# RBAC, ABAC e PBAC

## RBAC vs ABAC vs PBAC

### Modelos de Controle de Acesso para Ambientes Modernos

O controle de acesso é um dos pilares fundamentais da segurança da informação. Ele garante que usuários, sistemas e aplicações tenham acesso apenas aos recursos necessários, reduzindo riscos e aumentando a governança.

Os principais modelos utilizados atualmente são:

* RBAC (Role-Based Access Control)
* ABAC (Attribute-Based Access Control)
* PBAC (Policy-Based Access Control)

Cada modelo possui características específicas e atende diferentes níveis de maturidade e complexidade.

***

## RBAC (Role-Based Access Control)

O RBAC é o modelo mais tradicional e amplamente adotado pelas organizações.

### Como funciona

O acesso é concedido com base em funções (roles) atribuídas aos usuários. Cada função possui permissões previamente definidas.

Exemplos de funções:

* Administrador
* Desenvolvedor
* Financeiro
* Auditor

### Vantagens

* Simplicidade de implementação
* Facilidade de auditoria
* Boa escalabilidade em estruturas organizacionais estáveis

### Limitações

* Baixa granularidade
* Dificuldade em lidar com cenários dinâmicos
* Pode gerar excesso de funções (role explosion)

***

## ABAC (Attribute-Based Access Control)

O ABAC expande o modelo de controle ao considerar atributos e contexto na decisão de acesso.

### Como funciona

O acesso é baseado em múltiplos atributos, como:

* Usuário (cargo, departamento, nível)
* Recurso (tipo, classificação)
* Ambiente (localização, horário, dispositivo)

Exemplo:

Permitir acesso apenas se o usuário for do financeiro, estiver na rede corporativa e dentro do horário comercial.

### Vantagens

* Alta granularidade
* Flexibilidade para ambientes dinâmicos
* Decisões baseadas em contexto

### Limitações

* Maior complexidade de implementação
* Dependência de múltiplas fontes de dados
* Gestão de regras mais complexa em escala

***

## PBAC (Policy-Based Access Control)

O PBAC centraliza o controle de acesso por meio de políticas declarativas.

### Como funciona

As decisões de acesso são baseadas em políticas que avaliam atributos e contexto em tempo real.

As políticas definem o que deve ser permitido ou negado, enquanto um motor de autorização aplica essas regras dinamicamente.

### Vantagens

* Centralização da governança
* Alta flexibilidade
* Decisões dinâmicas em tempo real
* Forte aderência a compliance e auditoria

### Limitações

* Maior complexidade de implementação
* Requer maturidade em governança
* Necessita de gestão estruturada de políticas

***

## Diferenças entre ABAC e PBAC

Embora ambos utilizem atributos, existe uma diferença importante:

* ABAC define regras diretamente baseadas em atributos
* PBAC utiliza políticas centralizadas para avaliar esses atributos

Em resumo:

* ABAC distribui a lógica de decisão
* PBAC centraliza e padroniza a governança

***

## Tabela Comparativa

| Critério                | RBAC              | ABAC                | PBAC                            |
| ----------------------- | ----------------- | ------------------- | ------------------------------- |
| Base de decisão         | Funções (roles)   | Atributos           | Políticas                       |
| Granularidade           | Baixa             | Alta                | Muito alta                      |
| Flexibilidade           | Baixa             | Alta                | Muito alta                      |
| Complexidade            | Baixa             | Média/Alta          | Alta                            |
| Contexto dinâmico       | Limitado          | Sim                 | Sim                             |
| Governança              | Limitada          | Moderada            | Centralizada                    |
| Escalabilidade          | Boa (estruturada) | Alta                | Alta                            |
| Facilidade de auditoria | Alta              | Média               | Alta                            |
| Casos de uso ideais     | Ambientes simples | Ambientes dinâmicos | Ambientes complexos e regulados |
| Dependência de dados    | Baixa             | Alta                | Alta                            |

***

## Abordagem Moderna: Modelo Híbrido

Na prática, organizações modernas não utilizam apenas um modelo isolado.

A abordagem mais eficiente combina os três:

* RBAC para estrutura organizacional
* ABAC para contexto e granularidade
* PBAC para governança e padronização

Essa combinação permite maior controle, flexibilidade e aderência a requisitos regulatórios.

***

## Aplicação em PAM (FSafer)

No contexto de Privileged Access Management:

* RBAC define quem pode acessar recursos privilegiados
* ABAC controla em quais condições o acesso é permitido
* PBAC garante que tudo esteja alinhado com políticas corporativas

O FSafer integra esses três modelos para oferecer:

* Controle de acesso contextual
* Governança centralizada
* Auditoria completa
* Segurança alinhada a compliance