Beheer

Security
grenscontrole

Rollen of attributen?

RBAC en ABAC allebei verre van ideaal

© CC BY-SA 2.0 - Flickr.com MPD01605
20 maart 2020

Het op efficiënte, transparante en veilige wijze inrichten en beheren van autorisaties is al decennialang een groot struikelblok voor veel organisaties. In de loop der tijd zijn verschillende methoden ontwikkeld voor autorisatiebeheer, waarvan de bekendste RBAC en ABAC zijn. Maar deze methodes hebben volgens Rob van der Staaij stuk voor stuk hun onvolkomenheden.

Bij role-based access control (RBAC) worden autorisaties gebundeld in rollen, zodat de toegang tot informatiesystemen via het lidmaatschap van een of meer rollen kan worden gefaciliteerd in plaats van op individuele basis. Een RBAC-rol kan worden gedefinieerd als een verzameling autorisaties die wordt vastgesteld aan de hand van bedrijfsprocessen en de hieraan gerelateerde taken, organisatiestructuur en regelgeving. Indien goed opgezet, zou RBAC autorisaties meer transparant en beheersbaar moeten maken.

In de praktijk blijkt de invoering van RBAC uitermate moeizaam en tijdrovend. Zo is er geen consensus over hoe RBAC-rollen moeten worden samengesteld. Voorzichtigheid is geboden bij role mining. Hierbij worden patronen van autorisaties binnen applicaties in kaart gebracht, op basis waarvan rollen worden samengesteld. Afgezien van het feit dat role mining zich beperkt tot één applicatie of applicatiesuite, introduceert deze methode het risico dat ook onterechte autorisaties worden meegenomen. Beter is het om top-down te werk te gaan, waarbij eerst wordt bekeken welke taken ter ondersteuning van de bedrijfsvoering worden uitgevoerd.

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Laat de klantenservice je terugbellen!