ОБОВ’ЯЗКОВИЙ КОНТРОЛЬ ДОСТУПУ MAC: як це працює

Контроль доступу – це засіб безпеки, який можна використовувати для запобігання несанкціонованому доступу до конфіденційних даних. Але як обов’язковий контроль доступу (MAC) сприяє безпеці? Читайте далі, щоб дізнатися.

Що таке контроль доступу?

Користувачі часто стикаються з ресурсами та активами, до яких вони повинні або не повинні мати доступ, коли вони досліджують фізичні та цифрові мережі. Це особливо вірно в цифрових системах, де бічна міграція до окремих сховищ, програм або місць обробки може наражати всю інфраструктуру на небезпечні загрози безпеці.

Щоб розділити активи та ресурси, менеджери безпеки використовують «контроль доступу», який визначає, хто має доступ до певних ресурсів.

Після автентифікації користувача та авторизації для входу в систему за допомогою облікового запису користувача або посвідчення особи система контролю доступу встановлює обмеження, які регулюють, хто, коли, де і, в деяких випадках, як цей користувач може переглядати систему.

Хоча на поверхні це поняття здається простим, існують різні схеми контролю доступу, які допомагають захистити ресурси від несанкціонованого доступу, але ми зосередимося на одній – обов’язковому контролі доступу.

Що таке обов'язковий контроль доступу MAC?

Обов’язковий контроль доступу (MAC) — це модель контролю доступу, у якій операційна система надає доступ користувачам залежно від рівня конфіденційності даних і дозволу користувача. У цій моделі доступ надається за принципом «необхідність знати»: користувачі повинні продемонструвати потребу в інформації, перш ніж отримати доступ.

Обов’язковий контроль доступу MAC також відомий як модель недискреційного контролю, що означає, що керування не надається на розсуд користувача чи власника файлу. Механізми контролю MAC дотримуються принципів нульової довіри.

MAC вважається найбезпечнішою моделлю контролю доступу. У цій моделі правила доступу вказуються вручну системними адміністраторами та жорстко дотримуються операційною системою або ядром безпеки. Навіть для даних, які вони розробили, звичайні користувачі не можуть змінити властивості безпеки.

Які основні концепції обов’язкового контролю доступу MAC?

1. Конфіденційність і конфіденційність ресурсів організації є надзвичайно важливими. Ніхто не має права доступу чи редагування чужих даних за умовчанням.
2. Наданням доступу керують централізовано.
3. Мітки безпеки з класифікацією та категорією призначаються кожній людині та ресурсу в системі.

Процедура отримання доступу за допомогою MAC така:

1. Адміністратор налаштовує обмеження доступу та встановлює параметри безпеки, такі як рівні конфіденційності та дозволи для різних проектів і типів ресурсів.
2. Кожному суб’єкту (користувачу або ресурсу, який отримує доступ до даних) і об’єкту (файлу, базі даних, порту тощо) адміністратор надає набір атрибутів.
3. Коли суб’єкт намагається отримати доступ до об’єкта, операційна система оцінює атрибути безпеки суб’єкта та визначає, чи дозволений доступ чи ні.
4. Користувач вводить свої облікові дані, щоб отримати доступ до елемента.

Операційні системи звертають увагу на відповідність категорій між суб’єктом і об’єктом на додаток до оцінки рівнів конфіденційності та доступу (класифікаційні відповідності між суб’єктом і об’єктом). Якщо користувач не належить до необхідної категорії для об’єкта, наявність «цілком таємного» рівня секретності не надає йому автоматично повного доступу до файлу.

Розглянемо дані зі ступенем секретності «цілком таємно» та грифом секретності «технічний проект». Він доступний лише для користувачів, які мають допуск «цілком таємно» (класифікація) і дозвіл на доступ до технічної документації (категорія). Ці користувачі також можуть отримати доступ до матеріалів, які потребують меншого рівня перевірки безпеки. З іншого боку, працівники з нижчим рівнем кваліфікації або без доступу до технічної документації не можуть отримати доступ до такої інформації.

Система кібербезпеки отримує велику користь від MAC. Однак є багато недоліків, які слід враховувати. Розглянемо переваги та недоліки обов’язкового контролю доступу.

Плюси і мінуси MAC

профі

• Високий рівень безпеки даних – Доступ до об’єктів визначається адміністратором, і користувачі не можуть змінити цей доступ.
• Гранулярність — Адміністратор вручну налаштовує права доступу користувачів і параметри доступу до об’єктів.
• Імунітет до атак троянського коня – Користувачі не можуть розсекретити або надати доступ до секретних матеріалів, що робить їх захищеними від атак троянського коня.
• Менше помилок – Суворі політики, які регулярно контролюються, допомагають зменшити кількість системних помилок, які призводять до надмірних привілейованих користувачів.
• Строгий поділ – Адміністратори ділять користувачів на підмножини та використовують атрибути безпеки, щоб обмежити доступ до ресурсів для цих груп.

мінуси

• Підтримка – Ручне налаштування рівнів безпеки та дозволів потребує постійної уваги адміністраторів.
• масштабованість – MAC не масштабується автоматично. Нові користувачі та дані вимагають частого коригування об’єктів і конфігурацій облікових записів.
• Втручання в роботу користувачів – Користувачі повинні запитувати доступ до кожної нової частини даних, з якими вони стикаються; вони не можуть визначити параметри доступу для своїх власних даних.

Коли слід використовувати MAC обов’язкового контролю доступу?

Ця модель контролю доступу в основному використовується державними установами, військовими та правоохоронними органами. Уряд США використовує MAC для захисту секретної інформації, а також для підтримки багаторівневої політики безпеки та програм. У страхових і банківських галузях MAC використовується для контролю доступу до даних облікових записів клієнтів для кращого захисту даних і відповідності. Ця недискреційна модель контролю доступу може також захистити доступ до бази даних, де об’єктами є процедури, таблиці, представлення та інші функції.

Має сенс використовувати MAC у компаніях, які надають пріоритет безпеці даних, а не операційній гнучкості та витратам. Через складність і негнучкість системи впровадження MAC у приватних організаціях є рідкістю.

Чиста модель MAC забезпечує детальну безпеку високого рівня. Однак його важко налаштувати та керувати ним. У результаті MAC часто поєднується з іншими схемами контролю доступу.

Поєднання його, наприклад, із рольовою моделлю прискорює створення профілів користувачів. Адміністратор може створювати ролі користувачів замість визначення прав доступу для кожного окремого користувача. Користувачі з однаковими ролями та правами доступу існують у кожній організації: працівники з однаковими посадами, сторонні постачальники тощо. Замість створення окремих профілів користувачів з нуля адміністратор може налаштувати ролі для цих груп.

Іншим частим сполученням є MAC з дискреційною моделлю контролю доступу, скорочено DAC. MAC захищає конфіденційні дані, тоді як DAC дозволяє колегам обмінюватися інформацією в корпоративній файловій системі.

Інші методи контролю доступу

# 1. Контроль доступу на основі правил

Цей метод призначає дозволи користувачам на основі попередньо визначеного набору правил і політик. Ці правила встановлюють «контекст», з якого можна отримати доступ до ресурсів. Ці обмеження викладено в списку контролю доступу (ACL), який додається до «об’єкта» (ресурсу, будь то дозволи на обробку, дані, доступ до облікового запису чи щось інше).

Деякі приклади доступу на основі правил включають обмеження доступу до системи певним часом доби або місцями (наприклад, обмеження доступу до пристроїв в офісі або поблизу нього).

#2. Контроль доступу на основі ролей

Рольовий доступ – це метод, за якого ролі користувачів організації визначають права доступу. Організація матиме чітко визначену організаційну ієрархію, а також чітко визначений набір дозволів залежно від обов’язків у цій ієрархії. Будь-якому користувачеві, якому призначено роль, будуть надані дозволи, пов’язані з цією роллю.

Рольовий доступ надзвичайно поширений. Дозволи на основі ролей найчастіше зустрічаються в багатокористувацьких системах. Постачальник загальнодоступних послуг (наприклад, постачальник послуг електронної пошти або хмарних послуг) може мати кілька категорій облікових записів (користувачі, VIP-користувачі, адміністратори, модератори тощо), кожна з яких має власний приклад дозволів і елементів керування доступом. Щоб забезпечити спільне середовище, система на основі ролей обмежує, хто може отримати доступ до чого в системі.

#3. Контроль доступу на основі атрибутів

Системи на основі атрибутів більш детальні, ніж системи на основі ролей і правил. Замість того, щоб переглядати список правил, пов’язаних із ресурсами (як у системах правил) або ролями (як у системах ролей), системи на основі атрибутів можуть отримувати динамічну інформацію з облікових записів користувачів для створення більш плавних і чутливих систем доступу.

Припустімо, що корпорація має справу з секретними прикладами. Таким чином, окремим користувачам може бути призначено доступ до СЕКРЕТНИХ даних — це буде атрибут особи, а не роль чи ресурс.

Ці методи контролю доступу не є взаємовиключними. Наприклад, системи на основі атрибутів і ролей можна використовувати для точного налаштування безпеки системи та даних.

#4. Дискреційний контроль доступу

Дискреційний контроль доступу (DAC), з іншого боку, дозволяє клієнтам і бізнес-користувачам додатковий контроль над своїми засобами контролю доступу. У той час як адміністратор безпеки може створювати ролі та дозволи в системі, користувач може перевизначати такі дозволи, щоб надати доступ певним користувачам, які повинні мати доступ на основі їхніх облікових даних для бізнесу.

Ця стратегія може забезпечити певну гнучкість щодо того, як компанія надає людям доступ. Коли адміністратори місцевого бізнесу нехтують оновленням або налаштуванням своїх локальних дозволів, це вводить можливі вразливості. Як наслідок, DAC — це технологія, що потребує високого обслуговування, яка, хоча й адаптована, потребує постійного обслуговування.

Яка різниця між обов’язковим і дискреційним контролем доступу?

MAC і DAC поляризовані. Незважаючи на те, що різні методи контролю доступу можуть певним чином співіснувати, важко (якщо взагалі неможливо) успішно використовувати як DAC, так і MAC, не топчучи один одного.

Зважаючи на це, ці несумісності частково спричинені розбіжностями між двома техніками. Обов’язкові та дискреційні відрізняються кількома важливими ознаками:

• Захист: При правильному застосуванні обов’язковий розсуд забезпечує більш надійний і передбачуваний захист. Дискреційний контроль доступу може надати організації важливу гнучкість, але він також може викликати можливі конфлікти між індивідуальними та загальноорганізаційними дозволами.
• Контроль користувача: Крім того, обов’язкові обмеження не є надзвичайно гнучкими поза межами своєї схеми, і це з поважних причин — щоб вирішити проблеми безпеки організації, пов’язані з доступом. Однак існують реальні ситуації, коли працівникам організації слід надати доступ до певних ресурсів, навіть якщо їхня посада чи атрибути користувача цього не дозволяють.
• Ремонтопридатність: Як правило, обов’язкові засоби контролю доступу розробляються зверху вниз і плануються централізовано. Тобто вони можуть підтримувати надійну авторизацію в усій системі з вимогами безпеки та нормативними вимогами, реалізованими в одному місці.

З іншого боку, DAC може ускладнитися, якщо кінцевий користувач недбало реалізує локальний контроль доступу або не оновлює свій список дозволів, коли співробітники звільняються або звільняються.

Висновок

Обов'язковий контроль доступу (MAC) — це метод безпеки, який обмежує можливість окремих власників ресурсів надавати або забороняти доступ до об'єктів ресурсів файлової системи. Системний адміністратор визначає вимоги до MAC, які суворо дотримуються операційною системою (ОС) або ядром безпеки та не можуть бути змінені кінцевими користувачами.

Обов’язковий контроль доступу, який зазвичай використовується в урядових і військових установах, працює шляхом призначення мітки класифікації кожному елементу файлової системи. Є три рівні секретності: конфіденційно, таємно та цілком таємно. Кожен користувач і пристрій у системі класифікуються та очищуються на одному рівні. Коли особа або пристрій намагається отримати доступ до певного ресурсу, операційна система або ядро ​​безпеки перевіряє облікові дані об’єкта, щоб визначити, чи є доступ авторизованим. Хоча це найбезпечніший із доступних варіантів керування доступом, MAC вимагає ретельного планування та регулярного моніторингу, щоб переконатися, що всі об’єкти ресурсів і користувачі класифіковані правильно.

MAC — це найвищий ступінь контролю доступу, на відміну від дискреційного контролю доступу нижчого рівня (DAC), який дозволяє окремим власникам ресурсів створювати власні правила та накладати обмеження безпеки.

Поширені запитання щодо обов’язкового контролю доступу

Яка різниця між MAC і DAC?

Використання DAC є менш безпечним. Використання MAC більш безпечне. Власник DAC може визначати доступ і привілеї, а також обмежувати ресурси на основі ідентичності користувачів. У MAC система лише оцінює доступ, а ресурси обмежуються на основі дозволу окремих осіб.

Windows використовує MAC чи DAC?

Більшість операційних систем, включаючи всі версії Windows, Linux і Macintosh, а також більшість різновидів Unix, засновані на моделях DAC.

Що таке модель DAC?

Дискреційний контроль доступу (DAC) — це модель контролю доступу, у якій доступ визначається власником ресурсу. Власник ресурсу контролює, хто має доступ, а хто ні, а також який доступ вони мають.

Статті по темі

• ДИСКРЕЦІЙНИЙ КОНТРОЛЬ ДОСТУПУ: визначення та приклади
• Інструменти керування Active Directory: що це таке та все, що вам потрібно про це знати
• Дискреційне управління інвестиціями: огляд, переваги та ризики
• ВИЗНАЧЕННЯ ДИСКРЕЦІЙНОГО ДОХОДУ: що це таке, різниця та приклади
• Програмне забезпечення для управління школами: найкраще у 2022 році

посилання

• TechTarget
• IBM.com
• ScienceDirect