En seguridad informática , el control de acceso general incluye identificación , autorización , autenticación , aprobación de acceso y auditoría . Una definición más estrecha de control de acceso cubriría solo la aprobación de acceso, por lo que el sistema toma la decisión de otorgar o rechazar una solicitud de acceso de un sujeto ya autenticado, en base a lo que el sujeto está autorizado a acceder. La autenticación y el control de acceso a menudo se combinan en una sola operación, de modo que el acceso se aprueba en base a una autenticación exitosa o en base a un token de acceso anónimo. Los métodos de autenticación y tokens incluyen contraseñas , escaneos biométricos, claves físicas, llaves y dispositivos electrónicos, caminos ocultos, barreras sociales y monitoreo por humanos y sistemas automatizados. [ cita requerida ]
Entidades de software
En cualquier modelo de control de acceso , las entidades que pueden realizar acciones en el sistema se denominan sujetos , y las entidades que representan recursos a los que puede ser necesario controlar el acceso se denominan objetos (consulte también Matriz de control de acceso ). Tanto los sujetos como los objetos deben considerarse entidades de software, en lugar de usuarios humanos: cualquier usuario humano solo puede tener un efecto en el sistema a través de las entidades de software que controlan. [ cita requerida ]
Aunque algunos sistemas equiparan sujetos con ID de usuario , de modo que todos los procesos iniciados por un usuario de forma predeterminada tienen la misma autoridad, este nivel de control no es lo suficientemente detallado para satisfacer el principio de privilegio mínimo y posiblemente sea responsable de la prevalencia de malware en tales sistemas (ver inseguridad informática ). [ cita requerida ]
En algunos modelos, por ejemplo, el modelo de capacidad de objeto , cualquier entidad de software puede actuar como sujeto y como objeto. [ cita requerida ]
A partir de 2014[actualizar], los modelos de control de acceso tienden a caer en una de dos clases: aquellos basados en capacidades y aquellos basados en listas de control de acceso (ACL).
- En un modelo basado en la capacidad, que tiene una referencia o capacidad infalsificable a un objeto, que proporciona acceso al objeto (más o menos análogo a cómo la posesión de la llave de la casa le otorga acceso a la casa); el acceso se transmite a otra parte transmitiendo dicha capacidad a través de un canal seguro.
- En un modelo basado en ACL, el acceso de un sujeto a un objeto depende de si su identidad aparece en una lista asociada con el objeto (más o menos de forma análoga a cómo un portero en una fiesta privada verificaría una identificación para ver si aparece un nombre en el invitado lista); el acceso se transmite editando la lista. (Los diferentes sistemas de ACL tienen una variedad de convenciones diferentes con respecto a quién o qué es responsable de editar la lista y cómo se edita). [ Cita requerida ]
Tanto los modelos basados en capacidades como los basados en ACL tienen mecanismos para permitir que se otorguen derechos de acceso a todos los miembros de un grupo de sujetos (a menudo, el grupo se modela como un sujeto). [ cita requerida ]
Servicios
Los sistemas de control de acceso brindan los servicios esenciales de autorización , identificación y autenticación ( I&A ), aprobación de acceso y rendición de cuentas cuando: [ cita requerida ]
- autorización especifica lo que puede hacer un sujeto
- La identificación y autenticación garantizan que solo los sujetos legítimos puedan iniciar sesión en un sistema.
- la aprobación de acceso otorga acceso durante las operaciones, mediante la asociación de los usuarios con los recursos a los que pueden acceder, según la política de autorización
- la rendición de cuentas identifica lo que hizo un sujeto (o todos los sujetos asociados con un usuario)
Autorización
La autorización implica el acto de definir los derechos de acceso de los sujetos. Una política de autorización especifica las operaciones que los sujetos pueden ejecutar dentro de un sistema. [ cita requerida ]
La mayoría de los sistemas operativos modernos implementan políticas de autorización como conjuntos formales de permisos que son variaciones o extensiones de tres tipos básicos de acceso: [ cita requerida ]
- Leer (R): el sujeto puede
- Leer el contenido del archivo
- Mostrar el contenido del directorio
- Escribir (W): el sujeto puede cambiar el contenido de un archivo o directorio con las siguientes tareas:
- Agregar
- Actualizar
- Borrar
- Rebautizar
- Ejecutar (X): si el archivo es un programa, el sujeto puede hacer que se ejecute el programa. (En los sistemas de estilo Unix, el permiso de "ejecución" se duplica como un permiso de "recorrido de directorio" cuando se concede para un directorio).
Estos derechos y permisos se implementan de manera diferente en sistemas basados en el control de acceso discrecional ( DAC ) y el control de acceso obligatorio ( MAC ).
Identificación y autenticación
La identificación y autenticación (I&A) es el proceso de verificar que una identidad está vinculada a la entidad que hace una afirmación o afirmación de identidad. El proceso de I&A asume que hubo una validación inicial de la identidad, comúnmente llamada prueba de identidad. Se encuentran disponibles varios métodos de prueba de identidad, que van desde la validación en persona utilizando una identificación emitida por el gobierno, hasta métodos anónimos que permiten que el reclamante permanezca en el anonimato, pero que el sistema lo conozca si regresa. El método utilizado para la verificación y validación de la identidad debe proporcionar un nivel de garantía acorde con el uso previsto de la identidad dentro del sistema. Posteriormente, la entidad afirma una identidad junto con un autenticador como medio de validación. Los únicos requisitos para el identificador es que debe ser único dentro de su dominio de seguridad. [ cita requerida ]
Los autenticadores se basan comúnmente en al menos uno de los siguientes cuatro factores: [ cita requerida ]
- Algo que sepa , como una contraseña o un número de identificación personal (PIN). Esto supone que solo el propietario de la cuenta conoce la contraseña o el PIN necesarios para acceder a la cuenta.
- Algo que tenga , como una tarjeta inteligente o un token de seguridad . Esto supone que solo el propietario de la cuenta tiene la tarjeta inteligente o el token necesarios para desbloquear la cuenta.
- Algo que eres , como huellas dactilares, voz, retina o características del iris.
- Dónde se encuentra , por ejemplo, dentro o fuera de un firewall de la empresa, o la proximidad de la ubicación de inicio de sesión a un dispositivo GPS personal.
Aprobación de acceso
La aprobación de acceso es la función que realmente otorga o rechaza el acceso durante las operaciones. [1]
Durante la aprobación del acceso, el sistema compara la representación formal de la política de autorización con la solicitud de acceso, para determinar si la solicitud se concederá o rechazará. Además, la evaluación de acceso se puede realizar en línea o de forma continua. [2]
Responsabilidad
La rendición de cuentas utiliza componentes del sistema tales como pistas de auditoría (registros) y registros, para asociar un sujeto con sus acciones. La información registrada debe ser suficiente para mapear al sujeto con un usuario controlador. Los registros y las pistas de auditoría son importantes para [ cita requerida ]
- Detectar violaciones de seguridad
- Recreando incidentes de seguridad
Si nadie revisa sus registros con regularidad y no se mantienen de manera segura y coherente, es posible que no sean admisibles como prueba. [ cita requerida ]
Muchos sistemas pueden generar informes automatizados, basados en ciertos criterios o umbrales predefinidos, conocidos como niveles de recorte . Por ejemplo, se puede establecer un nivel de recorte para generar un informe para lo siguiente: [ cita requerida ]
- Más de tres intentos fallidos de inicio de sesión en un período determinado
- Cualquier intento de utilizar una cuenta de usuario deshabilitada.
Estos informes ayudan al administrador del sistema o al administrador de seguridad a identificar más fácilmente posibles intentos de robo.
Definición de nivel de recorte: [3] la capacidad de un disco para mantener sus propiedades magnéticas y mantener su contenido. Un rango de nivel de alta calidad es del 65 al 70%; la baja calidad está por debajo del 55%.
Controles de acceso
Los modelos de control de acceso a veces se clasifican como discrecionales o no discrecionales. Los tres modelos más reconocidos son el control de acceso discrecional (DAC), el control de acceso obligatorio (MAC) y el control de acceso basado en roles (RBAC). MAC no es discrecional. [ cita requerida ]
Control de acceso discrecional
El control de acceso discrecional (DAC) es una política determinada por el propietario de un objeto. El propietario decide quién puede acceder al objeto y qué privilegios tiene.
Dos conceptos importantes en DAC son [ cita requerida ]
- Propiedad de archivos y datos: cada objeto del sistema tiene un propietario . En la mayoría de los sistemas DAC, el propietario inicial de cada objeto es el sujeto que hizo que se creara. La política de acceso de un objeto la determina su propietario.
- Derechos y permisos de acceso: estos son los controles que un propietario puede asignar a otros sujetos para recursos específicos.
Los controles de acceso pueden ser discrecionales en sistemas de control de acceso basados en ACL o en capacidad . (En los sistemas basados en capacidades, generalmente no existe un concepto explícito de 'propietario', pero el creador de un objeto tiene un grado similar de control sobre su política de acceso).
Control de acceso obligatorio
El control de acceso obligatorio se refiere a permitir el acceso a un recurso si y solo si existen reglas que permitan a un usuario determinado acceder al recurso. Es difícil de administrar, pero su uso suele estar justificado cuando se utiliza para proteger información altamente sensible. Los ejemplos incluyen cierta información gubernamental y militar. La administración a menudo se simplifica (más de lo que se requiere) si la información se puede proteger mediante un control de acceso jerárquico o mediante la implementación de etiquetas de confidencialidad. Lo que hace que el método sea "obligatorio" es el uso de reglas o etiquetas de confidencialidad. [ cita requerida ]
- Etiquetas de sensibilidad: en un sistema de este tipo, los sujetos y objetos deben tener etiquetas asignadas. La etiqueta de sensibilidad de un sujeto especifica su nivel de confianza. La etiqueta de confidencialidad de un objeto especifica el nivel de confianza necesario para el acceso. Para acceder a un objeto determinado, el sujeto debe tener un nivel de sensibilidad igual o superior al objeto solicitado.
- Importación y exportación de datos: Controlar la importación de información de otros sistemas y la exportación a otros sistemas (incluidas las impresoras) es una función crítica de estos sistemas, que debe garantizar que las etiquetas de confidencialidad se mantengan e implementen correctamente para que la información confidencial esté debidamente protegida. veces.
Se utilizan comúnmente dos métodos para aplicar el control de acceso obligatorio: [ cita requerida ]
- Control de acceso basado en reglas (o basado en etiquetas): este tipo de control define además las condiciones específicas para el acceso a un objeto solicitado. Un sistema de control de acceso obligatorio implementa una forma simple de control de acceso basado en reglas para determinar si se debe otorgar o denegar el acceso mediante la comparación:
- La etiqueta de sensibilidad de un objeto
- La etiqueta de sensibilidad de un sujeto
- Control de acceso basado en celosía : se pueden usar para decisiones complejas de control de acceso que involucran múltiples objetos y / o sujetos. Un modelo de celosía es una estructura matemática que define los valores máximos de límite inferior y mínimo de límite superior para un par de elementos, como un sujeto y un objeto.
Pocos sistemas implementan MAC; XTS-400 y SELinux son ejemplos de sistemas que lo hacen.
Control de acceso basado en roles
El control de acceso basado en roles (RBAC) es una política de acceso determinada por el sistema, no por el propietario. RBAC se utiliza en aplicaciones comerciales y también en sistemas militares, donde también pueden existir requisitos de seguridad de varios niveles. RBAC se diferencia de DAC en que DAC permite a los usuarios controlar el acceso a sus recursos, mientras que en RBAC, el acceso se controla a nivel del sistema, fuera del control del usuario. Aunque RBAC no es discrecional, se puede distinguir de MAC principalmente en la forma en que se manejan los permisos. MAC controla los permisos de lectura y escritura según el nivel de autorización del usuario y etiquetas adicionales. RBAC controla colecciones de permisos que pueden incluir operaciones complejas como una transacción de comercio electrónico, o pueden ser tan simples como leer o escribir. Un rol en RBAC puede verse como un conjunto de permisos.
Se definen tres reglas principales para RBAC:
- Asignación de roles: un sujeto puede ejecutar una transacción solo si el sujeto ha seleccionado o se le ha asignado un rol adecuado.
- Autorización de rol: el rol activo de un sujeto debe estar autorizado para el sujeto. Con la regla 1 anterior, esta regla garantiza que los usuarios solo puedan asumir roles para los que están autorizados.
- Autorización de transacción: un sujeto puede ejecutar una transacción solo si la transacción está autorizada para el rol activo del sujeto. Con las reglas 1 y 2, esta regla garantiza que los usuarios solo puedan ejecutar transacciones para las que están autorizados.
También se pueden aplicar restricciones adicionales y los roles se pueden combinar en una jerarquía donde los roles de nivel superior subsumen los permisos que pertenecen a los sub-roles de nivel inferior.
La mayoría de los proveedores de TI ofrecen RBAC en uno o más productos.
Control de acceso basado en atributos
En el control de acceso basado en atributos (ABAC), [4] [5] el acceso se otorga no en función de los derechos del sujeto asociado con un usuario después de la autenticación, sino en función de los atributos del usuario. El usuario tiene que probar las llamadas afirmaciones sobre sus atributos al motor de control de acceso. Una política de control de acceso basada en atributos especifica qué reclamos deben satisfacerse para otorgar acceso a un objeto. Por ejemplo, la afirmación podría ser "mayor de 18 años". Se concede acceso a cualquier usuario que pueda probar esta afirmación. Los usuarios pueden ser anónimos cuando la autenticación y la identificación no son estrictamente necesarias. Sin embargo, sí se requieren medios para probar afirmaciones de forma anónima. Esto se puede lograr, por ejemplo, utilizando credenciales anónimas . [ cita requerida ] XACML (lenguaje de marcado de control de acceso extensible) es un estándar para el control de acceso basado en atributos. XACML 3.0 se estandarizó en enero de 2013. [6]
Modelos de control de acceso con rotura de vidrio
Tradicionalmente, el acceso tiene el propósito de restringir el acceso, por lo que la mayoría de los modelos de control de acceso siguen el "principio de denegación predeterminado", es decir, si una solicitud de acceso específica no se permite explícitamente, será denegada. Este comportamiento puede entrar en conflicto con las operaciones habituales de un sistema. En determinadas situaciones, los seres humanos están dispuestos a correr el riesgo que podría implicar la violación de una política de control de acceso, si el beneficio potencial que se puede lograr supera este riesgo. Esta necesidad es especialmente visible en el ámbito de la atención de la salud, donde un acceso denegado a los registros de los pacientes puede provocar la muerte de un paciente. Break-Glass (también llamado break-the-glass) intenta mitigar esto permitiendo a los usuarios anular la decisión de control de acceso. Break-Glass puede implementarse de una manera específica de control de acceso (por ejemplo, en RBAC), [7] o genérica (es decir, independiente del modelo de control de acceso subyacente). [8]
Control de acceso basado en host (HBAC)
El inicialismo HBAC significa "control de acceso basado en host". [9]
Ver también
Referencias
- ^ Dieter Gollmann. Seguridad informática , 3ª ed. Wiley Publishing, 2011, pág. 387, abajo
- ^ Marcon, AL; Olivo Santin, A .; Stihler, M .; Bachtold, J., "A UCONabc Resilient Authorization Evaluation for Cloud Computing" , Sistemas distribuidos y paralelos, IEEE Transactions on , vol. 25, no. 2, págs. 457–467, febrero de 2014 doi : 10.1109 / TPDS.2013.113 , abajo
- ^ "Definición de: nivel de recorte" . Revista de PC .
- ^ Jin, Xin, Ram Krishnan y Ravi Sandhu. "Un modelo de control de acceso unificado basado en atributos que cubre dac, mac y rbac". Seguridad y privacidad de datos y aplicaciones XXVI. Springer Berlín Heidelberg, 2012. 41–55.
- ^ Hu, Vincent C .; Ferraiolo, David; Kuhn, Rick; Schnitzer, Adam; Sandlin, Kenneth; Miller, Robert; Scarfone, Karen. "Guía para la definición y consideraciones del control de acceso basado en atributos (ABAC)" (PDF) . Cite journal requiere
|journal=
( ayuda ) - ^ Lenguaje de marcado de control de acceso extensible ( XACML ) V3.0 aprobado como estándar OASIS, Lenguaje de marcado de control de acceso extensible (XACML) V3.0 aprobado como estándar OASIS.
- ^ Ferreira, Ana; Chadwick, David; Farinha, Pedro; Correia, Ricardo; Zao, Gansen; Chiro, Rui; Antunes, Luis (2009). "Cómo entrar de forma segura en RBAC: el modelo BTG-RBAC". Conferencia de Aplicaciones de Seguridad Informática (ACSAC) . IEEE. págs. 23–31. doi : 10.1109 / ACSAC.2009.12 .
- ^ Brucker, Achim D .; Petritsch, Helmut (2009). "Ampliación de modelos de control de acceso con rotura de cristal". . Simposio ACM sobre modelos y tecnologías de control de acceso (SACMAT) . Prensa ACM. págs. 197–206. doi : 10.1145 / 1542207.1542239 .
- ^ Ballard, Ella Deon (2013). "Guía de gestión de identidad: gestión de políticas de identidad y autorización para infraestructuras basadas en Linux" . Red Hat . Consultado el 6 de enero de 2014 .
Cualquier servicio PAM puede identificarse como el sistema de control de acceso basado en host (HBAC) en IdM.