Magic Quadrant™ para la gestión de acceso privilegiado 2025: Netwrix reconocida por cuarto año consecutivo. Descarga el informe.

ContáctenosSoporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluciones

Data Security Posture Management

Descubra y clasifique datos en entornos híbridos. Evalúe, priorice y mitigue los riesgos para los datos sensibles.

Directory Management

Simplifique y asegure la administración del directorio reduciendo la complejidad, el riesgo y el esfuerzo manual.

Endpoint Management

Asegure los endpoints y prevenga la pérdida de datos mientras mantiene a los equipos productivos, sin importar dónde trabajen.

Identity Management

Asegure cada identidad, agilice cada proceso y manténgase a la vanguardia del cumplimiento, sin añadir complejidad.

Identity Threat Detection & Response

Manténgase a la vanguardia de las amenazas basadas en identidades: remedie proactivamente los riesgos, bloquee ataques y asegure una recuperación rápida.

Privileged Access Management

Reduzca su superficie de ataque eliminando privilegios permanentes, asegurando credenciales y monitoreando sesiones privilegiadas.
Productos destacados Ver todos los productos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plataforma Netwrix 1Secure™

Explorar
Netwrix AI Entornos que protegemos Integraciones MSPs Riesgos de seguridad de Active Directory Cumplimiento Precios
Centro de Recursos Ver todo
BlogAttack CatalogCumplimientoHistorias de clientesMarcos de CiberseguridadGlosario de CiberseguridadEventosFreewareGuíasIdeas PortalNoticiasPodcastsPublicacionesAnuncios de ProductosInvestigaciónWebinars
Asset not found

Historia Destacada de un Cliente

DXC Technology permite a los clientes lograr el cumplimiento de PCI DSS y centrarse en iniciativas estratégicas
Socios
Programa de SociosConviértete en un SocioMSPsBuscador de sociosWebinars
Asset not found

Historia Destacada de Cliente

AppRiver mejora el control sobre Active Directory al tiempo que reduce significativamente el tiempo de auditoría
Asset not found

Historia Destacada de un Cliente

MSP ayuda a cliente a recuperarse de un ransomware en 6 horas
¿Por qué Netwrix?
Acerca de nosotrosLiderazgoNetwrix AIHistorias de clientesReconocimientoNoticiasCarreras
Asset not found

Historia Destacada de un Cliente

Horizon Leisure Centres acelera la clasificación de datos para cumplir con el RGPD y ahorra £80,000 al año
Asset not found

Historia Destacada de un Cliente

Samsung R&D Institute protege los datos con uso multiplataforma y despliegue rápido en macOS utilizando Netwrix Endpoint Protector
Centro de recursosBlog
RBAC frente a ABAC: ¿Cuál elegir?

RBAC frente a ABAC: ¿Cuál elegir?

Feb 19, 2024

Controlar el acceso a los datos, aplicaciones y otros recursos de TI de una organización es una tarea vital y compleja. Es esencial garantizar que cada usuario pueda acceder a los recursos que necesita para realizar su trabajo, pero que nadie pueda acceder a ningún dato o sistema para el cual no tenga una necesidad legítima.

Este artículo explora dos modelos populares para el control de acceso, el control de acceso basado en roles (RBAC) y el control de acceso basado en atributos (ABAC) y ofrece orientación para elegir la opción más adecuada para su organización.

Contenido relacionado seleccionado:

¿Qué es el Control de Acceso Basado en Roles?

En el modelo RBAC, a los empleados y otros usuarios se les otorgan derechos de acceso basados en el rol o roles que desempeñan en la organización. Es decir, los administradores definen un conjunto de roles, otorgan los permisos de acceso apropiados a cada uno de esos roles y luego asignan a cada usuario uno o más roles — los roles que se asignan a una persona determinan sus derechos de acceso a los recursos de TI.

Ejemplos de RBAC

Aquí hay algunos ejemplos de roles y algunos de los derechos de acceso que podrían otorgárseles:

  • Director de Tecnología — Acceda a todos los servidores de la empresa
  • Ingeniero de software — Acceder a servidores de aplicaciones específicos
  • Técnico de helpdesk — Restablecer contraseñas de usuario y desbloquear cuentas de usuario

Beneficios de RBAC

La implementación de RBAC simplifica la gestión de acceso. Cuando un nuevo empleado se une a la organización, los administradores no tienen que otorgarle un sinfín de permisos uno por uno; simplemente pueden asignar al nuevo empleado los roles relevantes y este inmediatamente tiene todos los derechos de acceso relacionados. De manera similar, cuando un empleado cambia de equipo o departamento, otorgarle los nuevos derechos de acceso apropiados (y, lo que es importante, eliminar los que ya no necesita) es tan sencillo como cambiar sus asignaciones de rol.

Muchos sistemas empresariales ofrecen control de acceso basado en roles. Aquí hay una visión general de cómo Microsoft Entra (anteriormente Azure), Active Directory y SharePoint utilizan RBAC.

RBAC en Microsoft Entra

El control de acceso basado en roles en Microsoft Entra ayuda a los administradores a gestionar el acceso a recursos en la nube. Por ejemplo, puedes usar RBAC para:

  • Permita que un conjunto de usuarios gestione redes virtuales y otro grupo gestione máquinas virtuales.
  • Empodere a los administradores de bases de datos para gestionar bases de datos SQL.
  • Permita a un grupo designado de usuarios gestionar ciertos sitios web.
  • Permita que una aplicación acceda a todos los recursos de un grupo de recursos.

RBAC en Active Directory

En Active Directory, los grupos de seguridad funcionan como roles. Cada grupo tiene acceso concedido a ciertos recursos, y todos los miembros del grupo heredan esos derechos. AD incluye un conjunto de grupos de seguridad predeterminados y los administradores pueden crear grupos adicionales.

Aquí hay algunos de los grupos de seguridad integrados y sus permisos:

  • Operadores de copia de seguridad  Los miembros pueden restaurar y reemplazar archivos en una computadora independientemente de los permisos necesarios para acceder a esos archivos.
  • Usuarios de Escritorio Remoto  Los miembros pueden conectarse a un servidor de Host de Sesión de RD de forma remota.
  • Domain Admins  Los miembros tienen amplios derechos en un dominio AD específico. Por ejemplo, pueden actualizar la membresía de todos los grupos y controlar el acceso a los controladores de dominio.
  • Administradores de la empresa  Los miembros pueden realizar cambios en todo el bosque, como agregar dominios secundarios.
  • Schema Admins  Los Schema Admins pueden modificar el esquema de Active Directory.

Contenido relacionado seleccionado:

RBAC en SharePoint

SharePoint también tiene roles predefinidos con permisos que los miembros heredan. Estos roles incluyen:

  • Usuarios finales: Los miembros pueden trabajar con contenido en elementos de listas y bibliotecas de documentos, pero no pueden configurar ni administrar sitios.
  • Usuarios Avanzados: Los miembros pueden interactuar con ciertos componentes del sitio, como listas, páginas web, bibliotecas, etc.
  • Propietarios del sitio: Los miembros tienen control sobre todo el sitio de SharePoint, incluida la creación de sub-sitios, diseño y gestión de permisos.
  • Site Collection Admins: Los miembros tienen control sobre los sitios en una colección de sitios.
  • SharePoint Farm Admins: Estos administradores de nivel superior tienen control total sobre la granja de SharePoint, como mantenimiento, almacenamiento, aplicaciones web y colecciones de sitios.

RBAC en Exchange

Microsoft Exchange también sigue un modelo RBAC. Algunos de los roles de gestión integrados son los siguientes:

  • Gestión de destinatarios — Los miembros pueden crear o actualizar destinatarios del Exchange Server dentro de la organización de Exchange Server.
  • Helpdesk — Los miembros pueden ver y actualizar atributos de usuario como direcciones, números de teléfono y nombres para mostrar.
  • Gestión de servidores — Los miembros pueden configurar características específicas del servidor, como certificados, protocolos de acceso de clientes y directorios virtuales.
  • Gestión de la organización — Los miembros tienen acceso de nivel superior al servidor Exchange de la organización, lo que significa que pueden realizar casi todas las tareas para un objeto de Exchange.
  • Gestión de Higiene — Los miembros pueden configurar características anti-spam y anti-malware en Exchange.

¿Qué es el Control de Acceso Basado en Atributos?

ABAC otorga privilegios de acceso de acuerdo con los atributos de un usuario, ya sea en lugar de o además de sus roles. Ejemplos de atributos incluyen:

  • Atributos del usuario: Título del puesto, nivel de antigüedad, departamento, rol laboral
  • Atributos del recurso: Tipo de archivo, propietario del archivo, nivel de sensibilidad del archivo
  • Entorno: Red, geolocalización, fecha, hora del día

Así es como funciona:

  • Los administradores definen políticas que especifican qué combinación de atributos se requiere para realizar una acción en un recurso.
  • Cuando un usuario solicita acceso a un recurso, ABAC verifica los atributos de ese usuario. Si cumplen con las políticas definidas, se concede el acceso; de lo contrario, la solicitud es denegada.

Ejemplos de ABAC

Aquí hay dos ejemplos de políticas ABAC:

  • Para acceder a la información de nóminas, el usuario debe ser miembro del departamento de RRHH. Además, la solicitud de acceso debe ser durante el horario laboral normal, y el usuario solo puede acceder a datos de su propia sucursal de la empresa.
  • Para acceder a los prospectos de venta y datos sensibles relacionados, el usuario debe ser un representante de ventas y estar en la región de Estados Unidos.

Beneficios de ABAC

El uso de atributos en lugar de roles permite un enfoque más granular del control de acceso. Sin embargo, ABAC puede ser más complicado que RBAC.

ABAC en Microsoft Entra

Como hemos visto, Microsoft Entra permite la asignación de permisos basados en roles. Pero también permite a los administradores añadir condiciones para ciertas acciones, lo que ilustra cómo ABAC puede considerarse una extensión de RBAC. Por ejemplo, puedes añadir una condición de que para que un usuario pueda leer un objeto determinado, el usuario debe tener un rol dado y el objeto debe tener una etiqueta de metadatos específica.

Control de Acceso Basado en Atributos vs Control de Acceso Basado en Roles: Una Comparación

Las tablas a continuación muestran los pros y los contras tanto del control de acceso basado en roles (RBAC) como del control de acceso basado en atributos (ABAC):

Ventajas del RBAC

Contras de RBAC

RBAC funciona bien para organizaciones pequeñas y medianas.

Las grandes organizaciones pueden requerir tantos roles que gestionarlos se vuelve engorroso.

Puede modelar fácilmente la jerarquía organizacional. Por ejemplo, puede otorgar automáticamente a los gerentes todos los permisos de sus informes directos.

Definir los derechos de un gran número de roles puede ser un proceso largo y complicado.

Los costos necesarios para implementar RBAC son relativamente bajos.

Asegurar que cada usuario tenga todos los derechos que necesita puede requerir la creación frecuente de nuevos roles.

Ventajas del ABAC

Contras de ABAC

ABAC puede funcionar mejor para organizaciones grandes.

La implementación de RBAC puede ser compleja y llevar mucho tiempo.

Para agregar o quitar permisos, los administradores pueden simplemente actualizar los atributos de un usuario, lo cual es mucho más fácil que definir nuevos roles.

Recuperarse de los errores durante la implementación puede ser difícil debido a la complejidad del ABAC.

RBAC vs ABAC: ¿Cuál elegir?

Elegir RBAC y ABAC requiere comprender la estructura, el presupuesto, el tamaño y los requisitos de seguridad de su organización. En algunos escenarios, ABAC resulta ser el ganador y en otros, es mejor utilizar RBAC.

Elija RBAC cuando:

  • Tenga una organización pequeña o mediana
  • No esperes una gran afluencia de nuevos usuarios
  • Tenga grupos de usuarios bien definidos
  • ¿Tiene un presupuesto, recursos o tiempo limitados?

Elija ABAC cuando:

  • Tenga una gran organización
  • Espere que su base de usuarios se expanda significativamente
  • Tener suficiente presupuesto y recursos
  • ¿Desea una política de control de acceso altamente personalizable y flexible?

Control de acceso a través de Netwrix Directory Manager

Netwrix Directory Manager es una solución robusta de gestión de identidad y acceso (IAM) que sigue el modelo RBAC. Incluye los siguientes roles predefinidos:

  • Administrador — Puede realizar todas las funciones de Netwrix Directory Manager en un almacén de identidades
  • Helpdesk — Puede actualizar la información del directorio, restablecer contraseñas de cuentas y desbloquear cuentas en nombre de otros usuarios
  • Usuario — Puede crear grupos, gestionar sus grupos y administrar su propio perfil de directorio y contraseñas

Puede crear roles adicionales y asignarles los permisos apropiados. Por ejemplo, puede crear roles para permitir a los miembros del rol:

  • Crear y gestionar grupos
  • Gestione perfiles de usuario
  • Administrar trabajos programados

Políticas en Netwrix Directory Manager

Las políticas de Netwrix Directory Manager refinan y fortalecen el acceso basado en roles. Para cada rol, puede definir las siguientes políticas:

  • Política de Cumplimiento de Propiedad de Grupo — Evita la creación de un grupo sin un propietario principal y restringe la cantidad de propietarios adicionales que puede tener un grupo
  • Política de prefijos de nombre de grupo —Requiere el uso de un prefijo en el nombre del grupo durante la creación del grupo
  • Política de nuevo objeto — Limita la creación de nuevos objetos a una unidad organizativa (OU) específica en el directorio
  • Política de búsqueda — Limita la búsqueda de objetos a una OU específica
  • Política de autenticación — Requiere el uso de métodos de autenticación específicos (como SMS o Windows Hello) para iniciar sesión en Netwrix Directory Manager
  • Política de contraseñas — Especifica las reglas de contraseñas y las verificaciones de validación
  • Política de servicio de asistencia — Implementa restricciones para los técnicos de servicio de asistencia cuando restablecen contraseñas de usuario y desbloquean cuentas de usuario

Conclusión

El control de acceso es esencial para proteger los datos y los sistemas de TI. Elegir el control de acceso basado en roles frente al control de acceso basado en atributos requiere una evaluación cuidadosa de la estructura de su organización, los requisitos de seguridad y cumplimiento, y las proyecciones de crecimiento.

Netwrix Directory Manager facilita la comprensión, implementación y supervisión de la gestión de accesos al proporcionar permisos y políticas de roles adaptables adecuados para todas las organizaciones, independientemente de su tamaño o sector.

FAQ

¿Cuál es la diferencia entre RBAC y ABAC?

RBAC asigna acceso basado en los roles de un usuario, como su trabajo y departamento. ABAC permite un control más granular otorgando acceso basado en atributos como el nivel de antigüedad del usuario, el nivel de sensibilidad de los datos y la fecha u hora de la solicitud de acceso.

¿Es ABAC mejor que RBAC?

A un nivel alto, ABAC y RBAC persiguen el mismo objetivo: ayudar a asegurar que el acceso a los datos y otros recursos de TI esté debidamente restringido. Cuál es mejor depende de factores como el tamaño de la organización, su estructura y los requisitos de seguridad y cumplimiento.

En general, ABAC se considera más flexible y granular, lo que lo hace adecuado para grandes organizaciones con necesidades complejas de control de acceso. Por otro lado, RBAC es más simple y a menudo es preferido por organizaciones pequeñas y medianas con grupos bien definidos y recursos limitados.

¿Cuál es la diferencia entre el control de acceso basado en políticas (PBAC) y ABAC?

PBAC controla el acceso utilizando políticas basadas en criterios como condiciones, reglas o roles. ABAC otorga acceso basado en atributos del usuario, del recurso y del entorno.

¿Cuál es la diferencia entre el control de acceso basado en el contexto (CBAC) y ABAC?

ABAC otorga acceso basado en atributos del usuario, recurso y ambiente. CBAC considera el contexto más amplio en el que se solicita el acceso, como el estado de una sesión o el nivel de riesgo de una transacción.

Compartir en

Aprende más

Acerca del autor

Asset Not Found

Jonathan Blackwell

Jefe de Desarrollo de Software

Desde 2012, Jonathan Blackwell, un ingeniero e innovador, ha proporcionado liderazgo en ingeniería que ha colocado a Netwrix GroupID a la vanguardia de la gestión de grupos y usuarios para entornos de Active Directory y Azure AD. Su experiencia en desarrollo, marketing y ventas permite a Jonathan comprender completamente el mercado de Identity Management y la forma de pensar de los compradores.

Aprende más sobre este tema

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

¿Qué es la gestión de registros electrónicos?

Análisis Cuantitativo de Riesgo: Expectativa de Pérdida Anual

Últimos blogs

Los próximos cinco minutos de cumplimiento: construyendo seguridad de datos basada en la identidad a través de APAC

Gestión de configuración para el control seguro de Endpoint

Clasificación de datos y DLP: Prevenga la pérdida de datos, demuestre el cumplimiento

Cumplimiento de CMMC y el papel crítico del control de USB estilo MDM en la protección de CUI

DSPM, ASM y ITDR: Construyendo una estrategia de seguridad consciente de la exposición y basada en datos

De ruido a acción: convirtiendo el riesgo de datos en resultados medibles

IA en el trabajo: Velocidad, riesgo y por qué la simplicidad triunfa

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

Nuestros artículos más destacados

Tipos comunes de dispositivos de red y sus funciones

Cómo ejecutar un script de PowerShell desde el Programador de tareas

Cómo instalar y usar Active Directory Users and Computers (ADUC)?

Descargue e instale PowerShell 7

Los ataques cibernéticos más grandes y notorios de la historia

Comandos esenciales de PowerShell: Una guía rápida para principiantes

Una visión general del ciberataque MGM

Extracción de hashes de contraseñas del archivo Ntds.dit

Guía para montar comparticiones Unix con un cliente NFS de Windows

Cómo los puertos abiertos inseguros y vulnerables representan serios riesgos de seguridad