Контроль доступа на основе ролей

Подход к ограничению доступа к системе для авторизованных пользователей

В области безопасности компьютерных систем контроль доступа на основе ролей ( RBAC ) ^{[1] [2]} или безопасность на основе ролей ^[3] представляет собой подход к ограничению доступа к системе только авторизованными пользователями, а также к реализации обязательного контроля доступа (MAC) или дискреционного контроля доступа (DAC) .

Управление доступом на основе ролей — это нейтральный к политике механизм управления доступом, определенный вокруг ролей и привилегий. Такие компоненты RBAC, как роли-разрешения, отношения пользователь-роль и роль-роль, упрощают выполнение назначений пользователей. Исследование NIST показало, что RBAC удовлетворяет многие потребности коммерческих и государственных организаций. ^[4] RBAC можно использовать для упрощения администрирования безопасности в крупных организациях с сотнями пользователей и тысячами разрешений. Хотя RBAC отличается от фреймворков управления доступом MAC и DAC, он может применять эти политики без каких-либо сложностей.

Дизайн

В организации роли создаются для различных должностных функций. Разрешения на выполнение определенных операций назначаются определенным ролям. Поскольку пользователям разрешения не назначаются напрямую, а только приобретаются через их роль (или роли), управление правами отдельных пользователей сводится к простому назначению соответствующих ролей учетной записи пользователя; это упрощает общие операции, такие как добавление пользователя или изменение отдела пользователя.

Для RBAC определены три основных правила:

1. Назначение роли: субъект может воспользоваться разрешением только в том случае, если субъект выбрал или ему была назначена роль.
2. Авторизация ролей: активная роль субъекта должна быть авторизована для субъекта. С правилом 1 выше, это правило гарантирует, что пользователи могут брать только те роли, на которые они авторизованы.
3. Разрешение на авторизацию: субъект может использовать разрешение только в том случае, если разрешение разрешено для активной роли субъекта. С правилами 1 и 2 это правило гарантирует, что пользователи могут использовать только те разрешения, на которые они уполномочены.

Могут также применяться дополнительные ограничения, а роли могут быть объединены в иерархию , где роли более высокого уровня включают в себя разрешения, принадлежащие подролям.

С помощью концепций иерархии ролей и ограничений можно управлять RBAC для создания или имитации управления доступом на основе решетки (LBAC). Таким образом, RBAC можно рассматривать как надмножество LBAC.

При определении модели RBAC полезны следующие соглашения:

• S = Субъект = Человек или автоматизированный агент
• R = Роль = должностная функция или должность, определяющая уровень полномочий
• P = Разрешения = Одобрение режима доступа к ресурсу
• SE = Сеанс = Отображение, включающее S, R и/или P
• SA = Задание по предмету
• PA = Назначение разрешения
• RH = Частично упорядоченная иерархия ролей. RH также можно записать: ≥ (Обозначение: x ≥ y означает, что x наследует разрешения y.)
  • Субъект может иметь несколько ролей.
  • Роль может иметь несколько субъектов.
  • Роль может иметь много разрешений.
  • Разрешение может быть назначено многим ролям.
  • Операции может быть назначено несколько разрешений.
  • Разрешение может быть назначено многим операциям.

Ограничение устанавливает ограничительное правило на потенциальное наследование разрешений от противоположных ролей. Таким образом, его можно использовать для достижения соответствующего разделения обязанностей . Например, одному и тому же человеку не должно быть разрешено и создавать учетную запись для входа, и авторизовать создание учетной записи.

Таким образом, используя обозначения теории множеств :

• ${\displaystyle PA\subseteq P\times R}$и представляет собой отношение разрешения на назначение ролей «многие ко многим».
• ${\displaystyle SA\subseteq S\times R}$и является отношением «многие ко многим» с учетом назначения ролей.
• ${\displaystyle RH\subseteq R\times R}$

У субъекта может быть несколько одновременных сеансов с/в разных ролях.

РБАК

Стандартизированные уровни

Стандарт RBAC NIST/ANSI/ INCITS (2004) признает три уровня RBAC: ^[5]

1. ядро RBAC
2. иерархический RBAC, который добавляет поддержку наследования между ролями
3. ограниченный RBAC, который добавляет разделение обязанностей

Связь с другими моделями

RBAC — это гибкая технология управления доступом, гибкость которой позволяет реализовать DAC ^[6] или MAC . ^[7] DAC с группами (например, как реализовано в файловых системах POSIX) может эмулировать RBAC. ^[8] MAC может имитировать RBAC, если граф ролей ограничен деревом, а не частично упорядоченным набором . ^[9]

До разработки RBAC модель Bell-LaPadula (BLP) была синонимом MAC, а разрешения файловой системы были синонимами DAC. Они считались единственными известными моделями для управления доступом: если модель не была BLP, она считалась моделью DAC, и наоборот. Исследования конца 1990-х годов показали, что RBAC не попадает ни в одну из категорий. ^{[10] [11]} В отличие от управления доступом на основе контекста (CBAC), RBAC не смотрит на контекст сообщения (например, источник соединения). RBAC также критиковали за то, что он приводит к взрывному росту ролей ^[12] , что является проблемой в крупных корпоративных системах, которым требуется управление доступом с более тонкой детализацией, чем то, что может обеспечить RBAC, поскольку роли по своей сути назначаются операциям и типам данных. Подобно CBAC, система управления доступом на основе отношений сущностей (ERBAC, хотя та же аббревиатура используется также для модифицированных систем RBAC, ^[13] таких как расширенный контроль доступа на основе ролей ^[14] ) способна защищать экземпляры данных, учитывая их связь с исполняемым субъектом. ^[15]

Сравнение с ACL

Списки контроля доступа (ACL) используются в традиционных системах дискреционного контроля доступа (DAC) для воздействия на низкоуровневые объекты данных. RBAC отличается от ACL назначением разрешений операциям, которые изменяют прямые связи между несколькими сущностями (см.: ACLg ниже). Например, ACL может использоваться для предоставления или запрета доступа на запись в определенный системный файл, но он не будет определять, как этот файл может быть изменен. В системе на основе RBAC операция может заключаться в «создании кредитного счета» транзакции в финансовом приложении или в «заполнении записи теста на уровень сахара в крови» в медицинском приложении. Таким образом, роль представляет собой последовательность операций в рамках более крупной деятельности. Было показано, что RBAC особенно хорошо подходит для требований разделения обязанностей (SoD), которые гарантируют, что два или более человек должны участвовать в авторизации критических операций. Были проанализированы необходимые и достаточные условия безопасности SoD в RBAC. Основополагающий принцип SoD заключается в том, что ни одно лицо не должно иметь возможности нарушить безопасность посредством двойной привилегии. В более широком смысле, ни одно лицо не может занимать должность, которая подразумевает осуществление полномочий по аудиту, контролю или проверке другой, одновременно занимаемой должности. ^{[16] [17]}

С другой стороны, «минимальную модель RBAC», RBACm , можно сравнить с механизмом ACL, ACLg , где в качестве записей в ACL разрешены только группы. Баркли (1997) ^[18] показал, что RBACm и ACLg эквивалентны.

В современных реализациях SQL , таких как ACL фреймворка CakePHP , ACL также управляют группами и наследованием в иерархии групп. В этом аспекте конкретные реализации "современных ACL" можно сравнить с конкретными реализациями "современных RBAC", которые лучше, чем "старые (файловой системы) реализации".

Для обмена данными и «сравнений высокого уровня» данные ACL можно перевести в XACML .

Контроль доступа на основе атрибутов

Управление доступом на основе атрибутов или ABAC — это модель, которая развивается из RBAC для рассмотрения дополнительных атрибутов в дополнение к ролям и группам. В ABAC можно использовать атрибуты:

• пользователь, например, гражданство, разрешение,
• ресурс, например, классификация, отдел, владелец,
• действие, и
• контекст, например время, местоположение, IP.

ABAC основан на политиках в том смысле, что для определения того, что разрешено, а что нет, он использует политики, а не статические разрешения.

Контроль доступа на основе отношений

Relationship-based access control или ReBAC — это модель, которая развивается из RBAC. В ReBAC разрешение субъекта на доступ к ресурсу определяется наличием отношений между этими субъектами и ресурсами.

Преимущество этой модели в том, что она допускает детальные разрешения; например, в социальной сети, где пользователи могут делиться сообщениями с другими определенными пользователями. ^[19]

Использование и доступность

Использование RBAC для управления привилегиями пользователей (разрешениями компьютера) в рамках одной системы или приложения широко признано как передовая практика. В отчете 2010 года, подготовленном для NIST Институтом исследовательского треугольника, проанализирована экономическая ценность RBAC для предприятий и оценены выгоды на одного сотрудника от сокращения времени простоя сотрудников, более эффективного предоставления и более эффективного администрирования политики контроля доступа. ^[20]

В организации с неоднородной ИТ-инфраструктурой и требованиями, которые охватывают десятки или сотни систем и приложений, использование RBAC для управления достаточным количеством ролей и назначения адекватного членства в ролях становится чрезвычайно сложным без иерархического создания ролей и назначения привилегий. ^[21] Более новые системы расширяют старую модель NIST RBAC ^[22] для устранения ограничений RBAC для развертываний в масштабах предприятия. Модель NIST была принята в качестве стандарта INCITS как ANSI/INCITS 359-2004. Обсуждение некоторых вариантов дизайна для модели NIST также было опубликовано. ^[23]

Потенциальные уязвимости

Вмешательство в управление доступом на основе ролей является относительно новой проблемой в приложениях безопасности, где несколько учетных записей пользователей с динамическими уровнями доступа могут привести к нестабильности ключа шифрования, позволяя внешнему пользователю использовать уязвимость для несанкционированного доступа. Приложения совместного использования ключей в динамических виртуализированных средах продемонстрировали определенный успех в решении этой проблемы. ^[24]

Смотрите также

• Список контроля доступа
• Управление доступом на основе атрибутов (ABAC)
• Контроль доступа на основе отношений (ReBAC)
• Контроль доступа на уровне организации (OrBAC)
• РСБАК
• Безопасность на основе возможностей
• Аутентификация на основе риска
• AGDLP (рекомендации Microsoft по внедрению RBAC)
• Сетевое взаимодействие на основе идентичности (IDN)
• РАЗРЕШЕНИЕ
• Секретная информация
• Крепость Апачей

Ссылки

1. Феррайоло, Д. Ф. и Кун, Д. Р. (октябрь 1992 г.). «Управление доступом на основе ролей» (PDF) . 15-я Национальная конференция по компьютерной безопасности : 554–563.
2. Sandhu, R., Coyne, EJ, Feinstein, HL и Youman, CE (август 1996 г.). «Модели контроля доступа на основе ролей» (PDF) . IEEE Computer . 29 (2): 38–47. CiteSeerX 10.1.1.50.7649 . doi :10.1109/2.485845. S2CID  1958270. {{cite journal}}: CS1 maint: несколько имен: список авторов ( ссылка )
3. ABREU, VILMAR; Santin, Altair O.; VIEGAS, EDUARDO K.; STIHLER, MAICON (2017). "Многодоменная модель активации ролей". Международная конференция IEEE по коммуникациям (ICC) 2017 г. (PDF) . IEEE Press. стр. 1–6. doi :10.1109/ICC.2017.7997247. ISBN 978-1-4673-8999-0. S2CID  6185138.
4. Gilbert MD, Lynch N, Ferraiolo FD (1995). "Исследование потребностей политики контроля доступа на федеральном и коммерческом уровне". Национальная конференция по компьютерной безопасности, 1993 (16-я) Труды: Безопасность информационных систем: Выбор пользователя . DIANE Publishing. стр. 107. ISBN 9780788119248.
5. Альберто Белусси; Барбара Катания; Элизео Клементини; Елена Феррари (2007). Пространственные данные в Интернете: моделирование и управление. Springer. стр. 194. ISBN 978-3-540-69878-4.
6. Рави Сандху; Камар Мунавер (октябрь 1998 г.). «Как реализовать дискреционный контроль доступа с использованием ролей». 3-й семинар ACM по контролю доступа на основе ролей : 47–54.
7. Сильвия Осборн; Рави Сандху и Камар Мунавер (2000). «Настройка контроля доступа на основе ролей для обеспечения соблюдения обязательных и дискреционных политик контроля доступа». Труды ACM по информационной и системной безопасности : 85–106.
8. Брукер, Ахим Д.; Вольф, Буркхарт (2005). «Подход к проверке безопасности прикладных систем». Международный журнал по программным средствам для передачи технологий . 7 (3): 233–247. doi :10.1007/s10009-004-0176-3. hdl : 20.500.11850/52625 . S2CID  6427232.
9. DR Kuhn (1998). "Управление доступом на основе ролей в системах MLS без изменений ядра". Труды третьего семинара ACM по управлению доступом на основе ролей (PDF) . стр. 25–32. CiteSeerX 10.1.1.55.4755 . doi :10.1145/286884.286890. ISBN  978-1-58113-113-0. S2CID  1711956.
10. "Управление доступом на основе ролей – часто задаваемые вопросы". csrc.nist.gov . Исследовательский центр компьютерной безопасности. 2016-11-21 . Получено 15 августа 2018 г. .
11. Феррайоло, Дэвид; Кун, Ричард (1992-10-13). «Управление доступом на основе ролей» (PDF) . csrc.nist.gov : 554–563 . Получено 15 августа 2018 г. .
12. AA Elliott & GS Knight (2010). "Взрыв ролей: признание проблемы" (PDF) . Труды Международной конференции по исследованиям и практике программной инженерии 2010 года .
13. "ERBAC – Enterprise Role-Based Access Control (computing) – AcronymFinder". www.acronymfinder.com . Получено 15 августа 2018 г. .
14. "Доктор Бхавани Турайсингхам и Шринивасан Айер (PPT)" . Проверено 15 августа 2018 г.
15. Корхонен, Калле. «гобелен-безопасность-jpa». www.tynamo.org . Проверено 15 августа 2018 г.
16. DR Kuhn (1997). «Взаимное исключение ролей как средство реализации разделения обязанностей в системах контроля доступа на основе ролей». Труды второго семинара ACM по контролю доступа на основе ролей — RBAC '97 (PDF) . стр. 23–30. doi :10.1145/266741.266749. ISBN 0897919858. S2CID  482687.
17. Ли, Нинхуэй; Бизри, Зиад; Трипунитара, Махеш В. (2004). «О взаимоисключающих ролях и разделении обязанностей». Труды 11-й конференции ACM по компьютерной и коммуникационной безопасности (PDF) . стр. 42–51. CiteSeerX 10.1.1.159.2556 . doi :10.1145/1030083.1030091. ISBN  978-1581139617. S2CID  798546.
18. Дж. Баркли (1997) «Сравнение простых моделей контроля доступа на основе ролей и списков контроля доступа», в «Трудах второго семинара ACM по контролю доступа на основе ролей», страницы 127–132.
19. Гейтс, Кэрри (2007). «Требования к контролю доступа для безопасности и конфиденциальности Web 2.0». IEEE Web . 2 : 12–15.
20. AC O'Connor & RJ Loomis (март 2002 г.). Экономический анализ контроля доступа на основе ролей (PDF) . Research Triangle Institute. стр. 145.
21. Системы, Hitachi ID. "За пределами ролей: практический подход к корпоративному IAM". www.idsynch.com . Получено 15 августа 2018 г.
22. Sandhu, R., Ferraiolo, DF и Kuhn, DR (июль 2000 г.). "Модель NIST для управления доступом на основе ролей" (PDF) . Труды пятого семинара ACM по управлению доступом на основе ролей . стр. 47–63. doi :10.1145/344287.344301. ISBN 158113259X. S2CID  14539795.{{cite book}}: CS1 maint: несколько имен: список авторов ( ссылка )
23. Феррайоло, Д. Ф., Кун, Д. Р. и Сандху, Р. (ноябрь–декабрь 2007 г.). «Обоснование стандарта RBAC: комментарии к критике стандарта ANSI по управлению доступом на основе ролей» (PDF) . Безопасность и конфиденциальность IEEE . 5 (6): 51–53. doi :10.1109/MSP.2007.173. S2CID  28140142. Архивировано из оригинала (PDF) 2008-09-17.{{cite journal}}: CS1 maint: несколько имен: список авторов ( ссылка )
24. Marikkannu, P (2011). «Отказоустойчивая адаптивная система мобильных агентов с использованием динамического управления доступом на основе ролей». International Journal of Computer Applications . 20 (2): 1–6. Bibcode : 2011IJCA...20b...1M. doi : 10.5120/2409-3208 .

Дальнейшее чтение

• Дэвид Ф. Феррайоло; Д. Ричард Кун; Рамасвами Чандрамули (2007). Управление доступом на основе ролей (2-е изд.). Artech House. ISBN 978-1-59693-113-8.

Внешние ссылки

• Часто задаваемые вопросы о моделях и стандартах RBAC
• Ролевое управление доступом в NIST
• Профиль управления доступом на основе ядра XACML и иерархических ролей
• Институт кибербезопасности Техасского университета в Сан-Антонио
• Практический опыт внедрения RBAC