Controle de acesso discricionário (DAC) é um tipo de sistema de controle de acesso que fornece uma política de acesso determinada pelo proprietário dos dados ou recursos. O proprietário tem o poder de conceder ou negar acesso a outros usuários ou processos.
A Gênese e a Evolução do Controle de Acesso Discricionário
O conceito de Controle de Acesso Discricionário remonta aos primórdios dos sistemas de computação compartilhados, especificamente no sistema Multics (Multiplexed Information and Computing Service) desenvolvido na década de 1960. O sistema Multics incluía uma forma rudimentar de DAC, que mais tarde se tornou a inspiração para sistemas modernos de controle de acesso. O DAC tornou-se um conceito formalizado com o lançamento do “Livro Laranja” do Departamento de Defesa dos Estados Unidos na década de 1980, que definiu vários níveis de controles de segurança, incluindo o DAC.
Expandindo a compreensão do controle de acesso discricionário
O Controle de Acesso Discricionário é baseado nos princípios de privilégios discricionários. Isto significa que o indivíduo ou entidade proprietária dos dados ou recursos tem o poder de decidir quem pode aceder a esses dados ou recursos. Esse controle pode se estender às permissões de leitura e gravação. No DAC, é mantida uma lista de controle de acesso (ACL), que especifica o tipo de acesso que um usuário ou grupo de usuários tem sobre um recurso específico.
A Estrutura Interna e Funcionamento do Controle de Acesso Discricionário
O modelo DAC depende principalmente de dois componentes principais: listas de controle de acesso (ACLs) e tabelas de capacidade. As ACLs estão associadas a cada recurso ou objeto e contêm uma lista de assuntos (usuários ou processos) juntamente com as permissões concedidas. Por outro lado, as tabelas de capacidade mantêm uma lista de objetos que um determinado sujeito pode acessar.
Quando uma solicitação de acesso é feita, o sistema DAC verifica a ACL ou a tabela de capacidade para determinar se o solicitante tem permissão para acessar o recurso. Se a ACL ou a tabela de recursos conceder acesso, a solicitação será aprovada. Caso contrário, é negado.
Principais recursos do controle de acesso discricionário
- Acesso determinado pelo proprietário: o proprietário dos dados ou recursos determina quem pode acessá-los.
- Listas de controle de acesso: uma ACL determina que tipo de acesso cada usuário ou grupo de usuários possui.
- Tabelas de capacidade: essas tabelas listam os recursos que um usuário ou grupo de usuários pode acessar.
- Flexibilidade: os proprietários podem alterar facilmente as permissões conforme necessário.
- Controle de acesso transitivo: se um usuário tiver acesso a um recurso, ele poderá conceder acesso a outro usuário.
Tipos de controle de acesso discricionário
Embora o DAC possa ser implementado de várias maneiras, as duas abordagens mais comuns são ACLs e listas de capacidades.
| Abordagem | Descrição |
|---|---|
| Listas de controle de acesso (ACLs) | As ACLs estão vinculadas a um objeto (um arquivo, por exemplo) e especificam quais usuários podem acessar o objeto e quais operações podem realizar nele. |
| Listas de capacidades | As listas de recursos estão vinculadas a um usuário e especificam quais objetos o usuário pode acessar e quais operações ele pode executar nesses objetos. |
Aplicação, desafios e soluções de controle de acesso discricionário
O DAC é amplamente utilizado na maioria dos sistemas operacionais e sistemas de arquivos, como Windows e UNIX, permitindo aos usuários compartilhar arquivos e recursos com indivíduos ou grupos escolhidos.
Um grande desafio do DAC é o “problema confuso dos deputados”, em que um programa pode vazar involuntariamente direitos de acesso. Por exemplo, um usuário pode enganar um programa com mais direitos de acesso para que execute uma ação em seu nome. Este problema pode ser mitigado por uma programação cuidadosa e pelo uso adequado dos privilégios do sistema.
Outro problema é o potencial de propagação rápida e descontrolada de direitos de acesso, uma vez que os utilizadores com acesso a um recurso podem potencialmente conceder esse acesso a outros. Isto pode ser resolvido através de educação e formação adequadas, bem como de controlos a nível do sistema para limitar essa propagação.
Comparação de controle de acesso discricionário com termos semelhantes
| Prazo | Descrição |
|---|---|
| Controle de acesso discricionário (DAC) | Os proprietários têm controle total sobre seus dados e recursos. |
| Controle de acesso obrigatório (MAC) | Uma política centralizada restringe o acesso com base nos níveis de classificação. |
| Controle de acesso baseado em função (RBAC) | O acesso é determinado pela função do usuário na organização. |
O futuro do DAC provavelmente evoluirá com a crescente popularidade das plataformas baseadas em nuvem e dos dispositivos da Internet das Coisas (IoT). Espera-se que o controle de acesso refinado, que fornece controle mais detalhado sobre as permissões, se torne mais comum. Além disso, à medida que o aprendizado de máquina e as tecnologias de IA avançam, poderemos ver sistemas DAC que podem aprender e se adaptar às mudanças nas necessidades de acesso.
Servidores proxy e controle de acesso discricionário
Os servidores proxy podem usar princípios DAC para controlar o acesso aos recursos da web. Por exemplo, uma empresa pode configurar um servidor proxy que verifica a identidade e a função do usuário antes de permitir o acesso a determinados sites ou serviços baseados na web. Isto garante que apenas pessoal autorizado possa aceder a recursos online específicos, proporcionando uma camada adicional de segurança.
Links Relacionados
- Segurança Informática: Arte e Ciência por Matt Bishop: Um recurso abrangente sobre segurança de computadores, incluindo controle de acesso.
- Compreendendo e usando controle de acesso discricionário: Um artigo do CSO, explorando o DAC em detalhes.
- Publicação Especial NIST 800-12: Guia do Instituto Nacional de Padrões e Tecnologia dos EUA para segurança de computadores, incluindo uma discussão sobre DAC.
- Modelos de controle de acesso: Um guia detalhado para vários modelos de controle de acesso da O'Reilly Media.
- DAC, MAC e RBAC: Artigo científico comparando os modelos DAC, MAC e RBAC.
