PDF de programación - Control de acceso basado en roles para aplicaciones .NET

Control de acceso basado en roles

para aplicaciones .NET

¿Es la mejor forma para la autentificación y los permisos?





1
2

4

5

2.1
2.2
2.3

3.1
3.2
3.3
3.4

4.1
4.2
4.3
4.4

3

OBJETIVO DE ESTE DOCUMENTO................................................................................................................ 3
CONCEPTOS PRINCIPALES........................................................................................................................... 3
AUTENTIFICACIÓN..................................................................................................................................... 3
AUTORIZACIÓN ........................................................................................................................................ 3
AUDITORÍA .............................................................................................................................................. 3
COMPONENTES CLAVES .............................................................................................................................. 4
UN REPOSITORIO ASEGURADO PARA ALMACENAR LOS DATOS DE RBAC............................................................. 4
UN COMPONENTE INTEGRADO EN LA APLICACIÓN .......................................................................................... 4
UNA CONSOLA DE ADMINISTRACIÓN............................................................................................................ 4
DOCUMENTACIÓN PARA LOS DESARROLLADORES Y LOS ADMINISTRADORES......................................................... 4
¿POR QUÉ LOS PERMISOS DEBEN SER INDEPENDIENTES DEL CÓDIGO?.................................................. 5
¿QUÉ SIGNIFICA ESTO?.............................................................................................................................. 5
PERMISOS Y APLICACIÓN: UN CICLO DE VIDA INCOMPATIBLE............................................................................. 5
INDEPENDENCIA DE LOS ADMINISTRADORES.................................................................................................... 5
LIBERA AL EQUIPO DE DESARROLLO............................................................................................................... 5
PREGUNTAS CLAVE AL DISEÑAR SU SISTEMA RBAC:................................................................................ 6
5.1
NECESITA USTED ... ¿ASEGURAR DIVERSAS APLICACIONES EN UN REPOSITORIO CENTRALIZADO? .............................. 6
5.2 …¿GESTIONAR ROLES COMPARTIDOS? ........................................................................................................ 6
5.3 …¿SOPORTAR EL SINGLE SIGN-ON (AUTENTIFICACIÓN ÚNICA)? ...................................................................... 6
5.4 …¿SOPORTAR DIVERSAS TECNOLOGÍAS (WINFORMS, WEBFORMS, WEBSERVICES)? ........................................... 6
5.5 …¿GENERAR REPORTES SOBRE LAS CUENTAS DE USUARIO Y SUS PERMISOS? ....................................................... 6
5.6 …¿CUMPLIR CON REQUERIMIENTOS DE AUDITORÍA (SOX…)? ......................................................................... 6
5.7 …¿SOPORTAR UN EQUIPO DE DESARROLLADORES GRANDE O INTERNACIONAL? .................................................. 6
5.8 …¿TIPO DE PERMISO: QUÉ TANTO NECESITA ASEGURAR LA APLICACIÓN?............................................................ 6
6 MANTENIMIENTO: LOS COSTOS SUBESTIMADOS...................................................................................... 7
APOYAR A LOS DESARROLLADORES Y A LOS ADMINISTRADORES........................................................................ 7
MANTENER LOS PERMISOS COHERENTES CON EL CÓDIGO ................................................................................ 7
DESPLEGAR NUEVAS VERSIONES DE LA APLICACIÓN......................................................................................... 7
REALIZAR EL CONTROL DE VERSIONES DE LOS DATOS DE SEGURIDAD................................................................... 7
DESARROLLO INTERNO, LA SOLUCIÓN CLÁSICA PARA LA SEGURIDAD DE UNA APLICACIÓN ........... 8
EL DESARROLLO Y EL MANTENIMIENTO DEPENDEN DE LOS RECURSOS INTERNOS .................................................... 8
CUENTAS DE USUARIO ESPECÍFICAS A LA APLICACIÓN ...................................................................................... 8
ACCESO Y PERMISO: BAJA GRANULARIDAD.................................................................................................... 8
CÓDIGO ESPECÍFICO EN LA APLICACIÓN ....................................................................................................... 8
UNA SOLUCIÓN SEPARADA PARA CADA APLICACIÓN: PROBLEMAS DE MANTENIMIENTO .......................................... 8
VISUAL GUARD, UNA SOLUCIÓN CORPORATIVA PARA LA SEGURIDAD DE SUS APLICACIONES....... 9
UNA SOLA SOLUCIÓN PARA ASEGURAR Y CENTRALIZAR TODAS SUS APLICACIONES .NET ........................................ 9
8.1
PERMISOS INDEPENDIENTES DEL CÓDIGO....................................................................................................... 9
8.2
8.3
HERRAMIENTAS DE ADMINISTRACIÓN DISEÑADAS PARA PERSONAS NO TÉCNICAS .................................................. 9
DESARROLLAR HERRAMIENTAS PARA GESTIONAR PERMISOS, VERSIONES Y DESPLIEGUES.......................................... 9
8.4
8.5
HERRAMIENTAS DE AUDITORÍA PARA GENERAR REPORTES DE LOS PERMISOS Y REVISAR LOS LOGS (REGISTROS) DE LAS
APLICACIONES ........................................................................................................................................................ 9
8.6
PRODUCTO ESTÁNDAR CON UN SOPORTE PROFESIONAL Y ACTUALIZACIONES FRECUENTES ..................................... 9

7.1
7.2
7.3
7.4
7.5

6.1
6.2
6.3
6.4

7

8



CONTROL DE ACCESO BASADO EN ROLES

¿Es la mejor forma para la autentificación y los permisos ?

- Página 2 -




1 Objetivo de este documento
El objetivo de este documento es proveer al lector una información útil sobre el diseño y la creación de
un sistema de Control de Acceso Basado en Roles (RBAC).
2 Conceptos principales
Un sistema RBAC proporciona tres tipos de características: autentificación, autorización y auditoría:
2.1 Autentificación
Confirma la identidad del usuario: la autentificación consiste en comprobar la identidad del usuario
que entra a su aplicación. Este proceso se lleva a cabo en dos pasos: primero, la identificación, donde
el usuario declara quién es. El segundo paso consiste en comprobar dicha identificación.
Generalemente, este proceso se realiza por medio de cuentas de usuario y contraseñas. Esta etapa es
el primer nivel de seguridad.
2.2 Autorización
Las autorizaciones definen lo que un usuario puede hacer en una aplicación: básicamente, usted define
lo que el usuario podrá ver, hacer y modificar en la aplicación.
Existen dos métodos para definir las autorizaciones:


* La forma más segura es prohibir todo desde un principio, para después otorgar los permisos
y abrir posibilidades. Sin embargo, utilizando este método, usted corre el riesgo de olvidar
definir algún permiso, imposibilitando así el trabajo de un usuario final u otorgando permisos a
usuarios no indicados.

* La forma más rápida es autorizar toda las acciones, para después asignar restricciones y así
prohibir algunas de ellas. Esta forma es más rapida que la anterior puesto que generalmente
existen menos restricciones que permisos.


La etapa de autorización es el segundo nivel de seguridad y es, en efecto, la parte más pesada del
diseño de un sistema RBAC, ya que usted tiene que codificar cada permiso/restricción.
2.3 Auditoría
Conserve un historial y un control de las transacciones sensibles en su aplicación: usted podría necesitar
esta información para cumplir ciertas reglas de gestión de su empresa, con requerimientos legales
como SOX o para cumplir con procesos de certificación tipo ISO.
La auditoría le permitirá saber quién hizo qué en su aplicación, cuándo lo hizo y quién concedió qué
permiso a quién.

CONTROL DE ACCESO BASADO EN ROLES

¿Es la mejor forma para la autentificación y los permisos ?

- Página 3 -




3 Componentes claves
El sistema RBAC para aplicaciones corporativas se compone de los siguientes elementos:
3.1 Un repositorio asegurado para almacenar los datos de RBAC
Usted necesita un lugar seguro donde almacenar los datos y las contraseñas de los usuarios, sus roles y
sus permisos.
3.2 Un componente integrado en la aplicación
Este componente se comunicará con el repositorio RBAC de modo que la aplicación se ajustará
a las autorizaciones de los usuarios.
3.3 Una consola de administración
Esta aplicación está diseñada para el personal no técnico con el objetivo de que éstos puedan
gestionar el uso de las cuentas de usuario y conceder permisos. Esta consola se compone de
una interfaz amigable que permite el manejo de esta información sin complicación alguna,
liberando así al grupo de desarrolladores de esta tarea.
3.4 Documentación para los desarrolladores y los administradores
En cualquier momento, usted puede necesitar documentación para todo el personal que
trabaje en el proceso de seguridad de sus aplicaciones. Por ejemplo una guía de integración,
un manual del usuario, una FAQ (Preguntas y Respuestas Frecuentes), etc.

CONTROL DE ACCESO BASADO EN ROLES

¿Es la mejor forma para la autentificación y los permisos ?

- Página 4 -




4 ¿Por qué los permisos deben ser independientes del código?
4.1 ¿Qué significa esto?
Para que los permisos sean independientes del código de la aplicación, éstos no deben ser definidos
dentro del mismo. Por lo tanto, usted necesitará insertar una llamada en el código de su aplicación