TTechnologie

VERPLICHTE TOEGANGSCONTROLE MAC: hoe het werkt

Verplicht toegangscontrole
Inhoudsopgave Verbergen
  1. Wat is toegangscontrole?
  2. Wat is verplichte toegangscontrole MAC?
  3. Wat zijn de fundamentele concepten van verplichte toegangscontrole MAC?
  4. De voor- en nadelen van MAC
    1. VOORDELEN
    2. NADELEN
  5. Wanneer moet u een verplichte MAC voor toegangscontrole gebruiken?
  6. Andere methoden voor toegangscontrole
    1. #1. Op regels gebaseerde toegangscontrole
    2. #2. Op rollen gebaseerde toegangscontrole
    3. #3. Op attributen gebaseerde toegangscontrole
    4. #4. Discretionaire toegangscontrole
  7. Wat is het verschil tussen verplichte en discretionaire toegangscontrole?
  8. Conclusie
  9. Verplichte veelgestelde vragen over toegangscontrole
  10. Wat is het verschil tussen MAC en DAC?
  11. Gebruikt Windows MAC of DAC?
  12. Wat is het DAC-model?
    1. Gerelateerde artikelen
    2. Referenties

Toegangscontrole is een beveiligingsmaatregel die kan worden gebruikt om ongeautoriseerde toegang tot gevoelige gegevens te voorkomen. Maar hoe draagt ​​verplichte toegangscontrole (MAC) bij aan de beveiliging? Lees verder om erachter te komen.

Wat is toegangscontrole?

Gebruikers komen vaak in contact met bronnen en middelen waartoe ze wel of geen toegang zouden moeten hebben bij het verkennen van fysieke en digitale netwerken. Dit geldt met name voor digitale systemen, waar laterale migratie naar afzonderlijke opslag-, applicatie- of verwerkingslocaties de hele infrastructuur kan blootstellen aan gevaarlijke beveiligingsrisico's.

Om activa en bronnen gescheiden te houden, gebruiken beveiligingsmanagers 'toegangscontroles', die bepalen wie toegang heeft tot bepaalde bronnen.

Zodra een gebruiker is geauthenticeerd en geautoriseerd om een ​​systeem te betreden met behulp van een gebruikersaccount of identiteit, stelt een toegangscontrolesysteem beperkingen in die bepalen wie, wanneer, waar en, in sommige gevallen, hoe die gebruiker door het systeem kan bladeren.

Op het eerste gezicht lijkt dit idee eenvoudig, maar er zijn verschillende schema's voor toegangscontrole die helpen bij het beveiligen van bronnen tegen ongeoorloofde toegang, maar we zullen ons hier concentreren op één: verplichte toegangscontrole.

Wat is verplichte toegangscontrole MAC?

Verplichte toegangscontrole (MAC) is een model voor toegangscontrole waarbij het besturingssysteem gebruikers toegang verleent op basis van vertrouwelijkheid van gegevens en gebruikersmachtigingen. In dit model wordt toegang verleend op een 'need-to-know'-basis: gebruikers moeten aantonen dat ze informatie nodig hebben voordat ze toegang krijgen.

Verplichte toegangscontrole MAC staat ook bekend als een niet-discretionair controlemodel, wat betekent dat controle niet wordt verleend naar goeddunken van de gebruiker of de eigenaar van het bestand. De controlemechanismen van MAC voldoen aan zero-trust principes.

MAC wordt beschouwd als het meest veilige model voor toegangscontrole. In dit model worden toegangsregels handmatig gespecificeerd door systeembeheerders en strikt gehandhaafd door het besturingssysteem of de beveiligingskernel. Zelfs voor gegevens, die ze hebben ontwikkeld, kunnen reguliere gebruikers de beveiligingseigenschappen niet wijzigen.

Wat zijn de fundamentele concepten van verplichte toegangscontrole MAC?

  1. De privacy en vertrouwelijkheid van de middelen van de organisatie zijn van het grootste belang. Niemand heeft standaard toegangs- of bewerkingsrechten voor de gegevens van iemand anders.
  2. Toegangsvoorziening wordt centraal beheerd.
  3. Beveiligingslabels met classificatie en categorie worden toegewezen aan elke persoon en bron in het systeem.

De procedure voor het verkrijgen van toegang met MAC is als volgt:

  1. De beheerder configureert toegangsbeperkingen en stelt beveiligingsparameters in, zoals vertrouwelijkheidsniveaus en toestemmingen voor verschillende projecten en resourcetypes.
  2. Elk onderwerp (gebruiker of bron die toegang heeft tot gegevens) en object (bestand, database, poort, enz.) krijgt een set attributen van de beheerder.
  3. Wanneer een onderwerp toegang probeert te krijgen tot een object, evalueert het besturingssysteem de beveiligingskenmerken van het onderwerp en bepaalt het of toegang is toegestaan.
  4. De gebruiker voert zijn inloggegevens in om toegang te krijgen tot het item.

Besturingssystemen letten naast de beoordeling van vertrouwelijkheid en vrijgaveniveaus op categorieovereenkomsten tussen onderwerp en object (classificatieovereenkomsten tussen onderwerp en object). Als een gebruiker geen lid is van de vereiste categorie voor het object, geeft het hebben van een "topgeheim"-classificatie hem niet automatisch volledige toegang tot een bestand.

Overweeg gegevens met het geheimhoudingsniveau "topgeheim" en de beveiligingsclassificatie "engineering project". Het is alleen toegankelijk voor gebruikers die zowel "top secret"-machtiging (classificatie) als toestemming hebben voor toegang tot technische documenten (categorie). Deze gebruikers kunnen ook toegang krijgen tot materiaal waarvoor een lager beveiligingsniveau vereist is. Werknemers met minder toestemming of geen toegang tot technische documenten hebben daarentegen geen toegang tot dergelijke informatie.

Een cyberbeveiligingssysteem heeft veel baat bij MAC. Er zijn echter tal van nadelen te overwegen. Overweeg de voor- en nadelen van verplichte toegangscontrole.

De voor- en nadelen van MAC

VOORDELEN

  • Hoog niveau van gegevensbeveiliging – Toegang tot objecten wordt gedefinieerd door een beheerder en gebruikers kunnen die toegang niet wijzigen.
  • granularity — Een beheerder configureert handmatig toegangsrechten voor gebruikers en parameters voor objecttoegang.
  • Immuniteit voor aanvallen van Trojaanse paarden – Gebruikers kunnen geclassificeerd materiaal niet declassificeren of toegang verlenen, waardoor ze immuun zijn voor aanvallen van Trojaanse paarden.
  • Minder fouten – Strikt en regelmatig gecontroleerd beleid helpt bij het verminderen van systeemfouten die leiden tot overbevoorrechte gebruikers.
  • Strikte verdeling – Beheerders verdelen gebruikers in subsets en gebruiken beveiligingskenmerken om de blootstelling aan bronnen voor deze groepen te beperken.

NADELEN

  • Onderhoudbaarheid – Het handmatig configureren van beveiligingsniveaus en toestemmingen vereist voortdurende aandacht van beheerders.
  • Schaalbaarheid – MAC schaalt niet automatisch. Nieuwe gebruikers en data vereisen frequente aanpassingen aan objecten en accountconfiguraties.
  • Interferentie met het werk van gebruikers – Gebruikers moeten toegang vragen tot elk nieuw stuk gegevens dat ze tegenkomen; ze kunnen geen toegangsparameters voor hun eigen gegevens definiëren.

Wanneer moet u een verplichte MAC voor toegangscontrole gebruiken?

Dit model voor toegangscontrole wordt meestal gebruikt door overheidsinstanties, militairen en wetshandhavingsinstanties. De Amerikaanse overheid gebruikt MAC om geheime informatie te beveiligen en om gelaagd beveiligingsbeleid en -toepassingen te ondersteunen. In de verzekerings- en banksector wordt MAC gebruikt om de toegang tot klantaccountgegevens te controleren voor betere gegevensbescherming en naleving. Dit niet-discretionaire model voor toegangscontrole kan ook de toegang tot een database beveiligen, waar de objecten procedures, tabellen, weergaven en andere functies zijn.

Het is logisch om MAC in te zetten in bedrijven die gegevensbeveiliging voorrang geven boven operationele flexibiliteit en kosten. Vanwege de complexiteit en inflexibiliteit van het systeem is MAC-implementatie in een particuliere organisatie ongebruikelijk.

Een puur MAC-model biedt gedetailleerde en hoogwaardige beveiliging. Het is echter moeilijk in te stellen en te beheren. Als gevolg hiervan wordt MAC vaak gecombineerd met andere toegangscontroleschema's.

Door het bijvoorbeeld te combineren met het rolmodel versnelt het aanmaken van gebruikersprofielen. Een beheerder kan gebruikersrollen maken in plaats van toegangsrechten voor elke individuele gebruiker te definiëren. In elke organisatie zijn er gebruikers met vergelijkbare rollen en toegangsrechten: werknemers met dezelfde functietitel, externe leveranciers, enzovoort. In plaats van vanaf het begin individuele gebruikersprofielen te bouwen, kan een beheerder rollen voor deze groepen configureren.

Een andere veel voorkomende koppeling is MAC met het discretionaire toegangscontrolemodel, afgekort als DAC. MAC beschermt gevoelige gegevens, terwijl DAC collega's in staat stelt informatie te delen binnen een bedrijfsbestandssysteem.

Andere methoden voor toegangscontrole

#1. Op regels gebaseerde toegangscontrole

Deze methode wijst machtigingen toe aan gebruikers op basis van een vooraf gedefinieerde set regels en beleidsregels. Deze regels stellen een "context" vast van waaruit toegang tot bronnen kan worden verkregen. Deze beperkingen worden uiteengezet in een Access Control List (ACL) die is gekoppeld aan een "object" (de bron, of het nu gaat om het verwerken van machtigingen, gegevens, accounttoegang of iets anders).

Enkele voorbeelden van op regels gebaseerde toegang zijn het beperken van systeemtoegang tot specifieke tijden van de dag of locaties (bijvoorbeeld het beperken van toegang tot apparaten op of nabij een kantoorlocatie).

#2. Op rollen gebaseerde toegangscontrole

Op rollen gebaseerde toegang is een methode waarbij de gebruikersrollen van een organisatie toegangsmachtigingen definiëren. De organisatie heeft een goed gedefinieerde organisatiehiërarchie en een duidelijk gedefinieerde set machtigingen, afhankelijk van de verantwoordelijkheden binnen die hiërarchie. Elke gebruiker die aan een rol is toegewezen, krijgt de machtigingen die aan die rol zijn gekoppeld.

Rolgebaseerde toegang is extreem gangbaar. Op rollen gebaseerde machtigingen worden meestal aangetroffen in systemen met meerdere gebruikers. Een openbare serviceprovider (zoals een e-mail- of cloudserviceprovider) kan meerdere categorieën accounts hebben (gebruikers, VIP-gebruikers, beheerders, moderators, enzovoort), elk met zijn eigen voorbeeld van machtigingen en toegangscontroles. Om een ​​gedeelde omgeving mogelijk te maken, zou een op rollen gebaseerd systeem beperken wie toegang heeft tot wat binnen het systeem.

#3. Op attributen gebaseerde toegangscontrole

Attribuutgebaseerde systemen zijn gedetailleerder dan zowel op rollen gebaseerde als op regels gebaseerde systemen. In plaats van te kijken naar een lijst met regels die zijn gekoppeld aan bronnen (zoals in regelsystemen) of rollen (zoals in rolsystemen), kunnen op attributen gebaseerde systemen dynamische informatie uit gebruikersaccounts extraheren om meer vloeiende en responsieve toegangssystemen te creëren.

Stel dat een bedrijf zich bezighoudt met geclassificeerde voorbeelden. Individuele gebruikers kunnen dus worden aangewezen voor toegang tot SECRET-gegevens - dit zou een attribuut van de persoon zijn, geen rol of een hulpmiddel.

Deze technieken voor toegangscontrole sluiten elkaar niet uit. Attribuut- en rolgebaseerde systemen kunnen bijvoorbeeld worden gebruikt om de systeem- en gegevensbeveiliging te verfijnen.

#4. Discretionaire toegangscontrole

Discretionary Access Control (DAC), aan de andere kant, geeft klanten en zakelijke eindgebruikers extra controle over hun toegangscontroles. Hoewel een beveiligingsbeheerder rollen en machtigingen voor het hele systeem kan maken, kan de gebruiker dergelijke machtigingen overschrijven om toegang te verlenen aan bepaalde gebruikers die toegang zouden moeten hebben op basis van hun zakelijke inloggegevens.

Deze strategie kan enige flexibiliteit bieden in de manier waarop een bedrijf mensen toegang verleent. Wanneer lokale bedrijfsbeheerders verzuimen om hun lokale machtigingen bij te werken of te configureren, introduceert dit mogelijke kwetsbaarheden. Als gevolg hiervan is DAC een onderhoudsvriendelijke technologie die, hoewel aanpasbaar, constant onderhoud vereist.

Wat is het verschil tussen verplichte en discretionaire toegangscontrole?

De MAC en DAC zijn gepolariseerd. Hoewel verschillende methoden voor toegangscontrole in sommige opzichten naast elkaar kunnen bestaan, is het moeilijk (zo niet onmogelijk) om zowel DAC als MAC met succes te gebruiken zonder op elkaar te stampen.

Dat gezegd hebbende, worden deze onverenigbaarheden gedeeltelijk veroorzaakt door de verschillen tussen de twee technieken. Verplicht en discretionair verschillen op verschillende belangrijke manieren:

  • Bescherming: Indien correct toegepast, biedt verplichte discretie een betrouwbaardere en voorspelbare bescherming. Discretionaire toegangscontrole kan een organisatie belangrijke flexibiliteit geven, maar het kan ook leiden tot mogelijke conflicten tussen individuele en organisatiebrede machtigingen.
  • Gebruikerscontrole: Bovendien zijn verplichte beperkingen niet extreem flexibel buiten hun schema, en met goede reden: om organisatorische beveiligingsproblemen op te lossen die verband houden met toegang. Er zijn echter echte situaties waarin werknemers in een organisatie toegang moeten krijgen tot specifieke bronnen, zelfs als hun functie of gebruikersattributen dit niet toelaten.
  • Onderhoudbaarheid: Doorgaans worden verplichte toegangscontroles van bovenaf ontwikkeld en centraal gepland. Dat wil zeggen dat ze robuuste autorisatie in een systeem kunnen ondersteunen, waarbij beveiligings- en regelgevingsvereisten op één enkele locatie zijn geïmplementeerd.

Aan de andere kant kan DAC ingewikkeld worden als een eindgebruiker lokale toegangscontrole onzorgvuldig implementeert of zijn lijst met machtigingen niet bijwerkt wanneer personeel vertrekt of wordt ontslagen.

Conclusie

Verplichte toegangscontrole (MAC) is een beveiligingsmethode die de mogelijkheid van individuele broneigenaren beperkt om toegang tot bronobjecten van het bestandssysteem te geven of te verbieden. De systeembeheerder definieert de MAC-vereisten, die strikt worden afgedwongen door het besturingssysteem (OS) of de beveiligingskernel en die niet door eindgebruikers kunnen worden gewijzigd.

Verplichte toegangscontrole, die vaak wordt gebruikt in overheids- en militaire installaties, werkt door een classificatielabel toe te wijzen aan elk bestandssysteemitem. Er zijn drie classificatieniveaus: vertrouwelijk, geheim en topgeheim. Elke gebruiker en elk apparaat op het systeem wordt op hetzelfde niveau geclassificeerd en gewist. Wanneer een persoon of apparaat toegang probeert te krijgen tot een bepaalde bron, controleert het besturingssysteem of de beveiligingskernel de inloggegevens van de entiteit om te bepalen of toegang al dan niet is geautoriseerd. Hoewel het de veiligste beschikbare optie voor toegangscontrole is, vereist MAC een zorgvuldige planning en regelmatige controle om ervoor te zorgen dat alle bronobjecten en gebruikers correct worden geclassificeerd.

MAC is de hoogste graad van toegangscontrole, in tegenstelling tot discretionaire toegangscontrole op een lager niveau (DAC), waarmee individuele resource-eigenaren hun eigen regels kunnen maken en beveiligingsbeperkingen kunnen opleggen.

Verplichte veelgestelde vragen over toegangscontrole

Wat is het verschil tussen MAC en DAC?

Het gebruik van DAC is minder veilig. Het gebruik van MAC is veiliger. De eigenaar van DAC kan toegang en privileges definiëren en bronnen beperken op basis van de identiteit van de gebruikers. In MAC beoordeelt het systeem alleen de toegang en zijn de middelen beperkt op basis van de toestemming van de persoon.

Gebruikt Windows MAC of DAC?

De meeste besturingssystemen, inclusief alle versies van Windows, Linux en Macintosh, evenals de meeste varianten van Unix, zijn gebaseerd op DAC-modellen.

Wat is het DAC-model?

Discretionaire toegangscontrole (DAC) is een model van toegangscontrole waarbij de toegang wordt bepaald door de eigenaar van de bron. De eigenaar van de resource heeft controle over wie toegang heeft en wie niet, en wat voor soort toegang hij heeft.

Referenties

Peace is een senior contentschrijver, strateeg en redacteur, die haar talenten leent aan organisaties als BusinessYield. Haar achtergrond ligt in contentcreatie en thought leadership, met branche-expertise in B2B SaaS, gespecialiseerde marketingbureaus en entertainment. Gevestigd in Missisauga, Ontario, CA, en heeft een masterdiploma in digitale communicatie en journalistieke innovatie van de Universiteit van Waterloo. Als ze niet hard aan het werk is, houdt ze van reizen, lezen en koolhydraten eten. Ze schrijft graag zakelijke artikelen op basis van haar rijke financiële en marketingervaringen.

Laat een reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

- Vorig artikel

ROLGEBASEERDE TOEGANGSCONTROLE RBAC: definitie, geschiedenis en voorbeelden

Volgend artikel -

Hoeveel kost het om hypotheek te herfinancieren in 2023?

Dit vind je misschien ook leuk
3 manieren om de digitale aankoopervaring van uw website te verbeteren
Lees meer
    TTechnologie

    3 manieren om de digitale aankoopervaring van uw website te verbeteren

    Inhoudsopgave Verberg #1. Maak online registratie optioneel#2. Maak het gemakkelijk om fouten te corrigeren#3. Investeer in een…