RBAC, ABAC y RABAC en Azure

Sitio dedicado a Microsoft Azure y otras tecnologías Cloud

Diagrama de la gestión de autorizaciones a los usuarios por medio de RBAC en Azure

Durante una formación hace unas dos semanas Lucía, una alumna especialmente participativa y con un profundo conocimiento sobre seguridad, me hizo una pregunta que es el origen de este artículo: ¿Azure implement un control de acceso a los recursos de tipo ABAC?

Siglas, siglas y más siglas

En todos los sistemas informáticos hay que establecer mecanismos para, una vez identificado el usuario, darle acceso a los diferentes recursos y servicios de nuestra plataforma.

La forma más sencilla es utilizar un Control de Acceso Basado en Roles (RBAC), lo cual me permite asignarle a cada identidad uno o más roles, en donde están definidos los permisos de accesos que se le otorgan.

Un nivel más de complejidad es que esa asignación se realice de forma dinámica de acuerdo a diferentes atributos o etiquetas que se le asignan al usuario, que es lo que se llamaría Control de Acceso Basado en Atributos (ABAC).

Ambos patrones tienen cosas buenas y cosas no tan buenas, y en el directorio activo de azure se pueden aplicar ambos, aunque las capacidades ABAC son más bien limitadas en comparación con la solución tan completa que se ofrece para las autorizaciones RBAC.

Al final del artículo comparto el enlace a un post muy descriptivo de ambas aproximaciones, merece la pena leerlo.

RABAC, la solución del AAD

El Control de Acceso Basado en Atributos Centrado en Roles (RABAC) es una propuesta del 2012 del equipo compuesto por Xin Jin, Ravi Sandhu y Ram Krishnan, en donde a un sistema RBAC se le añade un control de capacidades sobre los permisos otorgados por medio de una serie de políticas de filtrado de permisos.

De esta forma se mantiene intacto el modelo NIST RBAC, pero se mitiga el problema de la «explosión de Roles« que es tán complejo de mitigar cuando la organización gana en complejidad.

Al revisar el documento adjunto al final de este artículo, se reconoce que este patrón es aplicado en el Directorio Activo de Azure con el binomio de los roles RBAC más la suma de la Azure Policies, el cual permite otorgar niveles de accesos detallados a los recursos de manera estática o dinámica – a través de grupos de seguridad – y filtrar las acciones en base a condiciones relacionadas con ámbitos, etiquetas y atributos.

Osea, que en Azure tenemos lo mejor de ambos mundos.

Espero que sea de utilidad.

Más información: RBAC vs. ABAC Access Control Models: What’s the Difference?,
RABAC : Role-Centric Attribute-Based Access Control

 

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.