Il controllo discrezionale degli accessi (DAC) è un tipo di sistema di controllo degli accessi che fornisce una politica di accesso determinata dal proprietario dei dati o della risorsa. Il proprietario ha la facoltà di concedere o negare l'accesso ad altri utenti o processi.
La genesi e l'evoluzione del controllo degli accessi discrezionali
Il concetto di controllo discrezionale degli accessi risale agli albori dei sistemi informatici condivisi, in particolare nel sistema Multics (Multiplexed Information and Computing Service) sviluppato negli anni '60. Il sistema Multics comprendeva una forma rudimentale di DAC, che in seguito divenne l'ispirazione per i moderni sistemi di controllo degli accessi. Il DAC è diventato un concetto formalizzato con la pubblicazione dell'“Orange Book” del Dipartimento della Difesa degli Stati Uniti negli anni '80, che definiva diversi livelli di controlli di sicurezza, incluso il DAC.
Ampliare la comprensione del controllo degli accessi discrezionali
Il controllo discrezionale dell'accesso si basa sui principi dei privilegi discrezionali. Ciò significa che l'individuo o l'entità proprietaria dei dati o della risorsa ha il potere di decidere chi può accedere a tali dati o risorse. Questo controllo può estendersi sia alle autorizzazioni di lettura che a quelle di scrittura. In DAC viene mantenuto un elenco di controllo degli accessi (ACL), che specifica il tipo di accesso che un utente o un gruppo di utenti ha su una particolare risorsa.
La struttura interna e il funzionamento del controllo discrezionale degli accessi
Il modello DAC si basa principalmente su due componenti chiave: elenchi di controllo di accesso (ACL) e tabelle di capacità. Gli ACL sono associati a ciascuna risorsa o oggetto e contengono un elenco di soggetti (utenti o processi) insieme alle autorizzazioni concesse. D'altra parte, le tabelle di capacità mantengono un elenco di oggetti a cui un particolare soggetto può accedere.
Quando viene effettuata una richiesta di accesso, il sistema DAC controlla l'ACL o la tabella delle capacità per determinare se al richiedente è consentito accedere alla risorsa. Se l'ACL o la tabella delle capacità concede l'accesso, la richiesta viene approvata. Altrimenti è negato.
Caratteristiche principali del controllo degli accessi discrezionale
- Accesso determinato dal proprietario: il proprietario dei dati o della risorsa determina chi può accedervi.
- Elenchi di controllo degli accessi: una ACL determina il tipo di accesso di cui dispone ciascun utente o gruppo di utenti.
- Tabelle di capacità: queste tabelle elencano le risorse a cui un utente o un gruppo di utenti può accedere.
- Flessibilità: i proprietari possono modificare facilmente le autorizzazioni secondo necessità.
- Controllo accessi transitivo: se un utente ha accesso a una risorsa, può potenzialmente concedere l'accesso a un altro utente.
Tipi di controllo dell'accesso discrezionale
Sebbene il DAC possa essere implementato in vari modi, i due approcci più comuni sono gli ACL e gli elenchi di capacità.
| Approccio | Descrizione |
|---|---|
| Elenchi di controllo degli accessi (ACL) | Gli ACL sono legati a un oggetto (un file, ad esempio) e specificano quali utenti possono accedere all'oggetto e quali operazioni possono eseguire su di esso. |
| Elenchi di capacità | Gli elenchi di capacità sono legati a un utente e specificano a quali oggetti l'utente può accedere e quali operazioni può eseguire su tali oggetti. |
Applicazione, sfide e soluzioni del controllo degli accessi discrezionali
DAC è ampiamente utilizzato nella maggior parte dei sistemi operativi e file system, come Windows e UNIX, consentendo agli utenti di condividere file e risorse con individui o gruppi scelti.
Una delle principali sfide con DAC è il “problema del vice confuso”, in cui un programma può perdere involontariamente i diritti di accesso. Ad esempio, un utente potrebbe ingannare un programma con maggiori diritti di accesso inducendolo a eseguire un'azione per suo conto. Questo problema può essere mitigato mediante un'attenta programmazione e un utilizzo corretto dei privilegi di sistema.
Un altro problema è la potenziale propagazione rapida e incontrollata dei diritti di accesso, poiché gli utenti con accesso a una risorsa possono potenzialmente concedere tale accesso ad altri. Questo problema può essere affrontato attraverso un’adeguata istruzione e formazione, nonché controlli a livello di sistema per limitare tale propagazione.
Confronto del controllo dell'accesso discrezionale con termini simili
| Termine | Descrizione |
|---|---|
| Controllo accessi discrezionale (DAC) | I proprietari hanno il controllo totale sui propri dati e risorse. |
| Controllo degli accessi obbligatorio (MAC) | Una politica centralizzata limita l'accesso in base ai livelli di classificazione. |
| Controllo degli accessi basato sui ruoli (RBAC) | L'accesso è determinato dal ruolo dell'utente all'interno dell'organizzazione. |
È probabile che il futuro del DAC si evolva con la crescente popolarità delle piattaforme basate su cloud e dei dispositivi Internet of Things (IoT). Si prevede che il controllo granulare degli accessi, che fornisce un controllo più dettagliato sulle autorizzazioni, diventerà più comune. Inoltre, con l’avanzamento delle tecnologie di machine learning e intelligenza artificiale, potremmo vedere sistemi DAC in grado di apprendere e adattarsi alle mutevoli esigenze di accesso.
Server proxy e controllo degli accessi discrezionali
I server proxy possono utilizzare i principi DAC per controllare l'accesso alle risorse web. Ad esempio, un'azienda potrebbe impostare un server proxy che verifica l'identità e il ruolo dell'utente prima di consentire l'accesso a determinati siti Web o servizi basati sul Web. Ciò garantisce che solo il personale autorizzato possa accedere a risorse online specifiche, fornendo un ulteriore livello di sicurezza.
Link correlati
- Sicurezza informatica: arte e scienza di Matt Bishop: una risorsa completa sulla sicurezza informatica, compreso il controllo degli accessi.
- Comprensione e utilizzo del controllo degli accessi discrezionali: Un articolo di CSO, che esplora il DAC in dettaglio.
- Pubblicazione speciale NIST 800-12: La guida alla sicurezza informatica del National Institute of Standards and Technology degli Stati Uniti, che include una discussione sul DAC.
- Modelli di controllo degli accessi: Una guida dettagliata ai vari modelli di controllo degli accessi di O'Reilly Media.
- DAC, MAC e RBAC: Un articolo scientifico che confronta i modelli DAC, MAC e RBAC.
