RBAC, ABAC ve PBAC arasındaki Battle Royale


Milenyumun başında siber güvenlik önemli ölçüde daha az karmaşıktı. Son zamanlardaki çalışma uygulamaları artık rutin günlük faaliyetlerin bir parçası olarak kuruluşlar ve sınırlar arasında paylaşıma hazır, büyük miktarlarda karmaşık veriler talep ediyor. O zamanlar veriler genellikle basitti ve dolaşan bilgiler ciddi şekilde kısıtlanmıştı (ofisinizde bulunan sunucu odalarının olduğu günler geride kaldı). Ayrıca, bugün tanık olduğumuz karmaşıklık ve hızda saldırı yapamayan, daha az gelişmiş tehdit aktörleri de vardı.

Bunların hepsi geçmişte kaldı. Çoklu bulut bilişim, SaaS uygulamaları, mikro hizmetler, API ağ geçitleri ve daha fazlası; özellikle pandemiden bu yana, daha fazla veriyi çevrimiçi ortama taşıdı ve bu da her işletmenin dijital ortamı için saldırı alanını genişletti. Kaygı verici bir şekilde, bilgisayar korsanları bazen düşman devletlerin sponsorluğunda beceri ve finansman açısından giderek daha fazla ilerleme kaydediyor, bu da tehditlere karşı hiçbir zaman kesinti olmayacağı anlamına geliyor.

Yalnızca bu yıl, tüm ihlallerin %61’i, sosyal mühendislik yoluyla çalınmış veya kaba kuvvet kullanılarak hacklenmiş olsun, kimlik bilgilerinin tehlikeye atılmasıyla ilgiliydi. Kötü niyetli kişilerin güvenli ağlara erişmesinin birincil yolu önceden onaylanmış yetkilendirme olduğundan ve veriler bir işletmenin temeli olacağından, şirketin erişim kodlarını içeren tek bir şifre dökümü onların çöküşüne yol açabileceğinden, bu durum endişe vericidir. Bu nedenle, giderek daha fazla kuruluş sistemlerini güvence altına almak için kimlik yönetimi çözümlerine yöneliyor. Ancak, Rol Tabanlı Erişim Kontrolüne (RBAC) ve son zamanlarda Öznitelik Tabanlı Erişim Kontrolüne (ABAC) kapsamlı koruma için artık güvenilemez. Yalnızca Politika Tabanlı Erişim Kontrolü (PBAC), işletmelere varlıklarını kötü aktörlerin elinden uzak tutmak için gereken esnekliği ve şeffaflığı sağlayabilir.

RBAC ve ABAC’ın dezavantajları

Tıpkı double denim gibi RBAC’ın da 90’larda bırakılması gerekiyordu. İlk olarak 1992’de icat edilen ve 2000’li yılların başında geliştirilen RBAC, kimlik yönetiminde en iyi araç olarak görülüyordu ve birçok büyük, çok uluslu kuruluş tarafından yaygın olarak kullanılıyordu. Ancak modern standartlarla karşılaştırıldığında teknoloji, ilkel bir anahtar kartın dijital eşdeğeriydi. Çalışan sadece kullanıcı adını ve şifresini giriyor ve eğer adı uygun listedeyse kendisine erişim izni veriliyor. Bu, sahadaki hızla değişen gerçeklere karşı duyarsız, kör bir araçtır; aslında yapabileceği tek şey, günler veya aylar önceden verilen izinlere dayanarak “evet” veya “hayır” demektir. Belli nedenlerden ötürü, RBAC emekliliğe fazlasıyla hazır.

Daha sonraki yıllarda daha fazla kuruluş ABAC’a yöneldi. RBAC ile karşılaştırıldığında ABAC, önemli ölçüde daha karmaşıktır ve kuruluşların, kullanıcının özelliklerine odaklanan ayrıntılı teknolojiyi uygulamasına olanak tanır. Bu, erişmeye çalıştıkları kaynağı ve erişim isteğinin yapıldığı bağlamı içerebilir. En azından ABAC veya RBAC’ın dağıtılmasını önermem gerekse işletmelerin ABAC’ı seçmesi gerekirdi.

Ancak ABAC’ın da karmaşık olması nedeniyle kusurları da yok değil. Kuralları atarken, bunların Genişletilebilir Erişim Kontrolü İşaretleme Dili (XACML) ile yazılması gerekir; bu da ABAC’ı BT diploması olmayanlar için neredeyse tamamen erişilemez hale getirir. Bu, özellikle bir siber saldırı sırasında zamanın çok önemli olduğu durumlarda sorunludur; bir BT departmanının izni değiştirmesi ve tehdidi izole etmesi ne kadar uzun sürerse, o kadar hassas veriler alınabilir.

PBAC – her iki dünyanın da en iyisi

PBAC, RBAC ve ABAC arasındaki boşluğu doldurmaya yardımcı olur. İçeriğin hassasiyetine bağlı olarak çeşitli düzeylerde erişim kontrolleri sunarak işletmenin ihtiyaçlarına göre çok daha esnek hale getirir. Aynı zamanda erişim isteklerinin yapıldığı bağlamı da göz önünde bulundurarak yöneticilerin hangi dosyalara erişildiği konusunda daha fazla gözetim yapmasına olanak tanır ve potansiyel olarak içeriden gelen tehditleri daha ortaya çıkmadan önleyebilir.

Ancak PBAC’ın asıl faydası kullanıcı dostu olmasıdır. Yöneticiler, XACML’de komut girme ihtiyacı duymak yerine, politikaları düz dilde kodlamak için bir Grafik Kullanıcı Arayüzü (GUI) kullanabilir; bu, karmaşık politikaların kapsamlı BT bilgisine gerek kalmadan yazılabileceği, revize edilebileceği ve uygulamaya konulabileceği anlamına gelir. Bu, yöneticilerin izin sürecine daha fazla dahil olmasına olanak tanır; bu, özellikle ekipler hâlâ hibrit ortamlarda çalışırken ve şirket kaynaklarına erişirken esnekliğe ihtiyaç duyulduğunda önemlidir. Ayrıca PBAC, veri gölleri ve ambarlardan API’lere ve ötesine kadar teknoloji yığınının her düzeyinde etkileşime girebilir.

Mütevazı başlangıçlara sahip olsa da PBAC’ı kimlik yönetiminde bir sonraki bölüm olarak düşünün. Mevcut dijital altyapınızı ileriye dönük olarak iyileştirmeye yönelik bir planınız varsa yirmi birinci yüzyılın kimlik erişim yönetimi çözümünü (PBAC) seçin.

Yazdırma Dostu, PDF ve E-posta



Source link