Onderzoekers van Nedap Security Management wierpen een nieuwe blik op role-based access control om identiteits- en autorisatiebeheer gemakkelijker te maken en uiteindelijk de schaalbaarheid van organisaties te vergroten. De studie van de onderzoekers, ‘Sorting out role based access control’ (Role-based access control opnieuw geordend), werd beloond met de Best Paper Award tijdens SACMAT (Symposium on Access Control Models and Technologies) 2014 van ACM, het belangrijkste forum voor onderzoekers op zoek naar geavanceerde access control-methoden.
Identiteits- en autorisatiebeheer zou voor elke organisatie, ongeacht de omvang, gemakkelijk moeten zijn. Dat zorgt voor een betere naleving van beveiligingsbeleid, meer veiligheid, minder menselijke fouten en efficiënter tijdsgebruik. We hebben echter gezien dat als organisaties en bedrijven groeien, het identiteits- en autorisatiebeheer vaak erg ingewikkeld en tijdrovend wordt. Bijvoorbeeld doordat er meer gebieden, personen en planningen bij worden betrokken en er daardoor meer machtigingen en toegangsregels nodig zijn.
Wouter Kuijper en Victor Ermolaev, onderzoekers van Nedap Security Management, hebben zich in dit probleem verdiept en kwamen met een oplossing die niet alleen complexiteit beter beheersbaar maakt, maar die ook de schaalbaarheid van organisaties verbetert. Ze begonnen met het identificeren van een fragment van het populaire kader voor het vormgeven van access control-regels, role-based access control (RBAC). Hierdoor konden ze een belangrijke conceptstap zetten voor het ontwikkelen van een nieuwe vorm van RBAC, die bijzonder geschikt is voor fysieke toegangscontrole. Ze introduceerden polarised, bisorted role-based access control, dat machtigingen via demarcaties anders behandelt dan betrokkenen via eigendomsrollen.
Bovendien maakt het een veilige en begrijpelijke combinatie van positieve specificatiestijlen (oftewel aangeven wie wel toegang heeft) en negatieve (aangeven wie dat niet heeft) mogelijk. Bij ’traditionele’ role-based access control wordt geen onderscheid gemaakt tussen eigendomsrollen en demarcaties, en kunnen geen negatieve specificatiestijlen worden gebruikt. De onderzoekers stelden vervolgens nog een derde dimensie voor waarin de twee beheersperspectieven worden verbonden, dit is het eigenlijke toegangsbeheer, echter nu op een hoger abstractieniveau gebracht dat veel beter aansluit op de verantwoordelijkheden van beveiligingsmedewerkers in grote organisaties.
Het loskoppelen van de twee beheerperspectieven biedt mensen die aan fysieke beveiliging werken allerlei voordelen en maakt de organisatie uiteindelijk schaalbaarder. Het onderzoek werd gepresenteerd op het SACMAT (Symposium on Access Control Models and Technologies) 2014 van ACM in London, Ontario (Canada) en won daar de Best Paper Award. Het SACMAT-symposium wordt georganiseerd door de ACM Special Interest Group in Security Audit and Control (SIGSAC). Het is het belangrijkste forum voor onderzoekers die zich bezig houden met geavanceerde access control-methoden
