Red Hat SummitO que é controle de acesso e por que ele é importante?
O controle de acesso é uma técnica de autorização de segurança que determina os recursos específicos que um usuário ou sistema pode visualizar e utilizar em uma infraestrutura de TI.
Ele é um componente essencial da cibersegurança e tem como objetivo essencial proteger as informações confidenciais contra acessos não autorizados. O controle de acesso é implementado identificando a legitimidade das credenciais de um usuário ou sistema e, em seguida, concedendo à identidade um nível apropriado de acesso com base em sua função ou nível de autorização. Mecanismos de monitoramento, conformidade e análise asseguram que os sistemas de controle aprimorem as medidas de segurança da organização e minimizem as ameaças.
Tipos de controle de acesso
Há seis principais modelos de controle de acesso. A seguir, veremos como gerenciar as permissões do usuário em cada um deles:
Controle de acesso baseado em função (RBAC)
Este modelo autoriza ou nega o acesso aos usuários com base nas funções e responsabilidades atribuídas a eles. As funções determinam quais recursos os usuários podem acessar, e os administradores de sistema gerenciam diretamente as permissões de acesso segundo as atribuições dos usuários. O RBAC é compatível com hierarquias de funções, permitindo que funções com maior autoridade herdem permissões de acesso de funções subordinadas, o que ajuda a simplificar a administração. Por exemplo, um usuário com a função “Equipe” pode ter permissões limitadas, como acesso somente leitura ou de compartilhamento de arquivos. Já a função “Gerente” pode incluir todas as permissões de um usuário do tipo “Equipe” e outras. O RBAC segue o princípio do privilégio mínimo (PoLP), uma das bases da segurança Zero Trust.
Controle de acesso baseado em regras (RuBAC)
Nesse modelo, o acesso é concedido ou negado com base em um conjunto de regras pré-determinadas que consideram critérios ou condições específicas de cada usuário Sua implementação inclui identificar as necessidades específicas do usuário, criar políticas de gerenciamento de acesso e identidade (IAM) que definam as regras segundo essas demandas e estabelecer critérios para reforçar a segurança. Em geral, as regras são baseadas em critérios como horário de acesso, endereço IP e autenticação multifator. Por exemplo, o acesso pode ser concedido somente em horário comercial, quando o usuário faz login com segurança usando uma rede privada virtual (VPN) ou apenas em aplicações on-premises.
Controle de acesso obrigatório (MAC)
Essa técnica de segurança aplica restrições de acesso com base em políticas e regras estabelecidas pelos administradores de sistema. Nesse modelo, o usuário não pode modificar as permissões. A impossibilidade de alterar o acesso do usuário protege as informações confidenciais com base em protocolos de segurança não negociáveis. Nesse sistema, cada usuário recebe um nível de segurança predefinido, e os recursos são classificados por nível de confidencialidade. O acesso é concedido ou negado dependendo se o nível de segurança do usuário corresponde ou supera a classificação do recurso.
O MAC não deve ser confundido com um mix dos modelos de controle de acesso baseados em funções e regras. Mesmo que a aplicação de regras obrigatórias seja uma função básica do MAC, ele não permite que os usuários controlem as permissões de acesso, seja qual for o nível de segurança deles. Além disso, os níveis de segurança não são determinados pelas funções do usuário. No entanto, é possível integrar conceitos de RBAC ao MAC em alguns sistemas de segurança de dados.
Controle de acesso discricionário (DAC)
Nesse sistema flexível de gerenciamento de segurança de recursos, o acesso do usuário é concedido ou revogado a critério do proprietário do recurso. Quando um usuário cria ou carrega arquivos em uma nuvem pessoal, ele pode especificar permissões para cada um deles. Assim, é possível determinar se os arquivos poderão ser acessados pelo público geral, usuários específicos ou exclusivamente pelo proprietário. Esse tipo de controle de acesso é comum em sistemas de arquivos, e o proprietário do recurso pode atualizar as permissões e remover o acesso dos usuários a qualquer momento.
Controle de acesso baseado em atributos (ABAC)
O ABAC é baseado nos atributos do usuário, do recurso e do ambiente. Ele avalia essas características simultaneamente para determinar o acesso. Por exemplo, quando um usuário insere credenciais para fazer login em um serviço em nuvem, o sistema recupera do perfil dessa pessoa atributos como funções ou permissões. Em seguida, o sistema identifica os atributos do recurso como tipo de arquivo, propriedade e confidencialidade usando parâmetros contextuais. Por exemplo, horário de acesso, localização do usuário e se a pessoa solicitando o acesso está utilizando uma rede segura. Por fim, para conceder ou negar o acesso, o sistema avalia se esse conjunto de atributos atende às políticas de segurança.
Listas de controle de acesso (ACLs)
A ACL é uma lista que define as permissões de usuários ou sistemas e as ações que eles estão autorizados a executar após acessar um recurso. Em geral, os administradores de sistemas criam e gerenciam essas listas, mas alguns sistemas automatizados podem gerar ACLs com base em regras e políticas predeterminadas.
Não importa se você precisa de um ou vários sistemas de controle de acesso: eles são essenciais para a sua infraestrutura de TI. Analise suas necessidades de segurança e conformidade na hora de escolher o modelo de controle de acesso ideal para sua organização.
Por que escolher a Red Hat para DevSecOps
O que são listas de controle de acesso e como elas funcionam?
Uma lista de controle de acesso (ACL) é um conjunto de regras que especifica qual usuário ou identidade pode ou não acessar um determinado arquivo ou recurso em um ambiente computacional. Em essência, as ACLs funcionam como filtros associados aos recursos do sistema. Por exemplo, quando um usuário tenta acessar um recurso, o sistema verifica a ACL vinculada a ele e compara a identidade do usuário com o conteúdo incluído na ACL. Se o sistema encontrar um registro correspondente, o usuário receberá acesso com permissões específicas. Caso não haja correspondência, o acesso será negado. Assim como os firewalls, as ACLs são baseadas em regras e operam com base em critérios predefinidos para avaliar as solicitações de acesso. No entanto, enquanto as ACLs especificam as permissões do usuário, os firewalls estabelecem as regras para aprovar ou recusar o tráfego de rede.
Há dois tipos de ACL:
ACLs de sistema de arquivos: esse método define, gerencia e filtra o acesso a conteúdo e diretórios em um sistema de arquivos. Com base em regras predefinidas, uma ACL de sistema de arquivos informa aos sistemas operacionais quais usuários podem obter acesso e quais privilégios eles possuem dentro do sistema.
ACLs de rede: esse método filtra o acesso em dispositivos de rede como roteadores, switches e firewalls, além de gerenciar a segurança especificando qual tráfego pode acessar a rede e as atividades permitidas durante o acesso.
É possível implementar essa funcionalidade essencial em qualquer dispositivo de roteamento ou segurança. Assim, você simplifica como os usuários e sistemas são identificados e gerencia como eles interagem com informações confidenciais.
Quais as diferenças entre ACLs e RBACs?
Embora ambos sejam métodos de gerenciamento de recursos, as ACLs e RBACs operam de maneira diferente. As ACLs controlam as permissões dos usuários no nível granular da segurança de dados. Já os sistemas de RBAC controlam a segurança no nível organizacional, com a supervisão dos administradores. Os RBACs oferecem uma abordagem mais ampla para simplificar o gerenciamento da segurança baseado em funções do usuário. Em comparação, as ACLs permitem a personalização de regras mais granulares com base em cada usuário e recurso, sem afetar as funções dessa pessoa.
O RBAC é ideal para organizações com funções definidas. Com o suporte de um administrador de monitoramento, ele pode funcionar como um sistema de segurança para toda a empresa. A ACL é ideal para o controle detalhado de recursos e oferece flexibilidade para gerenciar o acesso. A escolha entre os dois depende muito da estrutura e dos requisitos de segurança da sua organização, como auditorias de conformidade e regulamentação. As auditorias podem incluir a identificação do número de usuários com acesso de administrador ao sistema ou a detecção de tráfego não autorizado. O gerenciamento de recursos simplifica a análise e a verificação da segurança dos dados, assegurando a conformidade da sua organização.
Por que usar a automação com o controle de acesso?
Sem a automação da TI, o trabalho manual aumenta o tempo de produção, os custos operacionais e as vulnerabilidades de segurança, como acessos não autorizados. A automação reduz os erros humanos porque simplifica tarefas rotineiras como provisionamento de usuários, atualização de sistemas, verificações de acesso e realização de auditorias. E isso tudo é executado em uma velocidade que seria impossível manualmente. À medida que as empresas crescem, a automação ajuda a gerenciar o aumento no volume de dados e número de usuários, reforçando a segurança por meio da detecção e correção de ameaças em tempo real.O controle de acesso, combinado com a
implementação do gerenciamento de patches e do gerenciamento de eventos e informações de segurança (SIEM) automatizados, melhora a conformidade e reduz os erros humanos nos processos de segurança de TI. É possível combinar soluções de gerenciamento de patches com softwares de automação para corrigir vulnerabilidades conhecidas em sistemas e aplicações que implementam políticas de controle de acesso. Por outro lado, a automação do SIEM detecta anomalias analisando padrões de acesso em tempo real e envia alertas automáticos às equipes de segurança no caso de um evento. O SIEM também automatiza os registros de auditoria, além de monitorar e armazenar atividades de acesso para fins de conformidade.
Ao complementar o controle de acesso com a automação, as empresas podem aplicar políticas de acesso de privilégio mínimo, assegurando que o acesso atenda às necessidades organizacionais.
Por que escolher o Red Hat Ansible Automation Platform?
Red Hat® Ansible® Automation Platform, você automatiza tarefas manuais e acelera o time to value, facilitando a automação com a escala, complexidade e flexibilidade exigidas por empresas modernas. Assim como o control plane do Ansible Automation Platform, o automation controller permite que os administradores definam, operem e deleguem a automação entre as equipes. Ele oferece recursos de RBACintegrados e granulares, além de se conectar a sistemas de autenticação empresarial para que a automação atenda aos padrões de segurança e conformidade. Além disso, as equipes de operações de segurança podem usar o Ansible Automation Platform para gerenciar outras aplicações empresariais, como soluções de SOAR.
Se você quer adicionar mais segurança, conformidade e eficiência operacional ao IAM na orquestração de containers, o Red Hat OpenShift® ajuda a gerenciar o acesso dos usuários a pods, nós e clusters inteiros. O Red Hat OpenShift é uma plataforma empresarial de aplicações em nuvem híbrida que permite gerenciar, implantar e escalar aplicações em containers, enquanto utiliza componentes avançados do Kubernetes, incluindo funcionalidades de segurança como o RBAC .
A empresa automatizada
Leia este ebook para liberar todo o potencial da automação e revolucionar os serviços de TI, como rede, infraestrutura, segurança, DevOps e edge.
