TTecnologia

CONTROLLO ACCESSI OBBLIGATORIO MAC: come funziona

Obbligatorio Controllo accessi
Sommario nascondere
  1. Che cos'è il controllo degli accessi?
  2. Che cos'è il MAC di controllo accessi obbligatorio?
  3. Quali sono i concetti fondamentali del MAC di controllo accessi obbligatorio?
  4. Pro e contro di MAC
    1. Vantaggi
    2. Svantaggi
  5. Quando dovresti usare un MAC di controllo accessi obbligatorio?
  6. Altri metodi di controllo degli accessi
    1. # 1. Controllo degli accessi basato su regole
    2. #2. Controllo degli accessi basato sui ruoli
    3. #3. Controllo degli accessi basato sugli attributi
    4. #4. Controllo di accesso discrezionale
  7. Qual è la differenza tra controllo di accesso obbligatorio e discrezionale?
  8. Conclusione
  9. Domande frequenti sul controllo degli accessi obbligatori
  10. Qual è la differenza tra MAC e DAC?
  11. Windows usa MAC o DAC?
  12. Cos'è il modello DAC?
    1. Articoli Correlati
    2. Riferimenti

Il controllo degli accessi è una misura di sicurezza che può essere utilizzata per impedire l'accesso non autorizzato a dati sensibili. Ma in che modo il controllo di accesso obbligatorio (MAC) contribuisce alla sicurezza? Continuate a leggere per scoprirlo.

Che cos'è il controllo degli accessi?

Gli utenti entrano spesso in contatto con risorse e risorse a cui dovrebbero o non dovrebbero avere accesso mentre esplorano reti fisiche e digitali. Ciò è particolarmente vero nei sistemi digitali, dove la migrazione laterale a luoghi di archiviazione, applicazione o elaborazione separati può esporre l'intera infrastruttura a pericolose minacce alla sicurezza.

Per mantenere separati asset e risorse, i responsabili della sicurezza utilizzano i "controlli di accesso", che definiscono chi ha accesso a determinate risorse.

Una volta che un utente è stato autenticato e autorizzato ad accedere a un sistema utilizzando un account utente o un'identità, un sistema di controllo degli accessi stabilisce restrizioni che regolano chi, quando, dove e, in alcuni casi, come quell'utente può navigare nel sistema.

Anche se in superficie, questa nozione sembra semplice, esistono vari schemi di controllo dell'accesso che aiutano a proteggere le risorse dall'accesso non autorizzato, ma qui ci concentreremo su uno: il controllo dell'accesso obbligatorio.

Che cos'è il MAC di controllo accessi obbligatorio?

Il controllo di accesso obbligatorio (MAC) è un modello di controllo dell'accesso in cui il sistema operativo concede l'accesso agli utenti in base alla riservatezza dei dati e ai livelli di autorizzazione dell'utente. L'accesso è concesso in base alla necessità di sapere in questo modello: gli utenti devono dimostrare la necessità di informazioni prima di ricevere l'accesso.

Controllo dell'accesso obbligatorio MAC è anche noto come modello di controllo non discrezionale, il che significa che il controllo non è concesso a discrezione dell'utente o del proprietario del file. I meccanismi di controllo di MAC aderiscono ai principi di zero trust.

Il MAC è considerato il modello di controllo degli accessi più sicuro. In questo modello, le regole di accesso sono specificate manualmente dagli amministratori di sistema e applicate rigidamente dal sistema operativo o dal kernel di sicurezza. Anche per i dati che hanno sviluppato, gli utenti regolari non possono modificare le proprietà di sicurezza.

Quali sono i concetti fondamentali del MAC di controllo accessi obbligatorio?

  1. La privacy e la riservatezza delle risorse dell'organizzazione sono della massima importanza. Nessuno ha i privilegi di accesso o di modifica predefiniti ai dati di qualcun altro.
  2. Il provisioning dell'accesso è gestito centralmente.
  3. Le etichette di sicurezza con classificazione e categoria vengono assegnate a ciascuna persona e risorsa nel sistema.

La procedura per acquisire l'accesso con MAC è la seguente:

  1. L'amministratore configura le restrizioni di accesso e stabilisce parametri di sicurezza come livelli di riservatezza e autorizzazioni per diversi progetti e tipi di risorse.
  2. A ciascun soggetto (utente o risorsa che accede ai dati) e oggetto (file, database, porta, ecc.) viene assegnato un insieme di attributi dall'amministratore.
  3. Quando un soggetto tenta di accedere a un oggetto, il sistema operativo valuta gli attributi di sicurezza del soggetto e determina se l'accesso è consentito o meno.
  4. L'utente inserisce le proprie credenziali per accedere all'oggetto.

I sistemi operativi prestano attenzione alle corrispondenze di categoria tra soggetto e oggetto oltre a valutare la riservatezza e i livelli di autorizzazione (corrispondenza di classificazione tra soggetto e oggetto). Se un utente non è un membro della categoria richiesta per l'oggetto, avere una classificazione "top secret" non garantisce automaticamente l'accesso completo a un file.

Considera i dati con il livello di segretezza "top secret" e la classificazione di sicurezza "progetto di ingegneria". È accessibile solo agli utenti che hanno sia l'autorizzazione "top secret" (classificazione) che l'autorizzazione ad accedere ai documenti di ingegneria (categoria). Questi utenti possono anche accedere a materiale che richiede un livello di autorizzazione di sicurezza inferiore. I dipendenti con livelli di autorizzazione inferiori o senza accesso a documenti di ingegneria, invece, non possono accedere a tali informazioni.

Un sistema di sicurezza informatica trae grandi vantaggi dal MAC. Tuttavia, ci sono numerosi inconvenienti da considerare. Considera i vantaggi e gli svantaggi del controllo degli accessi obbligatorio.

Pro e contro di MAC

Vantaggi

  • Elevato livello di sicurezza dei dati – L'accesso agli oggetti è definito da un amministratore e gli utenti non possono modificare tale accesso.
  • granularità — Un amministratore configura manualmente le autorizzazioni di accesso degli utenti ei parametri di accesso agli oggetti.
  • Immunità agli attacchi del cavallo di Troia – Gli utenti non possono declassificare o fornire l'accesso a materiale classificato, rendendoli immuni agli attacchi di cavalli di Troia.
  • Meno errori – Politiche rigorose e regolarmente monitorate aiutano a ridurre gli errori di sistema che si traducono in utenti con privilegi eccessivi.
  • Divisione rigorosa – Gli amministratori dividono gli utenti in sottoinsiemi e utilizzano gli attributi di sicurezza per limitare l'esposizione delle risorse per questi raggruppamenti.

Svantaggi

  • manutenibilità – La configurazione manuale dei livelli di sicurezza e delle autorizzazioni richiede la costante attenzione degli amministratori.
  • Scalabilità – Il MAC non viene ridimensionato automaticamente. Nuovi utenti e dati richiedono frequenti modifiche agli oggetti e alle configurazioni degli account.
  • Interferenza con il lavoro degli utenti – Gli utenti devono richiedere l'accesso a ogni nuovo dato che incontrano; non possono definire parametri di accesso per i propri dati.

Quando dovresti usare un MAC di controllo accessi obbligatorio?

Questo modello di controllo degli accessi è utilizzato principalmente da agenzie governative, forze armate e forze dell'ordine. Il governo degli Stati Uniti impiega MAC per proteggere le informazioni segrete e per supportare le politiche e le applicazioni di sicurezza a più livelli. Nei settori assicurativo e bancario, MAC viene utilizzato per controllare l'accesso ai dati degli account dei clienti per una maggiore protezione e conformità dei dati. Questo modello di controllo dell'accesso non discrezionale può anche salvaguardare l'accesso a un database, in cui gli oggetti sono procedure, tabelle, viste e altre funzionalità.

Ha senso impiegare MAC in aziende che privilegiano la sicurezza dei dati rispetto alla flessibilità e alle spese operative. A causa della complessità e della rigidità del sistema, l'implementazione del MAC in un'organizzazione privata è rara.

Un modello MAC puro fornisce una sicurezza granulare e di alto livello. Tuttavia, è difficile da configurare e gestire. Di conseguenza, MAC è spesso combinato con altri schemi di controllo degli accessi.

La combinazione, ad esempio, con il modello basato sui ruoli velocizza la creazione di profili utente. Un amministratore può creare ruoli utente invece di definire i diritti di accesso per ogni singolo utente. In ogni organizzazione esistono utenti con ruoli e diritti di accesso comparabili: lavoratori con lo stesso titolo di lavoro, fornitori di terze parti e così via. Invece di creare profili utente individuali da zero, un amministratore può configurare ruoli per questi gruppi.

Un altro abbinamento frequente è il MAC con il modello di controllo dell'accesso discrezionale, abbreviato in DAC. Il MAC protegge i dati sensibili, mentre il DAC consente ai colleghi di condividere le informazioni all'interno di un file system aziendale.

Altri metodi di controllo degli accessi

#1. Controllo degli accessi basato su regole

Questo metodo assegna le autorizzazioni agli utenti in base a un insieme predefinito di regole e criteri. Queste regole stabiliscono un "contesto" da cui è possibile ottenere l'accesso alle risorse. Queste restrizioni sono delineate in un elenco di controllo di accesso (ACL) allegato a un "oggetto" (la risorsa, indipendentemente dal fatto che si tratti di autorizzazioni di elaborazione, dati, accesso all'account o qualcos'altro).

Alcuni esempi di accesso basato su regole includono la limitazione dell'accesso al sistema a orari o luoghi specifici (ad esempio, limitazione dell'accesso ai dispositivi in ​​corrispondenza o in prossimità di un ufficio).

#2. Controllo degli accessi basato sui ruoli

L'accesso basato sui ruoli è un metodo in cui i ruoli utente di un'organizzazione definiscono le autorizzazioni di accesso. L'organizzazione avrà una gerarchia organizzativa ben definita, nonché un insieme chiaramente definito di autorizzazioni a seconda delle responsabilità all'interno di tale gerarchia. A qualsiasi utente assegnato a un ruolo verranno concesse le autorizzazioni associate a quel ruolo.

L'accesso basato sui ruoli è estremamente diffuso. Le autorizzazioni basate sui ruoli si trovano più comunemente nei sistemi multiutente. Un provider di servizi pubblico (come un provider di servizi di posta elettronica o cloud) può avere più categorie di account (utenti, utenti VIP, amministratori, moderatori e così via), ognuna con il proprio esempio di autorizzazioni e controlli di accesso. Per consentire un ambiente condiviso, un sistema basato sui ruoli limiterebbe chi può accedere a cosa all'interno del sistema.

#3. Controllo degli accessi basato sugli attributi

I sistemi basati sugli attributi sono più granulari sia dei sistemi basati sui ruoli che su quelli basati su regole. Invece di esaminare un elenco di regole associate a risorse (come nei sistemi di regole) o ruoli (come nei sistemi di ruoli), i sistemi basati sugli attributi possono estrarre informazioni dinamiche dagli account utente per creare sistemi di accesso più fluidi e reattivi.

Supponiamo che una società si occupi di esempi classificati. I singoli utenti potrebbero quindi essere designati per l'accesso ai dati SECRET: questo sarebbe un attributo della persona, non un ruolo o una risorsa.

Queste tecniche per il controllo degli accessi non si escludono a vicenda. Ad esempio, i sistemi basati su attributi e ruoli possono essere utilizzati per ottimizzare la sicurezza del sistema e dei dati.

#4. Controllo di accesso discrezionale

Il controllo dell'accesso discrezionale (DAC), d'altra parte, consente ai clienti e agli utenti finali aziendali un controllo aggiuntivo sui controlli di accesso. Sebbene un amministratore della sicurezza possa creare ruoli e autorizzazioni in tutto il sistema, l'utente può ignorare tali autorizzazioni per fornire l'accesso a determinati utenti che dovrebbero avere accesso in base alle proprie credenziali aziendali.

Questa strategia può fornire una certa flessibilità in termini di come un'azienda concede alle persone l'accesso. Quando gli amministratori aziendali locali trascurano di aggiornare o configurare le proprie autorizzazioni locali, vengono introdotte possibili vulnerabilità. Di conseguenza, DAC è una tecnologia ad alta manutenzione che, sebbene adattabile, richiede una manutenzione costante.

Qual è la differenza tra controllo di accesso obbligatorio e discrezionale?

Il MAC e il DAC sono polarizzati. Mentre vari metodi di controllo degli accessi possono coesistere in qualche modo, è difficile (se non impossibile) mettere in campo con successo sia DAC che MAC senza calpestarsi l'un l'altro.

Detto questo, queste incompatibilità sono causate in parte dalle disparità tra le due tecniche. Obbligatorio e discrezionale differiscono in diversi modi importanti:

  • Protezione: Se applicata correttamente, la discrezionalità obbligatoria fornisce una protezione più affidabile e prevedibile. Il controllo dell'accesso discrezionale può conferire a un'organizzazione una notevole flessibilità, ma può anche presentare possibili conflitti tra autorizzazioni individuali e a livello di organizzazione.
  • Controllo utente: Inoltre, le restrizioni obbligatorie non sono estremamente flessibili al di fuori del loro schema e, per una buona ragione, per risolvere i problemi di sicurezza dell'organizzazione connessi all'accesso. Tuttavia, ci sono situazioni reali in cui i dipendenti di un'organizzazione dovrebbero avere accesso a risorse specifiche anche se la loro posizione o le caratteristiche dell'utente non lo consentono.
  • Manutenibilità: In genere, i controlli di accesso obbligatori sono sviluppati dall'alto verso il basso e pianificati centralmente. In altre parole, possono supportare un'autorizzazione solida in tutto il sistema, con requisiti di sicurezza e normativi implementati in un'unica posizione.

D'altra parte, il DAC può complicarsi se un utente finale implementa il controllo dell'accesso locale con noncuranza o non aggiorna l'elenco delle autorizzazioni quando il personale parte o viene terminato.

Conclusione

Il controllo di accesso obbligatorio (MAC) è un metodo di sicurezza che limita la capacità dei singoli proprietari di risorse di concedere o vietare l'accesso agli oggetti delle risorse del file system. L'amministratore di sistema definisce i requisiti MAC, che sono rigidamente imposti dal sistema operativo (OS) o dal kernel di sicurezza e non possono essere modificati dagli utenti finali.

Il controllo dell'accesso obbligatorio, comunemente utilizzato nelle installazioni governative e militari, opera assegnando un'etichetta di classificazione a ciascun elemento del file system. Esistono tre livelli di classificazione: riservato, segreto e top secret. Ogni utente e dispositivo sul sistema viene classificato e cancellato allo stesso livello. Quando una persona o un dispositivo tenta di accedere a una determinata risorsa, il sistema operativo o il kernel di sicurezza controlla le credenziali dell'entità per determinare se l'accesso è autorizzato o meno. Sebbene sia l'opzione di controllo dell'accesso più sicura disponibile, MAC richiede un'attenta pianificazione e un monitoraggio regolare per garantire che tutti gli oggetti risorsa e gli utenti siano classificati correttamente.

Il MAC è il più alto grado di controllo dell'accesso, al contrario del controllo dell'accesso discrezionale (DAC) di livello inferiore, che consente ai singoli proprietari di risorse di creare le proprie regole e imporre vincoli di sicurezza.

Domande frequenti sul controllo degli accessi obbligatori

Qual è la differenza tra MAC e DAC?

L'uso del DAC è meno sicuro. L'uso del MAC è più sicuro. Il proprietario del DAC può definire accessi e privilegi, nonché limitare le risorse, in base all'identità degli utenti. In MAC, il sistema valuta solo l'accesso e le risorse sono limitate in base all'autorizzazione delle persone.

Windows usa MAC o DAC?

La maggior parte dei sistemi operativi, comprese tutte le versioni di Windows, Linux e Macintosh, così come la maggior parte delle varietà di Unix, sono basati su modelli DAC.

Cos'è il modello DAC?

Il controllo dell'accesso discrezionale (DAC) è un modello di controllo dell'accesso in cui l'accesso è determinato dal proprietario della risorsa. Il proprietario della risorsa ha il controllo su chi ha accesso e chi no, nonché sul tipo di accesso che ha.

Riferimenti

Peace è una scrittrice di contenuti, stratega ed editrice senior, che presta il suo talento a organizzazioni come BusinessYield. Il suo background è nella creazione di contenuti e nella leadership di pensiero, con esperienza nel settore SaaS B2B, agenzie di marketing specializzate e intrattenimento. Con sede a Missisauga, Ontario, California, ha un Master in comunicazione digitale e innovazione nel giornalismo presso l'Università di Waterloo. Quando non è impegnata al lavoro, ama viaggiare, leggere e mangiare carboidrati. Ama scrivere articoli di business basati sulle sue ricche esperienze finanziarie e di marketing.

Lascia un Commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati con *

- Articolo precedente

CONTROLLO DELL'ACCESSO BASATO SUL RUOLO RBAC: definizione, storia ed esempi

Articolo successivo -

Quanto costa rifinanziare un mutuo nel 2023

Potrebbe piacerti anche
3 modi per migliorare l'esperienza di acquisto digitale del tuo sito web
Scopri di più
    TTecnologia

    3 modi per migliorare l'esperienza di acquisto digitale del tuo sito web

    Sommario Nascondi #1. Rendi la registrazione online facoltativa#2. Semplifica la correzione degli errori#3. Investi in un…