L'RBAC non è solo un'implementazione di MAC?

1

Quindi ho letto su MAC vs DAC vs RBAC e c'è qualcosa che non capisco. Ovunque tu legga, ti dice che questi tipi sono diversi (disgiunti) ma non è RBAC solo un tipo (implementazione) di MAC?

Da quanto ho capito, il MAC è una politica di controllo generica in cui l'amministratore gestisce tutti i diritti di accesso. In RBAC, i diritti sono assegnati ai ruoli ma alla fine i ruoli sono ancora gestiti dall'amministratore giusto? L'amministratore decide quale utente ha quale ruolo e lui è anche quello che può modificare il permesso per tutti i ruoli quindi, in definitiva, l'amministratore è ancora quello che gestisce tutti i diritti di accesso, corretto?

Inoltre ho guardato questo video su YouTube Implementando l'esempio MAC , e questo modello ha funzionato come tale: dati è stato classificato in categorie in base alla sua sensibilità (ovvero top secret, segreto, confidenziale, ecc.) e la società è stata suddivisa in reparti. Il controllo dell'account è stato implementato come un insieme di etichette L = (livello di sensibilità, dipartimento), il che significa che gli utenti di quel dipartimento hanno diritti sui file di quel livello di sensibilità. Esempio molto semplice, lo so, ma non capisco come questo sia diverso da RBAC. Il dipartimento di un utente è fondamentalmente il suo ruolo e le etichette mostrano quali sono i diritti di ciascuno dei reparti. Onestamente se dovessi chiedere "quale tipo di controllo account è stato presentato nel video" risponderei RBAC ma il video afferma che presenta MAC.

Qualcuno può far luce su ciò che differisce tra i due e perché uno non è solo una sottocategoria dell'altro?

Grazie in anticipo.

    
posta Nu Nunu 29.01.2017 - 22:20
fonte

1 risposta

1

Pensa che i due modelli realizzano obiettivi simili, ma attraverso una prospettiva diversa. Ciò che è ancora più confuso è che in pratica possono essere combinati.

Pensa a MAC come una versione semplificata del sistema di classificazione del governo degli Stati Uniti, ad esempio hai segreto, segreto, top secret. Se uno ha solo l'autorizzazione confidenziale, non può accedere al segreto o al top secret, ma quando uno ha un permesso Top Secret può ricevere l'accesso ai documenti a tutti i livelli. Un elemento chiave di MAC è che viene gestito centralmente e applicato dal sistema del computer, pertanto gli utenti, gli amministratori di sistema e così via non possono eseguire l'escalation dei privilegi autonomamente senza l'approvazione dell'autorità centrale dell'organizzazione.

Al contrario, un controllo degli accessi basato sui ruoli sarebbe più granulare. Ad esempio, se si utilizza il controllo degli accessi basato sui ruoli, qualcuno che lavora per il governo degli Stati Uniti nelle relazioni umane avrà accesso a promemoria, fascicoli e altre informazioni sui dipendenti come richiesto dalla loro posizione. Tuttavia, non avrebbero accesso ad altre informazioni allo stesso livello di classificazione che è al di fuori del loro ambito di lavoro - come, i finanziari per gli acquisti di attrezzature. Pertanto, il controllo degli accessi basato sui ruoli limita l'ambito delle informazioni.

I sistemi possono essere combinati nella pratica e molti sistemi possono avere una combinazione di controlli basati su ruoli e accesso obbligatorio. Tuttavia, RBAC è visto come di solito più adatto per ambienti commerciali, mentre MAC è più associato ad ambienti sensibili come la difesa.

Detto questo, in termini di video che identifichi, la domanda è complicata. Tuttavia, il fatto che contenga sia il livello di sensibilità che il dipartimento significa che è RBAC - come reparto è coinvolto (questo è un ruolo). Poiché il livello di sensibilità è coinvolto, non è il DAC (controllo dell'accesso discrezionale), ma piuttosto il MAC è implementato in modo RBAC.

    
risposta data 29.01.2017 - 23:14
fonte