Avec un tel système, les administrateurs bénéficient d’un contrôle plus nuancé. Vous pouvez définir des autorisations basées sur un large éventail d’attributs qui participent tous à la protection des documents. En théorie, vous pourriez même attribuer à la même personne différentes autorisations selon l’origine de sa connexion, ou les actions qu’elle tente d’effectuer différents jours de la semaine.
Dans un système ABAC, les éléments fonctionnent de façon coordonnée.
- Sujets. Qui tente d’effectuer certaines actions?
- Objets. À quel fichier du réseau l’utilisateur tente-t-il d’accéder ?
- Opération. Quelles actions l’utilisateur tente-t-il d’effectuer sur ce fichier ?
Les relations sont définies par des instructions conditionnelles. Par exemple :
- Si l’utilisateur travaille à la comptabilité, alors il peut accéder aux fichiers comptables.
- S’il s’agit d’un responsable, alors il peut accéder aux fichiers en lecture et en écriture.
- Si la politique de l’entreprise indique qu’aucun travail ne peut être effectué le samedi et que le jour de la tentative de connexion est un samedi, alors personne ne peut accéder aux fichiers ce jour-là.
RBAC vs ABAC : avantages et inconvénients
Tous deux concernent le contrôle et l’accès. Si les deux approches sont destinées à protéger vos systèmes, chacune possède ses propres avantages et inconvénients.
|
Avantages du contrôle ABAC
|
Inconvénients du contrôle ABAC
|
|
Contrôle bien défini
Les administrateurs peuvent définir, optimiser et gérer de nombreuses variables, et bénéficier ainsi d’un niveau de contrôle très précis. Vous pouvez créer des règles très spécifiques et granulaires pour protéger vos ressources.
|
Contraintes de temps
Définir les variables et configurer les règles représente une charge de travail très importante, surtout au moment du lancement du projet.
|
| |
Expertise
Comme les analystes l’ont constaté, la configuration de règles ABAC appropriées permet une implémentation précise. Mais si vous ne configurez pas correctement le système au départ, la correction des erreurs peut prendre un temps considérable.
|
|
Avantages du contrôle RBAC
|
Inconvénients du contrôle RBAC
|
|
Simplicité
Les règles d’un système RBAC sont simples et faciles à exécuter. La configuration est rapide et nécessite une puissance de calcul moindre.
|
Explosion des rôles
Pour améliorer la granularité du contrôle, certains administrateurs ajoutent des rôles supplémentaires. Cela peut conduire à ce que les analystes appellent une « explosion des rôles », avec des centaines ou des milliers de règles à gérer.
|
5 scénarios de gestion des identités à étudier
Ces exemples vous aident à mieux comprendre quand choisir un système RBAC ou préférer un système ABAC. Nous avons également inclus un exemple où les deux approches sont utilisées conjointement, ce qui peut être utile dans certains cas.
Les entreprises doivent réfléchir au choix entre RBAC ou ABAC lorsque leur environnement comporte les éléments suivants :
1. Des petits groupes de travail. Le contrôle RBAC est l’option à privilégier. La définition des tâches par rôle est simple lorsqu’il s’agit d’une entreprise de petite taille et que le nombre de fichiers est réduit.
Si vous travaillez pour une entreprise de construction qui compte 15 collaborateurs, un système RBAC est normalement efficace et facile à configurer.
2. Des groupes de travail géographiquement dispersés. Le contrôle ABAC est un bon choix. Vous pouvez définir l’accès par type de collaborateurs, emplacement et heures ouvrables. Vous pouvez autoriser l’accès uniquement pendant les heures ouvrables du fuseau horaire spécifique d’une filiale.
3. Des groupes de travail assortis de contraintes de temps. Il est préférable d’utiliser un système de contrôle ABAC. Certains systèmes ou documents sensibles ne doivent pas être accessibles en dehors des heures ouvrables. Le contrôle ABAC permet de définir des règles basées sur le temps.
4. Des groupes de travail avec une structure simple. Le contrôle RBAC est plus intéressant ici. Vous possédez une entreprise de grande taille, mais l’accès est défini par la fonction des collaborateurs.
Par exemple, un cabinet médical peut donner aux réceptionnistes un accès en lecture/écriture sur les calendriers, mais cette catégorie de collaborateurs ne doit pas voir les résultats des tests médicaux, ni les données de facturation. Dans un tel cas, le RBAC est tout indiqué.
5. Entreprises créatives. Le contrôle ABAC est idéal dans ce cas, car ce type d’entreprise utilise souvent les fichiers de façon unique. Parfois, tous les collaborateurs doivent pouvoir accéder à certains documents alors que, dans d’autres cas, cet accès est réservé à quelques personnes seulement. L’accès doit changer en fonction du document et non des rôles.
Par exemple, l’équipe créative de votre entreprise, y compris les artistes et les rédacteurs, crée des fichiers qui sont distribués par d’autres collaborateurs. Mais ces collaborateurs, dont le personnel du service de facturation et les responsables de comptes, peuvent avoir besoin de consulter ces fichiers. De même, il est possible que l’équipe de marketing doive les partager.
Compte tenu de la diversité des utilisateurs autorisés à consulter ces documents et de la complexité de leur gestion, une solution ABAC est préférable.
Il arrive souvent qu’aucune des deux approches ne convienne à tous les cas d’usage dont vous avez besoin. C’est pourquoi la plupart des entreprises implémentent un système hybride, où l’accès général est géré par un système RBAC, et les contrôles plus granulaires au sein de cette structure sont régis par une solution ABAC.
Ainsi, vous pouvez utiliser le contrôle RBAC pour masquer des serveurs sensibles aux nouveaux collaborateurs. Ensuite, vous pouvez utiliser un système ABAC pour contrôler les possibilités de modification de ces documents une fois qu’ils y ont accès.
Selon les analystes, la combinaison des deux approches permet aux administrateurs d’avoir le meilleur des deux mondes. Le contrôle RBAC offre une protection « hermétique » aux fichiers sensibles, tandis que le système ABAC permet des comportements plus dynamiques. En les associant, vous bénéficiez des avantages des deux approches.
Faites le bon choix
Vous ne savez pas quel modèle de gestion des identités convient le mieux à votre entreprise ? Aucun problème.
Okta utilise des autorisations granulaires et des facteurs d’accès utilisateur qui vous permettent de mettre en place un parcours sécurisé pour l’accès et l’autorisation. Découvrez ce qu’Okta peut apporter à votre entreprise.
Références
The NIST Model for Role-Based Access Control: Towards a Unified Standard. Juillet 2007. National Institute of Standards and Technology.
Policy Engineering in RBAC and ABAC. Novembre 2018. From Database to Cyber Security.
Adding Attributes to Role-Based Access Control. Juin 2010. IEEE Computing.
Role-Based ABAC Model for Implementing Least Privileges. Février 2019. ICSCA ’19 : Proceedings of the 2019 8th International Conference on Software and Computer Applications.
