O que é controle de acesso baseado em atributos?
- Controle de acesso baseado em atributos explicado
- Como o ABAC funciona?
- Exemplo de controle de acesso baseado em atributos
- Comparando RBAC x ABAC x PBAC
- Vantagens do controle de acesso baseado em atributos
- Como implementar o controle de acesso baseado em atributos
- Como o ADManager Plus ajuda você a gerenciar atributos do Active Directory
Controle de acesso baseado em atributos explicado
O controle de acesso baseado em atributos (ABAC) é uma técnica de autorização que utiliza atributos para conceder acesso a recursos. Ao contrário do controle de acesso baseado em função (RBAC), que concede acesso com base na função de um usuário, o ABAC avalia atributos, como nomes de usuário e tipos de arquivos, para autorizar o acesso. O ABAC oferece uma solução de acesso mais granular em comparação a outros métodos de autenticação, ajudando você a aplicar políticas mais restritivas para proteger seus recursos. Esse nível de controle refinado é particularmente importante em ambientes com requisitos de acesso dinâmico, como computação em nuvem e sistemas corporativos de grande porte, nos quais modelos tradicionais podem não atender a requisitos de segurança mais específicos.
Como o ABAC funciona?
O ABAC funciona avaliando atributos. Um atributo é uma característica ou propriedade distinta de um sujeito (usuário), recurso, ação ou ambiente. O ABAC utiliza lógica booleana e cria declarações do tipo "se-então" para avaliar atributos em relação a regras ou políticas existentes. A seguir estão os tipos de atributos que o ABAC avalia para conceder acesso aos usuários.
| Tipo de atributo | Exemplos |
|---|---|
| Atributo do sujeito Descreve a entidade que tenta obter acesso ao recurso. | Nome de usuário, idade, cargo, função, cidadania, departamento, nível de autorização de segurança e nível de gerenciamento |
| Atributo do recurso ou objeto Descreve o item que está sendo solicitado. | Data de criação, última atualização, autor, proprietário, nome do arquivo, tipo de arquivo e sensibilidade dos dados |
| Atributo da ação Especifica a operação que o sujeito deseja realizar no recurso. | Visualizar, ler, gravar, copiar, editar, transferir, excluir e aprovar |
| Atributo de contexto ou ambiental Descreve o contexto em torno da solicitação de acesso. | Horário, localização, tipo de dispositivo, protocolo de comunicação e nível de autenticação |
Exemplo de controle de acesso baseado em atributos
Vamos supor que um gerente queira acessar o relatório de desempenho de um funcionário. O processo normalmente ocorre da seguinte forma:
- Gerente faz uma solicitação de acesso.
- O sistema ABAC avalia os atributos do gerente para verificar se eles correspondem às políticas existentes. Neste cenário, a solicitação é comparada com os seguintes atributos.
- Função do sujeito: Gerente
- Departamento do sujeito: Engenharia
- Ação: Visualizar
- Tipo de recurso: Avaliação de desempenho
- ID do funcionário no recurso: 12345
- Departamento do recurso: Engenharia
- Se os atributos do gerente corresponderem, o acesso ao relatório de desempenho do funcionário será concedido.
Comparando RBAC x ABAC x PBAC
Controle de acesso baseado em funções (RBAC)
Ao contrário do ABAC, o controle de acesso baseado em função (RBAC) funciona avaliando a função do usuário que deseja acessar o recurso. O RBAC compara a função do usuário, como administrador, editor ou visualizador, para conceder o acesso apropriado. Pela sua simplicidade, o RBAC é uma forma rápida e fácil de implementar o controle de acesso quando o nível mais rigoroso de segurança não é necessário.
Controle de acesso baseado em políticas (PBAC)
O PBAC é semelhante ao ABAC, pois também utiliza uma combinação de atributos para conceder acesso. A diferença é que o PBAC se baseia em um conjunto de políticas predefinidas escritas em código, enquanto o ABAC depende de políticas mapeadas para uma lista predefinida de atributos. No PBAC, as políticas são escritas em linguagens padronizadas, como XACML, para garantir interoperabilidade entre sistemas, permitindo decisões de acesso mais complexas e baseadas em regras.
Vantagens do controle de acesso baseado em atributos
Controle de acesso refinado
O ABAC avalia múltiplos atributos, como usuário, recurso e ambiente, para tomar decisões de acesso precisas.
Decisões com reconhecimento de contexto
O ABAC considera fatores dinâmicos, como horário, localização, tipo de dispositivo ou nível de sensibilidade, ajudando a reduzir excessos de permissão e a melhorar a postura de segurança.
Escalabilidade
O ABAC apresenta maior escalabilidade que o RBAC em ambientes grandes e complexos, pois não é necessário criar e gerenciar centenas de funções. O acesso é determinado com base nos atributos.
Redução da sobrecarga administrativa
Embora a configuração inicial exija bom entendimento dos atributos, no longo prazo o ABAC pode reduzir o trabalho administrativo, já que não há a necessidade de atribuir funções constantemente aos usuários.
Como implementar o controle de acesso baseado em atributos
A implementação do ABAC na sua organização envolve algumas etapas e componentes essenciais. A seguir, um resumo do processo:
- Identificar atributos: O primeiro passo é identificar os atributos relevantes para o seu sistema, o que envolve compreender os sujeitos, recursos, ações e ambiente.
- Definir políticas: Após identificar os atributos, é preciso definir as políticas de controle de acesso. Essas políticas especificam as condições em que o acesso a um recurso será concedido ou negado com base nos atributos.
- Ponto de aplicação de políticas (PEP): Atua como o guardião do recurso, inspecionando a solicitação e concedendo ou negando o acesso conforme a avaliação feita pelo PDP.
- Ponto de decisão de políticas (PDP): Avalia as solicitações recebidas em relação às políticas configuradas e retorna uma decisão de permissão ou negação.
- Testar e monitorar: Inicie com recursos não críticos e registre as decisões para verificar se o comportamento está de acordo com o esperado. Se tudo estiver correto, implemente gradualmente o ABAC nos demais sistemas.
Como o ADManager Plus ajuda você a gerenciar atributos do Active Directory
O ADManager Plus, solução de governança e administração de identidades com recursos completos de gerenciamento e geração de relatórios para Active Directory (AD) e Entra ID, simplifica tarefas administrativas complexas a partir de um console único e fácil de usar:
- Delegue atributos do AD e do Entra ID a técnicos para que realizem tarefas como redefinição de senhas, criação de grupos e gerenciamento de UOs.
- Gerencie usuários, contatos, grupos, licenças e outros objetos do AD por meio de um console centralizado, sem necessidade de scripts.
- Reduza erros humanos automatizando e orquestrando tarefas como provisionamento, desprovisionamento e atribuição de licenças em várias plataformas.
- Monitore seu ambiente de TI com mais de 200 relatórios prontos para uso.
- Acompanhe as atividades delegadas por meio de workflows inteligentes.
- Garanta a continuidade do negócio com backup e recuperação para AD, Microsoft Entra ID e Google Workspace.
