Обязательный контроль доступа (MAC): как это работает?

Защита данных становится все более важной темой. В частности, для компаний стало абсолютно необходимым иметь комплексную стратегию безопасности, чтобы защитить данные клиентов и внутреннюю информацию от попадания в чужие руки. Именно поэтому каждый пользователь имеет ограниченные права доступа, которые проверяются при каждом запросе данных.

Существует несколько вариантов реализации и поддержания контроля доступа, включая обязательный контроль доступа. Эта модель также используется в политической и военной сферах, где требуется защита данных от несанкционированного доступа. Продолжайте читать, чтобы узнать, как работает этот основанный на правилах контроль доступа и каковы его плюсы и минусы.

Чтобы защитить данные и настройки системы от несанкционированного доступа и изменений, компании обычно предоставляют пользователям только те привилегии, которые необходимы им для выполнения своей работы. Определение и распределение привилегий доступа может быть очень сложным даже для среднего бизнеса. Каждая компания разделена на различные отделы, обычно включающие финансовый, маркетинговый и отдел кадров. Сотрудникам каждого из этих отделов требуются различные права доступа для выполнения своей работы. А отдельные сотрудники иногда нуждаются в специальных дополнениях к своим правам, в зависимости от их конкретной роли в компании. Для эффективного применения и отслеживания этих различных прав доступа были разработаны различные стратегии безопасности. Обязательный контроль доступа — одна из таких стратегий. При использовании MAC каждый пользователь имеет доступ только к тем ресурсам, которые ему абсолютно необходимы. Слово «обязательный» уже намекает на то, что контроль доступа основан на правилах и должен соблюдаться.

Права доступа обычно предоставляются системным администратором и назначаются кем-то в компании, кто обладает достаточными знаниями о задачах каждого пользователя. Это гарантирует, что сотрудники смогут выполнять свою работу, не ударяясь о стены. Внедрение и обновление обычно осуществляется автоматически операционной системой или ядром безопасности. Когда пользователь пытается получить доступ к данным, система либо предоставляет ему доступ, либо отклоняет его запрос. Такая автоматизированная реализация является лучшим способом предотвращения несанкционированного доступа.

Решения о правах доступа обычно принимаются на основе следующих факторов:

• Пользователи и процессы
• Объекты: ресурсы, к которым осуществляется доступ
• Правила и свойства: категоризация, ярлыки и кодовые слова.

Обязательный контроль доступа использует иерархический подход: Каждому объекту в файловой системе присваивается уровень безопасности, основанный на чувствительности данных. Примерами уровней безопасности являются «конфиденциальный» и «совершенно секретный». Пользователи и устройства ранжируются таким же образом. Когда пользователь пытается получить доступ к ресурсу, система автоматически проверяет, разрешен ли ему доступ. Кроме того, всем пользователям и информации присваивается категория, которая также проверяется, когда пользователь запрашивает доступ. Для получения доступа к данным пользователи должны соответствовать обоим критериям — уровню безопасности и категории.

Существует две формы обязательного контроля доступа:

Эта модель является первоначальной, более простой формой MAC, которая состоит из вертикальной структуры уровней безопасности. Информация может перемещаться только внутри этих областей. Пользователям также присваивается уровень безопасности, и они могут получить доступ к информации только на том же или более низком уровне безопасности.

Эти системы более сложны и назначают доступ на основе сегментов, которые образуют группы. Эти группы состоят из уровней безопасности и кодовых слов. Таким образом, возникает горизонтальная система безопасности, которая содержит дополнительные вертикальные уровни безопасности.

Обязательный контроль доступа — одна из самых безопасных систем доступа, поскольку она практически защищена от взлома. В отличие от RBAC, пользователи не могут вносить изменения. Проверка и соблюдение привилегий доступа полностью автоматизированы. Это придает системе Mandatory Access Control высокий уровень конфиденциальности. Кроме того, система может похвастаться высоким уровнем целостности: Данные не могут быть изменены без соответствующей авторизации и, таким образом, защищены от фальсификации.

Однако MAC требует детального планирования и большей административной работы. Вам придется регулярно проверять и обновлять каждое назначение прав доступа к объектам и пользователям. Работа по обслуживанию также включает в себя добавление новых данных или пользователей и внесение изменений в категоризацию и классификацию. Обычно есть только один человек, уполномоченный выполнять эти задачи. Это обеспечивает высокий уровень безопасности, но требует большой работы от администратора.

Высокие уровни конфиденциальности и целостности означают, что обязательный контроль доступа используется в областях, которые имеют дело с конфиденциальными данными и требуют высокого уровня безопасности. К ним обычно относятся военные, правительство, политика, внешняя торговля, здравоохранение и разведка. Но MAC находит применение и в обычных компаниях. Например, система безопасности Security-Enhanced Linux (SELinux) основана на реализации MAC в ядре Linux.