Rollenbasierte Zugriffskontrolle (RBAC) vs. Attributbasierte Zugriffskontrolle (ABAC): Was ist der Unterschied?

10.02.2022

-Minuten Lesezeit

Einleitung

Die Kontrolle des Zugriffs auf Daten und Netzwerke ist für alle Unternehmen von höchster Bedeutung. Unternehmen verwenden Zugriffskontrollen, auch als Autorisierung bezeichnet, die den Zugriff auf die Ressourcen an vorgegebene oder solche Berechtigungen binden, deren Anpassung auf der Rolle des Benutzers, auf Identitätsattributen oder Risikofaktoren basiert.

Der Schutz des Zugriffs auf Kundendaten ist ebenfalls von entscheidender Bedeutung und wird von drei Hauptfaktoren bestimmt: Datenschutzbestimmungen, Sicherheitsanforderungen des Unternehmens und Erwartungen der Kunden. Angesichts des Umfangs der beteiligten Anwendungen und APIs in Kombination mit der Anzahl an Mitarbeitern und Prozessen, die für die Durchführung der erforderlichen Änderungen und Aktualisierungen erforderlich sind, kann es schwierig werden, immer ein gutes Kundenerlebnis mit der geforderten Sicherheit und Einhaltung der gesetzlichen Bestimmungen zu gewährleisten.

Wir befassen uns hier mit zwei Möglichkeiten der Zugriffskontrolle:

Die rollenbasierte Zugriffskontrolle (RBAC) ermöglicht den Zugriff auf Ressourcen oder Informationen auf der Grundlage von Benutzerrollen. Diese Rollen müssen nach Position, Abteilungen, Standorten und/oder speziellen Aufgaben und Zuständigkeiten bestimmt werden.

Die attributbasierte Zugriffskontrolle (ABAC) ist ein flexiblerer Ansatz für Autorisierungsentscheidungen, bei dem zusätzliche Informationen (Attribute) verwendet werden, um regelbasierte Entscheidungen zu treffen. Die ABAC geht über Rollen hinaus und erlaubt das Hinzuziehen detaillierter Attribute, einschließlich kontextbasierter Informationen, um den Zugriff einer Person zu autorisieren.

Lesen Sie weiter, und erfahren Sie mehr über RBAC und ABAC, wie unter anderem die Unterschiede und die jeweiligen Vor- und Nachteile.

Was ist Zugriffskontrolle?

Nach der Authentifizierung folgt die Autorisierung, mit der geregelt wird, auf welche Daten, Anwendungen und Ressourcen ein verifizierter Benutzer zugreifen darf. Auf diese Weise wird verhindert, dass unbefugte Benutzer Zugriff auf sensible Daten ebenso wie auf lokale und cloudbasierte Anwendungen erhalten.

Wenn Unternehmen zudem das Prinzip der geringsten Privilegien (PoLP) anwenden, stellen Sie sicher, dass der Zugriff nur auf diejenigen Ressourcen beschränkt ist, die ein Benutzer tatsächlich benötigt. Möglicherweise haben Sie kein Interesse daran, dass ein Praktikant über den denselben Zugang und die gleichen Berechtigungen verfügt, wie ein Systemadministrator. Weitere Beispiele:

Personalabteilungen können auf Anwendungen zugreifen, die sensible Daten über Mitarbeiter enthalten, aber Finanz- und Marketingteams bleibt dies vorenthalten.

Bei zwei Kunden, die auf derselben gewerblichen Website angemeldet sind, kann nur der eine von beiden auf die VIP-Prämieninhalte zugreifen, weil er die entsprechende Mitgliedschaft hat.

Lösungen für die Zugriffskontrolle können auch für das Genehmigen oder Verweigern eines Zugriffs auf gespeicherte Daten im Rahmen der Richtlinien zur Einwilligung der Verbraucher verwendet werden und so das Einhalten von Datenschutzbestimmungen unterstützen, wie beispielsweise der Allgemeinen Datenschutzverordnung der EU (DSGVO) und des California Consumer Privacy Act (CCPA).

Was ist rollenbasierte Zugriffskontrolle (Role-Based Access Control, RBAC)?

Bei der rollenbasierten Zugriffskontrolle (RBAC) werden die Berechtigungen anhand der Rollen des Benutzers erteilt. Rollen können nach Kriterien wie Autoritätsebene, Zuständigkeit, Tätigkeitsbezeichnung oder Status (Angestellter vs. Auftragnehmer) wie auch aufgabenbezogen (Anzeige- vs. Bearbeitungsrechte) definiert werden. Wenn beispielsweise ein neuer Vertriebsmitarbeiter eingestellt wird, kann man ihm direkt den Zugriff auf dieselben vordefinierten Ressourcen gewähren wie den anderen Mitgliedern des Vertriebsteams, da ihre Rolle identisch ist.

Vorteile der rollenbasierten Zugriffskontrolle (RBAC)

Optimiertes Konzept. Mit vordefinierten Rollen wird die Zugriffskontrolle zu einer Plug-and-Play-Option, die den Arbeitsaufwand für die IT-Abteilung beim Onboarding neuer Mitarbeiter niedrig hält. Der RBAC-Ansatz verringert auch die Gefahr von Fehlern bei der Dateneingabe, wenn eine große Zahl von Mitarbeitern gleichzeitig eingestellt wird.

Vorübergehender Zugriff kann leicht eingerichtet werden. Wenn Benutzer vorübergehend Zugriff auf Ressourcen benötigen, wie beispielsweise Saisonarbeiter, können Sie ihnen einen Zugang einrichten, der auf diejenigen Ressourcen beschränkt ist, den sie für ihre Aufgaben benötigen.

Rasche Abwicklung bei Arbeitsplatzwechsel oder Ausscheiden von Mitarbeitern. Wenn ein Mitarbeiter seinen Job im Unternehmen wechselt oder es verlässt, kann der Zugriff auf die Ressourcen entweder an seine neue Funktion angepasst oder ihm entzogen werden, falls er geht.

Einhalten gesetzlicher Vorschriften. Die Vorschriften zum Datenschutz verpflichten die Unternehmen, den Zugriff auf ihre Ressourcen zu beschränken. Die Automatisierung eines rollenbasierten Zugriffs verringert die Wahrscheinlichkeit von Fehlern, die den falschen Personen Zugriff auf sensible und unter anderem gesetzlich geschützte Verbraucherdaten ermöglichen.

Was ist attributbasierte Zugriffskontrolle (Attribute-Based Access Control, ABAC)?

Die attributbasierte Zugriffskontrolle (ABAC) bietet mehr Sicherheit und Flexibilität, da sie bei Autorisierungsentscheidungen mehr als nur Rollen berücksichtigt. Zu diesen Attributen gehören unter anderem Benutzerattribute (z. B. Sicherheitsfreigabe, Alter), Ressourcenattribute (z. B. Erstellungsdatum, Art der Ressource) und der Kontext (z. B. Ort des Zugriffs, Tageszeit). So kann es beispielsweise vorkommen, dass einem Vertriebsmitarbeiter der Zugriff auf die Ressourcen seiner Abteilung von risikoreichen Standorten wie Cafés oder Flughäfen aus verwehrt bleibt oder er zusätzliche Sicherheitsvorkehrungen treffen muss, bevor er Zugriff erhält.

Dynamische Autorisierung

Die dynamische Autorisierung verbessert die ABAC, indem sie das Durchsetzen einer fein abgestimmten Geschäftslogik in Echtzeit ermöglicht. So können Sie den Zugriff kontrollieren, indem Sie das Erfüllen bestimmter Bedingungen einfordern. Außerdem zentralisiert sie die Kontrollen, anstatt sie auf der Ebene der einzelnen Anwendungen einzugliedern und regelt auf diese Weise den Zugriff auf ganze Ressourcen oder einzelne Attribute.

Vorteile der attributbasierten Zugriffskontrolle (ABAC) in Kombination mit der dynamischen Autorisierung

Sicherheit und Flexibilität steigern. Die wichtigsten Attribute können zum Zeitpunkt der Transaktion in Echtzeit bewertet werden, um die Legitimität der Zugriffsanfrage zu ermitteln. Das Ergänzen von Kontextdaten optimiert die Entscheidungsfindung.

Bessere Kundenerfahrungen bereitstellen. Indem Sie Ihren Kunden mehr Einblick und die Kontrolle über ihre eigenen Daten geben, erleichtern Sie ihnen die Verwaltung ihrer Einwilligung, und Sie können ihre Daten vor dem Zugriff durch vom Kunden nicht genehmigte Datenspeicher und APIs schützen.

Einhalten gesetzlicher Vorschriften. Unternehmen werden durch Datenschutzbestimmungen verpflichtet, den Zugang zu Kundendaten zu beschränken. Sicherheitsteams können schneller Maßnahmen ergreifen, wenn sie den Zugriff aller digitalen Anwendungsteams und -kanäle auf Kundendaten in der Hand haben.

Agilität fördern. Unternehmen können Daten auswerten, schneller auf Marktveränderungen reagieren und neue Anwendungen und APIs einführen, ohne Kompromisse bei der Compliance oder Sicherheit einzugehen.

Let's talk about securing fine-grained access to sensitive customer data.
Multiple forces are pressuring enterprises to take action, Including consumer privacy and data protection legislation, the risk and impact of exposure or Breaches of consumer data, and meeting user expectations about data rights, Consents, and privacy preferences.
There's a lot of data about your customers, beyond just what's stored in user profiles, Including things like transactions and browsing history.
It's being stored in many places across your enterprise and in the cloud.
And it's accessed more and more by remote employees and outside partners through APIs.
In an ideal world, we trust employees and partners to only request the Customer data they Need and are authorized to access.
Unfortunately, there isn't a single source of truth for what an authorized use of a Customer's data actually is.
There are, however, many stakeholders who would like to have a say in data access policy Decisions.
Without visibility or a Centralized-UI for This today, the burden of gathering and reconciling detailed data security requirements, Coding policies and validating them all with each of these stakeholders is falling to each of your API developers and database admins.
Ping authorized can help.
It provides fine-grained, dynamic, externalized authorization for all of your customer data.
It's a policy engine for administering and enforcing fine-grained access controls on user Data in your data stores and APIs.
It can allow, block, filter, or obfuscate unauthorized data, Preventing it from getting in the wrong hands.
It gives your enterprise a way to enforce consent and data privacy preferences, Including privacy management in delegated access scenarios, All in compliance with regulations.
For Zero Trust architectures, Ping Authorized gives you the flexibility of setting Authorization perimeters around granular customer data attributes.
Ping Authorize connects in real time to any data source to enable attribute-based Access control across your enterprise environment.
Dynamic authorization policies use real-time connections to policy attributes, Which means that when underlying attributes change, the authorization changes automatically.
Ping Authorize externalizes authorization from code to a centralized, collaborative drag-and Drop Interface, where business users build and test policies by layering attributes Visual Policy Decision Tree.
Delegated policy administration speeds things along because developers and database admins now Longer have to manually code data access policies and aren't solely responsible for security.
With today's service-oriented architectures, External clients and modern applications access customer data through APIs.
Deployed here, Ping Authorize acts as an API data security gateway, Deployed as a proxy or sideband to your existing API management gateways.
At this layer, developers don’t have to change how they request data; Since policies are being enforced on the other side of this flow.
The bottom line is that protecting valuable customer data requires fine-grained, Dynamic, externalized authorization capabilities that can be deployed where it counts.
To learn about protecting customer data with Zero Trust security, privacy, and consent enforcement, visit www.pingidentity.com.
Thanks for watching.

Wie unterscheidet sich die rollenbasierte Zugriffskontrolle (RBAC) von der attributbasierten Zugriffskontrolle (ABAC)?

Die rollenbasierte Zugriffskontrolle (RBAC) war solange sinnvoll, wie der Zugriff noch auf Benutzer innerhalb eines Netzwerks beschränkt war. Für viele der heutigen Anwendungsfälle greift sie jedoch zu kurz. Für eine einfache, statische Logik kann sie weiterhin gut geeignet sein, wenn z. B. sichergestellt werden soll, dass nur Mitarbeiter mit einer bestimmten Funktion Zugriff auf Tools erhalten sollen, die sie für ihre Aufgaben benötigen. Die RBAC kann jedoch nicht die fein abgestimmte Data-Access-Governance und die Autorisierungsmechanismen liefern, die für das Absichern von Kundendaten erforderlich sind. Selbst wenn die Rollen und Gruppenzugehörigkeiten gut definiert sind, basiert die RBAC doch darauf, dass die Anwendungen selbst die Entscheidungen über Benutzerzugriff und -berechtigungen treffen.

Das National Institute of Standards and Technology (NIST) empfiehlt die attributbasierte Zugriffskontrolle (ABAC) vor der rollenbasierten Zugriffskontrolle (RBAC) für Unternehmen mit breiter gefächerten Business-Cases. Die ABAC bietet eine zentralisierte Steuerung und die Flexibilität, Berechtigungen für verschiedene Benutzer, Umgebungen und Bedingungen zu verwalten.

„Die meisten Unternehmen verwenden heute die rollenbasierte Zugriffskontrolle (RBAC), um den Zugriff auf das Netzwerk und die Systeme auf der Grundlage der Tätigkeit oder einer definierten Rolle zuzuweisen. Wechselt ein Mitarbeiter jedoch seine Rolle oder verlässt er das Unternehmen, muss ein Administrator die Zugriffsrechte entsprechend manuell abändern, und dies möglicherweise in mehreren Systemen. Da Unternehmen expandieren und wieder schrumpfen, Partnerschaften mit externen Unternehmen eingehen und Systeme modernisieren, wird das Verwalten des Benutzerzugriffs mit dieser Methode immer schwieriger und ineffizienter.“

– National Institute of Standards and Technology (NIST)/National Cybersecurity Center of Excellence (NCCoE)

Wenn Sie mehr über die Unterschiede zwischen RBAC und ABAC und die beste Option für Ihr Unternehmen erfahren möchten, finden Sie weitere Informationen in unserem Whitepaper Attribute-based Access Control and Dynamic Authorization (zu dt.: Attributbasierte Zugriffskontrolle und Dynamische Autorisierung).

Diesen Artikel teilen:

Verwandte Ressourcen

Onlinebetrug im E-Commerce erkennen: Die Zukunft des sicheren Online-Shoppings

Louise Watson

28.09.2023

Digitalen Transaktionen häufen sich. Das Aufspüren von Online-Betrug im E-Commerce ist deshalb wichtiger denn je. Hier erfahren Sie, wie PingOne Protect Ihre Website und Ihre Apps absichern kann.

Best Practices für den sicheren Umgang mit Daten und Einwilligungen von Kunden

Yev Koup

23.08.2023

Online-Kunden legen immer größeren Wert auf Datenschutz und Einwilligungen. Das Einhalten von bewährten Verfahrensweisen beim Stärken des Kundenvertrauens kann geschäftliche Vorteile bieten.

Starten Sie jetzt

Kontaktieren Sie uns

sales@pingidentity.com

Erfahren Sie, wie Ping Ihnen helfen kann, sichere Erlebnisse für Mitarbeiter, Partner und Kunden in einer sich schnell wandelnden digitalen Welt zu bieten.