El control de acceso discrecional (DAC) es un tipo de sistema de control de acceso que proporciona una política de acceso determinada por el propietario de los datos o recursos. El propietario tiene la discreción de otorgar o denegar el acceso a otros usuarios o procesos.
La génesis y evolución del control de acceso discrecional
El concepto de Control de Acceso Discrecional se remonta a los primeros días de los sistemas informáticos compartidos, concretamente en el sistema Multics (Servicio de Computación e Información Multiplexada) desarrollado en los años 1960. El sistema Multics incluía una forma rudimentaria de DAC, que más tarde se convirtió en la inspiración para los sistemas de control de acceso modernos. DAC se convirtió en un concepto formalizado con la publicación del “Libro Naranja” del Departamento de Defensa de los Estados Unidos en la década de 1980, que definía varios niveles de controles de seguridad, incluido el DAC.
Ampliando la comprensión del control de acceso discrecional
El control de acceso discrecional se basa en los principios de privilegios discrecionales. Esto significa que el individuo o entidad propietaria de los datos o recursos tiene el poder de decidir quién puede acceder a esos datos o recursos. Este control puede extenderse a permisos de lectura y escritura. En DAC, se mantiene una lista de control de acceso (ACL), que especifica el tipo de acceso que tiene un usuario o un grupo de usuarios sobre un recurso en particular.
La estructura interna y el funcionamiento del control de acceso discrecional
El modelo DAC se basa principalmente en dos componentes clave: listas de control de acceso (ACL) y tablas de capacidad. Las ACL están asociadas con cada recurso u objeto y contienen una lista de sujetos (usuarios o procesos) junto con sus permisos otorgados. Por otro lado, las tablas de capacidades mantienen una lista de objetos a los que puede acceder un sujeto en particular.
Cuando se realiza una solicitud de acceso, el sistema DAC verifica la ACL o la tabla de capacidad para determinar si el solicitante puede acceder al recurso. Si la ACL o la tabla de capacidad concede acceso, se aprueba la solicitud. En caso contrario, se deniega.
Características clave del control de acceso discrecional
- Acceso determinado por el propietario: El propietario del dato o recurso determina quién puede acceder a él.
- Listas de control de acceso: Una ACL determina qué tipo de acceso tiene cada usuario o grupo de usuarios.
- Tablas de capacidad: estas tablas enumeran los recursos a los que puede acceder un usuario o grupo de usuarios.
- Flexibilidad: Los propietarios pueden cambiar fácilmente los permisos según sea necesario.
- Control de acceso transitivo: si un usuario tiene acceso a un recurso, potencialmente puede otorgar acceso a otro usuario.
Tipos de control de acceso discrecional
Si bien DAC se puede implementar de varias maneras, los dos enfoques más comunes son las ACL y las listas de capacidades.
| Acercarse | Descripción |
|---|---|
| Listas de control de acceso (ACL) | Las ACL están vinculadas a un objeto (un archivo, por ejemplo) y especifican qué usuarios pueden acceder al objeto y qué operaciones pueden realizar en él. |
| Listas de capacidades | Las listas de capacidades están vinculadas a un usuario y especifican a qué objetos puede acceder el usuario y qué operaciones puede realizar en esos objetos. |
Aplicación, desafíos y soluciones del control de acceso discrecional
DAC se usa ampliamente en la mayoría de los sistemas operativos y sistemas de archivos, como Windows y UNIX, lo que permite a los usuarios compartir archivos y recursos con personas o grupos elegidos.
Un desafío importante con DAC es el “problema de los diputados confusos”, donde un programa puede filtrar involuntariamente derechos de acceso. Por ejemplo, un usuario podría engañar a un programa con más derechos de acceso para que realice una acción en su nombre. Este problema se puede mitigar mediante una programación cuidadosa y un uso adecuado de los privilegios del sistema.
Otro problema es la posibilidad de una propagación rápida e incontrolada de los derechos de acceso, ya que los usuarios con acceso a un recurso pueden potencialmente conceder ese acceso a otros. Esto se puede abordar mediante educación y capacitación adecuadas, así como controles a nivel de sistema para limitar dicha propagación.
Comparación de control de acceso discrecional con términos similares
| Término | Descripción |
|---|---|
| Control de acceso discrecional (DAC) | Los propietarios tienen control total sobre sus datos y recursos. |
| Control de acceso obligatorio (MAC) | Una política centralizada restringe el acceso según los niveles de clasificación. |
| Control de acceso basado en roles (RBAC) | El acceso está determinado por el rol del usuario dentro de la organización. |
Es probable que el futuro de DAC evolucione con la creciente popularidad de las plataformas basadas en la nube y los dispositivos de Internet de las cosas (IoT). Se espera que el control de acceso detallado, que proporciona un control más detallado sobre los permisos, se vuelva más común. Además, a medida que avanzan las tecnologías de aprendizaje automático y IA, es posible que veamos sistemas DAC que puedan aprender y adaptarse a las necesidades cambiantes de acceso.
Servidores proxy y control de acceso discrecional
Los servidores proxy pueden utilizar los principios DAC para controlar el acceso a los recursos web. Por ejemplo, una empresa podría configurar un servidor proxy que verifique la identidad y el rol del usuario antes de permitir el acceso a ciertos sitios web o servicios basados en la web. Esto garantiza que solo el personal autorizado pueda acceder a recursos en línea específicos, lo que proporciona una capa adicional de seguridad.
enlaces relacionados
- Seguridad informática: arte y ciencia por Matt Bishop: un recurso integral sobre seguridad informática, incluido el control de acceso.
- Comprensión y uso del control de acceso discrecional: Un artículo de CSO que explora DAC en detalle.
- Publicación especial del NIST 800-12: Guía de seguridad informática del Instituto Nacional de Estándares y Tecnología de EE. UU., que incluye una discusión sobre DAC.
- Modelos de control de acceso: Una guía detallada de varios modelos de control de acceso de O'Reilly Media.
- DAC, MAC y RBAC: Un artículo científico que compara los modelos DAC, MAC y RBAC.
