ДИСКРЕЦІЙНИЙ КОНТРОЛЬ ДОСТУПУ: визначення та приклади

Дискреційний контроль доступу реалізується за допомогою списків контролю доступу. Адміністратор безпеки створює профіль і змінює список контролю доступу для профілю для кожного об’єкта (ресурсу або групи ресурсів). Цей тип контролю є дискреційним у тому сенсі, що суб’єкти можуть ним маніпулювати. Тому що власник ресурсу може вирішити, хто може отримати доступ до ресурсу та з якими повноваженнями. У цій публікації ми точно дізнаємося, що таке дискреційний контроль доступу (DAC), його приклад і чим він відрізняється від недискреційного контролю доступу.

Що таке дискреційний контроль доступу (DAC)

Свого роду контроль доступу безпеки, який називається дискреційним контролем доступу (DAC), дозволяє або забороняє доступ до елемента на основі політики, встановленої групою власників та/або суб’єктами об’єкта. Елементи керування для підходу DAC визначаються ідентифікацією користувача. Використовуючи облікові дані, надані під час входу, наприклад ім’я користувача та пароль. DAC є необов’язковими, оскільки суб’єкт (власник) має повноваження надавати іншим користувачам доступ до автентифікованих об’єктів або інформації. Іншими словами, власник контролює привілеї доступу до об'єкта. 

Ці системи пропонують найбільше дозволів і є найбільш настроюваними порівняно з іншими типами контролю доступу. Однак через свою надзвичайну гнучкість вони не є найбезпечнішими. Причина цього в тому, що одна людина має повний контроль над системою. І вони можуть пропонувати доступ людям, яким не повинні. Крім того, системи DAC забезпечують контроль власникам бізнесу, а не експертам із безпеки. Що стосується прав доступу та дозволів для користувачів. Вони також мають бути в курсі найкращих практик безпеки та рекомендацій.

Таким чином, найкращі програми для цього інструменту включають підприємства, де не потрібен високий рівень безпеки. А також місця, які вимагають найбільшої гнучкості та корисності. Типові випадки використання включають школи, тренінги, малі підприємства, стартапи та малі підприємства.

Плюси та мінуси диспозиційного контролю доступу (DAC)

Нижче наведено деякі переваги використання DAC:

• Зручність: Інтерфейс користувача простий у використанні та роботі, і цей метод робить обробку даних і привілеїв відносно простими.
• Гнучкість: цей елемент керування пропонує найбільшу кількість дозволів і найпростіший спосіб надання доступу іншим, як уже згадувалося.
• Майже ніякого обслуговування: Оскільки ці системи не потребують постійного ремонту та обслуговування, адміністрування потрібне для меншого керування ними.

Нижче наведено деякі недоліки використання дискреційного контролю доступу:

• Менш надійний: Оскільки доступ можна легко передати від однієї особи до іншої, а інформація може витікати за межі компанії, DAC не є найбезпечнішим рішенням.
• Важко контролювати потік даних: Оскільки DAC децентралізований, важко контролювати потік даних і дозволи доступу. Єдиний спосіб досягти цього — використовувати ACL (список контролю доступу). Однак це можливо лише у випадку малого підприємства з кількома працівниками.

Які бувають види контролю доступу?

Три основні типи систем контролю доступу: дискреційний контроль доступу (DAC), рольовий контроль доступу (RBAC) і обов’язковий контроль доступу (MAC).

Чому дискреційний контроль доступу важливий?

Ризики безпеки зменшуються дискреційними обмеженнями доступу. Він створює брандмауер від атак шкідливих програм і несанкціонованого доступу. Забезпечуючи високо зашифрований протокол безпеки, який потрібно обійти, перш ніж буде дозволено доступ.

Як ми можемо реалізувати метод дискреційного контролю доступу?

• Визначити доступ: Здатність суб'єкта використовувати об'єкт для виконання дії відповідно до певної політики залежить від того, чи є у нього доступ до нього.
• Надати доступ: Надаючи доступ, ви можете дозволити комусь використовувати певний об’єкт.

Які недоліки дискреційного контролю доступу?

• Користувачі, які мають надмірну кількість привілеїв або недостатні привілеї: Користувачі можуть бути частиною кількох вкладених робочих груп. Неузгоджені дозволи можуть надати користувачеві надмірні або недостатні привілеї.
• Обмежений контроль: Адміністраторам безпеки важко стежити за розподілом ресурсів у фірмі.

Приклад дискреційного контролю доступу

У дискреційному управлінні доступом, наприклад, кожен системний об’єкт (файл або об’єкт даних) має власника або особу, яка створила об’єкт. У результаті власник елемента визначає політику доступу. Типовим прикладом DAC є файловий режим Unix, який визначає привілеї читання, запису та виконання для кожного користувача, групи та інших сторін у кожному з трьох бітів.

Особливості ЦАП включають:

• Користувач має можливість змінювати власника(ів) об’єкта.
• Користувачі відповідають за визначення рівня доступу інших користувачів.
• Після багатьох спроб помилки дозволу обмежують доступ користувача.
• Розмір файлу, ім’я файлу та шлях до каталогу є атрибутами об’єкта, невидимими для користувачів без авторизації.
• На основі ідентифікації користувача та/або членства в групі доступ до об’єкта визначається під час затвердження списку керування доступом (ACL).

Продавець може, наприклад, отримати доступ до білінгової системи. Щоб вони могли переглядати платіжну діяльність, пов’язану з профілями клієнтів, які містять їхній ідентифікаційний номер продажу. Але не платіжна діяльність інших клієнтів. Тому що права доступу можна пристосувати для певних користувачів. Лише ті, хто відповідає за нагляд за всією мережею, мають доступ до всіх даних. У результаті менша ймовірність того, що хакери, корпоративні шпигуни чи навіть незадоволені колишні співробітники, які шукають спосіб помститися компанії, використають це для вчинення злочинів.

Точна організація DAC залежить від того, які програми є корисними та як розподілені права доступу. Деякі параметри дозволяють призначати певні облікові дані для входу, які згодом корисні для зміни дозволів для кожної з цих програм.

Недискреційний контроль доступу

Недискреційний контроль доступу (NDAC) відноситься до будь-якої стратегії контролю дозволів, крім дискреційного контролю доступу (DAC). Обов’язковий контроль доступу (MAC), у якому авторизація надається, лише якщо дозвіл суб’єкта відповідає рівню чутливості об’єкта, часто називають NDAC.

Приклади недискреційних моделей контролю доступу

Користувачі не можуть передавати доступ на власний розсуд за недискреційними схемами контролю доступу. Приклади недискреційного контролю доступу включають:

• Під керуванням доступом на основі ролей доступ надається відповідно до обов’язків, які призначає адміністратор.
• У керуванні доступом на основі правил доступ визначається за допомогою встановлених правил. Цей тип обмеження доступу широко використовується маршрутизаторами та брандмауерами для збереження безпеки мережі.
• Під керуванням доступом на основі атрибутів доступ визначається такими атрибутами користувача, як посада, команда, місцезнаходження та пристрій.

Яка різниця між дискреційним і недискреційним контролем доступу?

Недискреційні витрати включають такі речі, як орендна плата, податки, виплата боргу та харчування. Дискреційні витрати – це будь-які витрати, які перевищують те, що вважається необхідним.

Яка різниця між MAC і DAC?

Основна відмінність між DAC і MAC полягає в тому, що перший використовує метод контролю доступу. Де власник ресурсу контролює доступ, а останній надає доступ на основі рівня дозволу користувача.

Яка модель DAC?

Модель DAC, парадигма контролю доступу на основі ідентичності, дає користувачам певний ступінь контролю над своїми даними.

FAQ

Пов'язані статті

• Дискреційне управління інвестиціями: огляд, переваги та ризики
• ВИЗНАЧЕННЯ ДИСКРЕЦІЙНОГО ДОХОДУ: що це таке, різниця та приклади
• Дискреційна фіскальна політика: остаточний посібник на 2023 рік (+ докладні приклади)
• Інструменти керування Active Directory: що це таке та все, що вам потрібно про це знати

посилання 

• firewalltimes.com
• easytechjunkie.com
• techopedia.com