ОБЯЗАТЕЛЬНЫЙ КОНТРОЛЬ ДОСТУПА MAC: как это работает

Контроль доступа — это мера безопасности, которую можно использовать для предотвращения несанкционированного доступа к конфиденциальным данным. Но как обязательный контроль доступа (MAC) способствует безопасности? Читай дальше что бы узнать.

Что такое контроль доступа?

Пользователи часто вступают в контакт с ресурсами и активами, к которым они должны или не должны иметь доступ, когда они исследуют физические и цифровые сети. Это особенно актуально для цифровых систем, где горизонтальная миграция в отдельные хранилища, приложения или места обработки может подвергнуть всю инфраструктуру опасным угрозам безопасности.

Чтобы разделить активы и ресурсы, менеджеры по безопасности используют «контроль доступа», который определяет, кто имеет доступ к определенным ресурсам.

После того как пользователь прошел аутентификацию и авторизован для входа в систему с использованием учетной записи или удостоверения, система управления доступом устанавливает ограничения, определяющие, кто, когда, где и, в некоторых случаях, как этот пользователь может просматривать систему.

Хотя на первый взгляд это понятие кажется простым, существуют различные схемы управления доступом, которые помогают защитить ресурсы от несанкционированного доступа, но здесь мы сосредоточимся на одной — обязательном контроле доступа.

Что такое обязательный контроль доступа MAC?

Обязательный контроль доступа (MAC) — это модель управления доступом, в которой операционная система предоставляет доступ пользователям в зависимости от конфиденциальности данных и уровней допуска пользователя. В этой модели доступ предоставляется по мере необходимости: пользователи должны продемонстрировать потребность в информации, прежде чем получить доступ.

Принудительный контроль доступа MAC также известен как недискреционная модель управления, что означает, что управление не предоставляется по усмотрению пользователя или владельца файла. Механизмы управления MAC придерживаются принципов нулевого доверия.

MAC считается самой безопасной моделью управления доступом. В этой модели правила доступа задаются вручную системными администраторами и строго соблюдаются операционной системой или ядром безопасности. Даже для данных, которые они разработали, обычные пользователи не могут изменить свойства безопасности.

Каковы основные концепции обязательного управления доступом MAC?

1. Приватность и конфиденциальность ресурсов организации имеют первостепенное значение. Ни у кого нет доступа по умолчанию или прав на редактирование чужих данных.
2. Обеспечение доступа управляется централизованно.
3. Метки безопасности с классификацией и категорией назначаются каждому человеку и ресурсу в системе.

Процедура получения доступа с помощью MAC выглядит следующим образом:

1. Администратор настраивает ограничения доступа и устанавливает параметры безопасности, такие как уровни конфиденциальности и разрешения для различных проектов и типов ресурсов.
2. Каждому субъекту (пользователю или ресурсу, который обращается к данным) и объекту (файлу, базе данных, порту и т. д.) администратор присваивает набор атрибутов.
3. Когда субъект пытается получить доступ к объекту, операционная система оценивает атрибуты безопасности субъекта и определяет, разрешен ли доступ.
4. Пользователь вводит свои учетные данные, чтобы получить доступ к элементу.

Операционные системы обращают внимание на соответствие категорий между субъектом и объектом в дополнение к оценке уровней конфиденциальности и допуска (соответствие классификации между субъектом и объектом). Если пользователь не относится к требуемой категории для объекта, наличие грифа «совершенно секретно» не дает ему автоматически полный доступ к файлу.

Рассмотрим данные со степенью секретности «совершенно секретно» и грифом секретности «инженерный проект». Он доступен только пользователям, имеющим как допуск «совершенно секретно» (классификация), так и разрешение на доступ к инженерной документации (категория). Эти пользователи также могут получить доступ к материалам, требующим более низкого уровня допуска. С другой стороны, сотрудники с более низким уровнем допуска или без доступа к инженерной документации не могут получить доступ к такой информации.

Система кибербезопасности значительно выигрывает от MAC. Тем не менее, есть множество недостатков, которые следует учитывать. Рассмотрим преимущества и недостатки обязательного контроля доступа.

Плюсы и минусы MAC

Плюсы

• Высокий уровень безопасности данных – Доступ к объектам определяется администратором, и пользователи не могут изменить этот доступ.
• Зернистость — Администратор вручную настраивает права доступа пользователей и параметры доступа к объектам.
• Иммунитет к атакам троянского коня – Пользователи не могут рассекретить или предоставить доступ к секретным материалам, что делает их невосприимчивыми к атакам троянского коня.
• Меньше ошибок – Строгие и регулярно отслеживаемые политики помогают снизить количество системных ошибок, приводящих к чрезмерно привилегированным пользователям.
• Строгое разделение – Администраторы делят пользователей на подмножества и используют атрибуты безопасности, чтобы ограничить доступ к ресурсам для этих групп.

Минусы

• Ремонтопригодность – Ручная настройка уровней безопасности и разрешений требует постоянного внимания администраторов.
• Масштабируемость – MAC не масштабируется автоматически. Новые пользователи и данные требуют частой корректировки объектов и конфигураций учетных записей.
• Вмешательство в работу пользователей – Пользователи должны запрашивать доступ к каждой новой части данных, с которыми они сталкиваются; они не могут определять параметры доступа для своих собственных данных.

Когда следует использовать обязательный MAC-адрес контроля доступа?

Эта модель контроля доступа в основном используется государственными учреждениями, вооруженными силами и правоохранительными органами. Правительство США использует MAC для защиты секретной информации, а также для поддержки многоуровневых политик безопасности и приложений. В страховой и банковской отраслях MAC используется для управления доступом к данным учетных записей клиентов для большей защиты данных и соответствия требованиям. Эта недискреционная модель управления доступом может также защитить доступ к базе данных, где объектами являются процедуры, таблицы, представления и другие функции.

Имеет смысл использовать MAC в компаниях, которые отдают предпочтение безопасности данных, а не операционной гибкости и затратам. Из-за сложности и негибкости системы реализация MAC в частной организации встречается редко.

Чистая модель MAC обеспечивает детализированную и высокоуровневую безопасность. Тем не менее, это сложно настроить и управлять. В результате MAC часто сочетается с другими схемами управления доступом.

Сочетание, например, с ролевой моделью ускоряет создание профилей пользователей. Администратор может создавать роли пользователей вместо определения прав доступа для каждого отдельного пользователя. В каждой организации есть пользователи с сопоставимыми ролями и правами доступа: работники с одинаковыми должностями, сторонние поставщики и т. д. Вместо того, чтобы создавать отдельные профили пользователей с нуля, администратор может настроить роли для этих групп.

Еще одно частое сочетание — MAC с дискреционной моделью управления доступом, сокращенно DAC. MAC защищает конфиденциальные данные, тогда как DAC позволяет коллегам обмениваться информацией в корпоративной файловой системе.

Другие методы контроля доступа

# 1. Управление доступом на основе правил

Этот метод назначает разрешения пользователям на основе предопределенного набора правил и политик. Эти правила устанавливают «контекст», из которого можно получить доступ к ресурсам. Эти ограничения изложены в списке контроля доступа (ACL), который прикреплен к «объекту» (ресурсу, независимо от того, обрабатывает ли он разрешения, данные, доступ к учетной записи или что-то еще).

Некоторые примеры доступа на основе правил включают ограничение доступа к системе в определенное время суток или в определенных местах (например, ограничение доступа к устройствам в офисе или рядом с ним).

№ 2. Управление доступом на основе ролей

Доступ на основе ролей — это метод, при котором права доступа определяются ролями пользователей организации. Организация будет иметь четко определенную организационную иерархию, а также четко определенный набор разрешений в зависимости от обязанностей в рамках этой иерархии. Любому пользователю, которому назначена роль, будут предоставлены разрешения, связанные с этой ролью.

Ролевой доступ чрезвычайно распространен. Разрешения на основе ролей чаще всего встречаются в многопользовательских системах. Общедоступный поставщик услуг (например, поставщик услуг электронной почты или облачных служб) может иметь несколько категорий учетных записей (пользователи, VIP-пользователи, администраторы, модераторы и т. д.), каждая из которых имеет собственный пример разрешений и элементов управления доступом. Чтобы обеспечить общую среду, система на основе ролей будет ограничивать, кто и к чему может получить доступ в системе.

№3. Контроль доступа на основе атрибутов

Системы, основанные на атрибутах, более детализированы, чем системы, основанные на ролях и правилах. Вместо просмотра списка правил, связанных с ресурсами (как в системах правил) или ролями (как в ролевых системах), системы на основе атрибутов могут извлекать динамическую информацию из учетных записей пользователей для создания более гибких и оперативных систем доступа.

Предположим, что корпорация имеет дело с секретными экземплярами. Таким образом, отдельные пользователи могут быть назначены для доступа к СЕКРЕТНЫМ данным — это будет атрибут человека, а не роль или ресурс.

Эти методы управления доступом не являются взаимоисключающими. Например, системы на основе атрибутов и ролей могут использоваться для точной настройки системы и безопасности данных.

№ 4. Дискреционный контроль доступа

Дискреционный контроль доступа (DAC), с другой стороны, позволяет клиентам и конечным бизнес-пользователям дополнительно контролировать свои средства контроля доступа. В то время как администратор безопасности может создавать роли и разрешения во всей системе, пользователь может переопределить такие разрешения, чтобы предоставить доступ определенным пользователям, которые должны иметь доступ на основе их деловых учетных данных.

Эта стратегия может обеспечить некоторую гибкость с точки зрения того, как компания предоставляет людям доступ. Когда локальные бизнес-администраторы пренебрегают обновлением или настройкой своих локальных разрешений, это создает возможные уязвимости. В результате DAC представляет собой технологию с высокими эксплуатационными расходами, которая, хотя и адаптируема, требует постоянного обслуживания.

В чем разница между обязательным и дискреционным контролем доступа?

MAC и DAC поляризованы. Хотя различные методы управления доступом могут в некотором роде сосуществовать, трудно (если не невозможно) успешно использовать как DAC, так и MAC, не наступая друг на друга.

Сказав это, эти несовместимости частично вызваны несоответствиями между двумя методами. Обязательные и дискреционные различаются по нескольким важным параметрам:

• Степень защиты: При правильном применении обязательное усмотрение обеспечивает более надежную и предсказуемую защиту. Дискреционный контроль доступа может дать организации важную гибкость, но он также может привести к возможным конфликтам между индивидуальными и общеорганизационными разрешениями.
• Пользовательский контроль: Кроме того, обязательные ограничения не являются чрезвычайно гибкими за пределами своей схемы, и на то есть веская причина — решать организационные проблемы безопасности, связанные с доступом. Однако существуют реальные ситуации, в которых сотрудникам организации должен быть предоставлен доступ к определенным ресурсам, даже если их должность или пользовательские характеристики не позволяют этого.
• Ремонтопригодность: Как правило, обязательные элементы управления доступом разрабатываются сверху вниз и планируются централизованно. То есть они могут поддерживать надежную авторизацию во всей системе, при этом требования безопасности и нормативные требования реализуются в одном месте.

С другой стороны, DAC может усложниться, если конечный пользователь небрежно реализует локальный контроль доступа или не обновит свой список разрешений, когда сотрудники уходят или увольняются.

Заключение

Обязательный контроль доступа (MAC) — это метод безопасности, который ограничивает возможность отдельных владельцев ресурсов предоставлять или запрещать доступ к объектам ресурсов файловой системы. Системный администратор определяет требования к MAC, которые строго соблюдаются операционной системой (ОС) или ядром безопасности и не могут быть изменены конечными пользователями.

Принудительный контроль доступа, который обычно используется в правительственных и военных объектах, работает путем присвоения метки классификации каждому элементу файловой системы. Существует три уровня классификации: конфиденциальный, секретный и совершенно секретный. Каждый пользователь и устройство в системе классифицируются и очищаются на одном уровне. Когда человек или устройство пытается получить доступ к определенному ресурсу, операционная система или ядро ​​безопасности проверяют учетные данные объекта, чтобы определить, разрешен ли доступ. Несмотря на то, что это наиболее безопасный вариант управления доступом, MAC требует тщательного планирования и регулярного мониторинга, чтобы обеспечить правильную классификацию всех объектов ресурсов и пользователей.

MAC — это высшая степень контроля доступа, в отличие от низкоуровневого дискреционного контроля доступа (DAC), который позволяет отдельным владельцам ресурсов создавать свои собственные правила и налагать ограничения безопасности.

Часто задаваемые вопросы об обязательном контроле доступа

В чем разница между MAC и DAC?

Использование DAC менее безопасно. Использование MAC более безопасно. Владелец DAC может определять доступ и привилегии, а также ограничивать ресурсы на основе личности пользователей. В MAC система только оценивает доступ, а ресурсы ограничиваются в зависимости от допуска отдельных лиц.

Windows использует MAC или DAC?

Большинство операционных систем, включая все версии Windows, Linux и Macintosh, а также большинство разновидностей Unix, основаны на моделях DAC.

Что такое модель ЦАП?

Дискреционный контроль доступа (DAC) — это модель контроля доступа, в которой доступ определяется владельцем ресурса. Владелец ресурса контролирует, кто имеет доступ, а кто нет, а также какой доступ у них есть.

Статьи по теме

• ДИСКРЕЦИОННЫЙ КОНТРОЛЬ ДОСТУПА: определение и примеры
• Инструменты управления Active Directory: что это такое и все, что вам нужно о нем знать
• Дискреционное управление инвестициями: обзор, преимущества и риски
• ОПРЕДЕЛЕНИЕ ДИСКРЕЦИОННОГО ДОХОДА: что это такое, отличия и примеры
• Программное обеспечение для управления школами: лучший выбор в 2022 году

Рекомендации

• TechTarget
• IBM.com
• ScienceDirect