Навчальні завдання
Після прочитання цієї статті ви зможете:
Обов'язковий контроль доступу (MAC)
Керування доступом на основі ролей (RBAC)
Вибіркове керування доступом (DAC):
Відповідний контент
Розуміння вкидання облікових даних
Чому компанії не слід використовувати своє рішення з управління ідентифікаційними даними?
Що таке контроль доступу?
Важливість багатофакторної автентифікації
Важливість OAuth
SAML VS OAuth: відмінності та подібності
Усе, що вам потрібно було знати про безпеку Zero Trust
Що таке управління доступом на основі ролей (RBAC)?
Що таке контроль доступу?
Контроль доступу – це набір політик, призначених для обмеження доступу до інформації, фізичних місць та інструментів, що використовуються. Дуже важливо розуміти концепцію фізичного контролю доступу у порівнянні.
Фізичний контроль охоплює кілька областей, включаючи митних агентів в аеропортах, турнікети в метро, сканери ключових карток або бейджів у корпоративних офісах, контролера квитків у кінотеатрі або вибивал у нічних клубах у реальному світі.
Це приклади, коли пристрої чи люди є частиною політики, яка вирішує, кому буде дозволено доступ до обмеженого фізичного місця.
Контроль доступу до інформації
Контроль доступу до інформації обмежує доступ до програмного забезпечення, яке маніпулює даними, та до самих даних.
Деякі приклади:
- Пароль для входу до ноутбука
- Використання сканування відбитка великого пальця
- Доступ до внутрішньої мережі за допомогою VPN
У всіх випадках програмне забезпечення має перевірити автентифікацію облікових даних для авторизації користувачів, які хочуть отримати доступ до цифрової інформації. Двома основними та невід'ємними компонентами контролю доступу до інформації є авторизація та автентифікація.
Різниця між автентифікацією та авторизацією
Аутентифікація – це процес підтвердження особи користувача, який бажає отримати доступ. На відміну від цього, авторизація – це процес визначення рівня доступу, який має бути дозволений користувачам.
Прикладом аутентифікації у фізичному сенсі є реєстрація в готелі, коли людина має надати посвідчення особи, наприклад паспорт, щоб переконатися, що людина, яка просить забронювати номер, є тією самою людиною. Це приклад процесу аутентифікації, що має місце.
Після того, як особа гостя підтверджена на стійці реєстрації готелю, йому видається карта-ключ із обмеженими привілеями. Ці привілеї включають доступ до певних зон, таких як призначені номери, гостьовий ліфт і басейн. Таким чином, доступ до інших номерів, службового ліфта або офісу адміністрації готелю заборонено. Це приклад обмежених повноважень порівняно зі співробітниками готелю, які мають право на доступ до більшої кількості зон готелю.
Якщо взяти вищенаведений приклад як аналогію, комп'ютери та мережеві системи мають аналогічні процеси автентифікації та авторизації та засоби контролю.
Коли користувач входить до своєї електронної поштової скриньки або на свій банківський рахунок в Інтернеті, він використовує логін або ім'я користувача та пароль у комбінації, відомій лише користувачеві. Програмне забезпечення перевіряє дійсність імені користувача та пароля. Деякі програми мають ще більш строгі функції контролю, яких необхідно дотримуватися. Для входу в систему електронною поштою достатньо пароля. Однак при онлайн-банкінгу або вході в систему зі смартфона система вимагає двофакторну автентифікацію або біометричне підтвердження, наприклад відбиток великого пальця або сканування ідентифікатора особи.
Тільки після того, як користувач пройшов автентифікацію, він отримує доступ до свого рахунку. У випадку з банківським рахунком, тільки він може отримати доступ до свого рахунку та переглянути інформацію. Однак менеджер банку може увійти в той же додаток і побачити загальний стан кількох рахунків, що знаходяться під його керуванням, або рівень авторизації, наданий йому як менеджеру по роботі з клієнтами. Це авторизація, рівень доступу до якої визначено лише для відповідного менеджера.
Різні типи контролю доступу до даних
Обов'язковий контроль доступу (MAC)
Політика забезпечення суворого обов'язкового контролю доступу для окремих користувачів, а також системи та дані контролюються адміністратором. Окремі користувачі не мають права встановлювати дозволи або змінювати політику доступу до даних.
У цій системі користувачеві та системі, даним або будь-якому іншому ресурсу надаються атрибути безпеки, щоб вони могли взаємодіяти один з одним відповідно до встановленої політики. Порівняйте це зі старшим менеджером банку, якому для доступу до файлів з даними клієнтів потрібен допуск, але в цьому випадку системний адміністратор визначає, до яких файлів можна отримати доступ та переглянути або відредагувати їх.
Керування доступом на основі ролей (RBAC)
RBAC дозволяє видавати дозволи групам, наприклад, певному набору користувачів, на основі їх ролей та ролей, таких як дії, що виконуються користувачами. Люди часто виконують різні дії, що відповідають їх посаді та ролі. Отже, людям зазвичай також призначають кілька ролей у міру потреби. Подібно до MAC, користувачі не можуть змінювати рівні контролю доступу, які адміністратор затвердив для їх ролі.
Наприклад, співробітник банку, який працює касиром, має призначену роль обробки операцій з рахунку та відкриття нових рахунків клієнтів, а також має відповідні повноваження. З іншого боку, керуючий філією банку має кілька ролей, включаючи повноваження відкриття рахунків клієнтів, обробку операцій із рахунку, призначення ролі банківського касира іншому співробітнику тощо.
Вибіркове керування доступом (DAC):
Вибіркове керування доступом надається користувачеві, який може надавати доступ іншим користувачам. Користувач має права доступу та повноваження, надані йому системним адміністратором зі списку контролю доступу, визначеного у безпеці. Ризик тут полягає в тому, що вибіркове управління доступом, надане іншим користувачам, може мати вразливість у безпеці.
При оцінці різних методів авторизації безпека є головним фактором, незалежно від того, надається дозвіл на доступ до даних на основі ролей, посади або на власний розсуд. Багато організацій, які здійснюють конфіденційні операції та мають фінансові наслідки, такі як банки, потребують високого рівня безпеки, а конфіденційність даних є критично важливою. Тому в таких організаціях, де застосовується MAC-тип керування доступом, діють суворі норми. На відміну від цього, RBAC і DAC, які є гнучкими і менш жорсткими щодо політики, будуть кращими для інших організацій.
Методи реалізації контролю доступу
Віртуальна приватна мережа або VPN – це інструмент, який дозволяє контролювати доступ до інформації для користувачів, які знаходяться у віддаленому місці. Користувачі можуть отримати доступ до мережі, якщо вони підключені до приватної мережі. Корпорації використовують VPN для керування контролем доступу до своєї внутрішньої мережі, розташованої у різних географічних точках.
Якщо штаб-квартира організації знаходиться на місці А, корпоративний офіс - на місці Б, а співробітники розкидані по всьому світу у філіях, вони можуть використовувати VPN. Це дозволить співробітникам безпечно входити у внутрішню мережу незалежно від їхнього місцезнаходження. VPN також захищає користувачів від атак на шляху, якщо вони підключені до загальнодоступної мережі.
Однак VPN має і недоліки, які полягають у низькій швидкості передачі даних. Крім того, VPN добре підходить для автентифікації, але не може забезпечити певний контроль авторизації. Безпека – це усе, або нічого. Тому в даний час організації замінюють VPN рішеннями безпеки з нульовою довірою.
