Separación de tareas utilizando RBAC

1

Estoy leyendo un artículo sobre Control de acceso basado en roles, en la sección 6 (Separación de Deberes) No entendí esta parte:

  

La separación de tareas puede ser static o dynamic . Cumplimiento de la separación estática.   Los requisitos pueden ser determinados simplemente por la asignación de individuos a roles y   Asignación de transacciones a roles. El caso más difícil es la separación dinámica del deber.   donde el cumplimiento de los requisitos solo se puede determinar durante la operación del sistema.

¿Puede alguien aclararlo?

    
pregunta Bilal 10.08.2016 - 18:58
fuente

2 respuestas

1

Cotizando este artículo de SANS :

  

Separación estática de tareas define membresías de roles que son mutuamente excluyentes . Por ejemplo, RBAC puede garantizar que los usuarios no puedan ser miembros tanto del rol de compra como del rol de aprobación. Así es como SSD se asegura de que la misma persona no pueda comprar y aprobar la compra.

     

Separación dinámica de tareas permite que la misma persona tenga el rol de compra y el rol de aprobación, pero se les prohibiría aprobar su propia compra. Sólo lo harían Poder aprobar las compras de terceros.

     

Otro ejemplo sería restringir a la persona que realizó cambios en la configuración del firewall desde la auditoría y la aprobación de esos mismos cambios. En el modelo SSD, un usuario no puede ser miembro de ambos roles. En el modelo DSD, un usuario podría ser miembro de ambos roles, pero no podría funcionar en ambas capacidades para las mismas transacciones vinculadas.

    
respondido por el A. Darwin 10.08.2016 - 20:20
fuente
1

A lo que se refieren es un conjunto de reglas que es extremadamente rígido, en el caso de la estática, o un poco más maleable, como es el caso de la dinámica.

Usaré el ejemplo del artículo para explicar un poco más:

  

Una política estática   podría requerir que no individua l que pueda servir como iniciador de pagos también podría servir como   autorizador de pago. Esto podría implementarse asegurando que nadie que pueda realizar   el rol de iniciador también podría realizar el rol de autorizador.

Entonces, en este caso, la política estática relativa a la separación del deber no permitirá que una persona asuma el rol de iniciador de pagos Y autorizador de pago, incluso en diferentes momentos. Podrían iniciar pagos o autorizarlos. Esta regla es rígida, lo que significa que no pueden asumir un rol u otro, son SOLAMENTE un autorizador o SOLAMENTE un iniciador.

Ejemplo: Bob es el iniciador y Becky es el autorizador. Si Becky no se presenta para trabajar, Bob no puede asumir el papel de Becky, el autorizador.

Ahora una política dinámica:

  

Una política dinámica podría permitir una mayor flexibilidad que   permite que el mismo individuo asuma los roles de iniciador y de autorizador , con el   excepción que nadie puede autorizar los pagos que él o ella haya iniciado .

En este caso, la política dinámica relativa a la separación del servicio no permitirá que una persona inicie los pagos Y autorizarlos. Podrían iniciar pagos o autorizarlos. Como esta es una política dinámica, podrían asumir cualquiera de los dos roles según sea necesario , pero no podrían asumir ambos roles simultáneamente .

Ejemplo: Bob es el iniciador, Becky es el autorizador. Bob no se presenta al trabajo. Becky puede intervenir para que Bob inicie, pero NO PUEDE autorizar el mismo pago. Alguien más tendría que autorizar el pago, un tercero, Bill. (O espera hasta que Bob regrese)

Lo largo y corto de esto es: Las políticas estáticas que separan los deberes son rígidas , su rol es su rol y no puede "usar el sombrero de otra persona" para completar una tarea. Las políticas dinámicas que separan los deberes son menos rígidas y permiten flexibilidad, pero nunca darían el control completo de un proceso a un individuo.

    
respondido por el INV3NT3D 10.08.2016 - 20:25
fuente

Lea otras preguntas en las etiquetas