Role Based Access Control (RBAC) en Access Governance zijn twee termen die door elkaar worden gebruikt. Is het dan een andere term voor hetzelfde? Of juist niet? Wat zijn de verschillen en hoe kom je van RBAC naar Acces Governance? Laten we daar eens even induiken.
Role Based Access Control (RBAC) is een term die al langer bekend is. RBAC is een methode om het autorisatiebeheer binnen een organisatie in te richten. Access Governance is een term die minder bekend is. Access Governance is eigenlijk een verzamelterm voor het vakgebied waar RBAC slechts een onderdeel van vormt. Access Governance is een verzameling van methodes waarmee volledige controle wordt verkregen op de uitgifte en inname van autorisaties in het netwerk. RBAC is samen met Attestation, Recertification, Risk Management en Compliance Policies onderdeel van Access Governance. In het vervolg van deze tekst leg ik deze termen verder uit.
RBAC is eerste stap
Wanneer organisaties een start willen – of vaker in verband met wetgeving moeten – maken met het gestructureerd beheren van autorisaties is RBAC of ABAC (Attribute Based Access Control) vaak een eerste stap. In die eerste stap gaat men ervan uit dat personen bepaalde ‘attributen’ hebben, die vervolgens bepalen wat de rol is van die persoon en de bijbehorende autorisaties. Attributen kunnen functie, afdeling en locatie van een persoon zijn. Deze attributen zijn heel goed uit een payroll systeem te halen. Daarin staan immers deze gegevens voor iedere medewerker. Bij RBAC/ABAC wordt een model opgesteld met een overzicht van alle attributen, rollen en bijbehorende autorisaties, het zogenaamde RBAC-model. Simpel gezegd vertelt dit model dus ‘Jij doet dit, dus dan mag je dat in het netwerk.’ Het gaat in dit geval wel vaak om geboorterechten. Dit zijn rechten die personen standaard krijgen als zij in dienst treden, bijvoorbeeld toegang tot internet, Outlook of misschien een financieel pakket als de persoon op de finance afdeling werkzaam wordt.
Recertification & Attestion
Het opgezette RBAC-model is echter niet heilig. Omdat de organisatie in beweging is (denk aan reorganisaties, fusies et cetera) verandert de samenstelling van de attributen (het payroll-systeem) continu. Daarnaast verandert het netwerklandschap. En dit betekent dat het opgezette model regelmatig herzien moet worden. Het valideren van het RBAC-model wordt ook wel Recertification genoemd. Bij Recertification wordt dus bekeken of de autorisaties die een persoon krijgt op basis van zijn attributen binnen de organisatie nog kloppen.
Naast het valideren van het opgezette RBAC-model heeft Access Governance als onderdeel om ook de werkelijkheid te toetsen. Dit wordt Attestation genoemd. Bij Attestation wordt bij de organisatie zelf nagevraagd of de toekenning van bepaalde autorisaties van medewerkers inderdaad kloppen. Per organisatie-eenheid (OU) wordt nagevraagd of medewerkers nog in dienst zijn, en zo ja of het klopt dat zij autorisaties X, Y en Z hebben. Deze autorisaties zijn vaak optionele rechten die niet standaard worden toegekend, maar zijn toegekend na een aanvraag en een goedkeuring van een manager. Deze controle moet ook periodiek worden uitgevoerd.
Role mining
Het opgezette RBAC-model kan steeds verder worden uitgewerkt, zodat ook op detailniveau automatisch rechten kunnen worden uitgedeeld en weer ingenomen. Eén manier om het model verder uit te werken is door het toepassen van role mining. Bij role mining wordt op basis van de bestaande situatie patronen in autorisaties ontdekt en in het model verwerkt. Het kan bijvoorbeeld zijn dat negen van de tien personen uit een bepaalde groep medewerker autorisatie A hebben. De organisatie kan dan bepalen dat voor deze groep medewerkers de autorisatie als geboorterecht gaat gelden.
Risk management
Een andere toevoeging aan het RBAC-model ligt op het gebied van risicoprofielen. Met Risk Management is het mogelijk om op basis van bepaalde attributen (bv. afdeling) een risicoprofiel toe te voegen. Een medewerker die op de afdeling marketing werkt kan zo een lager risicoprofiel krijgen als iemand op de afdeling financiën, omdat deze persoon bijvoorbeeld ook facturen goed kan keuren. Er kan worden ingesteld dat wanneer een risico boven een bepaalde waarde is, dat vier-ogen een eventuele autorisatie goed moet keuren. Het voordeel van het toevoegen van risico management is dat een security officer snel kan zien wie een hoog risicoprofiel heeft en wat deze personen qua autorisaties mogen in het netwerk. Daarnaast hebben organisaties ook de mogelijkheid om een extra controle toe te passen wanneer iemand van marketing naar de financiële afdeling doorstroomt, wat een verhoging van het risicoprofiel met zich meebrengt.
Compliance policies
Om nog meer controle te krijgen over autorisaties kunnen tenslotte nog policies worden toegevoegd. Dit zijn algemene regels waar een organisatie waar aan moet voldoen om compliant te zijn. Regels kunnen bijvoorbeeld zijn: Er mogen niet meer dan 25 personen toegang hebben tot Visio, of er mogen niet meer dan 10 domain admin accounts zijn. Al deze regels moeten voorkomen dat conflicten worden voorkomen. Wanneer regels worden overschreden krijgt een security officer of licentiemanager een signaal en kan hij direct ingrijpen.
Role Based Access Control is eigenlijk een eerste fase van Access Governance. Veel organisatie beginnen bij deze fase en werken zo toe naar een model waarbij volledige controle is over de uitgifte en inname van autorisaties.
