ABAC розшифровується як Attribute Based Access Control, у перекладі українською – контроль доступу на основі атрибутів. Це спосіб контролювати, хто і до якої інформації в системі може отримати доступ на основі різних характеристик, або «атрибутів». Образно ABAC можна описати як бібліотеку, де можливість прочитати книгу залежить від наступного:
- Хто ви (студент, викладач)
- Яка це книга (з обмеженим доступом, загальнодоступна)
- Котра година (в робочий час)
- Чому ви хочете її прочитати (дослідження, розвага)
Замість того, щоб просто надавати доступ на основі ролі (наприклад, «адміністратор» або «користувач» у традиційних системах), ABAC перевіряє атрибути:
- Користувача (наприклад, відділ, рівень доступу)
- Ресурсу (наприклад, рівень конфіденційності, тип)
- Дії (наприклад, читання, запис, видалення)
- Середовища (наприклад, місцезнаходження, час доби)
Якщо всі умови виконані, доступ надається.
Чим ABAC відрізняється від RBAC?
Нижче у таблиці наведено порівняння ABAC (контроль доступу на основі атрибутів) та RBAC (контроль доступу на основі ролей).
| Функція | RBAC (на основі ролей) | ABAC (на основі атрибутів) |
| Доступ на основі | Ролі користувача | Атрибутів користувача, ресурсу, дії, середовища |
| Приклад правила | «Адміністратори можуть видаляти файли» | «Користувачі відділу кадрів можуть мати доступ до файлів співробітників тільки в робочий час з пристроїв компанії» |
| Деталізація | Груба (на рівні ролей) | Тонка (контекстно-залежна, динамічні умови) |
| Гнучкість | Статичні ролі | Високодинамічні, контекстно-залежні ролі |
Це можна уявити наступним чином:
RBAC – користувачу призначена роль (наприклад, «Менеджер»), і ця роль має дозволи (наприклад, «Перегляд звітів»).
ABAC – рішення про доступ залежать від комбінації багатьох деталей, таких як:
- Хто ви (user.department = HR)
- Що ви намагаєтеся зробити (action = edit)
- До чого ви намагаєтеся отримати доступ (resource.type = record)
- Умови, такі як час, місцезнаходження, пристрій (environment.time < 5pm)
Які приклади ABAC існують у реальному житті?
| Охорона здоров’я – Доступ до медичної картки пацієнта | Сценарій: Лікар потребує доступу до записів пацієнтів. Правило ABAC: Надати доступ, якщо: user.role = doctor user.department = cardiology resource.type = patient_record resource.patient_department = cardiology access_time = within shift hours ABAC гарантує, що лікар бачить записи лише для свого відділення і лише в робочий час, захищаючи конфіденційність пацієнтів. |
| Банківська справа – Схвалення транзакції | Сценарій: Менеджер банку схвалює переказ на велику суму. Правило ABAC: Дозволити схвалення транзакції, якщо: user.title = branch_manager resource.amount ≥ 50000 AND user.branch = resource.origin_branch request_time = during business hours ABAC допомагає додати контекстні умови, щоб обмежити шахрайство та забезпечити належну авторизацію на основі суми, відділення та часу. |
| E-Commerce – Доступ служби підтримки | Сценарій: Агент підтримки переглядає історію замовлень клієнта Правило ABAC: Надати права на перегляд, якщо: user.role = support_agent resource.customer_region = user.region access_type = read-only case_status = open ABAC обмежує доступ лише до активних звернень клієнтів з відповідного регіону, захищаючи персональні дані. |
| Уряд – Доступ до секретних документів | Сценарій: Офіцер розвідки отримує доступ до секретного звіту. Правило ABAC: дозволити доступ, якщо: user.clearance_level ≥ document.classification_level user.agency = document.owning_agency access_purpose = mission_related device.is_encrypted = true ABAC гарантує високий рівень безпеки, перевіряючи допуск, належність до агентства, мету доступу та безпечність пристрою. |
Чи краще ABAC для моделі безпеки Zero Trust?
ABAC загалом краще відповідає принципам безпеки Zero Trust, ніж старіші моделі, такі як RBAC.
ABAC добре працює в умовах нульової довіри з наступних причин:
- Тонкий контроль доступу. ABAC дозволяє організаціям визначати дуже детальні політики доступу на основі широкого спектра атрибутів, таких як ідентичність користувача, відповідність пристрою, конфіденційність ресурсів тощо. Це гарантує, що доступ надається лише за певних, заздалегідь визначених умов, що ідеально відповідає філософії нульової довіри, яка передбачає перевірку кожного запиту замість того, щоб покладатися на широкі призначення ролей.
- Контекстно-орієнтовані рішення. ABAC враховує не лише те, хто отримує доступ, але й те, як, коли й звідки. Така контекстна обізнаність дозволяє системам з нульовою довірою приймати більш розумні та безпечні рішення, які відображають поточний рівень ризику кожної взаємодії.
- Застосування принципу найменших привілеїв. ABAC полегшує застосування принципу найменших привілеїв, надаючи лише мінімально необхідний доступ для конкретної дії в конкретному контексті.
- Масштабованість та автоматизація. ABAC є більш масштабованим у хмарних, багатокористувацьких середовищах, заснованих на мікросервісах. Він підтримує автоматизовані рішення з використанням політик, які адаптуються до змін атрибутів користувачів і станів системи, що ідеально для архітектур Zero Trust.
- Безперервна перевірка. ABAC підтримує безперервну оцінку ризиків шляхом включення перевірок в режимі реального часу в рішення про доступ, наприклад, чи є пристрій захищеним або чи ввімкнено MFA.
Це підтримує основну вимогу Zero Trust щодо постійної перевірки довіри перед наданням або підтримкою доступу.
Інструменти Netwrix для ABAC
Netwrix пропонує різноманітні інструменти та рішення, призначені для підвищення рівня безпеки та відповідності в ІТ-середовищі. Хоча Netwrix в першу чергу фокусується на прозорості та управлінні доступом до даних та активністю користувачів, він може підтримувати впровадження ABAC різними способами.
- Видимість і аудит. Netwrix Auditor надає широкі можливості аудиту, які дозволяють відстежувати, хто має доступ до яких ресурсів і як ці ресурси використовуються. Ця інформація має вирішальне значення для визначення та вдосконалення політик ABAC, оскільки вона допомагає зрозуміти поведінку користувачів і патерни доступу.
- Аналітика поведінки користувачів та організацій (UEBA). Аналізуючи поведінку користувачів, Netwrix Threat Prevention може допомогти виявити незвичайні шаблони або аномалії, які можуть вказувати на неправильну конфігурацію політик ABAC або потенційну загрозу безпеці.
- Підтримка узгодженості політик. Netwrix Endpoint Policy Manager дозволяє організаціям підтримувати узгодженість політик контролю доступу на різних платформах, легко інтегруючись з чинними системами й полегшуючи перехід до моделей ABAC.
- Перевірка та повторна сертифікація доступу. Netwrix може оптимізувати процес проведення періодичних перевірок доступу, допомагаючи забезпечити відповідність прав доступу потребам бізнесу та вимогам нормативно-правового регулювання.
- Інтеграція та автоматизація. Netwrix може інтегруватися з іншими інструментами для управління ІТ та гарантування безпеки, що забезпечує більш автоматизований та узгоджений підхід до управління політиками ABAC на різних платформах та сервісах.
- Звітність про відповідність вимогам. Рішення Netwrix можуть генерувати детальні звіти про відповідність, які демонструють дотримання політик і нормативних вимог, що має вирішальне значення для середовищ, які використовують ABAC для забезпечення контролю доступу на основі суворих вимог до відповідності.
Netwrix Identity Manager
Netwrix Identity Manager (раніше Usercube) дозволяє визначити політику безпеки ІТ-системи щодо контролю прав доступу і може автоматизувати розгортання цих засобів контролю. Таким чином, організація захищена від порушень безпеки, включаючи порушення, пов’язані з розподілом обов’язків.
Постійне виявлення ризиків, пов’язаних з ідентифікацією та доступом, від конфлікту прав і порушень SoD до неактивних або надлишкових облікових записів. Використання вбудованої оцінки ризиків і засобів контролю на основі політик, щоб запобігти підвищенню привілеїв і забезпечити управління – до того, як загрози матеріалізуються.
Висновок
ABAC являє собою зміну парадигми захисту конфіденційних даних, пропонуючи деталізовані, динамічні рішення щодо доступу на основі атрибутів користувача, умов навколишнього середовища та характеристик ресурсів. ABAC підвищує гнучкість і точність, що робить його ідеальним рішенням для складних ІТ-середовищ, які швидко розвиваються. Основними перевагами ABAC є масштабованість, покращене узгодження з нормативними вимогами та контекстно-залежне гарантування безпеки, що робить його найкращим рішенням для сучасних потреб управління доступом.
Організації, які прагнуть впровадити кібербезпеку ABAC, можуть скористатися інструментами, подібними до тих, що пропонує Netwrix. Продукти Netwrix в сукупності дозволяють компаніям ефективно впроваджувати ABAC, гарантуючи надійну безпеку та враховуючи складність сучасних ІТ-ландшафтів.
