Najczęściej wymieniane pryncypia bezpiecznych systemów informatycznych to integralność, poufność i dostępność. Znaczącą, jeśli nie główną rolę w każdym z powyższych aspektów bezpieczeństwa odgrywa kontrola dostępu. Pojęcie, które z pozoru wydawać się może błahe jest dość złożonym zagadnieniem wymagającym przemyślanego zaplanowania i implementacji.
Kontrola dostępu
Na początku zdefiniujmy sobie czym jest kontrola dostępu. Kontrola dostępu to proces przydzielania określonym podmiotom uprawnień do obiektów (zasobów). Podmiotem może być np. użytkownik, proces, aplikacja, serwer – mają one charakter aktywny (korzystają z dostępu). Obiektem natomiast nazywamy pasywny zasób, taki jak np. folder, baza danych, sieć, aplikacja, serwer. Jak widać na przykładzie aplikacji i serwera, aktywny podmiot posiadający określone uprawnienia może też jednocześnie być pasywnym obiektem, do którego uprawnienia uzyskują inne podmioty.
W kontroli dostępu poza samym określeniem który podmiot ma mieć dostęp do poszczególnych obiektów, istotne jest sprecyzowanie posiadanych uprawnień, np. do przeglądania, modyfikowania, usuwania, przejmowania na własność, delegowania uprawnień itd. Kontrola dostępu ma zatem na celu nadawanie uprawnień tylko autoryzowanym podmiotom oraz ich limitowanie zgodnie ze ściśle określonymi wytycznymi.
Planowanie całego procesu sprowadza się zatem do czterech kluczowych kroków:
- Zdefiniowania które podmioty mogą uzyskiwać dostęp
- Zdefiniowania do których konkretnie obiektów dostęp jest udzielany
- Zdefiniowania jakie operacje na danym obiekcie może wykonać dany podmiot
- Monitorowania i egzekwowania odpowiedzialności za wykonywane działania
W procesie kontroli dostępu będziemy sobie zatem musieli zadać pytanie, czy posiadamy odpowienio zinwentaryzowane zasoby.
Autoryzacja
Bardzo istotną rolę w kontroli dostępu odgrywa proces autoryzacji. Zanim przydzielimy jakiemuś podmiotowi uprawnienia do określonego obiektu musimy się dowiedzieć co to za podmiot i upewnić się, że jest tym za kogo się podaje. Na proces ten składają się trzy kroki:
- Identyfikacja, czyli ustalenie z jakim podmiotem mamy do czynienia. Najprostszy przykład to zapytanie o nazwę użytkownika.
- Uwierzytelnianie (nazywane czasem brzydko z języka ang. autentykacją), czyli zapytanie o poświadczenia potwierdzające tożsamość, np. hasło użytkownika.
- Autoryzacja, czyli nadanie uwierzytelnionemu podmiotowi przysługujących mu uprawnień, np. dostępu do systemu.
Temat kontroli dostępu kontynuowany jest w artykule pt. kontrola dostępu – zarządzanie uprawnieniami.
„Bezpieczna Pigułka” to codzienna, mała dawka wiedzy z zakresu cyberbezpieczeństwa. Wszystkie teksty z tej kategorii znajdziesz TUTAJ.
Zostaw e-mail aby otrzymać powiadomienia o nowościach oraz dostęp do wszystkich bonusowych materiałów przygotowanych wyłącznie dla subskrybentów.