Erişim Kontrolleri Genel Prensipler ve Teknikler
En Az Ayrıcalık
En az ayrıcalık ilkesi, bir aktöre kaynaklara yalnızca gerektiği kadar ve görevini tamamlaması için gerekli izinlerle erişim verilmesi gerektiğini belirtir. Bu kaynaklar süreçler, programlar ve hatta kullanıcı hesapları olabilir. Bu ilke, saldırı yüzeyini azaltır ve ele geçirilen tek bir hesabın tüm kaynaklara erişimi olmayacağından kötü amaçlı yazılımın yayılmasını durdurmaya yardımcı olur.
En az ayrıcalık ayrıca uyumluluk açısından önemli bir kavramdır. Örneğin, yasalar internet erişimi olan tüm hesapların denetlenmesini gerektirebilir. İnternet erişimi olan hesapları yalnızca görevlerini tamamlamak için İnternet erişimine ihtiyaç duyan aktörlerin hesaplarıyla sınırlandırarak uyumluluğu kolaylaştırır.
Çok Faktörlü Kimlik Doğrulama (MFA)
Çok faktörlü kimlik doğrulama, aktörlerin kimlik olarak kullanılmak üzere iki veya daha fazla bilgi sağlamasını gerektiren bir tekniktir. Bazı kimlik belirleme örnekleri kullanıcı adları ve parolalar, belirteç kodları, fiziksel bir belirteç veya biyometrik veriler olabilir. Genellikle "sahip olduğunuz ve bildiğiniz bir şey" kullanılması önerilir; örneğin telefonunuza gelen bir SMS mesajındaki kod (telefonunuz var) ve bir şifre (şifrenizi biliyorsunuz).
MFA için birçok popüler ürün bulunmaktadır ve bunların çoğu zamana dayalı bir kod oluşturulmasına dayanmaktadır. Google Authenticator ve Authy, doğrulama sistemi ile senkronize edilen bir kriptografik çekirdekten kodlar üreten birer telefon uygulamasıdır. RSA ID'leri özel bir donanım cihazında benzer kodlar üretir.
MAC, DAC, RBAC ve ABAC
Kullanılabilecek birkaç farklı yetkilendirme modeli vardır. Zorunlu Erişim Kontrolü (MAC), tüm nesnelerin (dosyalar, dizinler, cihazlar, vb.) kimin ve nasıl erişebileceğini tanımlayan bir güvenlik etiketine sahip olmasını gerektirir. Bu, uygulanması ve sürdürülmesi büyük çaba gerektiren, ancak yüksek düzeyde güvenlikle sonuçlanan, özellikle sıkı bir erişim kontrolü biçimidir. İsteğe Bağlı Erişim Kontrolü (DAC), nesne sahiplerinin gruplara/kullanıcılara hangi izinlerin verileceğini belirlemelerine olanak tanıyarak işleri basitleştirir. Bu, büyük bir esneklik ve uygulama kolaylığı sunar, ancak nesnenin sahibinin kimliği tehlikeye girerse daha az güvenli bir ortamla sonuçlanabilir. Rol Tabanlı Erişim Kontrolü (RBAC), DAC'den yola çıkarak, nesnelere kimin farklı düzeylerde erişime sahip olduğunu belirlemek için bir sistem içinde temel bir rol kümesi kullanır. RBAC, DAC veya MAC uygulamak için akıllıca kullanılabilen yaygın ve esnek bir modeldir. Öznitelik Tabanlı erişim kontrolü (ABAC), RBAC'yi temel alan ve sadece roller yerine daha genel öznitelikler kullanan daha yeni bir modeldir. ABAC, nesnenin özniteliklerine, kullanıcıya, eyleme ve hatta harici bir bağlama dayalı olarak nesnelere kimin farklı erişim düzeylerine sahip olduğunu belirleyebilir. Bu nitelikler, bir kurala dönüştürülebilecek herhangi bir şekilde birlikte kullanılabilir. Örneğin, "Fred'e bu klasördeki sınıflandırılmamış belgelere sabah 9:00'dan akşam 5:00'e kadar okuma erişimi verin."
Tablo; DAC, MAC, RBAC ve ABAC arasındaki karşılaştırma
| Faktörler | DAC | MAC | RBAC | ABAC |
|---|---|---|---|---|
| Bilgiye Erişim Kontrolü | Veri sahibi aracılığıyla | Sabit kurallar aracılığıyla | Roller aracılığıyla | Nitelikler aracılığıyla |
| Erişim Kontrolüne Dayalı | Veri sahibinin takdir yetkisi | Kullanıcıların ve verilerin sınıflandırılması | Rollerin sınıflandırılması | Niteliklerin değerlendirilmesi |
| Bilgiye Erişimde Esneklik | Yüksek | Düşük | Yüksek | Çok yüksek |
| Erişim İptal Karmaşıklığı | Çok karmaşık | Çok kolay | Çok kolay | Çok kolay |
| Çok Seviyeli Veritabanı Sistemi Desteği | Hayır | Evet | Evet | Evet |
| Kullanım sebebi | İlk Unix sistemi | ABD Savunma Bakanlığı | CERN’deki ATLAS deneyi | Federal Hükümet |
Yorumlar
Yorum Gönder