İsteğe Bağlı Erişim Kontrolü (DAC), veri veya kaynağın sahibi tarafından belirlenen bir erişim politikası sağlayan bir tür erişim kontrol sistemidir. Sahibin, diğer kullanıcılara veya işlemlere erişim izni verme veya reddetme yetkisi vardır.
İsteğe Bağlı Erişim Denetiminin Doğuşu ve Evrimi
İsteğe Bağlı Erişim Kontrolü kavramı, paylaşılan bilgi işlem sistemlerinin ilk günlerine, özellikle 1960'larda geliştirilen Multics (Çok Yönlü Bilgi ve Bilgi İşlem Hizmeti) sistemine kadar uzanır. Multics sistemi, daha sonra modern erişim kontrol sistemleri için ilham kaynağı haline gelen ilkel bir DAC biçimini içeriyordu. DAC, Amerika Birleşik Devletleri Savunma Bakanlığı'nın 1980'lerde DAC dahil olmak üzere çeşitli güvenlik kontrol düzeylerini tanımlayan “Turuncu Kitabı”nın yayımlanmasıyla resmileştirilmiş bir kavram haline geldi.
İsteğe Bağlı Erişim Kontrolü Anlayışının Genişletilmesi
İsteğe Bağlı Erişim Kontrolü, isteğe bağlı ayrıcalıklar ilkelerine dayanmaktadır. Bu, veriye veya kaynağa sahip olan birey veya kuruluşun, bu veriye veya kaynağa kimin erişebileceğine karar verme yetkisine sahip olduğu anlamına gelir. Bu kontrol hem okuma hem de yazma izinlerini kapsayabilir. DAC altında, bir kullanıcının veya kullanıcı grubunun belirli bir kaynak üzerinde sahip olduğu erişim türünü belirten bir erişim kontrol listesi (ACL) tutulur.
İsteğe Bağlı Erişim Denetiminin İç Yapısı ve İşleyişi
DAC modeli öncelikle iki temel bileşene dayanır: Erişim Kontrol Listeleri (ACL'ler) ve yetenek tabloları. ACL'ler her kaynak veya nesneyle ilişkilidir ve verilen izinlerle birlikte konuların (kullanıcılar veya işlemler) bir listesini içerir. Öte yandan, yetenek tabloları belirli bir öznenin erişebileceği nesnelerin bir listesini tutar.
Erişim için bir istek yapıldığında DAC sistemi, istek sahibinin kaynağa erişmesine izin verilip verilmediğini belirlemek için ACL'yi veya yetenek tablosunu kontrol eder. ACL veya yetenek tablosu erişim izni veriyorsa istek onaylanır. Aksi takdirde reddedilir.
İsteğe Bağlı Erişim Denetiminin Temel Özellikleri
- Sahibi Tarafından Belirlenen Erişim: Verinin veya kaynağın sahibi, ona kimlerin erişebileceğini belirler.
- Erişim Kontrol Listeleri: ACL, her kullanıcının veya kullanıcı grubunun ne tür erişime sahip olduğunu belirler.
- Yetenek Tabloları: Bu tablolar bir kullanıcının veya kullanıcı grubunun erişebileceği kaynakları listeler.
- Esneklik: Sahipler izinleri gerektiği gibi kolayca değiştirebilir.
- Geçişli Erişim Kontrolü: Bir kullanıcının bir kaynağa erişimi varsa, potansiyel olarak başka bir kullanıcıya da erişim izni verebilir.
İsteğe Bağlı Erişim Kontrolü Türleri
DAC çeşitli şekillerde uygulanabilse de en yaygın iki yaklaşım ACL'ler ve yetenek listeleridir.
| Yaklaşmak | Tanım |
|---|---|
| Erişim Kontrol Listeleri (ACL'ler) | ACL'ler bir nesneye (örneğin bir dosyaya) bağlıdır ve hangi kullanıcıların nesneye erişebileceğini ve üzerinde hangi işlemleri gerçekleştirebileceğini belirtir. |
| Yetenek Listeleri | Yetenek listeleri kullanıcıya bağlıdır ve kullanıcının hangi nesnelere erişebileceğini ve bu nesneler üzerinde hangi işlemleri gerçekleştirebileceğini belirtir. |
İsteğe Bağlı Erişim Kontrolü Uygulaması, Zorlukları ve Çözümleri
DAC, Windows ve UNIX gibi çoğu işletim sistemi ve dosya sisteminde yaygın olarak kullanılır ve kullanıcıların dosyaları ve kaynakları seçilen kişi veya gruplarla paylaşmasına olanak tanır.
DAC ile ilgili en büyük zorluklardan biri, bir programın istemeden erişim haklarını sızdırabileceği "karışık vekil sorunu"dur. Örneğin, bir kullanıcı daha fazla erişim hakkına sahip bir programı kendi adına bir eylem gerçekleştirmesi için kandırabilir. Bu sorun, dikkatli programlama ve sistem ayrıcalıklarının doğru kullanımıyla azaltılabilir.
Bir başka sorun da, bir kaynağa erişimi olan kullanıcıların bu erişimi başkalarına da verme potansiyeli olduğundan, erişim haklarının hızlı ve kontrolsüz yayılma potansiyelidir. Bu sorun, uygun eğitim ve öğretimin yanı sıra bu tür yayılmayı sınırlamak için sistem düzeyindeki kontrollerle çözülebilir.
İsteğe Bağlı Erişim Denetiminin Benzer Terimlerle Karşılaştırılması
| Terim | Tanım |
|---|---|
| İsteğe Bağlı Erişim Kontrolü (DAC) | Sahipler, verileri ve kaynakları üzerinde tam kontrole sahiptir. |
| Zorunlu Erişim Kontrolü (MAC) | Merkezi bir politika, erişimi sınıflandırma düzeylerine göre kısıtlar. |
| Rol Tabanlı Erişim Kontrolü (RBAC) | Erişim, kullanıcının kuruluş içindeki rolüne göre belirlenir. |
DAC'nin geleceği, bulut tabanlı platformların ve Nesnelerin İnterneti (IoT) cihazlarının artan popülaritesiyle birlikte gelişecek gibi görünüyor. İzinler üzerinde daha ayrıntılı kontrol sağlayan ayrıntılı erişim kontrolünün daha yaygın hale gelmesi bekleniyor. Ayrıca makine öğrenimi ve yapay zeka teknolojileri ilerledikçe öğrenebilen ve değişen erişim ihtiyaçlarına uyum sağlayabilen DAC sistemlerini de görebiliriz.
Proxy Sunucuları ve İsteğe Bağlı Erişim Kontrolü
Proxy sunucuları, web kaynaklarına erişimi kontrol etmek için DAC ilkelerini kullanabilir. Örneğin bir şirket, belirli web sitelerine veya web tabanlı hizmetlere erişime izin vermeden önce kullanıcının kimliğini ve rolünü kontrol eden bir proxy sunucusu kurabilir. Bu, yalnızca yetkili personelin belirli çevrimiçi kaynaklara erişebilmesini sağlayarak ek bir güvenlik katmanı sağlar.
İlgili Bağlantılar
- Bilgisayar Güvenliği: Sanat ve Bilim Matt Bishop: Erişim kontrolü de dahil olmak üzere bilgisayar güvenliği konusunda kapsamlı bir kaynak.
- İsteğe Bağlı Erişim Denetimini Anlamak ve Kullanmak: CSO'nun DAC'yi ayrıntılı olarak inceleyen bir makalesi.
- NIST Özel Yayını 800-12: DAC hakkında bir tartışma da dahil olmak üzere ABD Ulusal Standartlar ve Teknoloji Enstitüsü'nün bilgisayar güvenliği kılavuzu.
- Erişim Kontrol Modelleri: O'Reilly Media'nın çeşitli erişim kontrolü modellerine ilişkin ayrıntılı bir kılavuz.
- DAC, MAC ve RBAC: DAC, MAC ve RBAC modellerini karşılaştıran bilimsel bir makale.
