¿Qué es el control de acceso basado en atributos?
Explicación del control de acceso basado en atributos
El control de acceso basado en atributos (ABAC) es una técnica de autorización que utiliza atributos para proporcionar acceso a los recursos. A diferencia del control de acceso basado en roles (RBAC), que concede el acceso en función del rol de un usuario, el ABAC evalúa ciertos atributos como los nombres de usuario y los tipos de archivo para autorizar el acceso. El ABAC ofrece una solución de acceso más granular en comparación con otros métodos de autenticación, ayudándole a aplicar directivas más estrictas para proteger sus recursos. Este nivel de control granular es especialmente importante en entornos con requisitos de acceso dinámicos, como la computación en nube y los sistemas empresariales a gran escala, en los que los modelos tradicionales pueden quedarse cortos a la hora de abordar requisitos de seguridad matizados.
¿Cómo funciona ABAC?
El ABAC funciona evaluando atributos. Un atributo es una característica o propiedad distintiva de un sujeto (usuario), recurso, acción o entorno. El ABAC utiliza la lógica booleana y crea sentencias "si-entonces" para evaluar los atributos frente a las reglas o directivas existentes. A continuación, se enumeran los tipos de atributos que el ABAC evalúa para conceder acceso a los usuarios.
| Tipos de atributos | Ejemplos |
|---|---|
| Atributo de sujeto Describe la entidad que intenta acceder al recurso. | Nombre de usuario, edad, trabajo, cargo, ciudadanía, departamento, habilitación de seguridad y nivel de gestión |
| Atributo de recurso u objeto Describe el artículo solicitado. | Fecha de creación, última actualización, autor, propietario, nombre del archivo, tipo de archivo y sensibilidad de los datos |
| Atributo de acción Especifica la operación que el sujeto desea realizar en el recurso. | Ver, leer, escribir, copiar, editar, transferir, borrar y aprobar |
| Atributo de contexto o entorno Describe el contexto que rodea a la solicitud de acceso. | Hora, ubicación, tipo de dispositivo, protocolo de comunicación y nivel de autenticación |
Ejemplo de control de acceso basado en atributos
Supongamos que un directivo quiere acceder al informe de desempeño de un empleado. El proceso suele ser el siguiente:
- El gestor realiza una solicitud de acceso.
- El sistema de ABAC evalúa los atributos del gestor para determinar si coinciden con las directivas existentes. En este escenario, la solicitud de acceso se compara con los siguientes atributos.
- Rol del sujeto: Gestor
- Departamento del sujeto: Ingeniería
- Acción: Ver
- Tipo de recurso: Revisión del desempeño
- ID de empleado del recurso: 12345
- Departamento del recurso: Ingeniería
- Si los atributos del directivo coinciden, se le concederá acceso al informe de desempeño del empleado.
Comparación entre RBAC vs ABAC vs PBAC
RBAC
A diferencia del ABAC, el RBAC funciona evaluando el rol del usuario que desea acceder al recurso. El RBAC comparará el rol del usuario (como administrador, editor o visor) para concederle el acceso adecuado. Debido a su sencillez, el RBAC es una forma rápida y fácil de implementar el control de acceso si no necesita la seguridad de acceso más estricta.
Control de acceso basado en directivas (PBAC)
El PBAC es similar al ABAC, ya que utiliza una combinación de atributos para proporcionar acceso. La diferencia es que el PBAC se basa en un conjunto de directivas predefinidas escritas en código, mientras que el ABAC se basa en las directivas que se asignan a una lista predefinida de atributos. Las directivas en el PBAC se escriben en lenguajes estandarizados como XACML para la interoperabilidad entre sistemas, lo que permite tomar decisiones de acceso más complejas y basadas en reglas.
Ventajas de utilizar el control de acceso basado en atributos
Control de acceso granular
El ABAC evalúa múltiples atributos como el usuario, el recurso y el entorno para tomar decisiones de acceso precisas.
Decisiones conscientes del contexto
El ABAC tiene en cuenta factores dinámicos como la hora del día, la ubicación, el tipo de dispositivo o el nivel de sensibilidad. Esto ayuda a reducir los permisos excesivos y mejora la postura de seguridad.
Escalabilidad
El ABAC se adapta mejor que el RBAC en entornos grandes y complejos, ya que no es necesario crear y gestionar cientos de roles. El acceso se determina en función de los atributos.
Reducción de los gastos administrativos
Aunque el entorno inicial puede requerir una buena comprensión de los atributos, a largo plazo puede reducir la carga de trabajo del administrador sin tener que asignar roles de usuario constantemente.
Cómo se implementa el control de acceso basado en atributos
Implementar el ABAC en su organización implica varios pasos y componentes clave. A continuación encontrará un resumen general del proceso:
- Identificar los atributos: el primer paso consiste en identificar los atributos relevantes para su sistema. Lo anterior implica comprender a los sujetos, los recursos, las acciones y el entorno.
- Definir directivas: una vez que conozca sus atributos, deberá definir las directivas que controlan el acceso. Estas directivas especifican las condiciones en las que se concede o deniega el acceso a un recurso en función de los atributos.
- Punto de aplicación de directiva (PEP): el PEP actúa como guardián del recurso. Inspecciona la solicitud y concede o deniega el acceso de acuerdo con la evaluación del PDP.
- Punto de decisión de directiva (PDP): este evalúa las solicitudes entrantes en función de las directivas con las que ha sido configurado. El PDP devuelve una decisión de permiso/denegación.
- robar y monitorear: comience con los recursos no críticos y registre las decisiones para verificar si el comportamiento es el esperado. Si las cosas salen bien, extienda gradualmente el ABAC a otros sistemas.
Cómo le ayuda ADManager Plus a gestionar los atributos de Active Directory
ADManager Plus, una solución de gobernanza y administración de identidades con amplias funciones de gestión e informes de Active Directory (AD) y Microsoft Entra ID simplifica las complejas tareas de administración desde una única consola intuitiva:
- Delegue atributos de AD y Entra ID a los técnicos para que puedan realizar tareas como restablecer contraseñas, crear grupos y gestionar OU.
- Gestione usuarios, contactos, grupos, licencias y otros objetos de AD con una consola centralizada y sin scripts.
- Reduzca los errores humanos automatizando y orquestando tareas como el aprovisionamiento de usuarios, el desaprovisionamiento y la asignación de licencias en varias plataformas.
- Controle su entorno de TI con más de 200 informes pre-integrados.
- Monitoree las actividades delegadas a través de flujos de trabajo inteligentes.
- Garantice la continuidad del negocio con el respaldo y la recuperación de AD, Microsoft Entra ID y Google Workspace.