Bilgisayar erişim kontrolü - Computer access control

İçinde bilgisayar Güvenliği, genel giriş kontrolu içerir kimlik, yetki, kimlik doğrulama, erişim onayı ve denetim. Erişim kontrolünün daha dar bir tanımı, yalnızca erişim onayını kapsayacaktır; bu sayede sistem, öznenin neye erişme yetkisine sahip olduğuna bağlı olarak, önceden doğrulanmış bir özneden bir erişim talebini kabul etme veya reddetme kararı alır. Kimlik doğrulama ve erişim kontrolü genellikle tek bir işlemde birleştirilir, böylece erişim başarılı kimlik doğrulamaya veya anonim erişim belirtecine dayalı olarak onaylanır. Kimlik doğrulama yöntemleri ve belirteçleri şunları içerir: şifreler, biyometrik taramalar, fiziksel anahtarlar, elektronik anahtarlar ve cihazlar, gizli yollar, sosyal engeller ve insanlar ve otomatik sistemler tarafından izleme.^{[kaynak belirtilmeli ]}

Yazılım varlıkları

Herhangi bir erişim kontrol modelinde, sistem üzerinde eylemler gerçekleştirebilen varlıklar denir konularve erişimin kontrol edilmesi gerekebilecek kaynakları temsil eden varlıklar nesneler (Ayrıca bakınız Erişim Kontrol Matrisi ). Hem özneler hem de nesneler, insan kullanıcılar yerine yazılım varlıkları olarak düşünülmelidir: herhangi bir insan kullanıcı, sistem üzerinde yalnızca kontrol ettikleri yazılım varlıkları aracılığıyla bir etkiye sahip olabilir.^{[kaynak belirtilmeli ]}

Bazı sistemler konuları eşitlese de kullanıcı kimlikleri, böylece varsayılan olarak bir kullanıcı tarafından başlatılan tüm işlemlerin aynı yetkiye sahip olması için, bu denetim düzeyi, en az ayrıcalık ilkesi ve tartışmalı bir şekilde yaygınlığından sorumludur kötü amaçlı yazılım bu tür sistemlerde (bkz. bilgisayar güvensizliği ).^{[kaynak belirtilmeli ]}

Bazı modellerde, örneğin nesne yetenek modeli herhangi bir yazılım varlığı potansiyel olarak hem özne hem de nesne olarak hareket edebilir.^{[kaynak belirtilmeli ]}

2014 itibariyle^{[Güncelleme]}, erişim kontrol modelleri iki sınıftan birine girme eğilimindedir: yetenekler ve dayalı olanlar erişim kontrol listeleri (ACL'ler).

Yeteneğe dayalı bir modelde, değiştirilemez bir referans veya kabiliyet nesneye erişim sağlayan bir nesneye (kabaca bir kişinin ev anahtarına sahip olmanın bir kişinin evine erişimini sağladığına benzer); erişim, güvenli bir kanal üzerinden böyle bir kabiliyetin iletilmesiyle başka bir tarafa aktarılır.
ACL tabanlı bir modelde, bir öznenin bir nesneye erişimi, kimliğinin nesneyle ilişkili bir listede görünüp görünmediğine bağlıdır (kabaca, özel bir partideki fedai bir kişinin bir adın konukta görünüp görünmediğini görmek için bir kimliği kontrol etmesine benzer. liste); erişim, liste düzenlenerek aktarılır. (Farklı ACL sistemleri, listeyi düzenlemekten kimin veya neyin sorumlu olduğuna ve nasıl düzenlendiğine ilişkin çeşitli farklı kurallara sahiptir.)^{[kaynak belirtilmeli ]}

Hem yetenek tabanlı hem de ACL tabanlı modellerde, erişim haklarının tüm üyelere verilmesine izin veren mekanizmalar vardır. grup (genellikle grubun kendisi bir özne olarak modellenir).^{[kaynak belirtilmeli ]}

Hizmetler

Erişim kontrol sistemleri, aşağıdaki temel hizmetleri sağlar: yetki, tanımlama ve doğrulama (I&A), erişim onayı, ve Hesap verebilirlik nerede:^{[kaynak belirtilmeli ]}

yetkilendirme, bir konunun ne yapabileceğini belirtir
tanımlama ve kimlik doğrulama, bir sistemde yalnızca meşru kişilerin oturum açabilmesini sağlar
erişim onayı, yetkilendirme politikasına bağlı olarak, kullanıcıların erişmelerine izin verilen kaynaklarla ilişkilendirilmesi yoluyla işlemler sırasında erişim izni verir
hesap verebilirlik, bir konunun (veya bir kullanıcıyla ilişkili tüm konuların) ne yaptığını tanımlar

yetki

yetki özneler için erişim haklarını tanımlama eylemini içerir. Yetkilendirme politikası, öznelerin bir sistem içinde yürütmesine izin verilen işlemleri belirtir.^{[kaynak belirtilmeli ]}

Çoğu modern işletim sistemi, yetkilendirme politikalarını, üç temel erişim türünün varyasyonları veya uzantıları olan resmi izin kümeleri olarak uygular:^{[kaynak belirtilmeli ]}

Oku (R): Denek,
- Dosya içeriğini oku
- Dizin içeriğini listeleyin
Yaz (W): Konu, aşağıdaki görevlerle bir dosyanın veya dizinin içeriğini değiştirebilir:
- Ekle
- Güncelleme
- Sil
- Adını değiştirmek
Yürüt (X): Dosya bir programsa, konu programın çalışmasına neden olabilir. (Unix tarzı sistemlerde, "yürütme" izni, bir dizin için verildiğinde "dizini çapraz geçiş" izni olarak ikiye katlanır.)

Bu haklar ve izinler, aşağıdakilere dayalı sistemlerde farklı şekilde uygulanır: Isteğe bağlı erişim kontrolü (DAC) ve zorunlu erişim kontrolü (MAC).

Tanımlama ve doğrulama

Tanımlama ve doğrulama (I&A), bir kimlik iddiasında veya iddiasında bulunan varlığa bir kimliğin bağlı olduğunun doğrulanması sürecidir. I&A süreci, genellikle kimlik doğrulama olarak adlandırılan, kimliğin ilk doğrulaması olduğunu varsayar. Devlet tarafından verilen kimlik kullanarak şahsen doğrulamadan davacının anonim kalmasına izin veren ancak geri dönerse sistem tarafından bilinen anonim yöntemlere kadar çeşitli kimlik doğrulama yöntemleri mevcuttur. Kimlik doğrulama ve doğrulama için kullanılan yöntem, kimliğin sistem içinde kullanım amacı ile orantılı bir güvence seviyesi sağlamalıdır. Daha sonra, varlık, bir doğrulama aracı olarak bir kimlik doğrulayıcı ile birlikte bir kimlik ileri sürer. Tanımlayıcı için tek gereksinim, güvenlik alanında benzersiz olması gerektiğidir.^{[kaynak belirtilmeli ]}

Kimlik doğrulayıcılar genellikle aşağıdaki dört faktörden en az birine dayanır:^{[kaynak belirtilmeli ]}

Bildiğin bir şey, parola veya a gibi kimlik Numarası (TOPLU İĞNE). Bu, hesaba erişmek için gereken şifreyi veya PIN'i yalnızca hesabın sahibinin bildiğini varsayar.
Sahip olduğun bir şey, gibi akıllı kart veya güvenlik belirteci. Bu, yalnızca hesabın sahibinin hesabın kilidini açmak için gereken akıllı karta veya jetona sahip olduğunu varsayar.
Bir şey olduğunparmak izi, ses, retina veya iris özellikleri gibi.
Neredesin, örneğin bir şirket güvenlik duvarının içinde veya dışında veya oturum açma konumunun kişisel bir GPS cihazına yakınlığı.

Erişim onayı

Erişim onayı, işlemler sırasında erişim izni veren veya reddeden işlevdir.^[1]

Erişim onayı sırasında, sistem, talebin kabul edilip edilmeyeceğini belirlemek için yetkilendirme politikasının resmi temsilini erişim talebiyle karşılaştırır. Ayrıca erişim değerlendirmesi çevrimiçi / sürekli olarak yapılabilir.^[2]

Hesap verebilirlik

Sorumluluk, aşağıdaki sistem bileşenlerini kullanır: denetim izleri (kayıtlar) ve kütükler, bir konuyu eylemleriyle ilişkilendirmek. Kaydedilen bilgiler, konuyu kontrol eden bir kullanıcıya eşlemek için yeterli olmalıdır. Denetim izleri ve günlükleri aşağıdakiler için önemlidir:^{[kaynak belirtilmeli ]}

Güvenlik ihlallerinin tespiti
Güvenlik olaylarını yeniden oluşturma

Günlüklerinizi hiç kimse düzenli olarak gözden geçirmiyorsa ve bunlar güvenli ve tutarlı bir şekilde tutulmazsa, bunlar kanıt olarak kabul edilmeyebilir.^{[kaynak belirtilmeli ]}

Birçok sistem, kırpma seviyeleri olarak bilinen önceden tanımlanmış belirli kriterlere veya eşiklere göre otomatik raporlar oluşturabilir. Örneğin, aşağıdakiler için bir rapor oluşturmak üzere bir kırpma seviyesi ayarlanabilir:^{[kaynak belirtilmeli ]}

Belirli bir dönemde üçten fazla başarısız oturum açma girişimi
Devre dışı bırakılmış bir kullanıcı hesabını kullanma girişimleri

Bu raporlar, bir sistem yöneticisinin veya güvenlik yöneticisinin olası zorla girme girişimlerini daha kolay belirlemesine yardımcı olur.

Kırpma seviyesinin tanımı:^[3] bir diskin manyetik özelliklerini koruma ve içeriğini tutma yeteneği. Yüksek kalite düzeyi aralığı% 65-70'tir; düşük kalite% 55'in altındadır.

Erişim kontrolleri

Erişim kontrol modelleri bazen isteğe bağlı veya isteğe bağlı olmayan olarak kategorize edilir. En yaygın olarak tanınan üç model, İsteğe Bağlı Erişim Kontrolü (DAC), Zorunlu Erişim Kontrolü (MAC) ve Rol Tabanlı Erişim Kontrolüdür (RBAC). MAC isteğe bağlı değildir.^{[kaynak belirtilmeli ]}

Isteğe bağlı erişim kontrolü

Isteğe bağlı erişim kontrolü (DAC), bir nesnenin sahibi tarafından belirlenen bir politikadır. Sahip, nesneye kimin erişebileceğine ve hangi ayrıcalıklara sahip olduğuna karar verir.

DAC'deki iki önemli kavram^{[kaynak belirtilmeli ]}

Dosya ve veri sahipliği: Sistemdeki her nesnenin bir sahip. Çoğu DAC sisteminde, her nesnenin ilk sahibi, yaratılmasına neden olan öznedir. Bir nesnenin erişim politikası, sahibi tarafından belirlenir.
Erişim hakları ve izinleri: Bunlar, bir sahibin belirli kaynaklar için diğer konulara atayabileceği kontrollerdir.

Erişim kontrolleri isteğe bağlı olabilir ACL tabanlı veya yeteneklere dayalı erişim kontrol sistemleri. (Yeteneğe dayalı sistemlerde, genellikle açık bir 'sahip' kavramı yoktur, ancak bir nesnenin yaratıcısı, erişim politikası üzerinde benzer derecede bir kontrole sahiptir.)

Zorunlu erişim kontrolü

Zorunlu erişim kontrolü belirli bir kullanıcının kaynağa erişmesine izin veren kurallar mevcutsa ve ancak bir kaynağa erişime izin vermek anlamına gelir. Yönetilmesi zordur, ancak çok hassas bilgileri korumak için kullanıldığında kullanımı genellikle haklı çıkar. Örnekler, belirli hükümet ve askeri bilgileri içerir. Bilgi hiyerarşik erişim kontrolü kullanılarak veya duyarlılık etiketleri uygulanarak korunabiliyorsa, yönetim genellikle basitleştirilir (gerekene göre). Yöntemi "zorunlu" yapan şey, kuralların veya duyarlılık etiketlerinin kullanılmasıdır.^{[kaynak belirtilmeli ]}

Duyarlılık etiketleri: Böyle bir sistemde özneler ve nesneler kendilerine atanmış etiketlere sahip olmalıdır. Bir öznenin duyarlılık etiketi, güven düzeyini belirtir. Bir nesnenin duyarlılık etiketi, erişim için gereken güven düzeyini belirtir. Belirli bir nesneye erişmek için öznenin, istenen nesneye eşit veya daha yüksek bir duyarlılık düzeyine sahip olması gerekir.
Veri içe ve dışa aktarımı: Diğer sistemlerden bilgilerin içe aktarılmasını ve diğer sistemlere (yazıcılar dahil) aktarımını kontrol etmek, hassas bilgilerin uygun şekilde korunması için duyarlılık etiketlerinin uygun şekilde korunmasını ve uygulanmasını sağlamalıdır bu sistemlerin kritik bir işlevidir. zamanlar.

Zorunlu erişim kontrolünü uygulamak için yaygın olarak iki yöntem kullanılır:^{[kaynak belirtilmeli ]}

Kural tabanlı (veya etikete dayalı) erişim kontrolü: Bu tip kontrol ayrıca istenen bir nesneye erişim için belirli koşulları tanımlar. Bir Zorunlu Erişim Kontrol sistemi, aşağıdakiler eşleşerek erişimin verilmesi mi yoksa reddedilmesi mi gerektiğini belirlemek için basit bir kurala dayalı erişim kontrolü biçimi uygular:
- Bir nesnenin hassasiyet etiketi
- Bir öznenin hassasiyet etiketi
Kafes tabanlı erişim kontrolü: Bunlar, birden çok nesne ve / veya özneyi içeren karmaşık erişim kontrol kararları için kullanılabilir. Kafes modeli, özne ve nesne gibi bir çift öğe için en büyük alt sınır ve en az üst sınır değerlerini tanımlayan matematiksel bir yapıdır.

Çok az sistem MAC uygular; XTS-400 ve SELinux bunu yapan sistemlerin örnekleridir.

Rol tabanlı erişim kontrolü

Rol tabanlı erişim kontrolü (RBAC), sahibi tarafından değil sistem tarafından belirlenen bir erişim politikasıdır. RBAC, ticari uygulamalarda ve ayrıca çok seviyeli güvenlik gereksinimlerinin de mevcut olabileceği askeri sistemlerde kullanılır. RBAC, DAC'nin kullanıcıların kaynaklarına erişimi kontrol etmesine izin vermesi, RBAC'de ise erişim kullanıcının kontrolü dışında sistem düzeyinde kontrol edilmesi açısından DAC'den farklıdır. RBAC isteğe bağlı olmasa da, MAC'dan öncelikli olarak izinlerin işlenme biçiminde ayırt edilebilir. MAC, kullanıcının açıklık düzeyine ve ek etiketlere göre okuma ve yazma izinlerini kontrol eder. RBAC, bir e-ticaret işlemi gibi karmaşık işlemleri içerebilen veya okuma veya yazma kadar basit olabilen izin koleksiyonlarını kontrol eder. RBAC'deki bir rol, bir dizi izin olarak görülebilir.

RBAC için üç temel kural tanımlanmıştır:

Rol atama: Bir özne, bir işlemi yalnızca özne uygun bir rol seçmişse veya atanmışsa gerçekleştirebilir.
Rol yetkisi: Bir öznenin aktif rolü özne için yetkilendirilmelidir. Yukarıdaki 1. kural ile bu kural, kullanıcıların yalnızca yetkili oldukları rolleri alabilmesini sağlar.
İşlem yetkisi: Bir özne, yalnızca işlem öznenin aktif rolü için yetkilendirilmişse bir işlemi yürütebilir. Kural 1 ve 2 ile bu kural, kullanıcıların yalnızca yetkili oldukları işlemleri yürütebilmelerini sağlar.

Ek kısıtlamalar da uygulanabilir ve roller, üst düzey rollerin alt düzey alt rollerin sahip olduğu izinleri içerdiği bir hiyerarşide birleştirilebilir.

Çoğu BT satıcısı, bir veya daha fazla üründe RBAC sunar.

Öznitelik tabanlı erişim kontrolü

İçinde öznitelik tabanlı erişim denetimi (ABAC),^[4]^[5] erişim, kimlik doğrulamasından sonra bir kullanıcıyla ilişkilendirilen öznenin haklarına göre değil, kullanıcının özniteliklerine göre verilir. Kullanıcı, erişim kontrol motoruna olan öznitelikleri hakkındaki sözde iddiaları kanıtlamak zorundadır. Öznitelik tabanlı bir erişim kontrol politikası, bir nesneye erişim izni vermek için hangi taleplerin karşılanması gerektiğini belirtir. Örneğin iddia "18 yaşından büyük" olabilir. Bu iddiayı kanıtlayabilen herhangi bir kullanıcıya erişim izni verilir. Kimlik doğrulama ve tanımlama kesinlikle gerekli olmadığında kullanıcılar anonim olabilir. Bununla birlikte, iddiaları isimsiz olarak kanıtlamak için araçlara ihtiyaç vardır. Bu, örneğin kullanılarak elde edilebilir anonim kimlik bilgileri.^{[kaynak belirtilmeli ]} XACML (genişletilebilir erişim denetimi biçimlendirme dili), öznitelik tabanlı erişim denetimi için bir standarttır. XACML 3.0, Ocak 2013'te standartlaştırıldı.^[6]

Break-Glass Erişim Kontrol Modelleri

Geleneksel olarak erişim, erişimi kısıtlama amacına sahiptir, bu nedenle çoğu erişim kontrol modeli "varsayılan reddetme ilkesini" izler, yani belirli bir erişim talebine açıkça izin verilmiyorsa, reddedilecektir. Bu davranış, bir sistemin normal işlemleriyle çelişebilir. Bazı durumlarda insanlar, elde edilebilecek potansiyel fayda bu riskten ağır basarsa, bir erişim kontrol politikasının ihlal edilmesine dahil olabilecek riski almaya isteklidir. Bu ihtiyaç, özellikle hasta kayıtlarına erişimin reddedilmesinin bir hastanın ölümüne neden olabileceği sağlık hizmetleri alanında görülmektedir. Break-Glass (aynı zamanda cam kırma olarak da adlandırılır), kullanıcıların erişim kontrol kararını geçersiz kılmalarına izin vererek bunu azaltmaya çalışır. Break-Glass, erişim kontrolüne özel bir şekilde uygulanabilir (örneğin, RBAC'ye),^[7] veya genel (yani, temeldeki erişim kontrol modelinden bağımsız).^[8]

Ana bilgisayar tabanlı erişim denetimi (HBAC)

Başlangıç HBAC, "ana bilgisayar tabanlı erişim denetimi" anlamına gelir.^[9]

Ayrıca bakınız

Kaynak Erişim Kontrol Tesisi

Referanslar

^ Dieter Gollmann. Bilgisayar Güvenliği, 3. baskı. Wiley Yayıncılık, 2011, s. 387, alt
^ Marcon, A. L .; Olivo Santin, A .; Stihler, M .; Bachtold, J., "Bulut Bilişim için UCONabc Esnek Yetkilendirme Değerlendirmesi", Paralel ve Dağıtık Sistemler, IEEE İşlemleri, cilt. 25, hayır. 2, s. 457–467, Şubat 2014 doi:10.1109 / TPDS.2013.113, alt
^ "Tanımı: kırpma düzeyi". PC Magazine.
^ Jin, Xin, Ram Krishnan ve Ravi Sandhu. "Dac, mac ve rbac'i kapsayan birleşik öznitelik tabanlı erişim kontrol modeli." Veri ve Uygulama Güvenliği ve Gizlilik XXVI. Springer Berlin Heidelberg, 2012. 41–55.
^ Hu, Vincent C .; Ferraiolo, David; Kuhn, Rick; Schnitzer, Adam; Sandlin, Kenneth; Miller, Robert; Eşarp, Karen. "Nitelik Tabanlı Erişim Kontrolü Kılavuzu (ABAC) Tanımı ve Dikkat Edilmesi Gerekenler" (PDF). Alıntı dergisi gerektirir | günlük = (Yardım)
^ Genişletilebilir Erişim Kontrolü Biçimlendirme Dili (XACML ) V3.0, OASIS Standardı olarak onaylandı, Genişletilebilir Erişim Kontrol Biçimlendirme Dili (XACML) V3.0, OASIS Standardı olarak onaylandı.
^ Ferreira, Ana; Chadwick, David; Farinha, Pedro; Correia, Ricardo; Zao, Gansen; Chiro, Rui; Antunes Luis (2009). "RBAC'a Nasıl Güvenli Bir Şekilde Girilir: BTG-RBAC Modeli". Bilgisayar Güvenliği Uygulamaları Konferansı (ACSAC). IEEE. s. 23–31. doi:10.1109 / ACSAC.2009.12.
^ Brucker, Achim D .; Petritsch, Helmut (2009). "Geçiş Kontrol Modellerini Kırma Camıyla Genişletme.". Erişim kontrol modelleri ve teknolojileri (SACMAT) üzerine ACM sempozyumu. ACM Basın. s. 197–206. doi:10.1145/1542207.1542239.
^ Ballard, Ella Deon (2013). "Kimlik Yönetimi Kılavuzu: Linux Tabanlı Altyapılar için Kimlik ve Yetkilendirme Politikalarını Yönetme". Kırmızı şapka. Alındı 2014-01-06. Herhangi bir PAM hizmeti, IdM'de ana bilgisayar tabanlı erişim denetimi (HBAC) sistemi olarak tanımlanabilir.

[Gollmann-2011-1] Dieter Gollmann. Bilgisayar Güvenliği, 3. baskı. Wiley Yayıncılık, 2011, s. 387, alt

[Arlindo-2014-2] Marcon, A. L .; Olivo Santin, A .; Stihler, M .; Bachtold, J., "Bulut Bilişim için UCONabc Esnek Yetkilendirme Değerlendirmesi", Paralel ve Dağıtık Sistemler, IEEE İşlemleri, cilt. 25, hayır. 2, s. 457–467, Şubat 2014 doi:10.1109 / TPDS.2013.113, alt

[3] "Tanımı: kırpma düzeyi". PC Magazine.

[4] Jin, Xin, Ram Krishnan ve Ravi Sandhu. "Dac, mac ve rbac'i kapsayan birleşik öznitelik tabanlı erişim kontrol modeli." Veri ve Uygulama Güvenliği ve Gizlilik XXVI. Springer Berlin Heidelberg, 2012. 41–55.

[5] Hu, Vincent C .; Ferraiolo, David; Kuhn, Rick; Schnitzer, Adam; Sandlin, Kenneth; Miller, Robert; Eşarp, Karen. "Nitelik Tabanlı Erişim Kontrolü Kılavuzu (ABAC) Tanımı ve Dikkat Edilmesi Gerekenler" (PDF). Alıntı dergisi gerektirir | günlük = (Yardım)

[xacml30standard-6] Genişletilebilir Erişim Kontrolü Biçimlendirme Dili (XACML ) V3.0, OASIS Standardı olarak onaylandı, Genişletilebilir Erişim Kontrol Biçimlendirme Dili (XACML) V3.0, OASIS Standardı olarak onaylandı.

[7] Ferreira, Ana; Chadwick, David; Farinha, Pedro; Correia, Ricardo; Zao, Gansen; Chiro, Rui; Antunes Luis (2009). "RBAC'a Nasıl Güvenli Bir Şekilde Girilir: BTG-RBAC Modeli". Bilgisayar Güvenliği Uygulamaları Konferansı (ACSAC). IEEE. s. 23–31. doi:10.1109 / ACSAC.2009.12.

[8] Brucker, Achim D .; Petritsch, Helmut (2009). "Geçiş Kontrol Modellerini Kırma Camıyla Genişletme.". Erişim kontrol modelleri ve teknolojileri (SACMAT) üzerine ACM sempozyumu. ACM Basın. s. 197–206. doi:10.1145/1542207.1542239.

[9] Ballard, Ella Deon (2013). "Kimlik Yönetimi Kılavuzu: Linux Tabanlı Altyapılar için Kimlik ve Yetkilendirme Politikalarını Yönetme". Kırmızı şapka. Alındı 2014-01-06. Herhangi bir PAM hizmeti, IdM'de ana bilgisayar tabanlı erişim denetimi (HBAC) sistemi olarak tanımlanabilir.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]