Wat is RBAC?
RBAC staat voor Role-Based Access Control. Het is een methode voor Toegangsbeheer waarbij gebruikers toegangsrechten krijgen op basis van hun rol binnen de organisatie.
In plaats van per persoon rechten toe te wijzen, beheer je toegang per functiegroep (bijv. operator, engineer, beheerder).
RBAC is een veelgebruikte standaard in zowel IT als OT en wordt aanbevolen door o.a. ISO 27001, IEC 62443 en NIS2.
π― Doel van RBAC
- Beperken van overmatige of onnodige toegangsrechten
- Vereenvoudigen van beheer van rechten (via rollen in plaats van individuen)
- Toegangsbeleid afstemmen op functies en verantwoordelijkheden
- Compliant zijn met securitynormen en audit-eisen
- Ondersteunen van βleast privilegeβ-principe
π§ Hoe werkt RBAC?
RBAC werkt in 3 lagen:
- Gebruikers β worden toegewezen aan een rol
- Rollen β vertegenwoordigen een functiegroep (bijv. Operator, Maintenance, Admin)
- Rechten/Permissions β worden toegekend aan de rol (bijv. alleen lezen, wijzigen, uitvoeren)
Een gebruiker krijgt dus toegang via de rol, niet rechtstreeks.
𧱠Voorbeeld: OT-omgeving
| Rol | Toegang tot systemen | Acties toegestaan |
|---|---|---|
| Operator | HMI, SCADA | Bekijken, knoppen bedienen |
| Maintenance | PLCβs, Historian, alarmsysteem | Lezen, resetten, diagnostiek |
| OT Engineer | SCADA, PLC, Historian, netwerkconfiguratie | Wijzigen, uploaden, instellen |
| Externe partij | Alleen via Jump server op vooraf afgesproken tijden | Alleen lezen of update uitvoeren met toezicht |
π§ RBAC vs. ABAC vs. DAC
| Model | Toegangsbeslissing gebaseerd op⦠| Gebruik |
|---|---|---|
| RBAC | Rol of functie van gebruiker | Standaard in bedrijven en OT-omgevingen |
| ABAC | Attributen (tijdstip, locatie, apparaat, rol) | Fijnmaziger, vaak in Cloud/toegangsportalen |
| DAC | Discretionair, bepaald door eigenaar | Meer flexibel maar minder controleerbaar |
β Voordelen van RBAC
- Makkelijk beheer van toegangsrechten per rol
- Snelle onboarding/offboarding van personeel
- Minder risico op te ruime toegang
- Eenvoudige integratie met Active Directory of IAM
- Traceerbaarheid en compliance voor audits
π RBAC implementeren
- Identificeer functies/rollen binnen de organisatie
- Bepaal per rol welke systemen en acties nodig zijn
- Koppel gebruikers aan rollen
- Automatiseer via IAM-systemen of directory services
- Monitor en herzie regelmatig (bijv. via Access Review)
π Samengevat
RBAC regelt toegang op basis van functie of rol, niet per individu β eenvoudig te beheren, schaalbaar en goed te auditen.