TTechnologie

CONTRÔLE D'ACCÈS OBLIGATOIRE MAC : Comment ça marche

Contrôle d'accès obligatoire
Table des matières Cacher
  1. Qu'est-ce que le contrôle d'accès ?
  2. Qu'est-ce que le contrôle d'accès obligatoire MAC ?
  3. Quels sont les concepts fondamentaux du MAC de contrôle d'accès obligatoire ?
  4. Avantages et inconvénients de MAC
    1. Avantages
    2. Inconvénients
  5. Quand devez-vous utiliser un MAC de contrôle d'accès obligatoire ?
  6. Autres méthodes de contrôle d'accès
    1. #1. Contrôle d'accès basé sur des règles
    2. #2. Contrôle d'accès basé sur les rôles
    3. #3. Contrôle d'accès basé sur les attributs
    4. #4. Contrôle d'accès discrétionnaire
  7. Quelle est la différence entre le contrôle d'accès obligatoire et discrétionnaire ?
  8. Conclusion
  9. FAQ sur le contrôle d'accès obligatoire
  10. Quelle est la différence entre MAC et DAC ?
  11. Windows utilise-t-il MAC ou DAC ?
  12. Qu'est-ce qu'un modèle DAC ?
    1. Articles Relatifs
    2. Bibliographie

Le contrôle d'accès est une mesure de sécurité qui peut être utilisée pour empêcher l'accès non autorisé aux données sensibles. Mais comment le contrôle d'accès obligatoire (MAC) contribue-t-il à la sécurité ? Continuez à lire pour le découvrir.

Qu'est-ce que le contrôle d'accès ?

Les utilisateurs entrent fréquemment en contact avec des ressources et des actifs auxquels ils devraient ou non avoir accès lorsqu'ils explorent les réseaux physiques et numériques. Cela est particulièrement vrai dans les systèmes numériques, où la migration latérale vers des emplacements de stockage, d'application ou de traitement distincts peut exposer l'ensemble de l'infrastructure à des menaces de sécurité dangereuses.

Pour séparer les actifs et les ressources, les responsables de la sécurité utilisent des « contrôles d'accès », qui définissent qui a accès à certaines ressources.

Une fois qu'un utilisateur a été authentifié et autorisé à entrer dans un système à l'aide d'un compte ou d'une identité d'utilisateur, un système de contrôle d'accès établit des restrictions qui régissent qui, quand, où et, dans certains cas, comment cet utilisateur peut parcourir le système.

Bien qu'à première vue, cette notion semble simple, il existe différents schémas de contrôle d'accès qui aident à sécuriser les ressources contre les accès non autorisés, mais nous nous concentrerons ici sur un seul : le contrôle d'accès obligatoire.

Qu'est-ce que le contrôle d'accès obligatoire MAC ?

Le contrôle d'accès obligatoire (MAC) est un modèle de contrôle d'accès dans lequel le système d'exploitation accorde l'accès aux utilisateurs en fonction de la confidentialité des données et des niveaux d'autorisation des utilisateurs. L'accès est accordé sur la base du besoin de savoir dans ce modèle : les utilisateurs doivent démontrer un besoin d'informations avant de recevoir l'accès.

Contrôle d'accès obligatoire Le MAC est également appelé modèle de contrôle non discrétionnaire, ce qui signifie que le contrôle n'est pas accordé à la discrétion de l'utilisateur ou du propriétaire du fichier. Les mécanismes de contrôle de MAC adhèrent aux principes de confiance zéro.

MAC est considéré comme le modèle de contrôle d'accès le plus sécurisé. Dans ce modèle, les règles d'accès sont spécifiées manuellement par les administrateurs système et rigoureusement appliquées par le système d'exploitation ou le noyau de sécurité. Même pour les données, ils ont développé, les utilisateurs réguliers ne peuvent pas modifier les propriétés de sécurité.

Quels sont les concepts fondamentaux du MAC de contrôle d'accès obligatoire ?

  1. La vie privée et la confidentialité des ressources de l'organisation sont de la plus haute importance. Personne ne dispose de privilèges d'accès ou de modification par défaut sur les données de quelqu'un d'autre.
  2. Le provisionnement des accès est géré de manière centralisée.
  3. Des étiquettes de sécurité avec classification et catégorie sont attribuées à chaque personne et ressource du système.

La procédure d'acquisition d'accès avec MAC est la suivante :

  1. L'administrateur configure les restrictions d'accès et établit les paramètres de sécurité tels que les niveaux de confidentialité et les autorisations pour différents projets et types de ressources.
  2. Chaque sujet (utilisateur ou ressource qui accède aux données) et objet (fichier, base de données, port, etc.) se voit attribuer un ensemble d'attributs par l'administrateur.
  3. Lorsqu'un sujet tente d'accéder à un objet, le système d'exploitation évalue les attributs de sécurité du sujet et détermine si l'accès est autorisé ou non.
  4. L'utilisateur entre ses informations d'identification pour accéder à l'élément.

Les systèmes d'exploitation prêtent attention aux correspondances de catégorie entre le sujet et l'objet en plus d'évaluer les niveaux de confidentialité et d'autorisation (correspondances de classification entre le sujet et l'objet). Si un utilisateur n'est pas membre de la catégorie requise pour l'objet, le fait d'avoir une classification "top secret" ne lui accorde pas automatiquement un accès complet à un fichier.

Considérez les données avec le niveau de confidentialité "top secret" et la classification de sécurité "projet d'ingénierie". Il n'est accessible qu'aux utilisateurs qui disposent à la fois d'une autorisation "top secret" (classification) et d'une autorisation d'accès aux documents d'ingénierie (catégorie). Ces utilisateurs peuvent également accéder à du matériel nécessitant un niveau d'habilitation de sécurité moindre. Les employés ayant des niveaux d'autorisation inférieurs ou n'ayant pas accès aux documents d'ingénierie, en revanche, ne peuvent pas accéder à ces informations.

Un système de cybersécurité bénéficie grandement du MAC. Cependant, de nombreux inconvénients sont à prendre en compte. Considérez les avantages et les inconvénients du contrôle d'accès obligatoire.

Avantages et inconvénients de MAC

Avantages

  • Haut niveau de sécurité des données – L'accès aux objets est défini par un administrateur et les utilisateurs ne peuvent pas modifier cet accès.
  • granularité — Un administrateur configure manuellement les autorisations d'accès des utilisateurs et les paramètres d'accès aux objets.
  • Immunité aux attaques de chevaux de Troie - Les utilisateurs ne peuvent pas déclassifier ou donner accès à du matériel classifié, ce qui les rend immunisés contre les assauts du cheval de Troie.
  • Moins d'erreurs – Des politiques strictes et régulièrement surveillées contribuent à réduire les erreurs système qui entraînent des utilisateurs trop privilégiés.
  • Division stricte – Les administrateurs divisent les utilisateurs en sous-ensembles et utilisent des attributs de sécurité pour limiter l'exposition des ressources pour ces groupes.

Inconvénients

  • Consommabilité – La configuration manuelle des niveaux de sécurité et des autorisations nécessite l'attention permanente des administrateurs.
  • Évolutivité – MAC n'évolue pas automatiquement. Les nouveaux utilisateurs et données nécessitent des ajustements fréquents des objets et des configurations de compte.
  • Interférence avec le travail des utilisateurs – Les utilisateurs doivent demander l'accès à chaque nouvelle donnée qu'ils rencontrent ; ils ne peuvent pas définir de paramètres d'accès pour leurs propres données.

Quand devez-vous utiliser un MAC de contrôle d'accès obligatoire ?

Ce modèle de contrôle d'accès est principalement utilisé par les agences gouvernementales, les forces armées et les forces de l'ordre. Le gouvernement américain utilise MAC pour sécuriser les informations secrètes ainsi que pour prendre en charge les politiques et applications de sécurité à plusieurs niveaux. Dans les secteurs de l'assurance et de la banque, MAC est utilisé pour contrôler l'accès aux données des comptes clients afin d'améliorer la protection et la conformité des données. Ce modèle de contrôle d'accès non discrétionnaire peut également protéger l'accès à une base de données, où les objets sont des procédures, des tables, des vues et d'autres fonctionnalités.

Il est logique d'employer MAC dans les entreprises qui privilégient la sécurité des données par rapport à la flexibilité et aux dépenses opérationnelles. En raison de la complexité et de la rigidité du système, la mise en œuvre de MAC dans une organisation privée est rare.

Un modèle MAC pur offre une sécurité granulaire et de haut niveau. Cependant, il est difficile à mettre en place et à gérer. En conséquence, MAC est fréquemment combiné avec d'autres schémas de contrôle d'accès.

Le combiner, par exemple, avec le modèle basé sur les rôles accélère la création de profils d'utilisateurs. Un administrateur peut créer des rôles d'utilisateur au lieu de définir des droits d'accès pour chaque utilisateur individuel. Des utilisateurs avec des rôles et des droits d'accès comparables existent dans chaque organisation : employés avec le même intitulé de poste, fournisseurs tiers, etc. Au lieu de créer des profils utilisateur individuels à partir de zéro, un administrateur peut configurer des rôles pour ces groupes.

Un autre appariement fréquent est MAC avec le modèle de contrôle d'accès discrétionnaire, abrégé en DAC. MAC protège les données sensibles, tandis que DAC permet aux collègues de partager des informations au sein d'un système de fichiers d'entreprise.

Autres méthodes de contrôle d'accès

# 1. Contrôle d'accès basé sur des règles

Cette méthode attribue des autorisations aux utilisateurs en fonction d'un ensemble prédéfini de règles et de politiques. Ces règles établissent un « contexte » à partir duquel l'accès aux ressources peut être obtenu. Ces restrictions sont décrites dans une liste de contrôle d'accès (ACL) qui est attachée à un "objet" (la ressource, qu'elle traite les autorisations, les données, l'accès au compte ou autre chose).

Certains exemples d'accès basé sur des règles incluent la limitation de l'accès au système à des heures ou des emplacements spécifiques de la journée (par exemple, la limitation de l'accès aux périphériques situés au bureau ou à proximité).

#2. Contrôle d'accès basé sur les rôles

L'accès basé sur les rôles est une méthode dans laquelle les rôles d'utilisateur d'une organisation définissent les autorisations d'accès. L'organisation aura une hiérarchie organisationnelle bien définie ainsi qu'un ensemble clairement défini d'autorisations en fonction des responsabilités au sein de cette hiérarchie. Tout utilisateur affecté à un rôle se verra accorder les autorisations associées à ce rôle.

L'accès basé sur les rôles est extrêmement répandu. Les autorisations basées sur les rôles se trouvent le plus souvent dans les systèmes multi-utilisateurs. Un fournisseur de services public (tel qu'un fournisseur de services de messagerie ou de cloud) peut avoir plusieurs catégories de comptes (utilisateurs, utilisateurs VIP, administrateurs, modérateurs, etc.), chacun avec son propre exemple d'autorisations et de contrôles d'accès. Pour permettre un environnement partagé, un système basé sur les rôles limiterait qui peut accéder à quoi dans le système.

#3. Contrôle d'accès basé sur les attributs

Les systèmes basés sur les attributs sont plus granulaires que les systèmes basés sur les rôles et les règles. Plutôt que de regarder une liste de règles associées aux ressources (comme dans les systèmes de règles) ou aux rôles (comme dans les systèmes de rôles), les systèmes basés sur les attributs peuvent extraire des informations dynamiques des comptes d'utilisateurs pour créer des systèmes d'accès plus fluides et réactifs.

Supposons qu'une société s'occupe d'exemples classifiés. Des utilisateurs individuels pourraient ainsi être désignés pour accéder aux données SECRETES, ce serait un attribut de la personne, pas un rôle ou une ressource.

Ces techniques de contrôle d'accès ne sont pas mutuellement exclusives. Par exemple, les systèmes basés sur les attributs et les rôles peuvent être utilisés pour affiner le système et la sécurité des données.

#4. Contrôle d'accès discrétionnaire

Le contrôle d'accès discrétionnaire (DAC), d'autre part, permet aux clients et aux utilisateurs finaux d'exercer un contrôle supplémentaire sur leurs contrôles d'accès. Alors qu'un administrateur de sécurité peut créer des rôles et des autorisations dans tout le système, l'utilisateur peut remplacer ces autorisations pour fournir un accès à certains utilisateurs qui devraient avoir accès en fonction de leurs informations d'identification professionnelles.

Cette stratégie peut offrir une certaine flexibilité quant à la façon dont une entreprise accorde l'accès aux personnes. Lorsque les administrateurs locaux de l'entreprise négligent de mettre à jour ou de configurer leurs autorisations locales, cela introduit des vulnérabilités possibles. En conséquence, le DAC est une technologie à maintenance élevée qui, bien qu'adaptable, nécessite une maintenance constante.

Quelle est la différence entre le contrôle d'accès obligatoire et discrétionnaire ?

Le MAC et le DAC sont polarisés. Bien que diverses méthodes de contrôle d'accès puissent coexister à certains égards, il est difficile (voire impossible) de mettre en service avec succès DAC et MAC sans se piétiner.

Cela dit, ces incompatibilités sont dues en partie aux disparités entre les deux techniques. Obligatoire et discrétionnaire diffèrent de plusieurs manières importantes :

  • Protection: Lorsqu'il est appliqué correctement, le pouvoir discrétionnaire obligatoire offre une protection plus fiable et prévisible. Le contrôle d'accès discrétionnaire peut donner à une organisation une flexibilité importante, mais il peut également présenter des conflits possibles entre les autorisations individuelles et à l'échelle de l'organisation.
  • Contrôle utilisateur: De plus, les restrictions obligatoires ne sont pas extrêmement flexibles en dehors de leur schéma, et pour une bonne raison : pour résoudre les problèmes de sécurité organisationnels liés à l'accès. Cependant, il existe de véritables situations dans lesquelles les employés d'une organisation devraient avoir accès à des ressources spécifiques même si leur poste ou leurs attributs d'utilisateur ne le permettent pas.
  • Maintenabilité: En règle générale, les contrôles d'accès obligatoires sont élaborés de haut en bas et planifiés de manière centralisée. Autrement dit, ils peuvent prendre en charge une autorisation robuste dans l'ensemble d'un système, avec des exigences de sécurité et réglementaires mises en œuvre à un seul endroit.

D'un autre côté, le DAC peut devenir compliqué si un utilisateur final implémente le contrôle d'accès local de manière négligente ou ne met pas à jour sa liste d'autorisations lorsque le personnel part ou est licencié.

Conclusion

Le contrôle d'accès obligatoire (MAC) est une méthode de sécurité qui limite la capacité des propriétaires de ressources individuelles à donner ou à interdire l'accès aux objets de ressource du système de fichiers. L'administrateur système définit les exigences MAC, qui sont rigoureusement appliquées par le système d'exploitation (OS) ou le noyau de sécurité et ne peuvent pas être modifiées par les utilisateurs finaux.

Le contrôle d'accès obligatoire, couramment utilisé dans les installations gouvernementales et militaires, fonctionne en attribuant une étiquette de classification à chaque élément du système de fichiers. Il existe trois niveaux de classification : confidentiel, secret et top secret. Chaque utilisateur et appareil du système est classé et autorisé au même niveau. Lorsqu'une personne ou un appareil tente d'accéder à une certaine ressource, le système d'exploitation ou le noyau de sécurité vérifie les informations d'identification de l'entité pour déterminer si l'accès est autorisé ou non. Bien qu'il s'agisse de l'option de contrôle d'accès la plus sécurisée disponible, MAC nécessite une planification minutieuse et une surveillance régulière pour s'assurer que tous les objets et utilisateurs de ressources sont classés correctement.

Le MAC est le degré le plus élevé de contrôle d'accès, par opposition au contrôle d'accès discrétionnaire (DAC) de niveau inférieur, qui permet aux propriétaires de ressources individuels de créer leurs propres règles et d'imposer des contraintes de sécurité.

FAQ sur le contrôle d'accès obligatoire

Quelle est la différence entre MAC et DAC ?

L'utilisation du DAC est moins sécurisée. L'utilisation de MAC est plus sécurisée. Le propriétaire de DAC peut définir l'accès et les privilèges, ainsi que restreindre les ressources, en fonction de l'identité des utilisateurs. Dans MAC, le système évalue uniquement l'accès et les ressources sont restreintes en fonction de l'habilitation des individus.

Windows utilise-t-il MAC ou DAC ?

La plupart des systèmes d'exploitation, y compris toutes les versions de Windows, Linux et Macintosh, ainsi que la plupart des variétés d'Unix, sont basés sur des modèles DAC.

Qu'est-ce qu'un modèle DAC ?

Le contrôle d'accès discrétionnaire (DAC) est un modèle de contrôle d'accès dans lequel l'accès est déterminé par le propriétaire de la ressource. Le propriétaire de la ressource contrôle qui a accès et qui n'y a pas accès, ainsi que le type d'accès dont il dispose.

Bibliographie

Peace est rédactrice de contenu, stratège et éditrice senior, mettant ses talents au service d'organisations telles que BusinessYield. Son expérience est dans la création de contenu et le leadership éclairé, avec une expertise industrielle dans le B2B SaaS, les agences de marketing spécialisées et le divertissement. Basé à Missisauga, Ontario, Californie, il est titulaire d'une maîtrise en communication numérique et innovation journalistique de l'Université de Waterloo. Lorsqu'elle ne travaille pas dur, elle adore voyager, lire et manger des glucides. Elle adore rédiger des articles commerciaux basés sur ses riches expériences financières et marketing.

Soyez sympa! Laissez un commentaire

Votre adresse email n'apparaitra pas. Les champs obligatoires sont marqués *

- Article précédent

RBAC DE CONTRÔLE D'ACCÈS BASÉ SUR LES RÔLES : définition, historique et exemples

Article suivant -

Combien cela coûte-t-il de refinancer une hypothèque en 2023

Vous aimeriez aussi
3 façons d'améliorer l'expérience d'achat numérique de votre site Web
En savoir plus
    TTechnologie

    3 façons d'améliorer l'expérience d'achat numérique de votre site Web

    Table des matières Cacher #1. Rendre l'inscription en ligne facultative#2. Facilitez la correction des erreurs#3. Investissez dans un…