Модели управления доступом

В связи с известными событиями возникла необходимость подтянуть мат.часть по управлению доступом. А в этом деле нет ничего лучше, чем составить для самого себя краткую памятку. Размещу её здесь на случай, если кому-то она пригодится.


 

Среди бесчисленного множества моделей можно выделить следующие, более-менее непересекающиеся и задающие базовую классификацию: MAC, DAC, RBAC и ABAC.

 

MAC: Mandatory Access Control

(рус. мандатное управление доступом)

В основе модели лежат понятия «режима конфиденциальности» и «допуска». Режим конфиденциальности устанавливается для объектов (информации, систем, операций), в то время как допуск присваивается субъектам (гражданам или техническим средствам, которые пытаются получить доступ). Например, в простейшем случае сотрудник с уровнем допуска «для служебного пользования» получает доступ к объектам уровней «не секретно» и «для служебного пользования», но не получает доступа к объектам уровня «совершенно секретно».

Основное преимущество модели заключается в относительной простоте устройства, администрирования и использования. Основной недостаток – невысокая гибкость в широких и разноплановых инфраструктурах.

 

DAC: Discretionary Access Control

(рус. дискреционное, или избирательное управление доступом)

Данная модель работает на основе списков управления доступом (ACL, access control lists), задающих однозначное соответствие между объектами, субъектами и возможными действиями (типами доступа, операциями).

Особенностью модели является необходимость наличия либо чётко выделенных владельцев ресурсов, управляющих доступом, либо суперадминистраторов, имеющих достаточно большие полномочия. В масштабных инфраструктурах применение модели затрудняется быстро возрастающей сложностью управления, проявляющейся в количестве и размере списков управления доступом.

 

RBAC: Role-based Access Control

(рус. управление доступом на основе ролей)

Считается развитием избирательной модели. Отдельные права доступа к объектам группируются в роли, а уже роли назначаются субъектам. Сложность управления уменьшается за счёт уменьшения числа связей (а, следовательно, и размеров списков управления доступом), а также за счёт логического объединения схожих прав доступа. Следует отметить, что объединять в роли следует именно права доступа к объектам, а не группировать субъектов с помощью ролей.

Именно управление доступом на основе ролей является самым применяемым инструментом корпоративного управления доступом.

Одно из ключевых преимуществ модели – возможность реализации принципа разграничения полномочий (Segregation of Duties), более полно адресуя вопросы информационной безопасности.

Основной недостаток модели – необходимость предварительной и достаточно детальной разработки ролевых моделей, позволяющих затем предоставлять доступ через сопоставление субъектов и ролей.

 

ABAC: Attribute­based Access Control

(рус. управление доступом на основе атрибутов)

Часто рассматривается как дополнение к модели управления на основе ролей, хотя изначально разрабатывалась как альтернатива ей. Вместо ролей данная модель оперирует понятием атрибутов, или свойств субъектов. В корпоративной среде такими атрибутами могут выступать подразделение сотрудника, его должность, способ подключения к корпоративной сети, время суток и так далее. Основываясь на заранее определённых правилах и политиках, доступ к объектам предоставляется при «правильных» значениях атрибутов субъекта.

Считается, что данная модель является наиболее современной, проще в применении и позволяет выстраивать очень гибкие системы управления доступом.

 


В специальной литературе встречается и описывается ещё более 9000 разных моделей, однако уходить в такие подробности мы не будем.

 

CleverIDM CleverIDM: Управление учётными записями и доступом

Новая услуга в партнёрстве с Аванпост.
 

Узнайте больше!

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Ближайшие мероприятия

Зарегистрируйтесь, чтобы получить больше полезных знаний:

АВГ
20
АВГ
23