5 
В среде доступа на основе ролей роль пользователя в организации 
определяет конкретные сетевые разрешения, которые ему предоставляются. 
Это означает, что сотрудники с более низким уровнем доступа не имеют 
доступа к конфиденциальной информации и ресурсам, но уровни доступа на 
основе ролей обычно более детализированы. Когда управление RBAC 
реализовано правильно, пользователи не должны иметь доступа к каким-либо 
ресурсам за пределами назначенных им областей работы; например, 
сотрудники отдела маркетинга не должны иметь доступа к средам разработки, 
и наоборот. Кроме того, доступ на основе ролей используется для ограничения 
того, что пользователи могут делать с системой или файлом, к которым им 
предоставлен доступ. Пользователь может иметь доступ только на чтение к 
определенным файлам или системам, таким как базы данных, но доступ на 
чтение/запись к другим. 
Сравнение RBAC с ABAC 
Управление доступом на основе ролей часто используется как синоним 
управления доступом на основе атрибутов. В то время как ABAC и RBAC 
отличаются друг от друга, RBAC часто используется в сочетании с ABAC. 
Управление ABAC более детализировано, чем RBAC, и его можно 
рассматривать как расширение или усовершенствование доступа на основе 
ролей. В то время как RBAC зависит от роли пользователя в организации, в 
модели ABAC права доступа пользователей зависят от комбинации атрибутов, 
а не только от ролей пользователей. К ним относятся, помимо прочего, роль 
пользователя в организации, откуда он пытается получить доступ к ресурсам, 
используемое устройство и атрибуты, связанные с системой или 
приложением, к которым он пытается получить доступ. Это позволяет 
организациям предоставлять доступ и применять ограничения в соответствии 
с профилем риска отдельного пользователя. 
Например, мы можем запретить своим ИТ-администраторам удаленный 
доступ к серверным системам, если только они не используют VPN или 
диспетчер подключений к удаленному рабочему столу, или запретить всем 

5 
сотрудникам доступ к ресурсам компании, если они не используют 
устройство, предоставленное компанией. 
Сравнение RBAC с ACL 
Список управления доступом (Access Control List - ACL) представляет 
собой список пользователей, имеющих доступ к определенному ресурсу, а 
также разрешения, которые каждый пользователь имеет по отношению к 
этому ресурсу (только чтение, чтение-запись и т. д.). ACL являются основой 
модели избирательного управления доступом (Discretionary Access Control - 
DAC). 
Наиболее распространенным примером ACL и DAC в действии является 
файловая система Windows, которая позволяет пользователям и 
администраторам определять отдельные списки ACL для каждого объекта, 
такого как текстовый документ или папка с файлами. 
Списки контроля доступа, обычно состоящие из IP-адресов, также 
используются сетевыми администраторами для фильтрации трафика к VPN, 
брандмауэрам веб-приложений (WAF) и сетевым маршрутизаторам и 
коммутаторам. ACL может содержать список разрешенных IP-адресов или 
«черный список» запрещенных IP-адресов. Ведение массовых списков 
разрешений и блокировок требует много времени и чревато ошибками, 
поэтому списки ACL (и модель DAC) полезны только в отдельных случаях с 
участием небольшого числа пользователей. 
Итог: в то время как RBAC определяет привилегии доступа на уровне 
группы, ACL определяет их на уровне отдельного пользователя или IP-адреса. 
Это делает RBAC гораздо менее трудоемким и подверженным ошибкам, чем 
списки контроля доступа, и, следовательно, гораздо более подходящим для 
бизнес-среды с десятками, сотнями или даже тысячами пользователей. 
Преимущества RBAC 
Ограничение доступа сотрудников только к тем ресурсам, которые им 
необходимы для выполнения их работы, не позволяет небрежным или 

5 
злонамеренным сотрудникам удалять, красть или нарушать целостность 
файлов и других цифровых активов, таких как базы данных и исходный код. 
Кроме того, если внешний злоумышленник украдет набор действующих 
учетных данных для входа в систему, RBAC и доступ с наименьшими 
привилегиями предотвратят его перемещение в горизонтальном направлении 
в сети и повышение привилегий. 
RBAC и доступ с наименьшими привилегиями также являются 
ключевыми компонентами современных моделей сетевого доступа с нулевым 
доверием. 
Доступ на основе ролей позволяет компаниям соответствовать 
отраслевым и нормативным требованиям, включая HIPAA, GDPR и другие 
правила защиты данных и конфиденциальности, которые предусматривают 
контроль 
конфиденциальности 
и 
неприкосновенности 
личной 
идентифицирующей информации (PII) и других конфиденциальных данных. 
Это особенно важно в строго регулируемых отраслях, таких как 
здравоохранение и финансы, а также в государственных учреждениях. 
Предопределенные роли пользователей модели RBAC минимизируют 
административные издержки при приеме на работу и увольнении 
сотрудников, когда сотрудники берут на себя новые роли или должностные 
обязанности в компании или когда организации необходимо предоставить 
доступ поставщику или стороннему подрядчику. Предоставление доступа 
новому пользователю или изменение доступа существующего пользователя - 
это просто вопрос назначения им правильной роли (ролей). Аналогичным 
образом, когда пользователи увольняются из компании, ИТ-администраторы 
и администраторы безопасности могут быстро отозвать их доступ к системам. 

Download 329.89 Kb.

Do'stlaringiz bilan baham: