В связи с известными событиями возникла необходимость подтянуть мат.часть по управлению доступом. А в этом деле нет ничего лучше, чем составить для самого себя краткую памятку. Размещу её здесь на случай, если кому-то она пригодится.
Среди бесчисленного множества моделей можно выделить следующие, более-менее непересекающиеся и задающие базовую классификацию: MAC, DAC, RBAC и ABAC.
MAC: Mandatory Access Control
(рус. мандатное управление доступом)
В основе модели лежат понятия «режима конфиденциальности» и «допуска». Режим конфиденциальности устанавливается для объектов (информации, систем, операций), в то время как допуск присваивается субъектам (гражданам или техническим средствам, которые пытаются получить доступ). Например, в простейшем случае сотрудник с уровнем допуска «для служебного пользования» получает доступ к объектам уровней «не секретно» и «для служебного пользования», но не получает доступа к объектам уровня «совершенно секретно».
Основное преимущество модели заключается в относительной простоте устройства, администрирования и использования. Основной недостаток – невысокая гибкость в широких и разноплановых инфраструктурах.
DAC: Discretionary Access Control
(рус. дискреционное, или избирательное управление доступом)
Данная модель работает на основе списков управления доступом (ACL, access control lists), задающих однозначное соответствие между объектами, субъектами и возможными действиями (типами доступа, операциями).
Особенностью модели является необходимость наличия либо чётко выделенных владельцев ресурсов, управляющих доступом, либо суперадминистраторов, имеющих достаточно большие полномочия. В масштабных инфраструктурах применение модели затрудняется быстро возрастающей сложностью управления, проявляющейся в количестве и размере списков управления доступом.
RBAC: Role-based Access Control
(рус. управление доступом на основе ролей)
Считается развитием избирательной модели. Отдельные права доступа к объектам группируются в роли, а уже роли назначаются субъектам. Сложность управления уменьшается за счёт уменьшения числа связей (а, следовательно, и размеров списков управления доступом), а также за счёт логического объединения схожих прав доступа. Следует отметить, что объединять в роли следует именно права доступа к объектам, а не группировать субъектов с помощью ролей.
Именно управление доступом на основе ролей является самым применяемым инструментом корпоративного управления доступом.
Одно из ключевых преимуществ модели – возможность реализации принципа разграничения полномочий (Segregation of Duties), более полно адресуя вопросы информационной безопасности.
Основной недостаток модели – необходимость предварительной и достаточно детальной разработки ролевых моделей, позволяющих затем предоставлять доступ через сопоставление субъектов и ролей.
ABAC: Attributebased Access Control
(рус. управление доступом на основе атрибутов)
Часто рассматривается как дополнение к модели управления на основе ролей, хотя изначально разрабатывалась как альтернатива ей. Вместо ролей данная модель оперирует понятием атрибутов, или свойств субъектов. В корпоративной среде такими атрибутами могут выступать подразделение сотрудника, его должность, способ подключения к корпоративной сети, время суток и так далее. Основываясь на заранее определённых правилах и политиках, доступ к объектам предоставляется при «правильных» значениях атрибутов субъекта.
Считается, что данная модель является наиболее современной, проще в применении и позволяет выстраивать очень гибкие системы управления доступом.
В специальной литературе встречается и описывается ещё более 9000 разных моделей, однако уходить в такие подробности мы не будем.