Uznaniowa kontrola dostępu (DAC) to rodzaj systemu kontroli dostępu, który zapewnia politykę dostępu określoną przez właściciela danych lub zasobu. Właściciel ma swobodę przyznania lub odmowy dostępu innym użytkownikom lub procesom.
Geneza i ewolucja uznaniowej kontroli dostępu
Koncepcja uznaniowej kontroli dostępu sięga początków współdzielonych systemów komputerowych, a konkretnie systemu Multics (Multiplexed Information and Computing Service) opracowanego w latach sześćdziesiątych XX wieku. W systemie Multics zastosowano podstawową wersję przetwornika DAC, który później stał się inspiracją dla nowoczesnych systemów kontroli dostępu. DAC stał się sformalizowaną koncepcją wraz z wydaniem w latach 80. XX w. „Pomarańczowej Księgi” Departamentu Obrony Stanów Zjednoczonych, w której zdefiniowano kilka poziomów kontroli bezpieczeństwa, w tym DAC.
Poszerzanie zrozumienia uznaniowej kontroli dostępu
Uznaniowa kontrola dostępu opiera się na zasadach uznaniowych przywilejów. Oznacza to, że osoba lub podmiot będący właścicielem danych lub zasobu ma władzę decydowania o tym, kto może uzyskać dostęp do tych danych lub zasobu. Ta kontrola może obejmować zarówno uprawnienia do odczytu, jak i zapisu. W ramach DAC prowadzona jest lista kontroli dostępu (ACL), która określa rodzaj dostępu użytkownika lub grupy użytkowników do określonego zasobu.
Struktura wewnętrzna i funkcjonowanie uznaniowej kontroli dostępu
Model DAC opiera się głównie na dwóch kluczowych komponentach: listach kontroli dostępu (ACL) i tabelach możliwości. Listy ACL są powiązane z każdym zasobem lub obiektem i zawierają listę podmiotów (użytkowników lub procesów) wraz z przyznanymi im uprawnieniami. Z drugiej strony tabele możliwości zawierają listę obiektów, do których dany podmiot może uzyskać dostęp.
Kiedy pojawia się żądanie dostępu, system DAC sprawdza listę ACL lub tabelę możliwości, aby określić, czy osoba żądająca może uzyskać dostęp do zasobu. Jeśli lista ACL lub tabela możliwości zapewnia dostęp, żądanie zostaje zatwierdzone. W przeciwnym razie jest odrzucane.
Kluczowe cechy uznaniowej kontroli dostępu
- Dostęp ustalany przez właściciela: Właściciel danych lub zasobu określa, kto może uzyskać do nich dostęp.
- Listy kontroli dostępu: Lista ACL określa, jaki rodzaj dostępu ma każdy użytkownik lub grupa użytkowników.
- Tabele możliwości: Te tabele zawierają listę zasobów, do których użytkownik lub grupa użytkowników może uzyskać dostęp.
- Elastyczność: Właściciele mogą łatwo zmieniać uprawnienia zgodnie z wymaganiami.
- Przechodnia kontrola dostępu: jeśli użytkownik ma dostęp do zasobu, może potencjalnie udzielić dostępu innemu użytkownikowi.
Rodzaje uznaniowej kontroli dostępu
Chociaż DAC można wdrożyć na różne sposoby, dwoma najczęstszymi podejściami są listy ACL i listy możliwości.
| Zbliżać się | Opis |
|---|---|
| Listy kontroli dostępu (ACL) | Listy ACL są powiązane z obiektem (na przykład plikiem) i określają, którzy użytkownicy mogą uzyskać dostęp do obiektu i jakie operacje mogą na nim wykonywać. |
| Listy możliwości | Listy możliwości są powiązane z użytkownikiem i określają, do jakich obiektów użytkownik może uzyskać dostęp i jakie operacje może wykonać na tych obiektach. |
Zastosowanie, wyzwania i rozwiązania uznaniowej kontroli dostępu
DAC jest szeroko stosowany w większości systemów operacyjnych i systemów plików, takich jak Windows i UNIX, umożliwiając użytkownikom udostępnianie plików i zasobów wybranym osobom lub grupom.
Jednym z głównych wyzwań związanych z DAC jest „problem zdezorientowanego zastępcy”, w przypadku którego program może w sposób niezamierzony spowodować wyciek praw dostępu. Na przykład użytkownik może oszukać program z większymi prawami dostępu, aby wykonał akcję w jego imieniu. Problem ten można złagodzić poprzez ostrożne programowanie i właściwe korzystanie z uprawnień systemowych.
Innym problemem jest możliwość szybkiego i niekontrolowanego rozprzestrzeniania się praw dostępu, ponieważ użytkownicy mający dostęp do zasobu mogą potencjalnie przyznać ten dostęp innym. Można temu zaradzić poprzez odpowiednią edukację i szkolenia, a także kontrole na poziomie systemu mające na celu ograniczenie takiego rozprzestrzeniania się.
Porównanie uznaniowej kontroli dostępu z podobnymi warunkami
| Termin | Opis |
|---|---|
| Uznaniowa kontrola dostępu (DAC) | Właściciele mają pełną kontrolę nad swoimi danymi i zasobami. |
| Obowiązkowa kontrola dostępu (MAC) | Scentralizowana polityka ogranicza dostęp na podstawie poziomów klasyfikacji. |
| Kontrola dostępu oparta na rolach (RBAC) | Dostęp zależy od roli użytkownika w organizacji. |
Przyszłość przetworników DAC prawdopodobnie będzie ewoluować wraz ze wzrostem popularności platform opartych na chmurze i urządzeń Internetu rzeczy (IoT). Oczekuje się, że bardziej powszechna stanie się szczegółowa kontrola dostępu, która zapewnia bardziej szczegółową kontrolę nad uprawnieniami. Ponadto w miarę rozwoju technologii uczenia maszynowego i sztucznej inteligencji możemy spodziewać się systemów DAC, które będą w stanie uczyć się i dostosowywać do zmieniających się potrzeb w zakresie dostępu.
Serwery proxy i uznaniowa kontrola dostępu
Serwery proxy mogą wykorzystywać zasady DAC do kontrolowania dostępu do zasobów sieciowych. Na przykład firma może skonfigurować serwer proxy, który sprawdza tożsamość i rolę użytkownika przed zezwoleniem na dostęp do określonych witryn internetowych lub usług internetowych. Gwarantuje to, że tylko upoważniony personel będzie miał dostęp do określonych zasobów online, zapewniając dodatkową warstwę bezpieczeństwa.
powiązane linki
- Bezpieczeństwo komputerowe: sztuka i nauka autor: Matt Bishop: Obszerne źródło informacji na temat bezpieczeństwa komputerów, w tym kontroli dostępu.
- Zrozumienie i stosowanie uznaniowej kontroli dostępu: Artykuł CSO szczegółowo omawiający DAC.
- Publikacja specjalna NIST 800-12: Przewodnik amerykańskiego Narodowego Instytutu Standardów i Technologii dotyczący bezpieczeństwa komputerów, zawierający dyskusję na temat DAC.
- Modele kontroli dostępu: Szczegółowy przewodnik po różnych modelach kontroli dostępu autorstwa O'Reilly Media.
- DAC, MAC i RBAC: Artykuł naukowy porównujący modele DAC, MAC i RBAC.
