TTeknoloji

ZORUNLU ERİŞİM KONTROLÜ MAC: Nasıl Çalışır?

Zorunlu Erişim kontrolü
İçindekiler gizlemek
  1. Erişim Kontrolü Nedir?
  2. Zorunlu Erişim Kontrolü MAC Nedir?
  3. Zorunlu Erişim Kontrolü MAC'in Temel Kavramları Nelerdir?
  4. MAC'in Artıları ve Eksileri
    1. Artılar
    2. Eksiler
  5. Zorunlu Erişim Kontrolü MAC'ini Ne Zaman Kullanmalısınız?
  6. Diğer Erişim Kontrol Yöntemleri
    1. #1. Kural Tabanlı Erişim Kontrolü
    2. #2. Rol Tabanlı Erişim Kontrolü
    3. #3. Özniteliğe Dayalı Erişim Kontrolü
    4. #4. Isteğe bağlı erişim kontrolü
  7. Zorunlu ve İsteğe Bağlı Erişim Kontrolü Arasındaki Fark Nedir?
  8. Sonuç
  9. Zorunlu Erişim Kontrolü SSS'leri
  10. MAC ve DAC arasındaki fark nedir?
  11. Windows MAC veya DAC kullanıyor mu?
  12. DAC modeli nedir?
    1. İlgili Makaleler
    2. Referanslar

Erişim kontrolü, hassas verilere yetkisiz erişimi önlemek için kullanılabilecek bir güvenlik önlemidir. Ancak zorunlu erişim denetimi (MAC) güvenliğe nasıl katkıda bulunur? Öğrenmek için okumaya devam edin.

Erişim Kontrolü Nedir?

Kullanıcılar, fiziksel ve dijital ağları keşfederken, erişmeleri gereken veya erişmemeleri gereken kaynaklar ve varlıklarla sıklıkla temasa geçerler. Bu, özellikle ayrı depolama, uygulama veya işleme konumlarına yanal geçişin tüm altyapıyı tehlikeli güvenlik tehditlerine maruz bırakabileceği dijital sistemler için geçerlidir.

Varlıkları ve kaynakları ayrı tutmak için güvenlik yöneticileri, belirli kaynaklara kimin erişimi olduğunu tanımlayan "erişim kontrolleri" kullanır.

Bir kullanıcının kimliği doğrulandıktan ve bir kullanıcı hesabı veya kimliği kullanarak bir sisteme girmek için yetkilendirildikten sonra, bir erişim kontrol sistemi, bu kullanıcının kim, ne zaman, nerede ve bazı durumlarda sisteme nasıl göz atabileceğini yöneten kısıtlamalar belirler.

Yüzeyde, bu kavram basit görünse de, kaynakların yetkisiz erişime karşı korunmasına yardımcı olan çeşitli farklı erişim kontrol şemaları vardır, ancak burada bir tanesine odaklanacağız - zorunlu erişim kontrolü.

Zorunlu Erişim Kontrolü MAC Nedir?

Zorunlu erişim denetimi (MAC), işletim sisteminin kullanıcılara veri gizliliği ve kullanıcı izin düzeylerine bağlı olarak erişim izni verdiği bir erişim denetimi modelidir. Bu modelde erişim, bilmesi gerekenler temelinde verilir: kullanıcılar erişim almadan önce bilgiye ihtiyaç duyduklarını göstermelidir.

Zorunlu erişim kontrolü MAC, isteğe bağlı olmayan bir kontrol modeli olarak da bilinir; bu, kontrolün kullanıcının veya dosya sahibinin takdirine bağlı olarak verilmediği anlamına gelir. MAC'in kontrol mekanizmaları sıfır güven ilkelerine bağlıdır.

MAC, en güvenli erişim kontrol modeli olarak kabul edilir. Bu modelde, erişim kuralları sistem yöneticileri tarafından manuel olarak belirlenir ve işletim sistemi veya güvenlik çekirdeği tarafından katı bir şekilde uygulanır. Geliştirdikleri veriler için bile, normal kullanıcılar güvenlik özelliklerini değiştiremez.

Zorunlu Erişim Kontrolü MAC'in Temel Kavramları Nelerdir?

  1. Kuruluşun kaynaklarının mahremiyeti ve gizliliği son derece önemlidir. Hiç kimsenin başka birinin verilerine varsayılan erişimi veya düzenleme ayrıcalıkları yoktur.
  2. Erişim sağlama merkezi olarak yönetilir.
  3. Sistemdeki her insan ve kaynağa sınıflandırma ve kategori içeren güvenlik etiketleri atanır.

MAC ile erişim elde etme prosedürü aşağıdaki gibidir:

  1. Yönetici, farklı projeler ve kaynak türleri için erişim kısıtlamalarını yapılandırır ve gizlilik seviyeleri ve izinler gibi güvenlik parametreleri oluşturur.
  2. Her konuya (verilere erişen kullanıcı veya kaynak) ve nesneye (dosya, veritabanı, bağlantı noktası vb.) yönetici tarafından bir dizi özellik verilir.
  3. Bir özne bir nesneye erişmeye çalıştığında, işletim sistemi öznenin güvenlik özniteliklerini değerlendirir ve erişime izin verilip verilmediğini belirler.
  4. Kullanıcı, öğeye erişmek için kimlik bilgilerini girer.

İşletim sistemleri, gizlilik ve açıklık düzeylerini (özne ve nesne arasındaki sınıflandırma eşleşmeleri) değerlendirmenin yanı sıra özne ile nesne arasındaki kategori eşleşmelerine de dikkat eder. Bir kullanıcı, nesne için gerekli kategorinin bir üyesi değilse, "çok gizli" bir sınıflandırmaya sahip olmak, onlara otomatik olarak bir dosyaya tam erişim hakkı vermez.

"Çok gizli" gizlilik düzeyine ve "mühendislik projesi" güvenlik sınıflandırmasına sahip verileri değerlendirin. Yalnızca hem "çok gizli" izni (sınıflandırma) hem de mühendislik belgelerine erişim izni (kategori) olan kullanıcılar tarafından erişilebilir. Bu kullanıcılar ayrıca daha düşük düzeyde güvenlik izni gerektiren materyallere de erişebilir. Diğer yandan, daha düşük düzeyde yetkiye sahip olan veya mühendislik belgelerine erişimi olmayan çalışanlar bu bilgilere erişemez.

Bir siber güvenlik sistemi MAC'den büyük ölçüde yararlanır. Ancak, dikkate alınması gereken çok sayıda dezavantaj vardır. Zorunlu erişim kontrolünün avantajlarını ve dezavantajlarını göz önünde bulundurun.

MAC'in Artıları ve Eksileri

Artılar

  • Yüksek düzeyde veri güvenliği – Nesnelere erişim bir yönetici tarafından tanımlanır ve kullanıcılar bu erişimi değiştiremez.
  • Granülerlik — Bir yönetici, kullanıcı erişim izinlerini ve nesne erişim parametrelerini manuel olarak yapılandırır.
  • Truva Atı Saldırılarına Karşı Bağışıklık – Kullanıcılar, sınıflandırılmış materyalin sınıflandırmasını kaldıramaz veya erişim sağlayamaz, bu da onları Truva Atı saldırılarına karşı bağışık hale getirir.
  • Daha az hata – Sıkı ve düzenli olarak izlenen politikalar, aşırı ayrıcalıklı kullanıcılarla sonuçlanan sistem hatalarının azaltılmasına yardımcı olur.
  • katı bölüm – Yöneticiler, kullanıcıları alt kümelere ayırır ve bu gruplar için kaynak maruziyetini sınırlamak için güvenlik özniteliklerinden yararlanır.

Eksiler

  • İdame – Güvenlik düzeylerinin ve izinlerin manuel olarak yapılandırılması, yöneticilerin sürekli olarak ilgilenmesini gerektirir.
  • ölçeklenebilirlik – MAC otomatik olarak ölçeklenmez. Yeni kullanıcılar ve veriler, nesnelerde ve hesap yapılandırmalarında sık sık ayarlamalar gerektirir.
  • Kullanıcıların çalışmalarına müdahale – Kullanıcılar karşılaştıkları her yeni veri parçasına erişim talep etmelidir; kendi verileri için erişim parametreleri tanımlayamazlar.

Zorunlu Erişim Kontrolü MAC'ini Ne Zaman Kullanmalısınız?

Bu erişim kontrol modeli çoğunlukla devlet kurumları, ordular ve kolluk kuvvetleri tarafından kullanılır. ABD hükümeti, gizli bilgileri güvence altına almak ve katmanlı güvenlik politikalarını ve uygulamalarını desteklemek için MAC kullanır. Sigorta ve bankacılık sektörlerinde MAC, daha fazla veri koruması ve uyumluluk için müşteri hesap verilerine erişimi kontrol etmek için kullanılır. Bu isteğe bağlı olmayan erişim kontrol modeli, nesnelerin prosedürler, tablolar, görünümler ve diğer özellikler olduğu bir veritabanına erişimi de koruyabilir.

Veri güvenliğini operasyonel esneklik ve masraflardan daha ön planda tutan firmalarda MAC kullanmak mantıklıdır. Sistemin karmaşıklığı ve esnek olmaması nedeniyle, özel bir kuruluşta MAC uygulaması yaygın değildir.

Saf bir MAC modeli, ayrıntılı ve üst düzey güvenlik sağlar. Ancak kurulumu ve yönetimi zordur. Sonuç olarak, MAC sıklıkla diğer erişim kontrol şemaları ile birleştirilir.

Örneğin, bunu rol tabanlı modelle birleştirmek, kullanıcı profillerinin oluşturulmasını hızlandırır. Bir yönetici, her bir kullanıcı için erişim haklarını tanımlamak yerine kullanıcı rolleri oluşturabilir. Her kuruluşta karşılaştırılabilir rollere ve erişim haklarına sahip kullanıcılar bulunur: aynı iş unvanına sahip çalışanlar, üçüncü taraf satıcılar vb. Bir yönetici, sıfırdan bireysel kullanıcı profilleri oluşturmak yerine bu gruplar için rolleri yapılandırabilir.

Diğer bir sık ​​eşleştirme, DAC olarak kısaltılan isteğe bağlı erişim kontrol modeliyle MAC'dir. MAC, hassas verileri korurken DAC, iş arkadaşlarının kurumsal bir dosya sistemi içinde bilgi paylaşmasına izin verir.

Diğer Erişim Kontrol Yöntemleri

# 1. Kural Tabanlı Erişim Kontrolü

Bu yöntem, önceden tanımlanmış bir dizi kural ve ilkeye dayalı olarak kullanıcılara izinler atar. Bu kurallar, kaynak erişiminin elde edilebileceği bir “bağlam” oluşturur. Bu kısıtlamalar, bir "nesneye" (kaynak, işleme izinleri, veri, hesap erişimi veya başka bir şey) eklenen bir Erişim Kontrol Listesinde (ACL) ana hatlarıyla belirtilmiştir.

Bazı kural tabanlı erişim örnekleri, sistem erişimini günün belirli saatleri veya konumlarıyla sınırlamayı içerir (örneğin, bir ofis konumunda veya yakınındaki cihazlara erişimi sınırlama).

#2. Rol Tabanlı Erişim Kontrolü

Rol tabanlı erişim, bir kuruluşun kullanıcı rollerinin erişim izinlerini tanımladığı bir yöntemdir. Kuruluş, iyi tanımlanmış bir organizasyon hiyerarşisine ve bu hiyerarşi içindeki sorumluluklara bağlı olarak açıkça tanımlanmış bir dizi izine sahip olacaktır. Bir role atanan herhangi bir kullanıcıya, o rolle ilişkili izinler verilir.

Rol tabanlı erişim son derece yaygındır. Rol tabanlı izinler en çok çok kullanıcılı sistemlerde bulunur. Herkese açık bir hizmet sağlayıcı (e-posta veya bulut hizmeti sağlayıcısı gibi), her biri kendi izin ve erişim denetimi örneğine sahip birden çok hesap kategorisine (kullanıcılar, VIP kullanıcıları, yöneticiler, moderatörler vb.) sahip olabilir. Paylaşılan bir ortama izin vermek için, rol tabanlı bir sistem, sistem içinde kimin neye erişebileceğini kısıtlayacaktır.

#3. Özniteliğe Dayalı Erişim Kontrolü

Nitelik tabanlı sistemler, hem rol tabanlı hem de kural tabanlı sistemlerden daha ayrıntılıdır. Öznitelik tabanlı sistemler, kaynaklarla (kural sistemlerinde olduğu gibi) veya rollerle (rol sistemlerinde olduğu gibi) ilişkili bir kurallar listesine bakmak yerine, daha akıcı ve duyarlı erişim sistemleri oluşturmak için kullanıcı hesaplarından dinamik bilgiler çıkarabilir.

Bir şirketin sınıflandırılmış örneklerle ilgilendiğini varsayalım. Bireysel kullanıcılar bu nedenle GİZLİ verilere erişim için atanabilir - bu bir rol veya kaynak değil, kişinin bir özelliği olacaktır.

Erişim kontrolüne yönelik bu teknikler birbirini dışlamaz. Örneğin, sistem ve veri güvenliğine ince ayar yapmak için öznitelik ve rol tabanlı sistemler kullanılabilir.

#4. Isteğe bağlı erişim kontrolü

İsteğe Bağlı Erişim Kontrolü (DAC), diğer yandan, müşterilere ve işletme son kullanıcılarına erişim kontrolleri üzerinde ek kontrol sağlar. Bir güvenlik yöneticisi sistem genelinde roller ve izinler oluşturabilirken, kullanıcı, iş kimlik bilgilerine dayalı olarak erişimi olması gereken belirli kullanıcılara erişim sağlamak için bu tür izinleri geçersiz kılabilir.

Bu strateji, bir şirketin insanlara erişim izni verme konusunda biraz esneklik sağlayabilir. Yerel işletme yöneticileri yerel izinlerini güncellemeyi veya yapılandırmayı ihmal ettiğinde, olası güvenlik açıkları ortaya çıkar. Sonuç olarak DAC, uyarlanabilir olmakla birlikte sürekli bakım gerektiren yüksek bakım gerektiren bir teknolojidir.

Zorunlu ve İsteğe Bağlı Erişim Kontrolü Arasındaki Fark Nedir?

MAC ve DAC polarizedir. Çeşitli erişim kontrol yöntemleri bazı şekillerde bir arada var olabilse de, hem DAC'ı hem de MAC'i birbirini durdurmadan başarılı bir şekilde sahaya çıkarmak (imkansız değilse bile) zordur.

Bununla birlikte, bu uyumsuzluklar kısmen iki teknik arasındaki farklılıklardan kaynaklanmaktadır. Zorunlu ve isteğe bağlı, birkaç önemli yönden farklılık gösterir:

  • Koruma: Doğru uygulandığında, zorunlu takdir daha güvenilir ve öngörülebilir koruma sağlar. İsteğe bağlı erişim denetimi, bir kuruluşa önemli bir esneklik sağlayabilir, ancak aynı zamanda bireysel ve kuruluş çapında izinler arasında olası çelişkiler de sunabilir.
  • Kullanıcı kontrolü: Ek olarak, zorunlu kısıtlamalar şemalarının dışında son derece esnek değildir ve erişimle bağlantılı kurumsal güvenlik zorluklarını çözmek için iyi bir nedeni vardır. Ancak, bir kuruluştaki çalışanlara, konumları veya kullanıcı özellikleri izin vermese bile belirli kaynaklara erişim izni verilmesi gereken gerçek durumlar vardır.
  • Sürdürülebilirlik: Tipik olarak, zorunlu erişim kontrolleri yukarıdan aşağıya geliştirilir ve merkezi olarak planlanır. Yani, tek bir konumda uygulanan güvenlik ve düzenleyici gereksinimlerle bir sistem genelinde sağlam yetkilendirmeyi destekleyebilirler.

Öte yandan, bir son kullanıcı yerel erişim kontrolünü dikkatsizce uygularsa veya personel ayrıldığında veya sonlandırıldığında izin listesini güncellemezse DAC karmaşıklaşabilir.

Sonuç

Zorunlu erişim denetimi (MAC), bireysel kaynak sahiplerinin dosya sistemi kaynak nesnelerine erişim verme veya erişimi engelleme yeteneğini sınırlayan bir güvenlik yöntemidir. Sistem yöneticisi, işletim sistemi (OS) veya güvenlik çekirdeği tarafından katı bir şekilde zorunlu kılınan ve son kullanıcılar tarafından değiştirilemeyen MAC gereksinimlerini tanımlar.

Devlet ve askeri tesislerde yaygın olarak kullanılan zorunlu erişim denetimi, her dosya sistemi öğesine bir sınıflandırma etiketi atayarak çalışır. Üç sınıflandırma düzeyi vardır: gizli, gizli ve çok gizli. Sistemdeki her kullanıcı ve cihaz aynı seviyede sınıflandırılır ve temizlenir. Bir kişi veya cihaz belirli bir kaynağa erişmeye çalıştığında, işletim sistemi veya güvenlik çekirdeği, erişimin yetkili olup olmadığını belirlemek için varlığın kimlik bilgilerini kontrol eder. Mevcut en güvenli erişim kontrolü seçeneği olsa da, MAC, tüm kaynak nesnelerinin ve kullanıcıların doğru şekilde sınıflandırılmasını sağlamak için dikkatli planlama ve düzenli izleme gerektirir.

MAC, bireysel kaynak sahiplerinin kendi kurallarını oluşturmasına ve güvenlik kısıtlamaları uygulamasına izin veren düşük seviyeli isteğe bağlı erişim kontrolünün (DAC) aksine, en yüksek erişim kontrolü derecesidir.

Zorunlu Erişim Kontrolü SSS'leri

MAC ve DAC arasındaki fark nedir?

DAC kullanımı daha az güvenlidir. MAC kullanımı daha güvenlidir. DAC'nin sahibi, erişim ve ayrıcalıkları tanımlayabilir ve ayrıca kullanıcıların kimliğine göre kaynakları kısıtlayabilir. MAC'de, sistem yalnızca erişimi değerlendirir ve kaynaklar, kişilerin iznine göre kısıtlanır.

Windows MAC veya DAC kullanıyor mu?

Windows, Linux ve Macintosh'un tüm sürümlerinin yanı sıra çoğu Unix çeşidi de dahil olmak üzere çoğu işletim sistemi DAC modellerini temel alır.

DAC modeli nedir?

İsteğe bağlı erişim denetimi (DAC), erişimin kaynağın sahibi tarafından belirlendiği bir erişim denetimi modelidir. Kaynağın sahibi, kimin erişiminin olup olmadığının yanı sıra ne tür erişime sahip oldukları üzerinde kontrole sahiptir.

Referanslar

Peace, yeteneklerini BusinessYield gibi kuruluşlara ödünç veren kıdemli bir içerik yazarı, strateji uzmanı ve editördür. Geçmişi, B2B SaaS, uzman pazarlama ajansları ve eğlence alanlarındaki sektör uzmanlığıyla birlikte içerik oluşturma ve düşünce liderliği üzerinedir. Merkezi Missisauga, Ontario, CA'da bulunmaktadır ve Waterloo Üniversitesi'nden Dijital İletişim ve Gazetecilik Yeniliği alanında yüksek lisans derecesine sahiptir. İşi yoğun olmadığı zamanlarda seyahat etmeyi, okumayı ve karbonhidrat yemeyi seviyor. Zengin finans ve pazarlama deneyimlerine dayanarak iş makaleleri yazmayı seviyor.

Yorum bırak

E-posta hesabınız yayımlanmayacak. Gerekli alanlar işaretlenmişlerdir. *

- Önceki makale

ROL TABANLI ERİŞİM KONTROLÜ RBAC: Tanım, Tarihçe ve Örnekler

Sonraki makale -

2023'de İpoteği Yeniden Finanse Etmenin Maliyeti Ne Kadardır?

Hoşunuza gidebilir
Web Sitenizin Dijital Satın Alma Deneyimini Geliştirmenin 3 Yolu
Devamını Oku
    TTeknoloji

    Web Sitenizin Dijital Satın Alma Deneyimini Geliştirmenin 3 Yolu

    İçindekiler Gizle #1. Çevrimiçi Kaydı İsteğe Bağlı Hale Getirin#2. Hataları Düzeltmeyi Kolaylaştırın#3. Bir yatırım…