Wat is ABAC?
ABAC staat voor Attribute-Based Access Control en is een flexibel toegangscontrolesysteem waarbij rechten worden toegekend op basis van meerdere attributen. Dit kan gaan over de gebruiker, actie, bron en de context (tijd, locatie, apparaat).
In OT-netwerken maakt ABAC fijnmazige toegangscontrole mogelijk, bijvoorbeeld: “Alleen operators in ploeg A mogen toegang tot HMI’s tijdens de ochtenddienst.”
🧠 Hoe werkt ABAC?
- Elke toegangspoging wordt geëvalueerd op basis van meerdere attributen zoals:
- Gebruikerskenmerken: rol, afdeling, certificering
- Bronkenmerken: type apparaat, classificatie, zone
- Omgevingskenmerken: tijd, locatie, verbindingstype
- Het beleidsengine evalueert de regels (policies) en bepaalt of toegang wordt toegestaan of geweigerd
- ABAC werkt dynamisch: rechten veranderen automatisch als de attributen veranderen
- Vaak geïntegreerd in IAM-platforms, Entra ID, Zero Trust-architecturen of Industrial DMZ
In tegenstelling tot RBAC werkt ABAC contextbewust en niet uitsluitend op basis van rol.
🏭 Toepassing van ABAC in industriële netwerken
- Alleen gecertificeerde technici mogen wijzigingen aanbrengen op een PLC, en alleen binnen werktijden
- Alleen lokale onderhoudsmonteurs krijgen toegang tot het Engineering Station via bedrade verbinding
- Operators mogen alleen procesgegevens van hun eigen lijn bekijken
- Afhankelijk van de locatie (bijv. VLAN of Wi-Fi) worden andere rechten toegepast
- Remote Access wordt alleen toegestaan onder specifieke tijds- en gebruikersvoorwaarden
ABAC voorkomt overmatige rechten en ongewenste toegang, en maakt beleid automatiseerbaar.
🔍 ABAC vs. RBAC
| Aspect | ABAC | RBAC |
|---|---|---|
| Toegangsbeslissing | Op basis van attributen en context | Op basis van vooraf gedefinieerde rollen |
| Flexibiliteit | Hoog – dynamisch, fijnmazig | Beperkt tot rolstructuur |
| Beheercomplexiteit | Hoger – vereist beleidengine | Lager – eenvoudiger implementatie |
| Toepassing in OT | Modern, contextgevoelig | Klassiek, geschikt voor eenvoudige OT-structuren |
🔐 Beveiligingsaspecten
- Onderdeel van Zero Trust-architecturen
- Combineer met MFA, SIEM en Netwerksegmentatie
- Policies moeten beheerd worden in centrale IAM-oplossingen
- Gevoelig voor attributemanipulatie – zorg voor betrouwbare databronnen
- Implementeer logging, auditing en policyversiebeheer
Een sterk ABAC-beleid verhoogt niet alleen de veiligheid, maar ook de compliance en traceerbaarheid in OT-netwerken.
📌 Samengevat
ABAC biedt contextuele, flexibele en schaalbare toegangscontrole die inspeelt op dynamische OT-omgevingen. Door toegangsrechten te koppelen aan kenmerken en omstandigheden, biedt ABAC aanzienlijk meer grip dan traditionele methoden zoals RBAC.