Inicio
Think
Temas
RBAC
Publicado: 20 de agosto de 2024
Colaboradores: Gregg Lindemulder, Matt Kosinski
El control de acceso basado en roles (RBAC) es un modelo para autorizar el acceso de los usuarios finales a sistemas, aplicaciones y datos en función del rol predefinido de un usuario. Por ejemplo, un analista de seguridad puede configurar un firewall pero no puede ver los datos de los clientes, mientras que un agente de ventas puede ver las cuentas de los clientes pero no puede tocar la configuración del firewall.
En un sistema RBAC, un administrador asigna a cada usuario individual una o más funciones. Cada función nueva representa un conjunto de permisos o privilegios para el usuario.
Un rol financiero puede autorizar a un usuario a realizar compras, ejecutar software de previsión o conceder acceso a los sistemas de la cadena de suministro. Un rol de recursos humanos podría autorizar a un usuario a ver los expedientes de personal y a gestionar los sistemas de prestaciones de los empleados.
Las grandes organizaciones con muchos empleados suelen utilizar el RBAC para simplificar la gestión de accesos y mantener la seguridad de la información para los recursos digitales. Algunas empresas también utilizan el RBAC para conceder la autorización de seguridad de los activos físicos, como las cerraduras electrónicas de edificios, oficinas y centros de datos.
Al restringir el acceso de los usuarios a los recursos necesarios para sus funciones, el RBAC puede ayudar a defenderse contra usuarios internos maliciosos, empleados negligentes y actores de amenazas externas.
Descubra por qué KuppingerCole afirma que IBM es líder en el suministro de soluciones de autenticación empresarial maduras, escalables y seguras.
Un sistema de control de acceso basado en roles permite a las organizaciones adoptar un enfoque granular de la gestión de identidades y accesos (IAM) a la vez que racionaliza los procesos de autorización y las políticas de control de acceso. En concreto, el RBAC ayuda a las organizaciones a:
- Asignar permisos de forma más eficaz
- Mantener el cumplimiento
- Protección de los datos confidenciales
Asignar permisos de forma más eficaz
El RBAC elimina la necesidad de aprovisionar a cada usuario individual con un conjunto personalizado de permisos de usuario. En su lugar, los roles RBAC definidos determinan los derechos de acceso. Este proceso facilita a las organizaciones la incorporación o la salida de empleados, la actualización de las funciones de los puestos de trabajo y la transformación de las operaciones empresariales.
Los beneficios del RBAC también incluyen la posibilidad de añadir rápidamente permisos de acceso para contratistas, vendedores y otros usuarios de terceros. Por ejemplo, una asignación de roles de comarketing podría conceder a un socio comercial externo acceso a la interfaz de programación de aplicaciones (API) a bases de datos relacionadas con el producto. De esa forma, el usuario tiene acceso a la información que necesita, pero ninguno de los recursos confidenciales de la empresa queda expuesto.
Mantenga el cumplimiento
La implementación del RBAC también ayuda a las empresas a cumplir con las regulaciones de protección de datos, como los mandatos que cubren los servicios financieros y las organizaciones de atención médica. El RBAC ofrece transparencia a los reguladores en cuanto a quién, cuándo y cómo se accede o modifica la información confidencial.
Protección de los datos confidenciales
Las políticas de RBAC ayudan a abordar las vulnerabilidades de ciberseguridad al aplicar el principio de privilegio mínimo (PoLP). En PoLP, los roles de usuario otorgan acceso al nivel mínimo de permisos necesarios para completar una tarea o realizar un trabajo. Por ejemplo, un desarrollador junior puede tener permiso para trabajar en el código fuente de una aplicación, pero no puede realizar cambios sin la aprobación de un supervisor.
Al limitar el acceso a datos confidenciales, el RBAC ayuda a prevenir tanto la pérdida accidental de datos como las vulneraciones de datos intencionadas. En concreto, el RBAC ayuda a reducir el movimiento lateral, que es cuando los hackers utilizan un vector de acceso inicial a la red para ampliar gradualmente su alcance en un sistema.
Según el X-Force Threat Intelligence Index, el abuso de cuentas válidas, en el que los hackers se apoderan de las cuentas de usuarios legítimos y utilizan sus privilegios para causar daños, es el vector de ciberataque más común. El RBAC mitiga el daño que un pirata informático puede hacer con la cuenta de un usuario limitando lo que esa cuenta puede acceder en primer lugar.
Del mismo modo, las amenazas internas son una de las causas más costosas de las vulneraciones de datos. Según el informe "Cost of a Data Breach", las vulneraciones causadas por usuarios internos malintencionados cuestan una media de 4,99 millones de dólares, cifra superior al coste medio general de las vulneraciones de 4,88 millones de dólares.
Al limitar los permisos de los usuarios, el RBAC dificulta que los empleados hagan un uso indebido de sus privilegios de acceso de forma maliciosa o negligente para dañar a la organización.
En un sistema RBAC, las organizaciones primero deben crear roles específicos y, a continuación, definir qué permisos y privilegios se les otorgarán a esos roles. Las organizaciones suelen empezar por separar ampliamente las funciones en tres categorías de alto nivel: administradores, especialistas o usuarios expertos y usuarios finales.
Para configurar aún más las diferentes funciones para grupos específicos de usuarios, se tienen en cuenta factores más detallados, como la autoridad, las responsabilidades y los niveles de habilidad. A veces, un rol puede corresponder directamente a un puesto de trabajo. En otros casos, el rol puede ser un conjunto de permisos que se pueden asignar a un usuario que cumpla determinadas condiciones, independientemente de su puesto.
A los usuarios se les asignan a menudo múltiples roles o se les puede asignar a un grupo de roles que incluye varios niveles de acceso. Algunos roles son jerárquicos y proporcionan a los gestores un conjunto completo de permisos, mientras que los roles por debajo de ellos reciben un subconjunto de esos permisos de rol. Por ejemplo, la función de un supervisor podría otorgar a ese usuario acceso de escritura a un documento, mientras que los miembros del equipo solo tienen acceso de lectura.
Un ejemplo de RBAC en acción
- Un administrador de TI de un hospital crea un rol RBAC para “Enfermero”.
- El administrador establece permisos para el rol de enfermero, como ver medicamentos o introducir datos en un sistema de historia clínica electrónica (EHR).
- A los miembros del personal de enfermería del hospital se les asigna el rol de enfermero de RBAC.
- Cuando los usuarios asignados a la función de enfermero inician sesión, el RBAC comprueba los permisos a los que tienen derecho y les concede acceso a esa sesión.
- Otros permisos del sistema, como la prescripción de medicamentos o la solicitud de pruebas, se deniegan a estos usuarios porque no están autorizados para el rol de enfermero.
Muchas organizaciones utilizan una solución de gestión de identidades y accesos (IAM) para implementar el RBAC en sus empresas. Los sistemas IAM pueden ayudar tanto con la autenticación como con la autorización en un esquema RBAC:
- Autenticación: los sistemas IAM pueden verificar la identidad de un usuario comparando sus credenciales con un directorio de usuarios o una base de datos centralizados.
- Autorización: los sistemas IAM pueden autorizar a los usuarios comprobando sus roles en el directorio de usuarios y otorgando los permisos adecuados en función de ese rol en el esquema RBAC de la organización.
El Instituto Nacional de Estándares y Tecnología (NIST), que desarrolló el modelo RBAC, proporciona tres reglas básicas para todos los sistemas RBAC.
- Asignación de roles: a un usuario se le debe asignar uno o más roles activos para ejercer permisos o privilegios.
- Autorización de roles: el usuario debe estar autorizado para asumir el rol o roles que se le han asignado.
- Autorización de permisos: los permisos o privilegios se conceden solo a los usuarios que han sido autorizados a través de sus asignaciones de funciones.
Hay cuatro modelos separados para implementar RBAC, pero cada modelo comienza con la misma estructura central. Cada modelo sucesivo crea nuevas funciones y características sobre el modelo anterior.
- RBAC central
- RBAC jerárquico
- RBAC restringido
- RBAC simétrico
RBAC central
A veces llamado RBAC plano, este modelo es la base necesaria para cualquier sistema RBAC. Sigue las tres reglas básicas de RBAC. A los usuarios se les asignan roles, y esos roles autorizan el acceso a conjuntos específicos de permisos y privilegios. Core RBAC se puede utilizar como sistema de control de acceso principal o como base para modelos RBAC más avanzados.
RBAC jerárquico
Este modelo añade jerarquías de funciones que replican la estructura de informes de una organización. En una jerarquía de funciones, cada función hereda los permisos de la función inferior y obtiene nuevos permisos.
Por ejemplo, una jerarquía de funciones puede incluir a ejecutivos, gerentes, supervisores y empleados de línea. A un ejecutivo que esté en lo más alto de la jerarquía se le autorizaría a obtener un conjunto completo de permisos, mientras que a los gerentes, supervisores y empleados de línea se les concederían subconjuntos sucesivamente más pequeños de ese conjunto de permisos.
RBAC restringido
Además de las jerarquías de funciones, este modelo añade capacidades para hacer cumplir la separación de funciones (SOD). La separación de funciones ayuda a prevenir conflictos de intereses al requerir que dos personas completen ciertas tareas.
Por ejemplo, un usuario que solicita el reembolso de un gasto empresarial no debe ser la misma persona que aprueba dicha solicitud. La política RBAC restringida garantiza que los privilegios de los usuarios estén separados para este tipo de tareas.
RBAC simétrico
Este modelo es la versión más avanzada, flexible y completa de RBAC. Además de las capacidades de los modelos anteriores, añade una visibilidad más profunda de los permisos en toda la empresa.
Las organizaciones pueden revisar cómo cada permiso se asigna a cada rol y a cada usuario del sistema. También pueden ajustar y actualizar los permisos asociados a los roles a medida que evolucionan los procesos empresariales y las responsabilidades de los empleados.
Estas características son especialmente valiosas para las grandes organizaciones que deben garantizar que cada rol y cada usuario tenga la menor cantidad de acceso necesario para llevar a cabo las tareas.
Existen otros marcos de control de acceso que las organizaciones podrían utilizar como alternativa a RBAC. En algunos casos de uso, las organizaciones combinan RBAC con otro modelo de autorización para administrar los permisos de los usuarios. Los marcos de control de acceso comúnmente utilizados incluyen:
- Control de acceso obligatorio (MAC)
- Control de acceso discrecional (DAC)
- Control de acceso basado en atributos (ABAC)
- Lista de control de acceso (ACL)
Control de acceso obligatorio (MAC)
Los sistemas MAC aplican políticas de control de acceso definidas centralmente para todos los usuarios. Los sistemas MAC son menos granulares que los RBAC y el acceso normalmente se basa en niveles de autorización establecidos o puntajes de confianza. Muchos sistemas operativos utilizan MAC para controlar el acceso de los programas a recursos sensibles del sistema.
Control de acceso discrecional (DAC)
Los sistemas DAC permiten a los propietarios de los recursos establecer sus propias reglas de control de acceso para esos recursos. DAC es más flexible que las políticas generales de MAC y menos restrictivo que el enfoque estructurado de RBAC.
Control de acceso basado en atributos (ABAC)
ABAC analiza los atributos de los usuarios, los objetos y las acciones (como el nombre del usuario, el tipo de recurso y la hora del día) para determinar si se concederá el acceso. El RBAC puede ser más fácil de implementar que el ABAC porque el RBAC utiliza funciones organizativas en lugar de los atributos de cada usuario individual para autorizar el acceso.
La diferencia entre RBAC y ABAC es que ABAC determina dinámicamente los permisos de acceso en el momento en función de varios factores, mientras que RBAC determina los permisos de acceso en función únicamente del rol predefinido del usuario.
Lista de control de acceso (ACL)
ACL es un sistema básico de control de acceso que hace referencia a una lista de usuarios y reglas para determinar quién puede acceder a un sistema o recurso y qué acciones pueden realizar.
La diferencia entre ACL y RBAC es que una ACL define individualmente las reglas para cada usuario, mientras que los sistemas RBAC asignan derechos de acceso basados en roles.
Para las grandes organizaciones, RBAC se considera una mejor opción para el control de acceso porque es más escalable y más fácil de administrar que ACL.
Protege y gestiona las identidades de clientes, trabajadores y usuarios con privilegios en toda la nube híbrida con la ayuda de la IA.
Cree un tejido de identidades eficaz e independiente del producto que reduzca la complejidad de la gestión de identidades.
Mejore la seguridad mediante un control de acceso basado en funciones a nivel de bloque de acción.
Puede ayudar a sus equipos de seguridad y TI a gestionar mejor el riesgo y las posibles pérdidas con estos conocimientos esenciales.
Puede proteger mejor a su personal, sus datos y su infraestructura si comprende las últimas tácticas de ciberataque.
La gestión de identidades y accesos (IAM) es la disciplina de ciberseguridad que se ocupa de cómo los usuarios acceden a los recursos digitales y qué pueden hacer con esos recursos.