Beranda

Think

Topik

RBAC

 Apa itu kontrol akses berbasis peran (RBAC)?
Jelajahi solusi manajemen identitas dan akses IBM Berlangganan buletin Think
Ilustrasi dengan kolase piktogram awan, ponsel, sidik jari, tanda centang

Diterbitkan: 20 Agustus 2024
Kontributor: Gregg Lindemulder,  Matt Kosinski
Apa itu kontrol akses berbasis peran (RBAC)?

Kontrol akses berbasis peran (Role-based access control/RBAC) adalah model untuk memberikan wewenang akses pengguna akhir ke sistem, aplikasi, dan data berdasarkan peran pengguna yang telah ditetapkan sebelumnya. Sebagai contoh, seorang analis keamanan bisa mengonfigurasi firewall namun tidak bisa melihat data pelanggan, sementara seorang staf penjualan dapat melihat akun pelanggan namun tidak bisa menyentuh pengaturan firewall.

Dalam sistem RBAC, administrator menetapkan setiap pengguna satu atau lebih peran. Setiap peran baru mewakili satu set izin atau hak istimewa untuk pengguna.

Peran keuangan dapat memberikan wewenang kepada pengguna untuk melakukan pembelian, menjalankan perangkat lunak perkiraan, atau memberikan akses ke sistem rantai pasokan. Peran sumber daya manusia mungkin memberi wewenang kepada pengguna untuk melihat file personel dan mengelola sistem manfaat karyawan.

Organisasi besar dengan banyak karyawan sering menggunakan RBAC untuk menyederhanakan manajemen akses dan menjaga keamanan informasi untuk sumber daya digital. Beberapa bisnis juga menggunakan RBAC untuk memberikan izin keamanan untuk aset fisik seperti kunci elektronik pada gedung, kantor, dan pusat data.

Dengan membatasi akses pengguna ke sumber daya yang dibutuhkan untuk peran mereka, RBAC dapat membantu melindungi dari orang dalam yang jahat, karyawan yang lalai, dan pelaku ancaman eksternal. 
Unduh KuppingerCole Access Management Leadership Compass

Pelajari mengapa KuppingerCole menyebut IBM sebagai pemimpin dalam menyediakan solusi autentikasi perusahaan yang matang, dapat diskalakan, dan aman.

Mengapa RBAC penting?

Sistem kontrol akses berbasis peran memungkinkan organisasi mengambil pendekatan terperinci terhadap manajemen identitas dan akses (IAM) sambil menyederhanakan proses otorisasi dan kebijakan kontrol akses. Secara khusus, RBAC membantu organisasi:

  • Menetapkan izin dengan lebih efektif
  • Mempertahankan kepatuhan 
  • Melindungi data sensitif

Menetapkan izin dengan lebih efektif

 

RBAC menghilangkan kebutuhan untuk menyediakan setiap pengguna dengan serangkaian izin pengguna secara khusus. Sebaliknya, peran RBAC yang ditentukan menetapkan hak akses. Proses ini memudahkan organisasi untuk saat mulai mempekerjakan atau akan memberhentikan karyawan, memperbarui fungsi pekerjaan, dan mengubah operasi bisnis.

Manfaat RBAC juga mencakup kemampuan untuk menambahkan izin akses dengan cepat untuk kontraktor, vendor, dan pengguna pihak ketiga lainnya. Misalnya, penugasan peran pemasaran bersama dapat memberikan mitra bisnis eksternal akses antarmuka pemrograman aplikasi (API) ke basis data yang terkait dengan produk. Dengan begitu, pengguna memiliki akses ke informasi yang mereka butuhkan tetapi tidak ada sumber daya rahasia perusahaan yang terekspos.

Pertahankan kepatuhan
 

Menerapkan RBAC juga membantu bisnis mematuhi peraturan perlindungan data, seperti mandat yang mencakup layanan keuangan dan organisasi layanan kesehatan. RBAC memberikan transparansi bagi regulator mengenai siapa, kapan, dan cara informasi sensitif diakses atau dimodifikasi.

Melindungi data sensitif

 

Kebijakan RBAC membantu mengatasi kerentanan keamanan siber dengan menegakkan prinsip hak istimewa terendah (PoLP). Di bawah PoLP, peran pengguna memberikan akses ke tingkat izin minimum yang diperlukan untuk menyelesaikan tugas atau memenuhi pekerjaan. Sebagai contoh, pengembang junior mungkin memiliki izin untuk mengerjakan kode sumber aplikasi, tetapi tidak dapat melakukan perubahan tanpa persetujuan supervisor.

Dengan membatasi akses ke data sensitif, RBAC membantu mencegah kehilangan data yang tidak disengaja dan pelanggaran data yang disengaja. Secara khusus, RBAC membantu membatasi gerakan lateral, yaitu ketika peretas menggunakan vektor akses jaringan awal untuk memperluas jangkauan mereka secara bertahap di seluruh sistem.

Menurut X-Force Threat Intelligence Index, penyalahgunaan akun yang valid—di mana peretas mengambil alih akun pengguna yang sah dan menggunakan hak istimewa mereka untuk menyebabkan kerusakan—adalah vektor serangan siber yang paling umum. RBAC memitigasi kerusakan yang dapat dilakukan peretas terhadap akun pengguna dengan membatasi apa yang dapat diakses oleh akun tersebut sejak awal.

Demikian pula, ancaman orang dalam adalah salah satu penyebab paling mahal dari pelanggaran data. Menurut Laporan Biaya Pelanggaran Data, pelanggaran yang disebabkan oleh orang dalam yang jahat menelan biaya rata-rata USD 4,99 juta, lebih tinggi daripada biaya pelanggaran rata-rata keseluruhan sebesar USD 4,88 juta.

Dengan membatasi izin pengguna, RBAC mempersulit karyawan untuk menyalahgunakan hak akses mereka secara jahat atau lalai untuk merugikan organisasi.
Cara kerja RBAC

Dalam sistem RBAC, organisasi pertama-tama harus membuat peran tertentu dan kemudian menentukan izin dan hak istimewa apa yang akan diberikan pada peran tersebut. Organisasi sering kali memulai dengan memisahkan peran secara luas menjadi tiga kategori tingkat atas yaitu administrator, spesialis atau pengguna pakar, dan pengguna akhir.

Untuk mengonfigurasi lebih lanjut peran yang berbeda untuk kelompok pengguna tertentu, faktor yang lebih terperinci seperti otoritas, tanggung jawab, dan tingkat keahlian dipertimbangkan. Terkadang, peran mungkin berhubungan langsung dengan judul pekerjaan. Dalam kasus lain, peran dapat berupa kumpulan izin yang dapat diberikan kepada pengguna yang memenuhi persyaratan tertentu, terlepas dari jabatan mereka.

Pengguna sering diberi beberapa peran atau mungkin ditugaskan ke grup peran yang mencakup beberapa tingkat akses. Beberapa peran bersifat hierarkis dan memberi manajer serangkaian izin yang lengkap, sementara peran di bawahnya menerima sebagian dari izin peran tersebut. Misalnya, peran supervisor dapat memberikan akses menulis kepada pengguna tersebut ke sebuah dokumen, sementara anggota tim hanya memiliki akses membaca.

Contoh tindakan RBAC

 

  1. Administrator TI di rumah sakit membuat peran RBAC untuk “Perawat.”
  2. Administrator menetapkan izin untuk peran Perawat, seperti melihat obat atau memasukkan data ke dalam sistem catatan kesehatan elektronik (EHR).
  3. Anggota staf perawat di rumah sakit diberi peran Perawat RBAC.
  4. Ketika pengguna yang ditetapkan ke peran Perawat masuk, RBAC memeriksa izin mana yang berhak mereka dapatkan dan memberi mereka akses untuk sesi tersebut.
  5. Izin sistem lainnya seperti meresepkan obat atau memesan tes ditolak untuk pengguna ini karena mereka tidak berwenang untuk peran Perawat. 

 RBAC dan manajemen identitas dan akses (IAM)

Banyak organisasi menggunakan solusi manajemen identitas dan akses (IAM) untuk menerapkan RBAC di seluruh perusahaan mereka. Sistem IAM dapat membantu dengan autentikasi dan otorisasi dalam skema RBAC:

  • Autentikasi: Sistem IAM dapat memverifikasi identitas pengguna dengan memeriksa kredensial mereka terhadap direktori atau basis data pengguna yang terpusat.

  • Otorisasi: Sistem IAM dapat mengotorisasi pengguna dengan memeriksa peran mereka di direktori pengguna dan memberikan izin yang sesuai berdasarkan peran tersebut dalam skema RBAC organisasi.
 Apa tiga aturan utama RBAC?

Institut Standar dan Teknologi Nasional (NIST), yang mengembangkan model RBAC, memberikan tiga aturan dasar untuk semua sistem RBAC.  

  1. Penetapan peran: Pengguna harus diberi satu atau lebih peran aktif untuk menjalankan izin atau hak istimewa.

  2. Otorisasi peran: Pengguna harus diberi wewenang untuk mengambil peran atau beberapa peran yang telah ditetapkan kepada mereka.

  3. Otorisasi izin: Izin atau hak istimewa hanya diberikan kepada pengguna yang telah diotorisasi melalui penugasan peran mereka.
 Apa saja empat model RBAC?

Ada empat model terpisah untuk mengimplementasikan RBAC, tetapi setiap model dimulai dengan struktur inti yang sama. Setiap model berturut-turut membangun fungsionalitas dan fitur baru pada model sebelumnya.  

  • RBAC Inti
  • RBAC Hierarkis
  • RBAC terbatas
  • RBAC Simetris

RBAC Inti
Terkadang disebut RBAC Datar, model ini merupakan fondasi yang diperlukan untuk sistem RBAC apa pun. Model ini mengikuti tiga aturan dasar RBAC. Pengguna diberi peran, dan peran tersebut mengotorisasi akses ke serangkaian izin dan hak istimewa tertentu. RBAC Inti dapat digunakan sebagai sistem kontrol akses utama, atau sebagai dasar untuk model RBAC yang lebih canggih.

RBAC hierarkis
Model ini menambahkan hierarki peran yang mereplikasi struktur pelaporan organisasi. Dalam hierarki peran, setiap peran mewarisi izin peran di bawahnya dan mendapatkan izin baru.

Misalnya, hierarki peran mungkin mencakup eksekutif, manajer, supervisor, dan karyawan lini. Seorang eksekutif di puncak hierarki akan diberi wewenang untuk serangkaian izin penuh, sementara manajer, supervisor, dan karyawan lini masing-masing akan diberikan subrangkaian yang lebih kecil dari rangkaian izin tersebut.  

RBAC yang dibatasi
Selain hierarki peran, model ini menambahkan kemampuan untuk menegakkan pemisahan tugas (SOD). Pemisahan tugas membantu mencegah konflik kepentingan dengan mengharuskan dua orang untuk menyelesaikan tugas-tugas tertentu.

Sebagai contoh, pengguna yang meminta penggantian biaya untuk pengeluaran bisnis tidak boleh sama dengan orang yang menyetujui permintaan tersebut. Kebijakan RBAC yang dibatasi memastikan bahwa hak pengguna dipisahkan untuk jenis tugas ini.

RBAC Simetris
Model ini merupakan versi RBAC yang paling maju, fleksibel, dan komprehensif. Sebagai tambahan dari kemampuan model sebelumnya, ini menambahkan visibilitas yang lebih dalam ke dalam izin di seluruh perusahaan.

Organisasi dapat mengulas bagaimana setiap izin dipetakan ke setiap peran dan setiap pengguna dalam sistem. Mereka juga dapat menyesuaikan dan memperbarui izin yang terkait dengan peran seiring dengan berkembangnya proses bisnis dan tanggung jawab karyawan.

Fitur-fitur ini sangat berharga bagi organisasi besar yang harus memastikan bahwa setiap peran dan setiap pengguna memiliki jumlah akses paling sedikit yang diperlukan untuk melakukan tugas.
RBAC vs. kerangka kerja kontrol akses lainnya

Ada kerangka kerja kontrol akses lain yang mungkin digunakan organisasi sebagai alternatif untuk RBAC. Dalam beberapa contoh penggunaan, organisasi menggabungkan RBAC dengan model otorisasi lain untuk mengelola izin pengguna. Kerangka kerja kontrol akses yang umum digunakan meliputi:

  • Kontrol akses wajib (MAC)
  • Kontrol akses diskresioner (DAC)
  • Kontrol akses berbasis atribut (ABAC)
  • Daftar kontrol akses (ACL)

Kontrol akses wajib (MAC)

 

Sistem MAC menerapkan kebijakan kontrol akses yang ditentukan secara terpusat di semua pengguna. Sistem MAC bersifat kurang granular dibandingkan RBAC, dan akses biasanya didasarkan pada tingkat izin yang ditetapkan atau skor kepercayaan. Banyak sistem operasi menggunakan MAC untuk mengontrol akses program ke sumber daya sistem yang sensitif.

Kontrol akses diskresioner (DAC)

 

Sistem DAC memungkinkan pemilik sumber daya untuk menetapkan aturan kontrol akses mereka sendiri untuk sumber daya tersebut. DAC lebih fleksibel daripada kebijakan menyeluruh MAC, dan tidak terlalu membatasi daripada pendekatan terstruktur RBAC.

Kontrol akses berbasis atribut (ABAC)

 

ABAC menganalisis atribut pengguna, objek, dan tindakan—seperti nama pengguna, jenis sumber daya, dan waktu—untuk menentukan apakah akses akan diberikan. RBAC lebih mudah diimplementasikan daripada ABAC karena RBAC menggunakan peran organisasi dibandingkan atribut masing-masing pengguna untuk mengotorisasi akses.

Perbedaan antara RBAC dan ABAC adalah bahwa ABAC secara dinamis menentukan izin akses pada saat itu juga berdasarkan beberapa faktor, sedangkan RBAC menentukan izin akses hanya berdasarkan peran pengguna yang telah ditentukan sebelumnya.

Daftar kontrol akses (ACL)

 

ACL adalah sistem kontrol akses dasar yang merujuk kepada daftar pengguna dan aturan untuk menentukan siapa yang dapat mengakses sistem atau sumber daya, dan tindakan apa saja yang dapat mereka lakukan.

Perbedaan antara ACL dan RBAC adalah bahwa ACL mendefinisikan aturan secara individual untuk setiap pengguna, sedangkan sistem RBAC menetapkan hak akses berdasarkan peran.

Untuk organisasi besar, RBAC dianggap sebagai pilihan yang lebih baik untuk kontrol akses karena lebih dapat diskalakan dan lebih mudah dikelola dibandingkan ACL.
Solusi terkait
IBM Verify

Melindungi dan mengelola identitas pelanggan, tenaga kerja, dan hak istimewa di seluruh hybrid cloud yang tertanam AI.

 Jelajahi IBM Verify
Struktur identitas

Membangun struktur identitas yang efektif dan agnostik produk yang mengurangi kompleksitas manajemen identitas.

 Jelajahi solusi struktur Identitas IBM
IBM Rapid Network Automation

Meningkatkan keamanan melalui kontrol akses berbasis peran di tingkat blok tindakan.

 Jelajahi IBM Rapid Network Automation
Sumber daya Laporan Biaya Pelanggaran Data

Anda dapat membantu tim keamanan dan TI Anda mengelola risiko dan potensi kerugian dengan lebih baik dengan insight penting ini.

 Indeks X-Force Threat Intelligence

Anda dapat melindungi karyawan, data, dan infrastruktur Anda dengan lebih baik dengan memahami taktik serangan siber terbaru.

 Apa itu manajemen identitas dan akses (IAM)?

Manajemen identitas dan akses (IAM) adalah disiplin keamanan siber yang berhubungan dengan cara pengguna mengakses sumber daya digital dan apa yang dapat mereka lakukan dengan sumber daya tersebut.
Ambil langkah selanjutnya

IBM Security Verify adalah platform IAM terkemuka yang menyediakan kemampuan yang didukung AI untuk mengelola tenaga kerja dan kebutuhan pelanggan Anda. Menyatukan silo identitas, mengurangi risiko serangan berbasis identitas dan menyediakan autentikasi modern, termasuk kemampuan tanpa kata sandi.

 Jelajahi Verify Coba Verify selama 90 hari