Role Based Access Control (RBAC): come funziona il controllo d’accesso basato sui ruoli?

Nel proprio sistema in­for­ma­ti­co, le aziende e or­ga­niz­za­zio­ni assegnano le au­to­riz­za­zio­ni di accesso soltanto agli utenti che ne hanno realmente bisogno per svolgere i propri compiti, al fine di pro­teg­ge­re i dati sensibili da accessi non au­to­riz­za­ti e modifiche non richieste. Per garantire la sicurezza nelle grandi or­ga­niz­za­zio­ni, le au­to­riz­za­zio­ni di accesso in­di­vi­dua­li sono definite in una lista dei controlli d’accesso, la co­sid­det­ta Access Control List (ACL). Lo svan­tag­gio è che, con l’aumentare del numero di utenti, il processo di as­se­gna­zio­ne di au­to­riz­za­zio­ni in­di­vi­dua­li diventa sempre più laborioso e soggetto a errori. Un’al­ter­na­ti­va fles­si­bi­le e al tempo stesso ef­fi­cien­te è il controllo degli accessi basato sui ruoli: il Role Based Access Control, in sigla RBAC.

Role Based Access Control, in sigla RBAC, si traduce dall’inglese come “controllo d’accesso basato sui ruoli”. Questo sistema è un approccio alla gestione della sicurezza e dei permessi d’accesso in cui i ruoli e le au­to­riz­za­zio­ni sono assegnate al­l'in­ter­no del­l'in­fra­strut­tu­ra in­for­ma­ti­ca di un'or­ga­niz­za­zio­ne. L’intero concetto è “basato sui ruoli” il che è fon­da­men­ta­le per di­stin­gue­re il RBAC da altri controlli di sicurezza come, ad esempio, il Mandatory Access Control. Con questo modello, un am­mi­ni­stra­to­re di sistema assegna a ciascun utente e oggetto una categoria e un livello di autorità. Il sistema operativo confronta tra loro i due livelli e infine permette o nega l’accesso.

Nel RBAC, invece, i permessi di accesso si assegnano secondo un modello definito di ruoli. I ruoli di ciascun utente vengono quindi stabiliti e servono ad astrarre i processi la­vo­ra­ti­vi di un’or­ga­niz­za­zio­ne o impresa. Questi possono variare da azienda ad azienda. Possibili elementi per una ri­par­ti­zio­ne per­ti­nen­te sono i reparti, le sedi, i centri di costo o le funzioni di un col­la­bo­ra­to­re.

Prima di applicare il sistema di accesso RBAC in un’azienda, è ne­ces­sa­rio spe­ci­fi­ca­re nel modo più det­ta­glia­to possibile i permessi legati ad un de­ter­mi­na­to ruolo. Questo comprende la de­fi­ni­zio­ne precisa delle au­to­riz­za­zio­ni nei seguenti campi:

• Permesso di apportare modifiche ai dati (Read, Read and Write, Full Access)
• Permesso di accesso ad ap­pli­ca­zio­ni aziendali
• Au­to­riz­za­zio­ni all’interno delle ap­pli­ca­zio­ni

Per sfruttare al meglio i vantaggi del modello RBAC, il primo passo è sempre quello di stabilire un modello per la creazione di ruoli e au­to­riz­za­zio­ni. Per questo l’or­ga­niz­za­zio­ne deve sud­di­vi­de­re tutte le funzioni dei di­pen­den­ti in ruoli che de­fi­ni­sco­no i diritti relativi. In un secondo momento i ruoli saranno assegnati ai col­la­bo­ra­to­ri in base alle loro re­spon­sa­bi­li­tà. Il Role Based Access Control consente di assegnare uno o più ruoli per ciascun utente. Questo permette un’as­se­gna­zio­ne in­di­vi­dua­le di au­to­riz­za­zio­ni di accesso anche all’interno dello stesso modello per far sì che i permessi concessi cor­ri­spon­da­no alle attività di un utente, senza ulteriori ope­ra­zio­ni di per­so­na­liz­za­zio­ne.

L’im­ple­men­ta­zio­ne e il controllo del RBAC avvengono tramite un Identity Access Ma­na­ge­ment System, in sigla IAM (in italiano: Gestione dell’identità e dell’accesso). Questo sistema offre supporto so­prat­tut­to alle aziende con un elevato numero di di­pen­den­ti nella fase di creazione, controllo e ag­gior­na­men­to di tutte le identità e i permessi di accesso. L’as­se­gna­zio­ne delle au­to­riz­za­zio­ni si definisce “Pro­vi­sio­ning”, la revoca “De-Pro­vi­sio­ning”. Il pre­sup­po­sto per uti­liz­za­re un sistema di questo tipo è la creazione di un modello di ruoli unitario e stan­dar­diz­za­to.

Il Role Based Access Control si basa su una struttura a tre livelli, composta da utenti, ruoli e gruppi. Nel co­sid­det­to Role Mining le or­ga­niz­za­zio­ni de­fi­ni­sco­no i ruoli, so­li­ta­men­te orientati in base alla struttura or­ga­niz­za­ti­va dell’azienda. Infine a ciascun di­pen­den­te vengono assegnati uno o più ruoli, che possono com­pren­de­re una o più au­to­riz­za­zio­ni di accesso. Un ruolo può essere collegato a uno o più gruppi, che non devono essere ne­ces­sa­ria­men­te equi­pa­ra­ti.

Per la creazione del modello di ruolo, è comune l’utilizzo di un’im­po­sta­zio­ne a piramide:

Al vertice si de­fi­ni­sco­no tutte le au­to­riz­za­zio­ni ne­ces­sa­rie per ciascun di­pen­den­te dell’or­ga­niz­za­zio­ne. Tra questi troviamo il classico accesso all’area intranet, la suite di Office, il client di posta elet­tro­ni­ca, l’intera network directory o l’accesso at­tra­ver­so l’active directory.

In un’or­ga­niz­za­zio­ne, i di­pen­den­ti di un reparto svolgono compiti simili. Perciò l’ufficio contabile avrà bisogno di accedere al sistema di gestione ERP e al drive del reparto, mentre il di­par­ti­men­to per le risorse umane dovrà accedere ai dati di tutti i di­pen­den­ti. Le au­to­riz­za­zio­ni relative saranno ri­la­scia­te a tutti i col­la­bo­ra­to­ri di un reparto.

Le altre au­to­riz­za­zio­ni saranno definite in base alla funzione del di­pen­den­te e ai relativi compiti.

In molti casi i di­pen­den­ti svolgono incarichi non ancora coperti dalle voci reparto e funzioni. Perciò l’or­ga­niz­za­zio­ne può assegnare a ciascun di­pen­den­te altri ruoli necessari per lo svol­gi­men­to dei relativi compiti.

Per definire e assegnare i ruoli, un’or­ga­niz­za­zio­ne ha bisogno dei dati completi e ag­gior­na­ti di tutti i di­pen­den­ti, che nelle grandi aziende sono pro­to­col­la­ti in modo det­ta­glia­to so­prat­tut­to nel sistema di gestione delle risorse umane. Nella fase di con­fi­gu­ra­zio­ne di un ruolo o di un’au­to­riz­za­zio­ne, si consiglia di con­si­de­ra­re anche tutti quei ruoli non ancora ricoperti in quel momento. Esempi tipici sono gli stagisti di un di­par­ti­men­to o le posizioni scoperte da tanto tempo.

Per de­ter­mi­na­te con­di­zio­ni, il Role Based Access Control si è imposto come modello di ap­pli­ca­zio­ne della miglior prassi. Quando i ruoli e le au­to­riz­za­zio­ni sono definite e applicate in modo chiaro in tutta l’azienda, il RBAC offre numerosi vantaggi:

• Fles­si­bi­li­tà: l’azienda affida a ciascun di­pen­den­te uno o più ruoli in base alla necessità. Eventuali modifiche nella struttura aziendale o nelle au­to­riz­za­zio­ni sono veloci da tra­smet­te­re a tutti i di­pen­den­ti: serve solo che l’azienda adegui il ruolo cor­ri­spon­den­te.
• Minori costi di gestione: il RBAC rende obsoleto il com­pli­ca­to processo di as­se­gna­zio­ne delle singole au­to­riz­za­zio­ni.
• Minore pos­si­bi­li­tà di errore: le au­to­riz­za­zio­ni singole sono più laboriose ma anche più soggette ad errori rispetto all’as­se­gna­zio­ne di au­to­riz­za­zio­ni di accesso basate sui ruoli.
• Maggiore ef­fi­cien­za: riducendo la mole di lavoro e l’incidenza di errori, il RBAC aumenta l’ef­fi­cien­za del sistema in­for­ma­ti­co e degli altri di­pen­den­ti. Inoltre, non sono più ne­ces­sa­rie modifiche manuali, gestione degli errori, tempi di attesa o richieste di au­to­riz­za­zio­ni in­di­vi­dua­li.
• Sicurezza: i diritti di accesso sono definiti esclu­si­va­men­te in base al ruolo, impedendo in questo modo che ai singoli di­pen­den­ti siano conferite au­to­riz­za­zio­ni eccessive. Questo cor­ri­spon­de al co­sid­det­to principio PoLP, ossia Principle of Least Privilege.
• Tra­spa­ren­za: il nome dei ruoli è so­li­ta­men­te semplice da capire, raf­for­zan­do la tra­spa­ren­za e la com­pren­si­bi­li­tà per gli utenti.

Tra gli svantaggi del Role Based Access Control bisogna an­no­ve­ra­re:

• Con­fi­gu­ra­zio­ne im­pe­gna­ti­va: la fase di con­ver­sio­ne delle strutture aziendali nel modello RBAC è par­ti­co­lar­men­te im­pe­gna­ti­va.
• As­se­gna­zio­ni tem­po­ra­nee: se un utente ha bisogno di permessi d’accesso estesi solo per un periodo tem­po­ra­neo, quest’as­se­gna­zio­ne viene di­men­ti­ca­ta più fa­cil­men­te quando si utilizza il RBAC rispetto a quando si fa uso di un'as­se­gna­zio­ne per­so­na­liz­za­ta dei permessi.
• Ap­pli­ca­zio­ne: per le aziende più piccole, il processo di con­fi­gu­ra­zio­ne e man­te­ni­men­to dei ruoli comporta sforzi maggiori rispetto all’as­se­gna­zio­ne di permessi in­di­vi­dua­li. Per questo conviene applicare il modello RBAC a partire da un certo numero di ruoli e di­pen­den­ti. Anche per le aziende più grandi, il Role Based Access Control presenta lo svan­tag­gio di poter risultare in un numero elevato di ruoli. Se un’azienda presenta dieci di­par­ti­men­ti e dieci ruoli, ne risultano già 100 gruppi diversi.

In molte or­ga­niz­za­zio­ni, il Role Based Access Control si è stabilito come miglior processo per la gestione delle au­to­riz­za­zio­ni di accesso. Cio­no­no­stan­te il modello RBAC si applica anche nei sistemi operativi e altri software come ad esempio nel servizio di directory di Windows, Windows Server Active Directory, nella sicurezza del sistema operativo ot­ti­miz­za­to di Linux SELinux o nel sistema operativo di Unix Solaris.