Separazione dei compiti usando RBAC

1

Sto leggendo un articolo sul Controllo degli accessi basato sui ruoli, nella sezione 6 (Separazione di doveri) Non ho capito questa parte:

Separation of duty can be either static or dynamic. Compliance with static separation requirements can be determined simply by the assignment of individuals to roles and allocation of transactions to roles. The more difficult case is dynamic separation of duty where compliance with requirements can only be determined during system operation.

Qualcuno può chiarirlo!

    
posta Bilal 10.08.2016 - 18:58
fonte

2 risposte

1

Citando questo articolo SANS :

Static Separation of Duties defines role memberships that are mutually exclusive. For example, RBAC can ensure that users cannot be members of both the purchasing role and the approving role. That is how SSD ensures that the same person cannot purchase and approve the purchase.

Dynamic Separation of Duties allows the same person to be in the purchasing role and the approving role, but they would be prohibited from approving their own purchase. They would only be able to approve the purchases of others.

Another example would be restricting the person who made firewall configuration changes from auditing and approving those same changes. In the SSD model, a user may not be members of both roles. In the DSD model, a user could be a member of both roles, but could not function in both capacities for the same linked transactions.

    
risposta data 10.08.2016 - 20:20
fonte
1

Ciò a cui si riferiscono è una regola che è estremamente rigida, nel caso di statico, o un po 'più malleabile, come nel caso della dinamica.

Userò l'esempio dell'articolo per spiegare un po 'oltre:

A static policy could require that no individual who can serve as payment initiator could also serve as payment authorizer. This could be implemented by ensuring that no one who can perform the initiator role could also perform the authorizer role.

Quindi in questo caso, la politica statica riguardante la separazione dei doveri non consentirebbe a una persona di assumere il ruolo di iniziatore di pagamento E autorizzazione di pagamento, anche in momenti diversi. Potrebbero avviare i pagamenti o autorizzarli. Questa regola è rigida, il che significa che non possono assumere un ruolo o l'altro, sono SOLO un autore di autorizzazioni o SOLO un iniziatore.

Esempio: Bob è l'iniziatore e Becky è l'autore. Se Becky non si presenta al lavoro, Bob non può assumere il ruolo di Becky, l'autore.

Ora una politica dinamica:

More flexibility could be allowed by a dynamic policy that allows the same individual to take on both initiator and authorizer roles, with the exception that no one could authorize payments that he or she had initiated.

Quindi in questo caso, la politica dinamica in materia di separazione dei doveri non consentirebbe a una persona di avviare pagamenti E autorizzali. Potrebbero avviare i pagamenti o autorizzarli. Poiché si tratta di una politica dinamica, potrebbero assumere un ruolo come necessario , ma non potrebbero assumere entrambi i ruoli contemporaneamente .

Esempio: Bob è l'iniziatore, Becky è l'autore. Bob non si presenta al lavoro. Becky può intervenire affinché Bob inizi, ma NON PU author autorizzare lo stesso pagamento. Qualcun altro dovrebbe autorizzare il pagamento, una terza parte, Bill. (Oppure aspetta che Bob ritorni)

Il lungo e corto è: Le politiche statiche che separano i doveri sono rigide , il tuo ruolo è il tuo ruolo e non puoi "indossare il cappello di qualcun altro" per completare un'attività. Le politiche dinamiche che separano le mansioni sono meno rigide e consentono flessibilità, ma non darebbero mai il controllo completo di un processo a un singolo individuo.

    
risposta data 10.08.2016 - 20:25
fonte

Leggi altre domande sui tag