Magic Quadrant™ para gerenciamento de acesso privilegiado 2025: Netwrix reconhecida pelo quarto ano consecutivo. Baixe o relatório.

Fale conoscoSuporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluções

Data Security Posture Management

Descubra e classifique dados em ambientes híbridos. Avalie, priorize e mitigue riscos aos dados sensíveis.

Directory Management

Simplifique e proteja a administração de diretórios reduzindo a complexidade, o risco e o esforço manual.

Endpoint Management

Proteja endpoints e previna a perda de dados enquanto mantém as equipes produtivas — não importa onde trabalhem.

Identity Management

Proteja cada identidade, simplifique cada processo e mantenha-se à frente da conformidade — sem adicionar complexidade.

Identity Threat Detection & Response

Mantenha-se à frente de ameaças baseadas em identidade — remediação proativa de riscos, bloqueio de ataques e garantia de recuperação rápida.

Privileged Access Management

Reduza sua superfície de ataque eliminando privilégios permanentes, protegendo credenciais e monitorando sessões privilegiadas.
Produtos em destaque Ver todos os produtos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

A plataforma Netwrix 1Secure™

Explore
Netwrix AI Ambientes que protegemos Integrações MSPs Riscos de segurança do Active Directory Conformidade Preços
Resource Center Ver Todos
BlogAttack CatalogConformidadeHistórias de ClientesFrameworks de CibersegurançaGlossário de CibersegurançaEventsFreewareGuiasIdeas PortalNotíciasPodcastsPublicaçõesAnúncios de ProdutosPesquisaWebinars
Asset not found

História em Destaque de Cliente

A DXC Technology possibilita que clientes alcancem a conformidade com PCI DSS e se concentrem em iniciativas estratégicas
Parceiros
Programa de ParceirosTorne-se um ParceiroMSPsLocalizador de parceirosWebinars
Asset not found

História em Destaque de Cliente

AppRiver aprimora o controle sobre o Active Directory enquanto reduz significativamente o tempo de auditoria
Asset not found

História em Destaque de Cliente

MSP Ajuda Cliente a Recuperar de Ransomware em 6 Horas
Por que a Netwrix
Sobre NósLiderançaNetwrix AIHistórias de clientesReconhecimentoNoticiasCarreiras
Asset not found

História em Destaque de Cliente

Horizon Leisure Centres acelera a classificação de dados para cumprir o RGPD e economiza £80.000 por ano
Asset not found

História em Destaque de Cliente

Samsung R&D Institute garante a segurança dos dados com uso multiplataforma e implantação rápida no macOS usando Netwrix Endpoint Protector
Centro de recursosBlog
RBAC vs ABAC: Qual Escolher?

RBAC vs ABAC: Qual Escolher?

Feb 19, 2024

Controlar o acesso aos dados de uma organização, aplicações e outros recursos de TI é uma tarefa vital e complexa. É essencial garantir que cada usuário possa acessar os recursos de que necessita para realizar seu trabalho, mas que ninguém tenha acesso a dados ou sistemas para os quais não tenha uma necessidade legítima.

Este artigo explora dois modelos populares de controle de acesso, controle de acesso baseado em função (RBAC) e controle de acesso baseado em atributo (ABAC) e oferece orientações para escolher a opção mais adequada para a sua organização.

Conteúdo relacionado selecionado:

O que é Controle de Acesso Baseado em Funções?

No modelo RBAC, os funcionários e outros usuários recebem direitos de acesso com base no papel ou papéis que desempenham na organização. Ou seja, os administradores definem um conjunto de papéis, concedem as permissões de acesso apropriadas a cada um desses papéis e, em seguida, atribuem a cada usuário um ou mais papéis — os papéis que uma pessoa recebe determinam seus direitos de acesso aos recursos de TI.

Exemplos de RBAC

Aqui estão alguns exemplos de funções e alguns dos direitos de acesso que podem ser concedidos:

  • Diretor de Tecnologia — Acesse todos os servidores da empresa
  • Engenheiro de software — Acesse servidores de aplicativos específicos
  • Técnico de helpdesk — Redefinir senhas de usuário e desbloquear contas de usuário

Benefícios do RBAC

A implementação do RBAC simplifica a gestão de acesso. Quando um novo funcionário entra na organização, os administradores não precisam conceder um monte de permissões uma a uma; eles podem simplesmente atribuir ao novo contratado os papéis relevantes e ele imediatamente tem todos os direitos de acesso relacionados. Da mesma forma, quando um funcionário muda de equipe ou departamento, conceder-lhe os novos direitos de acesso apropriados (e, o que é importante, remover aqueles de que ele não precisa mais) é tão simples quanto alterar suas atribuições de função.

Muitos sistemas empresariais oferecem controle de acesso baseado em funções. Aqui está uma visão geral de como o Microsoft Entra (anteriormente Azure), Active Directory e SharePoint utilizam RBAC.

RBAC no Microsoft Entra

O controle de acesso baseado em funções no Microsoft Entra ajuda os administradores a gerenciar o acesso aos recursos na nuvem. Por exemplo, você pode usar RBAC para:

  • Permita que um conjunto de usuários gerencie redes virtuais e outro grupo gerencie máquinas virtuais.
  • Capacite os administradores de banco de dados para gerenciar bancos de dados SQL.
  • Permita que um grupo designado de usuários gerencie certos sites.
  • Permita que um aplicativo acesse todos os recursos em um grupo de recursos.

RBAC no Active Directory

No Active Directory, os grupos de segurança funcionam como papéis. Cada grupo tem acesso concedido a certos recursos, e todos os membros do grupo herdam esses direitos. O AD inclui um conjunto de grupos de segurança padrão e os administradores podem criar grupos adicionais.

Aqui estão alguns dos grupos de segurança integrados e suas permissões:

  • Operadores de Backup  Os membros podem restaurar e substituir arquivos em um computador independentemente das permissões necessárias para acessar esses arquivos.
  • Usuários de Área de Trabalho Remota  Os membros podem se conectar a um servidor de Host de Sessão RD remotamente.
  • Domain Admins  Os membros têm direitos extensivos em um domínio AD específico. Por exemplo, eles podem atualizar a associação de todos os grupos e controlar o acesso aos controladores de domínio.
  • Enterprise Admins  Os membros podem fazer alterações em toda a floresta, como adicionar domínios filhos.
  • Schema Admins  Os Schema Admins podem modificar o esquema do Active Directory.

Conteúdo relacionado selecionado:

RBAC no SharePoint

SharePoint também possui funções predefinidas com permissões que os membros herdam. Essas funções incluem:

  • Usuários finais: Os membros podem trabalhar com conteúdo em itens de listas e bibliotecas de documentos, mas não podem configurar ou gerenciar sites.
  • Usuários Avançados: Os membros podem interagir com certos componentes do site, como listas, páginas da web, bibliotecas, etc.
  • Proprietários do Site: Os membros têm controle sobre todo o site SharePoint, incluindo a criação de sub-sites, design e gerenciamento de permissões.
  • Site Collection Admins: Os membros têm controle sobre os sites em uma coleção de sites.
  • SharePoint Farm Admins: Estes administradores de nível superior têm controle total sobre a fazenda SharePoint, como manutenção, armazenamento, aplicativos web e coleções de sites.

RBAC no Exchange

O Microsoft Exchange também segue um modelo RBAC. Algumas das funções de gerenciamento integradas são as seguintes:

  • Gestão de Destinatários — Os membros podem criar ou atualizar destinatários do Exchange Server dentro da organização do Exchange Server.
  • Helpdesk — Os membros podem visualizar e atualizar atributos de usuário como endereços, números de telefone e nomes exibidos.
  • Gestão de Servidores — Os membros podem configurar funcionalidades específicas do servidor, como certificados, protocolos de acesso de clientes e diretórios virtuais.
  • Gestão da Organização — Os membros têm acesso de nível superior ao servidor Exchange da organização, o que significa que podem realizar quase todas as tarefas para um objeto Exchange.
  • Gestão de Higiene — Os membros podem configurar recursos anti-spam e anti-malware no Exchange.

O que é Controle de Acesso Baseado em Atributos?

ABAC concede privilégios de acesso de acordo com os atributos de um usuário, seja em substituição ou em adição aos seus papéis. Exemplos de atributos incluem:

  • Atributos do usuário: Cargo, nível de senioridade, departamento, função profissional
  • Atributos do recurso: Tipo de arquivo, proprietário do arquivo, nível de sensibilidade do arquivo
  • Ambiente: Rede, geolocalização, data, hora do dia

É assim que funciona:

  • Os administradores definem políticas que especificam qual combinação de atributos é necessária para realizar uma ação em um recurso.
  • Quando um usuário solicita acesso a um recurso, o ABAC verifica os atributos desse usuário. Se eles atenderem às políticas definidas, o acesso é concedido; caso contrário, o pedido é negado.

Exemplos de ABAC

Aqui estão dois exemplos de políticas ABAC:

  • Para ter acesso às informações de folha de pagamento, o usuário deve ser membro do departamento de RH. Além disso, a solicitação de acesso deve ser feita durante o horário comercial normal, e o usuário só pode acessar dados da sua própria filial da empresa.
  • Para acessar leads de vendas e dados sensíveis relacionados, o usuário deve ser um representante de vendas e estar na região dos Estados Unidos.

Benefícios do ABAC

Usar atributos em vez de papéis permite uma abordagem mais granular ao controle de acesso. No entanto, ABAC pode ser mais complicado do que RBAC.

ABAC no Microsoft Entra

Como vimos, o Microsoft Entra permite a atribuição de permissões com base em funções. Mas também possibilita que os administradores adicionem condições para certas ações, o que ilustra como o ABAC pode ser considerado uma extensão do RBAC. Por exemplo, você pode adicionar uma condição que, para um usuário ler um determinado objeto, o usuário deve ter uma função específica e o objeto deve ter uma etiqueta de metadados específica.

Controle de Acesso Baseado em Atributos vs Controle de Acesso Baseado em Funções: Uma Comparação

As tabelas abaixo mostram os prós e contras do controle de acesso baseado em função (RBAC) e do controle de acesso baseado em atributos (ABAC):

Vantagens do RBAC

Contras do RBAC

O RBAC funciona bem para organizações de pequeno e médio porte.

Grandes organizações podem exigir tantos papéis que gerenciá-los se torna difícil.

Você pode modelar facilmente a hierarquia organizacional. Por exemplo, você pode conceder automaticamente aos gerentes todas as permissões de seus subordinados diretos.

Definir os direitos de um grande número de funções pode ser demorado e complicado.

Os custos necessários para implementar RBAC são relativamente baixos.

Garantir que cada usuário tenha todos os direitos de que precisa pode exigir a criação frequente de novos papéis.

Vantagens do ABAC

Contras do ABAC

ABAC pode funcionar melhor para grandes organizações.

A implementação de RBAC pode ser complexa e demorada.

Para adicionar ou remover permissões, os administradores podem simplesmente atualizar os atributos de um usuário, o que é muito mais fácil do que definir novos papéis.

A recuperação de erros durante a implementação pode ser difícil devido à complexidade do ABAC.

RBAC vs ABAC: Qual Escolher?

Escolher RBAC e ABAC requer compreender a estrutura, o orçamento, o tamanho e os requisitos de segurança da sua organização. Em alguns cenários, ABAC mostra-se como a melhor opção e em outros, é melhor utilizar RBAC.

Escolha RBAC quando você:

  • Tenha uma organização de pequeno ou médio porte
  • Não espere um grande influxo de novos usuários
  • Tenha grupos bem definidos de usuários
  • Está com orçamento, recursos ou tempo limitados

Escolha ABAC quando você:

  • Tenha uma grande organização
  • Espere que sua base de usuários se expanda significativamente
  • Tenha orçamento e recursos suficientes
  • Quer uma política de controle de acesso altamente personalizável e flexível

Controle de Acesso via Netwrix Directory Manager

Netwrix Directory Manager é uma solução robusta de gerenciamento de identidade e acesso (IAM) que segue o modelo RBAC. Inclui os seguintes papéis predefinidos:

  • Administrador — Pode executar todas as funções do Netwrix Directory Manager em um repositório de identidades
  • Helpdesk — Pode atualizar informações do diretório, redefinir senhas de contas e desbloquear contas em nome de outros usuários
  • Usuário — Pode criar grupos, gerenciar seus próprios grupos e gerenciar seu perfil de diretório e senhas

Você pode criar funções adicionais e atribuir as permissões apropriadas a elas. Por exemplo, você pode criar funções para permitir que os membros da função possam:

  • Criar e gerenciar grupos
  • Gerencie perfis de usuário
  • Gerencie trabalhos agendados

Políticas em Netwrix Directory Manager

As políticas do Netwrix Directory Manager refinam e fortalecem o acesso baseado em funções. Para cada função, você pode definir as seguintes políticas:

  • Política de Enforcement de Propriedade de Grupo — Impede a criação de um grupo sem um proprietário principal e restringe o número de proprietários adicionais que um grupo pode ter
  • Política de Prefixos de Nome de Grupo —Exige o uso de um prefixo no nome do grupo durante a criação do grupo
  • Política de Novo Objeto — Limita a criação de novos objetos a uma unidade organizacional específica (OU) no diretório
  • Política de pesquisa — Limita a pesquisa de objetos a uma OU específica
  • Política de autenticação — Exige o uso de métodos específicos de autenticação (como SMS ou Windows Hello) para entrar no Netwrix Directory Manager
  • Política de senha — Especifica regras de senha e verificações de validação
  • Política de helpdesk — Implementa restrições aos técnicos de helpdesk quando eles redefinem senhas de usuários e desbloqueiam contas de usuários

Conclusão

O controle de acesso é essencial para proteger dados e sistemas de TI. Escolher entre controle de acesso baseado em função versus controle de acesso baseado em atributo requer uma avaliação cuidadosa da estrutura da sua organização, requisitos de segurança e conformidade, e projeções de crescimento.

Netwrix Directory Manager torna o gerenciamento de acesso mais fácil de compreender, implementar e supervisionar, fornecendo permissões e políticas de função adaptáveis adequadas para todas as organizações, independentemente do tamanho ou setor.

FAQ

Qual é a diferença entre RBAC e ABAC?

O RBAC atribui acesso com base nas funções de um usuário, como seu cargo e departamento. O ABAC permite um controle mais granular ao conceder acesso com base em atributos como o nível de senioridade do usuário, o nível de sensibilidade dos dados e a data ou hora da solicitação de acesso.

ABAC é melhor que RBAC?

Em um nível elevado, ABAC e RBAC têm o mesmo objetivo: ajudar a garantir que o acesso a dados e outros recursos de TI seja devidamente restringido. Qual é o melhor depende de fatores como o tamanho da organização, estrutura e requisitos de segurança e conformidade.

Em geral, ABAC é considerado mais flexível e granular, tornando-o adequado para grandes organizações com necessidades complexas de controle de acesso. RBAC, por outro lado, é mais simples e frequentemente preferido por organizações de pequeno e médio porte com grupos bem definidos e recursos limitados.

Qual é a diferença entre controle de acesso baseado em políticas (PBAC) e ABAC?

Os controles de PBAC gerenciam o acesso usando políticas baseadas em critérios como condições, regras ou papéis. ABAC concede acesso com base em atributos do usuário, recurso e ambiente.

Qual é a diferença entre o controle de acesso baseado em contexto (CBAC) e ABAC?

ABAC concede acesso com base em atributos do usuário, recurso e ambiente. CBAC considera o contexto mais amplo no qual o acesso está sendo solicitado, como o estado de uma sessão ou o nível de risco de uma transação.

Compartilhar em

Saiba Mais

Sobre o autor

Asset Not Found

Jonathan Blackwell

Chefe de Desenvolvimento de Software

Desde 2012, Jonathan Blackwell, um engenheiro e inovador, tem fornecido liderança em engenharia que colocou o Netwrix GroupID na vanguarda da gestão de grupos e usuários para ambientes Active Directory e Azure AD. Sua experiência em desenvolvimento, marketing e vendas permite que Jonathan compreenda totalmente o mercado de Identity Management e como os compradores pensam.

Saiba mais sobre este assunto

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

O que é Gerenciamento de Registros Eletrônicos?

Análise de Risco Quantitativa: Expectativa de Perda Anual

Últimos blogs

Os próximos cinco minutos de conformidade: construindo segurança de dados com foco em identidade em toda a APAC

Gerenciamento de configuração para controle seguro de endpoint

Classificação de dados e DLP: Previna a perda de dados, comprove a conformidade

Conformidade com CMMC e o papel crítico do controle de USB estilo MDM na proteção de CUI

DSPM, ASM e ITDR: Construindo uma Estratégia de Segurança Consciente da Exposição e Orientada por Dados

De ruído a ação: transformando risco de dados em resultados mensuráveis

IA no Trabalho: Velocidade, Risco e Por Que a Simplicidade Vence

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

Nossos principais artigos

Tipos Comuns de Dispositivos de Rede e Suas Funções

Como Executar um Script do PowerShell a partir do Agendador de Tarefas

Como instalar e usar o Active Directory Users and Computers (ADUC)?

Baixe e instale o PowerShell 7

Os Maiores e Mais Notórios Ataques Cibernéticos da História

Comandos Essenciais do PowerShell: Um Guia de Consulta Rápida para Iniciantes

Uma visão geral do ataque cibernético da MGM

Extração de Hashes de Senha do arquivo Ntds.dit

Guia para Montar Compartilhamentos Unix com um Cliente NFS do Windows

Como Portas Abertas Inseguras e Vulneráveis Representam Sérios Riscos de Segurança