article

O que é controle de acesso baseado em atributo (ABAC)?

O controle de acesso baseado em atributo (ABAC), também conhecido como controle de acesso baseado em política (PBAC) ou controle de acesso baseado em declarações (CBAC), é uma metodologia de autorização que define e aplica políticas com base em características, como departamento, local, gerente e hora do dia. Usando a lógica booleana, o ABAC cria regras de acesso com instruções “se-então” que definem o usuário, a solicitação, o recurso e a ação. Por exemplo, se o solicitante for um vendedor, ele receberá acesso de leitura e escrita à solução de gerenciamento de relacionamento com o cliente (CRM), ao contrário de um administrador, que recebe apenas privilégios de visualização para criar um relatório.

Com o controle de acesso baseado em conta, pode ser fornecida segurança dinâmica e sensível ao contexto para atender a requisitos de TI cada vez mais complexos. Alguns casos de uso para ABAC são:

  • Proteção de dados, dispositivos de rede, serviços em nuvem e recursos de TI de usuários ou ações não autorizados
  • Segurança de microsserviços/interfaces de programação de aplicativos (APIs) para evitar a exposição de transações confidenciais
  • Habilitação de controles dinâmicos de firewall de rede, o que permite que as decisões de política sejam tomadas por usuário

Componentes do ABAC

Atributos são as características ou valores de componentes que são usados em um evento de acesso. Esses atributos podem ser extraídos de várias fontes de dados, inclusive sistemas de gerenciamento de identidade e acesso (IAM), sistemas de planejamento de recursos empresariais (ERP), informações de funcionários de um sistema interno de recursos humanos, informações de clientes de um CRM e de servidores de Lightweight Directory Access Protocol (LDAP).

O controle de acesso baseado em atributo permite o uso de vários atributos para autorização para fornecer uma abordagem mais granular ao controle de acesso, por exemplo, separação de funções (SOD).

Veja como os administradores podem desenvolver rapidamente políticas para reduzir o risco de fraude e manter a conformidade.

A seguir estão listadas as características que podem ser usadas para determinar a concessão ou recusa de acesso.

Atributos subjetivos ou de usuário

Os atributos subjetivos ou de usuário descrevem quem está tentando obter acesso a um recurso para executar uma ação. Isso pode incluir nome de usuário, idade, cargo, nacionalidade, ID de usuário, departamento e afiliação da empresa, habilitação de segurança, nível de gerenciamento e outros critérios de identificação. Os sistemas ABAC podem coletar essas informações de tokens de autenticação usados durante o login ou podem ser extraídas de um banco de dados ou sistema (por exemplo, um sistema LDAP, de recursos humanos).

Atributos objetivos ou de recurso

Os atributos objetivos ou de recurso abrangem características de um objeto ou recurso (por exemplo, arquivo, aplicativo, servidor, API) que recebeu uma solicitação de acesso. Exemplos de atributos objetivos ou de recurso são data de criação, última atualização, autor, proprietário, nome do arquivo, tipo de arquivo e confidencialidade dos dados.

Atributos ambientais ou de contexto

Os atributos ambientais indicam o contexto mais amplo das solicitações de acesso. Os atributos ambientais podem ser uma variedade de itens contextuais, como a hora e o local de uma tentativa de acesso, o tipo de dispositivo do sujeito, o protocolo de comunicação, a força de autenticação, os padrões normais de comportamento do sujeito, o número de transações já feitas nas últimas 24 horas ou mesmo a relação com terceiros.

Atributos de ação

Os atributos de ação indicam como um usuário deseja se envolver com um recurso. Exemplos de atributos de ação comuns em solicitações de acesso são ver, ler, escrever, copiar, editar, transferir, excluir ou aprovar. Eles podem ser usados individualmente ou combinados em cenários mais complexos.

Atributos subjetivos ou de usuário Atributos objetivos ou de recurso Atributos ambientais ou de contextoAtributos de ação
Permissão Departamento ID de funcionário Cargo Nome de usuárioAutor/Proprietário Classificação Data de criação Última atualização TipoDia atual Horário atual Dispositivo Local Fuso horárioExcluir Ler Transferir Ver Escrever

Como funciona o controle de acesso baseado em atributo

O ABAC concede permissões baseadas em quem o usuário é e não no que ele faz, o que permite controles granulares. Os atributos são analisados para avaliar como eles interagem em um ambiente e, posteriormente, são aplicadas regras com base nos relacionamentos.

Veja como o processo normalmente funciona:

  1. É feita uma solicitação de acesso.
  2. A ferramenta de controle de acesso baseado em atributo verifica os atributos para determinar se eles correspondem às políticas existentes.
  3. Com base no resultado da análise da ferramenta ABAC, a permissão é concedida ou negada.

Benefícios do ABAC

O modelo de autorização de controle de acesso baseado em atributo tem recursos exclusivos que oferecem benefícios valiosos para as organizações, como os apresentados a seguir.

Ampla gama de políticas

Praticamente qualquer tipo de política pode ser criado, pois as únicas limitações do ABAC são os atributos e as condições que a linguagem computacional pode expressar.

O controle de acesso baseado em atributo permite controlar variáveis situacionais para ajudar os formuladores de políticas a implementar o acesso granular.

Ele também permite que os administradores usem restrições de acesso inteligentes que fornecem contexto para decisões inteligentes de segurança, privacidade e conformidade. Por exemplo, um grupo de funcionários pode ter acesso apenas a alguns tipos de informações em determinados momentos ou apenas em um determinado local.

Fácil de usar

O controle de acesso baseado em atributo é muito intuitivo para o usuário. Ele oculta os conjuntos de permissões técnicas por trás de uma interface fácil de usar. Qualquer pessoa com as permissões certas pode atualizar um perfil de usuário e ter certeza de que o usuário terá o acesso de que precisa, desde que seus atributos estejam atualizados. Além disso, o número máximo de usuários pode ter acesso ao máximo de recursos disponíveis sem que os administradores tenham que especificar as relações entre cada usuário e objeto.

Integração rápida de novos usuários

Os modelos ABAC agilizam a integração de novos funcionários e parceiros externos permitindo que os administradores e proprietários de objetos criem políticas e confiram atributos que permitem aos novos usuários o acesso aos recursos. Com o controle de acesso baseado em atributo, as regras existentes ou as características do objeto não precisam ser alteradas para conceder esse acesso.

Flexibilidade

Com o ABAC, praticamente qualquer atributo pode ser representado e alterado automaticamente com base em fatores contextuais, como quais aplicativos e tipos de dados os usuários podem acessar, quais transações podem enviar e as operações que podem realizar.

Conformidade regulatória

A segurança reforçada fornecida pelas permissões e controles granulares do controle de acesso baseado em atributo ajuda as organizações a atender aos requisitos de conformidade para proteger as informações de identificação pessoal (PII) e outros dados confidenciais estabelecidos na legislação e nas regras como, por exemplo, Health Insurance Portability and Accountability Act (HIPAA), Lei Geral de Proteção de Dados (LGPD) e Payment Card Industry Data Security Standard (PCI DSS).

Escalabilidade

Uma vez configurado o ABAC, os administradores podem copiar e reutilizar atributos para componentes e posições de usuário semelhantes, o que simplifica a manutenção de políticas e a integração de novos usuários.

Desafios do controle de acesso baseado em atributo

Uma vez implantado, o ABAC é simples de escalar e integrar em programas de segurança, mas começar a utilizá-lo exige algum esforço. Embora a maioria concorde que os benefícios do ABAC superam em muito os desafios, há algo que deve ser considerado: a complexidade da implementação. Isso ocorre porque os administradores devem:

  • Conferir atributos a cada componente.
  • Criar um mecanismo de política central para determinar quais atributos têm permissão para fazer, com base em várias condições (ou seja, se X, então Y).
  • Definir todos os atributos.
  • Avaliar as permissões disponíveis para usuários específicos antes que todos os atributos e regras estejam em vigor.
  • Mapear políticas de autorização para criar um conjunto de políticas abrangente para governar o acesso.

ABAC x RBAC

O controle de acesso baseado em atributo e o controle de acesso baseado em função são métodos de gerenciamento de acesso. Ao contrário do ABAC, o RBAC concede acesso com base em funções planas ou hierárquicas. Com o RBAC, as funções atuam como um conjunto de direitos ou permissões.

ABAC RBAC 
Funções existentes estendidas com atributos e políticas (por exemplo, as ações e características de recurso relevantes, o local, a hora, como a solicitação é feita). Cada usuário recebe uma função
Autorização com base em decisões inteligentes. A autorização considera apenas a função e os privilégios associados 
As políticas são baseadas em atributos, são expressas em linguagem natural e incluem contexto O acesso é concedido apenas por funções 
Os administradores podem adicionar, remover e reorganizar atributos sem reescrever a política Novas funções devem ser definidas manualmente
O acesso tem uma granularidade fina É concedido acesso amplo em toda a empresa 

Como escolher entre ABAC e RBAC

A escolha certa entre o controle de acesso baseado em atributo ou em função depende do tamanho, do orçamento e das necessidades de segurança da empresa. O tamanho desempenha um papel importante na escolha, pois a implementação inicial do ABAC é complicada e consome muitos recursos.

ABACRBAC
Recursos para apoiar um processo de implementação complexo Precisa de controles de acesso, mas não tem recursos para um processo de implementação complexo 
Um grande número de usuários com funções dinâmicas Grupos bem definidos dentro da organização 
Grande organização com crescimento uniforme Não se espera que o crescimento organizacional seja expressivo 
Força de trabalho distribuída geograficamente Força de trabalho com localização central 
Necessidade de recursos de controle de acesso profundos e específicos Confortável com políticas amplas de controle de acesso 

ABAC e RBAC: uma abordagem híbrida

O controle de acesso baseado em atributo e o controle de acesso baseado em função podem ser usados em conjunto para aproveitamento da facilidade de administração de políticas do RBAC com as especificações de políticas flexíveis e os recursos dinâmicos de tomada de decisão do ABAC. O uso do ABAC e do RBAC (ARBAC) pode fornecer segurança poderosa e otimizar os recursos de TI.

A abordagem híbrida ARBAC permite que os administradores de TI automatizem o acesso básico e dá às equipes de operações a capacidade de fornecer acesso adicional a usuários específicos por meio de funções que se alinham à estrutura de negócios. Tornando as funções dependentes de atributos, as limitações podem ser aplicadas a usuários específicos automaticamente, sem pesquisa ou configurações.

Isso simplifica as atribuições de acesso e minimiza o número de perfis de usuário que precisam ser gerenciados. Com o ARBAC, as equipes de TI podem essencialmente terceirizar a carga de trabalho de integração e exclusão de usuários para os tomadores de decisão da empresa.

Por exemplo, o ARBAC pode ser usado para impor o controle de acesso com base em atributos específicos com controle de acesso discricionário por meio de funções de trabalho baseadas em perfil que são baseadas nas funções dos usuários. O ARBAC também pode suportar um modelo de controle de acesso adaptável ao risco com privilégios mutuamente exclusivos concedidos, de modo que permitam a segregação de funções.

Apoiar a segurança organizacional com o ABAC

O controle de acesso baseado em atributo tornou-se amplamente aceito como o modelo de autorização preferido de muitas organizações. Não só é incrivelmente poderoso, mas alivia parte da carga de administração de segurança.

Date: January 24, 2024Reading time: 9 minutes
Access ManagementIdentity Security