PBAC vs ABAC: quali sono le differenze?

Con la rapida evoluzione della tecnologia, si assiste a una massiccia migrazione di industrie e grandi organizzazioni verso il cloud. Quasi tutte le risorse IT, i dati e le altre entità aziendali sono ora archiviate nel cloud. Questo nuovo sviluppo richiede misure di sicurezza più forti ed efficaci per prevenire qualsiasi forma di minaccia alla sicurezza del cloud.

PBAC vs ABAC

Il controllo degli accessi basato sui criteri (PBAC) e il controllo degli accessi basato sugli attributi (ABAC) sono dispositivi di controllo degli accessi che garantiscono la sicurezza all'interno delle organizzazioni. Ma che tipo di sicurezza offrono e su quali principi funzionano esattamente? In che modo questi sistemi sono diversi l'uno dall'altro?

Controllo dell'accesso basato sui criteri

Il controllo degli accessi basato sulle politiche, o PBAC, è una strategia di controllo degli accessi che integra il ruolo di un utente con le politiche definite dall'organizzazione per concedere l'accesso autorizzato al sistema. Queste politiche sono incentrate sui ruoli dell'utente e su alcune altre caratteristiche all'interno dell'organizzazione. In altre parole, il PBAC concede l'accesso a un sistema sicuro in base alle politiche stabilite dall'organizzazione. In una certa misura, si tiene conto del ruolo dell'utente, ma non in modo così approfondito come nel caso del RBAC (Role Based Access Control)¹.

Quali sono i componenti del PBAC?

Il PBAC, come qualsiasi altra misura di controllo degli accessi, agisce su questi tre elementi fondamentali: il soggetto, l'oggetto e la richiesta o l'azione di accesso. L'oggetto è l'utente che richiede l'accesso al file o al sistema protetto. È determinato da titolo, divisione, qualifiche, certificazioni o formazione. L'oggetto è la risorsa o l'entità a cui il soggetto vuole accedere. Può trattarsi di un progetto, di un file, di un documento o anche di denaro. La richiesta/azione è l'operazione che viene eseguita. Può essere un accesso, un acquisto o una sovvenzione. Per il PBAC, le politiche sono i principi che l'organizzazione ha stabilito ogni volta che è necessario accedere a un bene protetto.

Ad esempio, se la politica di un'azienda stabilisce che solo i capisquadra che ricoprono la loro posizione da cinque anni possono accedere a un file protetto, significa che il soggetto deve essere un caposquadra (titolo), l'oggetto è il file protetto e l'azione è l'accesso. Tutti e tre gli elementi sono verificati; tuttavia, se il caposquadra è in carica da soli tre anni, gli viene negato l'accesso al fascicolo a causa della politica adottata, anche se soddisfa i criteri degli elementi di base.

La politica stabilita dall'azienda o dall'organizzazione è quindi un fattore decisivo nell'attuazione di una strategia PBAC.

Controllo dell'accesso basato sugli attributi

Il controllo dell'accesso basato sugli attributi, o ABAC, è un'altra strategia di controllo dell'accesso che concede l'accesso in base agli attributi dell'utente. Questa strategia di controllo contiene tre elementi: soggetto, oggetto e azione. Anche l'ambiente fa parte dei suoi elementi e può includere la posizione, il dispositivo o il tempo.

PBAC vs ABAC

ABAC consente l'accesso in base agli attributi dell'utente. Invece di scorrere manualmente la relazione tra un soggetto e un oggetto, l'accesso è automatizzato. Quando gli attributi di un soggetto cambiano, cambia anche il suo accesso.

In un'azienda, tutti i membri del team possono accedere a un file protetto dalle 9.00 alle 17.00 di ogni giorno, ma solo il caposquadra può accedervi dopo le 17.00 e fino alle 21.00.

Quindi, nel primo caso, il soggetto sono i membri del team, l'oggetto è il file protetto, l'azione è l'accesso e il fattore ambientale è l'orario (9.00-17.00). Ciò significa che non è possibile accedere al file prima di aver completato i primi tre elementi. Quindi dovete essere un membro del team che richiede il permesso di accedere a un particolare file protetto, e tutto ciò che volete è l'accesso. L'accesso al file è consentito dalle 9.00 alle 17.00; al di fuori di questo orario non è consentita alcuna azione, a meno che il soggetto non sia un team leader.

Se uno dei membri del team diventa caposquadra, l'attributo viene modificato in modo che l'accesso cambi automaticamente. Il nuovo caposquadra può quindi accedere al file dopo le 17.00. Gli esperti di sicurezza non devono regolare manualmente le autorizzazioni dei nuovi membri. Tutto ciò che devono fare è cambiare l'attributo.

Efficacia e limiti dei sistemi PBAC e ABAC

Sia l'ABAC che il PBAC presentano vantaggi e svantaggi. Esamineremo ora l'efficacia di questi sistemi e i loro punti deboli.

L'ABAC è un sistema di successo per diversi aspetti

  • Automazione: con ABAC, non è necessario gestire manualmente il controllo degli accessi. Una volta istituito il sistema di controllo e definiti gli attributi di ciascun membro dell'organizzazione, il sistema ABAC diventa automatico. Così, invece di modificare manualmente l'accesso quando cambiano i ruoli, le regole o le politiche, l'accesso precedente viene revocato per il soggetto una volta modificati i suoi attributi. L'autorizzazione corrispondente viene concessa automaticamente.
  • Granularità: una volta configurato, ABAC non è complicato da controllare. Se si verificassero dei cambiamenti nel sistema, si tratterebbe di cambiamenti negli attributi del soggetto. Questo facilita la manutenzione del sistema, in quanto non è necessario creare e modificare continuamente i ruoli.
  • Caratteristiche di sicurezza/privacy: ABAC offre un elevato livello di sicurezza. Può essere utilizzato nelle grandi aziende e organizzazioni per proteggere i file e le risorse dell'azienda e dei clienti limitando e controllando l'accesso.

ABAC, un modello complesso con visibilità limitata

  • Complessità: la strategia ABAC non è molto complessa una volta completata la configurazione. Tuttavia, l'implementazione di questa configurazione è particolarmente difficile. Ci vogliono tempo, sforzi ed energie per raccogliere gli attributi di ogni persona e strutturarli in base agli altri elementi che si adattano alla sua descrizione. L'obiettivo è raggiungere un elevato livello di precisione ed evitare errori.
  • Mancanza di trasparenza e visibilità: l'ABAC non ha lo stesso livello di trasparenza e visibilità di altre misure di controllo degli accessi. È relativamente difficile identificare tutte le risorse a cui un utente può accedere. A differenza di RBAC, che utilizza i ruoli, e di PBAC, che utilizza le politiche, ABAC richiede una verifica approfondita per sapere quale soggetto può accedere a quale risorsa.

PBAC, un modello flessibile ad alta adattabilità

  • Flessibilità: il PBAC è flessibile e può essere utilizzato su qualsiasi tecnologia, dispositivo o applicazione. Tutto ciò che dovete controllare è la politica, che si rifletterà in tutti gli aspetti del sistema sicuro e si applicherà a tutti gli utenti che desiderano accedervi.
  • Scalabilità: questo sistema è abbastanza flessibile e facile da usare. È sufficiente scrivere un criterio una sola volta e questo avrà effetto su tutte le impostazioni ogni volta che un utente effettua una richiesta di accesso. Il controllo non dipende più esclusivamente dal team IT; il set di criteri può essere facilmente implementato dagli utenti con accesso autorizzato. Si applica al progetto in corso e a quelli futuri, fino a quando non ci sarà un cambiamento nella politica dell'organizzazione.

Problemi di compatibilità del sistema PBAC

Per quanto possa sembrare entusiasmante e facile da implementare, il PBAC non è necessariamente compatibile con tutte le organizzazioni. Non tutte le organizzazioni sono in grado di stabilire politiche che influenzino l'accesso alle risorse sensibili senza compromettere la sicurezza. Non tutte le organizzazioni lo troveranno adatto.

PBAC vs ABAC: quale soluzione scegliere per la propria organizzazione?

In termini di sicurezza, entrambe le soluzioni sono all'altezza del compito e sono piuttosto efficaci nel tenere a bada le minacce informatiche. Il sistema ABAC, tuttavia, raggiunge un livello di sicurezza superiore rispetto ad altri modelli di controllo degli accessi. È anche relativamente sofisticato e viene utilizzato nelle grandi organizzazioni a causa della sua complessità e dei costi di implementazione.

PBAC e ABAC possono essere integrati o addirittura sostituiti da un approccio basato sulle persone. La nuova versione della soluzione inWebo IAM offre questa evoluzione.

Che cos'è il PBAC?

Il controllo degli accessi basato sulle politiche (PBAC) è una strategia di controllo degli accessi che integra il ruolo di un utente con le politiche di un'organizzazione per concedere l'accesso autorizzato a un sistema. Il PBAC, come qualsiasi altra misura di controllo degli accessi, opera su questi tre elementi fondamentali: il soggetto, l'oggetto e la richiesta o l'azione di accesso.

Che cos'è l'ABAC?

Il controllo dell'accesso basato sugli attributi (ABAC) è una strategia di controllo dell'accesso che contiene 3 elementi: soggetto, oggetto e azione. Quest'ultimo concede l'accesso in base agli attributi dell'utente. Invece di scorrere manualmente la relazione tra un soggetto e un oggetto, l'accesso è automatizzato. Quando gli attributi di un soggetto cambiano, cambia anche il suo accesso.

Perché implementare una strategia di controllo degli accessi?

Nel mondo digitale in rapida espansione, le grandi organizzazioni e le aziende si affidano sempre più al cloud per archiviare le proprie risorse, i propri dati e altre entità IT. Una strategia di controllo degli accessi efficace e appropriata è quindi essenziale per prevenire qualsiasi forma di minaccia alla sicurezza del cloud.

Autenticazione forte MFA senza compromessi

Contattaci per una demo o per richiedere il tuo account di prova

Livello di sicurezza molto alto

inWebo MFA possiede la tecnologia unica e brevettata delle dynamic random key che permette di offrire il più alto livello di sicurezza sul mercato. La soluzione è anche certificata dall'ANSSI.

Integrazione e deployment facili

Accessibile come SaaS, ricca di connettori, API e SDK, inWebo MFA si adatta ai tuoi vincoli tecnici, senza imporne di nuovi. Distribuisci una soluzione MFA rapidamente e su larga scala, senza contatto umano e senza logistica.

Esperienza utente passwordless e deviceless

inWebo permette di offrire una user experience semplificata, estesa a tutte le dimensioni di autenticazione, dalla registrazione al login, grazie ai suoi token universali (mobile, computer, tablet), passwordless e deviceless.

Ricevi tutte le notizie sull’autenticazione a due o più fattori

Le nostre ultime notizie

Richiedi una demo