Control de acceso basado en funciones (RBAC)

El control de acceso basado en funciones (RBAC) es un método para gestionar el acceso de los usuarios a los sistemas, las redes o los recursos según su función dentro de un equipo o una empresa.

Funciona como una alternativa para configurar accesos específicos al sistema o a la red para cada persona, permite que los administradores de TI identifiquen el nivel de acceso que necesitan los usuarios con un cargo en particular y les asigna una función con el conjunto de permisos que corresponde. Esto brinda a los equipos de TI la capacidad de agregar, modificar o quitar permisos a todos los usuarios de un grupo de una sola vez y de manera sencilla; o bien, de cambiar rápidamente el acceso de un solo usuario al asignarle o quitarle una función.

En esencia, todo sistema de control de acceso basado en funciones sigue los mismos principios básicos:

• A cada usuario se le asigna una función o más.
• A las funciones de los usuarios les corresponden ciertos permisos.
• Los usuarios obtienen acceso a esos permisos al desempeñar activamente una determinada función.

En muchos casos, los modelos de RBAC establecen una jerarquía cuya estructura se asemeja a la de la empresa y puede incluir funciones para los administradores, los usuarios finales, los invitados y cualquier otro grupo especializado. Algunas jerarquías incluyen la capacidad de heredar funciones. En ese caso, a los usuarios con funciones de mayor jerarquía se les otorgan automáticamente los permisos de las funciones inferiores con los privilegios correspondientes. En otros casos, la jerarquía puede ser arbitraria, y aquellos usuarios con funciones principales no necesariamente heredan las que se encuentran en un nivel inferior. 

Según el caso práctico, las empresas que utilizan el RBAC también pueden aplicar la separación de deberes al requerir que usuarios con diferentes funciones trabajen en conjunto para iniciar una tarea o una acción específica. Esta práctica, junto con las auditorías periódicas de los permisos, se implementa para reducir el riesgo, ya que garantiza que ningún usuario tenga más privilegios de los que necesita.

Si bien las empresas pueden elegir entre distintas metodologías para la preparación de los usuarios, el RBAC es la más común, ya que proporciona un enfoque más detallado para la gestión de identidades y accesos (IAM) que las listas de control de acceso (ACL), y es más fácil y sencillo de implementar que el control de acceso basado en los atributos (ABAC). Es cierto que otros métodos de gestión de identidades y accesos, como el control de acceso obligatorio (MAC) o el discrecional (DAC), pueden ser efectivos para algunos casos prácticos específicos; sin embargo, el RBAC es una buena opción para la mayoría de las empresas que buscan una solución de control fácil de gestionar y con capacidad de ajuste.

Mayor eficiencia operativa y menor tiempo de inactividad

El RBAC hace que la asignación de permisos sea uniforme y repetible. Esto aumenta la eficiencia de los equipos operativos, los cuales, de otra manera, necesitarían configurar individualmente el acceso y los permisos para los objetos de cada usuario. Si un equipo determina que los usuarios con cierta función necesitan acceder a un recurso nuevo, solo debe ajustar los permisos de dicha función en vez de configurarlos individualmente. Además, si un integrante del equipo debe realizar una tarea nueva o adquiere otra responsabilidad, sus permisos se pueden actualizar fácilmente cambiando su función o asignándole una nueva.

Capacidad de ajuste

Dado que las funciones están vinculadas a la estructura empresarial, es un enfoque efectivo para que los equipos de cualquier tamaño aborden la gestión de identidades y accesos. Las empresas que experimenten procesos de transformación o de crecimiento rápido notarán que pueden asignar, quitar o modificar rápidamente las funciones, lo cual garantiza que las operaciones diarias no sufran casi ninguna interrupción. 

Mejora de la seguridad y la protección de datos

El RBAC sigue el principio de mínimo privilegio (PoLP), un precepto fundamental de la seguridad de confianza cero que otorga a los usuarios solo los privilegios que necesitan para realizar su trabajo. Al limitar el acceso de esta manera, las empresas pueden minimizar la cantidad de amenazas innecesarias, además de reducir el riesgo de filtraciones de datos y los costos asociados.

Mejoras en el cumplimiento normativo

El uso de la jerarquía de funciones permite mejorar el control, la supervisión y las auditorías. Los administradores pueden identificar y corregir rápidamente los errores en los permisos de los usuarios, lo cual permite un mayor cumplimiento de los estándares normativos y más precisión en la gestión del acceso a la información y los sistemas confidenciales.

Los procesos manuales e ineficientes representan un obstáculo para las empresas cuyos procesos de TI no están automatizados, ya que aumentan los costos y suponen riesgos para la seguridad. Las herramientas de automatización permiten que los equipos implementen el RBAC, en especial en los casos en los que los administradores de sistemas desean automatizar la asignación de funciones a los usuarios o los grupos que cuentan con atributos específicos. Si se automatizan las políticas del RBAC, no solo podrá proteger los datos confidenciales, sino también disminuir la incidencia de errores humanos, como la asignación de la función incorrecta a un usuario o la atribución de permisos que no corresponden. 

Además, se necesita un sistema sólido de RBAC para gestionar el acceso a los recursos de la automatización, lo cual incluye inventarios y proyectos específicos. Los equipos de automatización pueden utilizar el RBAC para establecer una jerarquía de funciones eficiente y flexible con permisos configurados cuidadosamente para garantizar mayor seguridad, cumplimiento y coordinación en toda la empresa.

Red Hat, el proveedor líder de soluciones de software open source para empresas, le ofrece las herramientas que necesita para gestionar el control de acceso basado en funciones en todos los entornos. 

Red Hat® Ansible® Automation Platform le permite automatizar las tareas manuales y acelerar la obtención de resultados, a la vez que facilita su aplicación con la flexibilidad y complejidad que exigen las empresas modernas. El controlador de automatización es el plano de control de la plataforma y permite que los administradores definan la automatización, trabajen con ella y deleguen las tareas en todos los equipos. Proporciona funciones integradas y específicas de RBAC que se integran a los sistemas de autenticación empresarial para garantizar que la automatización incluya la seguridad y cumpla con las normas de la empresa.

La incorporación del RBAC al controlador de automatización permite disminuir la repetición de las tareas manuales, ya que proporciona funciones definidas previamente que otorgan acceso a los objetos del controlador, como credenciales, inventarios, plantillas de trabajo y mucho más. Además, puede establecer conjuntos de estos objetos y nombrar a los usuarios como participantes con privilegios de lectura, escritura o ejecución específicos. 

Si busca mejorar la seguridad, el cumplimiento normativo y la eficiencia operativa de la gestión de identidades y accesos en la organización de contenedores, Red Hat OpenShift® puede ayudarlo a gestionar el acceso de los usuarios a pods, nodos y clústeres completos. Esta plataforma de aplicaciones de nube híbrida para empresas le permite gestionar, implementar y ajustar las aplicaciones organizadas en contenedores y, al mismo tiempo, aprovechar los elementos potentes de Kubernetes, lo cual incluye funciones de seguridad como el RBAC de Kubernetes.