsrechten
• Sitzung – ein Zeitraum, in dem ein Benutzer die Rechte der ihm zugewiesenen Rollen nutzt
• Objekt – eine Systemressource, für die eine Zugriffsberechtigung erforderlich ist
• Vorgang – jede Aktion im geschützten Netz

Die Grundregeln von RBAC sind:

• Alle Nutzeraktivitäten werden durch Vorgänge ausgeführt.
• Ein Benutzer kann eine Operation nur dann ausführen, wenn ihm eine Rolle zugewiesen wurde, die ihn dazu berechtigt.
• Identifizierung und Authentifizierung werden nicht als Operationen betrachtet.

Arten von RBAC-Modellen

RBAC kann auf vier Ebenen gemäß dem NIST RBAC-Modell implementiert werden. Jede nachfolgende Ebene umfasst die Eigenschaften der vorherigen. Werfen wir einen Blick auf sie:

1. Flat RBAC ist eine Implementierung der Grundfunktionalität des RBAC-Modells. Alle Benutzer und Berechtigungen werden Rollen zugewiesen. Die Benutzer erhalten die benötigten Berechtigungen, indem sie diese Rollen erwerben. Es kann so viele Rollen und Berechtigungen geben, wie das Unternehmen benötigt. Einem einzelnen Benutzer können mehrere Rollen zugewiesen werden, und eine Rolle kann mehreren Benutzern zugewiesen werden.

2. Hierarchisches RBAC implementiert,wie der Name schon sagt, eine Hierarchie innerhalb der Rollenstruktur. Diese Hierarchie legt die Beziehungen zwischen den Rollen fest. Benutzer mit höheren Rollen erwerben auch die Berechtigungen aller niedrigeren Rollen, die ihren Untergebenen zugewiesen sind. Die Komplexität der Hierarchie wird durch die Bedürfnisse des Unternehmens definiert.

3. Die eingeschränkte RBAC erweitert ein Sicherheitssystem um die Trennung von Aufgaben (SOD). SOD ist eine bekannte Sicherheitspraxis, bei der eine einzige Aufgabe auf mehrere Mitarbeiter verteilt wird. Sie ist für mittelständische Unternehmen und Großunternehmen sehr wichtig. Die Aufgabentrennung garantiert, dass kein Mitarbeiter betrügerische Änderungen an Ihrem System vornehmen kann, die kein anderer überprüfen und/oder beheben kann.

4. Symmetrisches RBAC unterstützt sowohl die Überprüfung von Berechtigungen und Rollen als auch die Überprüfung von Benutzern und Rollen. Es ermöglicht Sicherheitsadministratoren, Berechtigungen zu identifizieren, die bestehenden Rollen zugewiesen sind (und umgekehrt). Durch die Identifizierung der Rollen eines gekündigten Mitarbeiters während des Benutzerzugriffsüberprüfungsverfahrens kann ein Administrator beispielsweise die Berechtigungen des Mitarbeiters widerrufen und die Rollen dann einem anderen Benutzer mit denselben oder anderen Berechtigungen neu zuweisen.

Die rollenbasierte Zugriffskontrolle wird am häufigsten in kleinen und mittleren Unternehmen eingesetzt. Solche Organisationen haben in der Regel einfache Arbeitsabläufe, eine begrenzte Anzahl von Rollen und eine recht einfache Hierarchie, die es ermöglicht, Benutzerrollen effektiv zu bestimmen und zu beschreiben.

Verwaltung des privilegierten Zugangs mit Syteca

Was ist eine attributbasierte Zugriffskontrolle (ABAC)?

Die attributbasierte Zugriffskontrolle (ABAC) hat sich aus RBAC entwickelt und schlägt vor, eine Reihe von Attributen für jedes Element Ihres Systems festzulegen. Eine zentrale Richtlinie definiert, welche Kombinationen von Benutzer- und Objektattributen erforderlich sind, um eine Aktion durchzuführen.

Sobald Sie Richtlinien für die gängigsten Stellen und Ressourcen in Ihrem Unternehmen erstellt haben, können Sie diese einfach für jeden neuen Benutzer und jede neue Ressource kopieren.

Dies ist vergleichbar mit der Funktionsweise einer Rolle im RBAC-Modell. Im ABAC-Modell können die Attribute jedoch an die Bedürfnisse eines bestimmten Benutzers angepasst werden, ohne dass eine neue Rolle erstellt werden muss. Attribute machen ABAC zu einem granulareren Zugriffskontrollmodell als RBAC.

Betrachten wir die Hauptkomponenten des ABAC-Modells nach NIST:

• Attribut – ein Merkmal eines beliebigen Elements im Netz. Ein Attribut kann definieren:
  • Benutzereigenschaften – Position des Mitarbeiters, Abteilung, IP-Adresse, Sicherheitsstufe usw.
  • Objektmerkmale – Art, Urheber, Empfindlichkeit, erforderliche Freigabestufe usw.
  • Art der Aktion – lesen, schreiben, bearbeiten, kopieren, einfügen usw.
  • Merkmale der Umgebung – Uhrzeit, Wochentag, Ort usw.
• Subjekt – jeder Benutzer oder jede Ressource, die Aktionen im Netz durchführen kann; einem Subjekt werden Attribute zugewiesen, um seine Freigabestufe zu definieren
• Objekt – alle im Netz gespeicherten Daten; Objekten werden Attribute zugewiesen, um sie zu beschreiben und zu identifizieren
• Vorgang – jede von einem beliebigen Subjekt im Netz durchgeführte Aktion
• Policy – eine Reihe von Regeln, die jede Aktion in Ihrem Informationsabrufsystem erlauben oder einschränken; Regeln sind WENN/DANN-Anweisungen, die auf Attributen eines beliebigen Elements (Benutzer, Ressource, Umgebung) basieren

Dieser Ansatz eignet sich für Unternehmen jeder Größe, wird aber hauptsächlich in großen Organisationen eingesetzt. ABAC ist aufwändiger zu konfigurieren und einzurichten als RBAC, da Sicherheitsadministratoren alle Attribute für alle Elemente in Ihrem System definieren müssen. Außerdem müssen sie jeder Systemkomponente zunächst manuell Attribute zuweisen.

RBAC und ABAC im Vergleich

Im Folgenden werden die Vor- und Nachteile der attributbasierten und der rollenbasierten Zugriffskontrolle näher erläutert.

RBAC – Vor- und Nachteile

Bevor wir auf die Vor- und Nachteile der rollenbasierten Zugriffskontrolle eingehen, möchten wir hervorheben, dass RBAC ist der am weitesten verbreitete Ansatz für die Zugangsverwaltung. Der Hauptvorteil von RBAC besteht darin, dass Unternehmen den Zugang nicht mehr individuell genehmigen oder widerrufen müssen, sondern die Benutzer auf der Grundlage ihrer Rollen zusammenführen. Die Einrichtung einer Reihe von Rollen in einem kleinen oder mittleren Unternehmen ist weder schwierig noch kostspielig.

Andererseits ist die Einrichtung eines solchen Systems in einem großen Unternehmen zeitaufwändig. RBAC kann zu Rollenexplosionen führen und ungeplante Kosten verursachen, die zur Unterstützung des Zugangskontrollsystems erforderlich sind, denn je mehr Rollen ein Unternehmen hat, desto mehr Ressourcen werden für die Implementierung dieses Zugangsmodells benötigt.

Das RBAC-Modell hat auch einige Nachteile. Sie können keine Regeln mit Parametern aufstellen, die dem System unbekannt sind, bevor ein Benutzer seine Arbeit aufnimmt. Berechtigungen können nur Benutzerrollen zugewiesen werden, nicht aber Objekten und Operationen. Außerdem können Sie mit RBAC eine bestimmte Aktion in Ihrem System einschränken, nicht aber den Zugriff auf bestimmte Daten.

ABAC – Vor- und Nachteile

Der Hauptvorteil von ABAC besteht darin, dass Sie den Zugriff nicht auf der Grundlage der Benutzerrolle, sondern auf der Grundlage der Attribute der einzelnen Systemkomponenten gewähren können. Auf diese Weise können Sie eine Geschäftsregel von beliebiger Komplexität beschreiben. Selbst wenn Sie bestimmte Daten nur während der Arbeitszeiten zugänglich machen wollen, lässt sich dies mit einer einfachen Richtlinie leicht bewerkstelligen.

Darüber hinaus können ABAC-Regeln Attribute von Subjekten und Ressourcen auswerten, die vom Berechtigungssystem noch nicht inventarisiert wurden. Es ist viel einfacher, Berechtigungen für bestimmte Benutzer hinzuzufügen oder zu entziehen, indem man Attribute ändert, als neue Rollen zu definieren oder zu ändern.

Was die Einschränkungen von ABAC betrifft, so ist diese Art von Zugriffskontrollmodell zeitaufwändig zu konfigurieren und kann aufgrund der Art und Weise, wie Richtlinien festgelegt und gepflegt werden müssen, teure Tools erfordern. Dies kann Ihre Ausgaben für die Cybersicherheit erheblich erhöhen.

RBAC vs. ABAC

Lassen Sie uns zusammenfassend die Hauptmerkmale von RBAC und ABAC vergleichen:

Eigenschaft	RBAC	ABAC
Flexibilität	(Für kleine und mittlere Unternehmen)
Skalierbarkeit
Einfachheit	Einfache Einrichtung von Rollen und Berechtigungen für ein kleines Unternehmen Das System ist für ein großes Unternehmen schwer zu pflegen	Es ist schwierig, zu Beginn alle Maßnahmen festzulegen Einfache Wartung und Unterstützung
Unterstützung für einfache Regeln
Unterstützung für komplexe Regeln
Unterstützung für Regeln mit dynamischen Parametern
Benutzerberechtigungen anpassen	(Die Anpassung eines bestimmten Benutzers erfordert das Anlegen einer neuen Rolle)
Granularität	Niedrig	Hoch

Es gibt viele Unterschiede zwischen dem ABAC- und dem RBAC-Modell. Beide haben Vor- und Nachteile, aber letztlich hängt die Wahl zwischen den beiden Modellen von Ihren spezifischen organisatorischen Anforderungen ab.

Lassen Sie uns die wichtigsten Überlegungen untersuchen, die bestimmen, ob RBAC oder ABAC die beste Option für Ihr Unternehmen ist.

Wann sollte RBAC oder ABAC verwendet werden?

RBAC ist einfacher zu implementieren und zu verwalten, was es zur idealen Wahl für kleinere Unternehmen mit einfachen Anforderungen an die Zugriffskontrolle macht. Wenn Sie nicht vorhaben, neue Mitarbeiter einzustellen, und die Zuständigkeiten innerhalb Ihrer Teams bereits festgelegt haben, ist die Anwendung eines RBAC-Modells die optimale Entscheidung.

ABAC bietet ein höheres Maß an Flexibilität und Granularität, was für große und wachsende Organisationen entscheidend sein kann. Wenn sich Ihr Unternehmen weiterentwickelt, kann ABAC neue Benutzer, Ressourcen und Zugriffsanforderungen aufnehmen, ohne dass Ihre bestehenden Systeme umstrukturiert oder neu konfiguriert werden müssen.

Obwohl die Implementierung von ABAC im Vergleich zu RBAC anfangs mehr Aufwand für die Erstellung von Richtlinien erfordert, ist das ABAC-Modell im Laufe der Zeit einfacher zu pflegen.

Letztendlich sollte die Entscheidung zwischen RBAC und ABAC von Ihren spezifischen Bedürfnissen und Ihrem zukünftigen Wachstum abhängen.

Drei Möglichkeiten zur gemeinsamen Nutzung von RBAC und ABAC

Unternehmen beginnen oft mit der Implementierung eines flachen RBAC-Modells, da es einfacher einzurichten und zu pflegen ist. Wenn Unternehmen wachsen und mehr sensible Daten verwalten, erkennen sie den Bedarf an einem flexibleren Zugangskontrollsystem. Doch die Aufgabe des alten Zugangskontrollsystems und der Aufbau eines neuen Systems von Grund auf ist zeitaufwändig und teuer. Deshalb fügen viele Unternehmen dem bestehenden System einfach die erforderlichen Funktionen hinzu. In solchen Fällen können RBAC und ABAC zusammen verwendet werden.

Dieses Zugriffsmodell wird auch als RBAC-A bezeichnet. Es handelt sich um eine Erweiterung des traditionellen RBAC-Modells, bei dem den Rollen zusätzliche Attribute oder Merkmale hinzugefügt werden, um die Entscheidungen zur Zugriffskontrolle weiter zu verfeinern. Mit einem RBAC-A-Modell können Sie Rollen nicht nur auf der Grundlage von Zuständigkeiten, sondern auch auf der Grundlage von Attributen wie Standort, Tageszeit, Benutzerattributen (Abteilung, Stellenbezeichnung usw.) oder Ressourcenattributen (Empfindlichkeitsstufe, Klassifizierung usw.) definieren.

Es gibt drei RBAC-A-Ansätze, die Beziehungen zwischen Rollen und Attributen behandeln:

• Attribut-zentriert Eine Rolle wird zum Namen eines der Benutzerattribute, ähnlich wie eine Berufsbezeichnung. Das Attribut “Rolle” wird in einem solchen Modell verwendet, um eine Reihe von Attributen zu kennzeichnen, die für eine bestimmte Position erforderlich sind.
• Rollenzentriert. Attribute werden hinzugefügt, um Rollen einzuschränken. In einem solchen Modell werden Attribute hinzugefügt, um die Benutzerberechtigungen zu reduzieren und nicht zu erweitern.
• Dynamische Rollen. Attribute wie die Tageszeit werden verwendet, um die Rolle des Subjekts zu bestimmen. In einigen Fällen kann die Rolle eines Benutzers vollständig durch dynamische Attribute bestimmt werden.

Darüber hinaus gibt es eine Methode namens Next Generation Access Control (NGAC), die vom NIST entwickelt wurde. NGAC geht auf die Beschränkungen der bestehenden Zugriffskontrollmodelle ein und bietet detailliertere, dynamischere und kontextbezogene Zugriffskontrollfunktionen. Ihre Implementierung ähnelt der attributbasierten Zugriffskontrolle, hat aber einen verfeinerten Ansatz für Richtlinien. So unterstützt NGAC beispielsweise mehrere Arten von Richtlinien gleichzeitig, einschließlich solcher, die sowohl in der lokalen Umgebung als auch im Netzwerk angewendet werden.

Verwalten Sie den Benutzerzugang mit Syteca

Syteca ist eine Plattform für das Management von Insider-Risiken, die Sie bei der effizienten Prüfung und Kontrolle des Benutzerzugangs mit diesen Funktionen unterstützt:

• Mit der privilegierten Zugriffsverwaltung (PAM) in Syteca können Sie die Zugriffsberechtigungen für privilegierte und reguläre Benutzer in Ihrem Netzwerk detailliert überprüfen und verwalten. Die PAM-Funktionalität von Syteca kann Ihrem Unternehmen helfen, die Verwaltung privilegierter Benutzer zu optimieren und einen komfortablen Arbeitsablauf für Zugriffsanfragen und -genehmigungen zu konfigurieren.
• Die Passwortverwaltung in Syteca ermöglicht die sichere Erstellung und Weitergabe von Passwörtern und Geheimnissen an Benutzer, den einmaligen Zugriff und die Automatisierung der Passwortrotation für Windows- und Active Directory-Konten. Alle Passwörter und Geheimnisse werden in einem verschlüsselten, gut gesicherten Tresor gespeichert.

Syteca verfügt über eine Reihe weiterer nützlicher Funktionen, mit denen Sie die Cybersicherheit Ihres Unternehmens verbessern können:

• Die UAM-Funktionalität (User Activity Monitoring) von Syteca ermöglicht die Überwachung und Aufzeichnung von Benutzeraktionen auf dem Bildschirm in einem Videoformat zusammen mit nützlichen Metadaten, wie z. B. Namen aktiver Anwendungen, besuchter Websites und ausgeführter Befehle Sie können aufgezeichnete Fragmente oder ganze Benutzersitzungen zur Untersuchung von Vorfällen exportieren.
• Die Zwei-Faktor-Authentifizierung (2FA) in Syteca kann Ihnen dabei helfen, Benutzeridentitäten zu verifizieren, um Ihre sensiblen Systeme und Daten vor unbefugtem Zugriff zu schützen.
• Die Echtzeit-Reaktionsfunktion von Syteca ermöglicht es Ihnen, in Echtzeit E-Mail-Benachrichtigungen über verdächtige Aktivitäten zu erhalten und diese automatisch und zeitnah zu blockieren. Sie können Syteca auch so konfigurieren, dass es automatisch und in Echtzeit auf Bedrohungen reagiert.

Identitäts- und Zugangsmanagement mit Syteca

Fazit

Die Zugangsverwaltung ist ein wesentlicher Bestandteil jedes zuverlässigen Sicherheitssystems. Sowohl das RBAC- als auch das ABAC-Modell haben ihre Vor- und Nachteile. Unabhängig davon, ob Sie eines der beiden Modelle bevorzugen oder sich für eine Kombination entscheiden, benötigen Sie eine Möglichkeit zur sicheren Authentifizierung und Verifizierung Ihrer Benutzer sowie zur Verwaltung ihrer Zugriffsrechte.

Sie können die Identitäts- und Zugriffsmanagementsfunktionen von Syteca auf einer Vielzahl von Plattformen und in praktisch jeder Netzwerkarchitektur nutzen. Dank unseres flexiblen Lizenzierungssystems ist Syteca sowohl für kleine Unternehmen als auch für Großunternehmen geeignet.