Skip to content
M3-logo

RBAC vs ABAC

 

Cuando un usuario se autentica en una aplicación, ésta debe determinar que puede hacer y ver o como se le conoce en seguridad de la información, que está autorizado a hacer en el sistema, a este proceso se le conoce como autorización o control de acceso y hay dos métodos que principalmente se usan para gestionar el control de acceso, el primero se llama RBAC y el segundo ABAC. Hola soy Memo Rules y en este video comentaré características, diferencias y ventajas de los dos modelos más utilizados para controlar los accesos RBAC y ABAC.

¿Qué es RBAC?

RBAC o Control de Acceso Basado en Roles proporciona acceso basado en los roles de los usuarios, un role es un grupo de personas que comparten un departamento, función, obligaciones u ubicación en la organización. Cada rol define niveles de autoridad y permisos que los usuarios en el grupo están autorizados a ejecutar.

¿Qué es ABAC?

ABAC o Control de Acceso Basado en Atributos proporciona acceso basado en características, comúnmente llamadas atributos. Hay tres tipos principales de atributos, los atributos del usuario como su id, rol u organización, los atributos ambientales como tiempo y ubicación del acceso y los atributos de los recursos como dueño del recurso, nombre del archivo y sensibilidad de los datos.

¿Cuándo usar RBAC o ABAC?

Las reglas del modelo RBAC son fáciles y rápidas de configurar, pero no funcionan bien para organizaciones grandes porque entre más personas y recursos se agregan al modelo se crean más roles hasta que se vuelve inmanejable

Usar atributos en lugar de roles para controlar el acceso a las aplicaciones es un método de autorización más detallado que te permite establecer condiciones que no puedes gestionar sólo con roles. Pero su desventaja, es que puede ser muy complejo configurarlo de inicio y requiere una experiencia poco común.

AL final, no tienes que elegir uno u otro, los controles RBAC y ABAC pueden usarse en conjunto jerárquicamente, con el acceso base administrado con controles RBAC y el acceso más complejo gestionado por ABAC

Independientemente que uses uno o ambos, es muy importante que te apoyes en herramientas que cumplan las necesidades específicas de tu organización.

Busca herramientas que te ayuden a minimizar el esfuerzo y que realmente te faciliten el administrar, monitorear, hacer reportes y auditar los accesos a lo largo de tu organización.

Recuerda que tu organización está en constantes retos día con día, así que... ¡Haz de la seguridad la fortaleza de tu negocio!