RBAC0 RBAC1 RBAC2 RBAC3 - ¿Qué significan?

5

Estoy familiarizado con el concepto de control de acceso basado en roles, pero he escuchado los términos RBAC0, etc. que están siendo publicados. ¿Qué significan estos realmente? Encontré esta cita en un sitio web de NIST :

  

En 1996, Sandhu, Coyne, Feinstein y Youman introdujeron un marco   para los modelos RBAC que incorporaron las características RBAC descritas anteriormente en   Un arreglo modular. RBAC0 se definió como el modelo base, definido   A través de usuarios, roles y permisos. RBAC1 incluye RBAC0 pero   incorpora jerarquías como una relación de orden parcial entre   roles RBAC2 también incorpora RBAC0, pero agrega restricciones. RBAC1 y   Los RBAC2 son independientes entre sí, ya que un sistema puede implementar   uno sin el otro RBAC3 es un modelo RBAC con todas las funciones,   incorporando RBAC0, RBAC1, y RBAC2. RBAC3 es esencialmente equivalente   al modelo Ferraiolo y Kuhn de 1992, con la excepción de que RBAC3   Permite una jerarquía parcial de orden mientras que el modelo Ferraiolo-Kuhn.   Define la jerarquía como un árbol enraizado. En términos orientados a objetos, la   El modelo SCFY de 1996 se puede considerar como una incorporación de múltiples   herencia mientras que Ferraiolo-Kuhn usa herencia única.

Pero estas definiciones son un poco confusas y suenan cerca de technobabble.

¿Cuál es realmente el significado de estos niveles? ¿Tienen valor en la industria o es solo balbuceo de CISSP? ¿Es común que los sistemas solo alcancen ciertos niveles de RBAC?

    
pregunta jtpereyda 20.09.2017 - 20:53
fuente

1 respuesta

8

Estos son los 'niveles' para el modelo NIST RBAC, como se describe en: El modelo NIST para el rol Control de acceso basado: hacia un estándar unificado . (pdf)

Se refieren respectivamente a:

  • RBAC plano
  • RBAC jerárquico
  • RBAC restringido
  • RBAC simétrico

RBAC plano significa solo el modelo RBAC base. El modelo NIST requiere que se puedan determinar los roles asignados a un usuario, así como los usuarios asignados a un rol específico (llamado revisión de rol de usuario).

RBAC jerárquico significa que los roles están organizados en una estructura jerárquica (DAG o Árbol), donde los roles "superiores" heredan todos los permisos de los roles "inferiores" conectados. El RBAC jerárquico se subdivide en RBAC jerárquico general y restringido.

RBAC restringido agrega la aplicación de la separación de funciones (SoD) a los roles. El SoD en el modelo NIST RBAC puede ser estático o dinámico.

RBAC simétrico agrega un requisito para la revisión de roles de permiso, similar a la revisión de roles de usuario como se describe para Flat RBAC.


Estos "niveles" son de interés para la industria como puntos de referencia. Hacen que la comparación de implementaciones sea más fácil y proporciona una buena línea de base si quiere probar que su implementación proporciona la seguridad, que promete el modelo teórico.

Sin embargo, en la práctica, muchas implementaciones de control de acceso se llaman a sí mismas basadas en roles, pero no se adhieren al modelo RBAC (NIST) (en absoluto). Los que implementan el modelo RBAC (NIST) a menudo implementan Flat y Symmetric, pero omiten las restricciones jerárquicas y / o SoD, porque son (mucho) más difíciles de implementar.

    
respondido por el Jacco 20.09.2017 - 21:29
fuente

Lea otras preguntas en las etiquetas