Tecniche di controllo accessi

2

Cari membri di Information Security, questo è il mio primo post qui e spero di essere venuto nel posto giusto. Attualmente sto studiando le tecniche di controllo degli accessi e sto cercando di visualizzare e concettualizzare le idee.

Di seguito è riportato un insieme di tecniche di cui ho letto:

  1. Matrice di controllo accesso
  2. Elenchi di controllo di accesso
  3. Capacità di controllo di accesso
  4. Controllo degli accessi basato sui ruoli
  5. Controllo di accesso basato su regole

Mi sento a mio agio con [1] [2] e [3]; parzialmente constrongvole con [4] e completamente perso con [5]. Quello che intendo per comodo è che capisco il concetto di base dietro la tecnica, ma non ho un esempio pratico di implementazione.

Sarei felice con una definizione chiara che potrebbe aiutarmi a visualizzare queste idee. Idealmente, sarei interessato a informazioni visive che potrebbero aiutarmi a stabilire una comprensione concettuale. Bonus, se qualcuno potrebbe descrivere un esempio pratico conciso.

    
posta e.doroskevic 03.10.2016 - 16:32
fonte

2 risposte

4

Definizione
Accesso basato su regole significa che i tuoi privilegi sono calcolati in base alle regole. Le regole sono formule logiche basate su 1) attributi dell'utente come: posizione del lavoro, livello di autorizzazione, titolo del lavoro, descrizione del lavoro, posizione geografica e così via e / o 2) cose fisiche come l'indirizzo IP da cui si accede, giorno della settimana, se si ' in vacanza o no, ...
Esempio
Sei un utente esperto del prodotto software ABC. Il prodotto utilizza l'accesso basato su regole. Hai alcuni forti privilegi che ti permettono di fare XYZ su oggetti che sono assegnati alla stessa regione geografica in cui lavori. Questi privilegi sono efficaci solo se:

  1. l'IP del tuo client si trova in un intervallo IP (che esclude di fare roba da casa tramite VPN)
  2. È lunedì - venerdì dalle 8:00 alle 18:00.

Quindi la regola per ottenere un certo privilegio sarebbe in questo esempio

ip == 10.10.1.0/24 and workday <= friday and workday >= monday and timeofday <= 6pm and timeofday >= 8pm

e tale regola potrebbe anche controllare cose come la posizione di lavoro, che è relativamente semplice se si tratta di un codice alfanumerico del sistema HR che identifica immediatamente te come poweruser per quel particolare prodotto.

    
risposta data 03.10.2016 - 16:49
fonte
2

Da aggiungere all'eccellente descrizione di @ kaidentity del numero 5 ...

Controllo dell'accesso basato sui ruoli

Consente o nega l'accesso alle risorse in base al lavoro ruolo .

Un esempio comune è nel settore bancario. Un cassiere bancario avrà accesso ai sistemi front-of-bank per il controllo dei conti e l'erogazione di contante fino a un determinato importo. Un gestore di banca avrà accesso a sistemi di back-office e forse autorizzazioni per autorizzare ingenti somme di denaro.

I sistemi RBAC più avanzati sono più dinamici. Quindi un cassiere può essere "promosso" a un direttore di banca per un giorno o due quando il manager effettivo è fuori servizio. Oppure possono ottenere qualche altro ruolo temporaneo come l'accesso al sistema ipotecario.

Un eccellente esempio del fallimento di un RBAC è quando a qualcuno viene accidentalmente dato l'accesso a due ruoli che dovrebbero escludersi a vicenda, come fare e autorizzare transazioni di £ 10m +. Mentre ogni sistema RBAC svolgerà ruoli di base, molto meno sono abbastanza sofisticati da svolgere ruoli esclusivi.

    
risposta data 03.10.2016 - 21:19
fonte

Leggi altre domande sui tag