Discretionary Access Control (DAC) ist eine Art Zugriffskontrollsystem, das eine vom Eigentümer der Daten oder Ressourcen festgelegte Zugriffsrichtlinie bereitstellt. Der Eigentümer hat das Ermessen, anderen Benutzern oder Prozessen den Zugriff zu gewähren oder zu verweigern.
Die Entstehung und Entwicklung der diskretionären Zugangskontrolle
Das Konzept der diskretionären Zugangskontrolle geht auf die Anfänge gemeinsam genutzter Computersysteme zurück, insbesondere auf das in den 1960er Jahren entwickelte Multics-System (Multiplexed Information and Computing Service). Das Multics-System enthielt eine rudimentäre Form von DAC, die später als Inspiration für moderne Zugangskontrollsysteme diente. DAC wurde mit der Veröffentlichung des „Orange Book“ des US-Verteidigungsministeriums in den 1980er Jahren zu einem formalisierten Konzept, das mehrere Ebenen von Sicherheitskontrollen, einschließlich DAC, definierte.
Erweiterung des Verständnisses der diskretionären Zugangskontrolle
Die diskretionäre Zugriffskontrolle basiert auf den Grundsätzen diskretionärer Privilegien. Dies bedeutet, dass die Einzelperson oder Organisation, die Eigentümer der Daten oder Ressource ist, die Macht hat zu entscheiden, wer auf diese Daten oder Ressource zugreifen kann. Diese Kontrolle kann sich sowohl auf Lese- als auch auf Schreibberechtigungen erstrecken. Unter DAC wird eine Zugriffskontrollliste (ACL) verwaltet, die die Art des Zugriffs angibt, den ein Benutzer oder eine Benutzergruppe auf eine bestimmte Ressource hat.
Die interne Struktur und Funktionsweise der diskretionären Zugangskontrolle
Das DAC-Modell basiert hauptsächlich auf zwei Schlüsselkomponenten: Zugriffskontrolllisten (ACLs) und Funktionstabellen. Die ACLs sind jeder Ressource oder jedem Objekt zugeordnet und enthalten eine Liste von Subjekten (Benutzern oder Prozessen) sowie deren gewährte Berechtigungen. Andererseits enthalten Fähigkeitstabellen eine Liste von Objekten, auf die ein bestimmtes Subjekt zugreifen kann.
Wenn eine Zugriffsanforderung gestellt wird, überprüft das DAC-System die ACL oder die Fähigkeitstabelle, um festzustellen, ob der Anforderer auf die Ressource zugreifen darf. Wenn die ACL oder die Fähigkeitstabelle Zugriff gewährt, wird die Anfrage genehmigt. Andernfalls wird es abgelehnt.
Hauptmerkmale der diskretionären Zugangskontrolle
- Eigentümerbestimmter Zugriff: Der Eigentümer der Daten oder Ressource bestimmt, wer darauf zugreifen kann.
- Zugriffskontrolllisten: Eine ACL bestimmt, welche Art von Zugriff jeder Benutzer oder jede Benutzergruppe hat.
- Fähigkeitstabellen: In diesen Tabellen sind die Ressourcen aufgeführt, auf die ein Benutzer oder eine Benutzergruppe zugreifen kann.
- Flexibilität: Besitzer können Berechtigungen ganz einfach nach Bedarf ändern.
- Transitive Zugriffskontrolle: Wenn ein Benutzer Zugriff auf eine Ressource hat, kann er möglicherweise einem anderen Benutzer Zugriff gewähren.
Arten der diskretionären Zugangskontrolle
Während DAC auf verschiedene Arten implementiert werden kann, sind die beiden gängigsten Ansätze ACLs und Fähigkeitslisten.
| Ansatz | Beschreibung |
|---|---|
| Zugriffskontrolllisten (ACLs) | ACLs sind an ein Objekt (z. B. eine Datei) gebunden und legen fest, welche Benutzer auf das Objekt zugreifen und welche Vorgänge sie daran ausführen können. |
| Fähigkeitslisten | Berechtigungslisten sind an einen Benutzer gebunden und geben an, auf welche Objekte der Benutzer zugreifen kann und welche Vorgänge er an diesen Objekten ausführen kann. |
Anwendung, Herausforderungen und Lösungen der diskretionären Zugangskontrolle
DAC wird in den meisten Betriebssystemen und Dateisystemen wie Windows und UNIX häufig verwendet und ermöglicht Benutzern die gemeinsame Nutzung von Dateien und Ressourcen mit ausgewählten Einzelpersonen oder Gruppen.
Eine große Herausforderung bei DAC ist das „verwirrte Stellvertreterproblem“, bei dem ein Programm unbeabsichtigt Zugriffsrechte verlieren kann. Beispielsweise könnte ein Benutzer ein Programm mit mehr Zugriffsrechten dazu verleiten, in seinem Namen eine Aktion auszuführen. Dieses Problem kann durch sorgfältige Programmierung und die richtige Nutzung der Systemprivilegien gemildert werden.
Ein weiteres Problem ist die Möglichkeit einer schnellen, unkontrollierten Weitergabe von Zugriffsrechten, da Benutzer mit Zugriff auf eine Ressource diesen Zugriff möglicherweise anderen gewähren können. Dem kann durch angemessene Schulung und Schulung sowie durch Kontrollen auf Systemebene begegnet werden, um eine solche Ausbreitung einzudämmen.
Vergleich der diskretionären Zugangskontrolle mit ähnlichen Begriffen
| Begriff | Beschreibung |
|---|---|
| Diskretionäre Zugangskontrolle (DAC) | Eigentümer haben die vollständige Kontrolle über ihre Daten und Ressourcen. |
| Obligatorische Zugangskontrolle (MAC) | Eine zentralisierte Richtlinie schränkt den Zugriff basierend auf Klassifizierungsstufen ein. |
| Rollenbasierte Zugriffskontrolle (RBAC) | Der Zugriff wird durch die Rolle des Benutzers innerhalb der Organisation bestimmt. |
Die Zukunft von DAC wird sich wahrscheinlich mit der zunehmenden Beliebtheit cloudbasierter Plattformen und IoT-Geräten (Internet of Things) weiterentwickeln. Es wird erwartet, dass eine differenzierte Zugriffskontrolle, die eine detailliertere Kontrolle über Berechtigungen ermöglicht, immer häufiger zum Einsatz kommt. Darüber hinaus werden wir mit der Weiterentwicklung von maschinellem Lernen und KI-Technologien möglicherweise DAC-Systeme sehen, die lernen und sich an veränderte Zugangsanforderungen anpassen können.
Proxyserver und diskretionäre Zugriffskontrolle
Proxyserver können DAC-Prinzipien verwenden, um den Zugriff auf Webressourcen zu steuern. Beispielsweise könnte ein Unternehmen einen Proxyserver einrichten, der die Identität und Rolle des Benutzers überprüft, bevor er den Zugriff auf bestimmte Websites oder webbasierte Dienste zulässt. Dadurch wird sichergestellt, dass nur autorisiertes Personal auf bestimmte Online-Ressourcen zugreifen kann, was eine zusätzliche Sicherheitsebene bietet.
verwandte Links
- Computersicherheit: Kunst und Wissenschaft von Matt Bishop: Eine umfassende Ressource zur Computersicherheit, einschließlich Zugriffskontrolle.
- Diskretionäre Zugriffskontrolle verstehen und nutzen: Ein Artikel von CSO, der DAC im Detail untersucht.
- NIST-Sonderpublikation 800-12: Der Leitfaden des US-amerikanischen National Institute of Standards and Technology zur Computersicherheit, einschließlich einer Diskussion über DAC.
- Zugangskontrollmodelle: Eine detaillierte Anleitung zu verschiedenen Zugangskontrollmodellen von O'Reilly Media.
- DAC, MAC und RBAC: Ein wissenschaftlicher Artikel zum Vergleich von DAC-, MAC- und RBAC-Modellen.
