Vanaf 2023 zijn alle Nederlandse organisaties wettelijk verplicht om bewust bezig te zijn met cyber security. Het hebben van een goede basis beveiliging is een beginpunt. Je authenticatie proces van je gebruikers op orde brengen wordt door ons gezien als stap 1. RBAC implementeer je wanneer je controle wilt hebben op wie waar inlogt in jouw digitale organisatie. Maar in een wereld die continue verandert, medewerkers komen en gaan of (tijdelijk) wisselen van rol, betekent dat RBAC veel beheerwerk met zich meebrengt.
In deze blog verklaren we waarom je RBAC zou moeten automatiseren en hoe je controle behoudt met een lage beheerslast.
Hoe werkt RBAC?
Role-Based Access Control is een middel controle te hebben over gebruikers- en rechtenmanagement. RBAC faciliteert gebruikers met alleen toegang tot systemen die ze nodig hebben om hun werk te kunnen doen. Dit is gebaseerd op het principe van zero-trust, wat inhoudt dat geen enkele gebruiker wordt vertrouwd totdat ze zijn geverifieerd. Een belangrijk kenmerk van het zero trust-model is dat gebruikers zo beperkt mogelijke toegangsrechten krijgen.
Om een RBAC correct te implementeren, moet eerst toepasselijke rollen gedefinieerd worden. Rollen zijn vooraf gedefinieerde categorieën die zijn gebaseerd op bepaalde factoren zoals het autorisatieniveau, welke verantwoordelijkheden de rol met zich meebrengt en welke acties worden uitgevoerd.
De snelste manier om rollen gedefinieerd te krijgen, is door te beginnen met de meest voorkomende rechten en van daaruit naar meer beperkte rechten toe te werken. Om je op gang te helpen bij het implementeren van RBAC, zijn er een aantal primaire regels die je in gedachte moet houden. Dit zijn de 3 regels die je kunt volgen:
- Vooraf gedefinieerde rollen: welke rollen ga je toewijzen aan een gebruiker? Een enkele gebruiker kan meerdere rollen hebben, elk met bijbehorende privileges;
- Geautoriseerde rollen: de rol van de gebruiker moet geautoriseerd zijn voor de taken die hij uitvoert;
- Toestemmingsautorisatie: de gebruiker kan alleen toestemmingen geven als deze is geautoriseerd voor de rol van de gebruiker.
Waarom traditioneel RBAC niet werkt
Het “traditioneel” implementeren van een RBAC kan een zwaar en tijdrovend traject zijn. Dit geld voor zowel beheerders als gebruikers. Beheerders van RBAC moeten vaak handmatig werk moeten verrichten omdat gebruikers niet één app of dienst gebruiken, maar tientallen. Dus moeten beheerders deze services één voor één doorlopen om de juiste rol toe te wijzen wanneer ze een gebruiker maken of bewerken. Dit kan foutgevoelig zijn en kunnen er olifanten paadjes ontstaan.
In een ongewenste situatie ontstaat de kans dat medewerkers om de RBAC heen gaan werken. Omdat het te lang duurt met het krijgen van de juiste rechten (bureaucratisch) en zij niet weten welke rechten ze zou moeten aanvragen. Ook heb je vaak medewerkers die gewend zijn om op een bepaalde manier te werken en zijn er medewerkers die niet hoe om te gaan met het systeem.
RBAC implementeren in een IAM platform
RBAC implementeren in een IAM platform heeft als doel meer controle krijgen op toegang en alle bewegingen van gebruikers te kunnen auditen. Wanneer implementeer je RBAC in een IAM systeem? Deze implementatie vindt plaats als je niet statisch vast wil zitten aan je RBAC en flexibiliteit nodig hebt. De wereld van toegangsrechten, geven en terugtrekken van rechten, is constant in beweging (bijv. medewerker die van rol verandert, on- of offboarding van medewerkers).
Het autorisatie proces via een gecentraliseerd platform, IAM platform, laten lopen maakt het mogelijk om alle systemen via één geautomatiseerd platform te beheren. Dus wanneer een beheerder een nieuwe gebruiker aan een rol koppelt, zorgt de IAM-oplossing ervoor dat de gebruiker alle beoogde rechten krijgt in elk aangesloten systeem.
KeyHub legt het beheer van rollen bij de medewerker zelf omdat zij hun collega's het beste kennen en weten welke toegang ze nodig hebben. RBAC implementeren in KeyHub biedt ook de mogelijkheid om naast de basisrollen, medewerkers tijdelijke toegang toe te wijzen wanneer dat nodig is. Een dynamische workflow. Denk aan extra privileges om tijdelijke toegang te krijgen tot digitale bedrijfssystemen. Dit betekent dat aanvraag procedures vele malen soepeler zullen verlopen, waardoor dagelijkse werkprocessen niet verstoord worden. Tussentijds gaan alle activiteiten langs minimaal langs 4 ogen (vier-ogenprincipe). En wordt er gelogd èn geaudit.
RBAC en IAM in een gecentraliseerde platform hebben zorgt ervoor dat gebruikers eenvoudig rechten kunnen aanvragen en dat auditors in één oogopslag kunnen zien wat hiervan de consequenties zijn. Organisaties die flexibiliteit van medewerkers, ten alle tijden rechten kunnen toewijzen en terugtrekken, op prijs stelt dan is dit een passend oplossing.
In een keer RBAC implementeren zou mogelijk een uitdaging kunnen zijn, daarom raden wij aan om in etappes te werken. Begin bijvoorbeeld met een groep gebruikers die meer bescherming nodig hebben en breidt vervolgens uit naar andere afdelingen.