2.2Авторизация, методы и модели управления доступом 2.2.1Модели управления доступом
Модель управления доступом – это структура, которая определяет порядок доступа субъектов к объектам. Для реализации правил и целей этой модели используются технологии управления доступом и механизмы безопасности. Существует три основных модели управления доступом: дискреционная, мандатная и ролевая. Каждая модель использует различные методы для управления доступом субъектов к объектам, каждая имеет свои преимущества и ограничения.
Общим подходом для всех моделей управления доступом является разделение множества сущностей, составляющих систему, на множества объектов и субъектов. При этом определения понятий «объект» и «субъект» могут существенно различаться. [17] Мы будем подразумевать, что объекты являются некоторыми контейнерами с информацией, а субъекты – пользователи, которые выполняют различные операции над этими объектами.
Безопасность обработки информации обеспечивается путем решения задачи управления доступом субъектов к объектам в соответствии с заданным набором правил и ограничений, которые образуют политику безопасности.
2.2.1.1Мандатная модель
Классической мандатной моделью считается модель Белла-ЛаПадулы [21]. Она базируется на правилах секретного документооборота, использующегося в правительственных учреждениях. В этой модели каждому объекту и субъекту (пользователю) системы назначается свой уровень допуска. Все возможные уровни допуска системы четко определены и упорядочены по возрастанию секретности. Действуют два основных правила:
1 Пользователь может читать только объекты с уровнем допуска не выше его собственного.
2 Пользователь может изменять только те объекты, уровень допуска которых не ниже его собственного.
Цель первого правила очевидна каждому, второе может вызвать недоумение. Смысл же его в том, чтобы воспрепятствовать пользователю с высоким уровнем доступа, даже случайно, раскрыть какие-то известные ему тайны.
Одной из проблем этой модели считается беспрепятственность обмена информацией между пользователями одного уровня, так как эти пользователи могут выполнять в организации разные функции, и то, что имеет право делать пользователь А, может быть запрещено для Б. Поэтому в практике мандатную модель обычно используют совместно с какой-нибудь другой.
Из этих двух правил можно вынести несколько интересных наблюдений, указывающих на проблемы, которые могут проявиться в процессе адаптации модели к реальному приложению:
пользователи «снизу» могут попытаться передать информацию наверх, выложив ее на своем уровне. При этом они никогда не узнают, читал ли ее кто-либо «сверху» или нет, так как документ будет защищен от редактирования вышестоящими лицами;
пользователи могут попробовать «закинуть» данные на уровень выше. В этом случае верха будут иметь возможность вставить в полученный документ свои комментарии, но отправитель об этом также не узнает. Вообще, о существовании верхних уровней он может узнать только из документации к системе;
у пользователей с высоким уровнем допуска нет никаких возможностей коммуникации с нижними уровнями. Возможно, наверху сидят очень умные люди, советы которых были бы просто бесценны, но мы об этом никогда не узнаем.
2.2.1.2Дискреционная модель
В дискреционной модели безопасности управление доступом осуществляется путем явной выдачи полномочий на проведение действий с каждым из объектов системы. Например, в модели Харрисона-Руззо-Ульмана [19] для этого служит матрица доступа, в которой определены права доступа субъектов системы к объектам. Строки матрицы соответствуют субъектам, а столбцы – объектам. Каждая ячейка матрицы содержит набор прав, которые соответствующий субъект имеет по отношению к соответствующему объекту. Как правило, создатель объекта обладает на него полными правами и может делегировать часть прав другим субъектам.
Дискреционный подход позволяет создать гораздо более гибкую схему безопасности, чем мандатный, но при этом он и гораздо более сложен в администрировании. С программной точки зрения его реализация очень проста, но при достаточно большом количестве объектов и субъектов система становится практически неуправляемой.
Для решения этой проблемы применяется, например, группировка пользователей. В этом случае права раздаются группам пользователей, а не каждому пользователю в отдельности. Для того чтобы пользователь получил соответствующие разрешения, нужно просто добавить его в одну или несколько групп.
Также можно использовать типизацию объектов. Каждому объекту назначается тип, а для каждого типа определяется свой набор прав (схема доступа). В этом случае столбцы матрицы доступа соответствуют не объектам, а типам объектов. Комбинирование этого подхода с группировкой пользователей позволяют существенно уменьшить матрицу доступа, а значит, и упростить ее администрирование [20].
В сущности, набор прав – это не что иное, как список известных системе операций, снабженных разрешением или запретом на выполнение данной операции. В крупном приложении количество известных операций может быть весьма большим. При этом большая часть операций имеет смысл только для определенных типов объектов, а многие типовые процессы, осуществляемые пользователем в приложении, включают в себя выполнение нескольких элементарных операций над различными объектами. Поэтому, даже с уменьшенной матрицей доступа, продумать политику безопасности приложения, т.е. грамотно разделить полномочия между различными пользователями системы, достаточно сложно.
2.2.1.3Ролевая модель
В ролевой модели [22] операции, которые необходимо выполнять в рамках какой-либо служебной обязанности пользователя системы, группируются в набор, называемый «ролью».
Для того чтобы множества операций, связанных с различными ролями, не пересекались, вводится иерархическая зависимость между ролями.
Каждый пользователь системы играет в ней одну или несколько ролей. Выполнение пользователем определенного действия разрешено, если в наборе его ролей есть нужная, и запрещено, если есть нежелательная.
В этой модели у объектов нет определенных хозяев. Вся информация расценивается как принадлежащая организации, владеющей системой. Соответственно, и роли пользователя внутри системы – это роли, которые он играет в данной организации. Как следствие, пользователю невозможно делегировать права на какой-то определенный объект. Либо у него есть доступ ко всем подобным объектам системы, либо нет.
Таким образом, преимуществом ролевой модели перед дискреционной является простота администрирования: назначение пользователей на роли и создание новых ролей не составляют никаких трудностей. В то же время она не позволяет управлять разными частями системы по отдельности, и тем более – делегировать какому-либо пользователю такие полномочия.
Ролевые отношения могут определять членство пользователя в группах и наследование привилегий. Таким образом, иерархия накапливает права и разрешения различных ролей. Также они отражают организационную структуру и функциональные разграничения.
Существует два типа ролевых иерархий:
ограниченные иерархии. Доступен только один уровень иерархии;
обычные иерархии. Доступно много уровней иерархии.
Иерархии позволяют структурировать роли, естественным образом отражая разграничение полномочий и обязанностей в компании. Иерархии ролей определяют порядок наследования между ролями. Эта модель позволяет организовать разделение обязанностей (separation of duties).
Статическое разделение обязанностей (SSD – Static Separation of Duty) предоставляет постоянный ограниченный набор привилегий. Динамическое разделение обязанностей (DSD – Dynamic Separation of Duties) предоставляет ограничение набора возможных привилегий в рамках одной сессии [18].
2.2.2Методы и технологии управления доступом 2.2.2.1 Управление доступом на основе правил
Управление доступом на основе правил (Rule-based Access Control) использует определенные правила, указывающие на то, что субъект может и что не может делать с объектом. Это основано на простых правилах (типа, «если X – то Y»), которые могут использоваться для обеспечения более детального управления доступом к ресурсам. Чтобы субъект получил доступ к объекту, должен быть выполнен набор предустановленных правил. Управление доступом на основе правил не обязательно основано на идентификации. Например, правило, что вложение в электронном сообщении не должно превышать 5МВ, действует на всех пользователей, независимо от их идентификатора. Однако это же правило можно связать с конкретными пользователями, индивидуально установив для них максимальный объем вложения, но это гораздо менее удобно и более трудоемко. Использование правил, затрагивающих всех пользователей, позволяет упростить управление доступом.
Управление доступом на основе правил позволяет разработчикам подробно описать конкретные ситуации, в которых субъект может (или не может) получить доступ к объекту, а также определить, что субъект сможет делать с объектом, получив к нему доступ. Традиционно управление доступом на основе правил используется в системах, использующих модель MAC, в качестве механизма ее реализации. Однако в настоящее время он используется и в других системах и приложениях. Примером могут быть системы контентной фильтрации, кроме того управление доступом на основе правил часто используется в межсетевых экранах и маршрутизаторах.
2.2.2.2Ограниченный пользовательский интерфейс
Ограниченный пользовательский интерфейс (constrained user interface) ограничивает возможности доступа пользователей к отдельным функциям, информации или отдельным системным ресурсам. Существует три основных типа ограниченных интерфейсов: меню и оболочки (shell), представления (view) баз данных и физически ограниченные интерфейсы.
При использовании ограниченного меню и оболочки пользователи видят только те команды, которые они могут использовать. Например, если администратор хочет, чтобы пользователи могли запускать только одну программу, именно одна эта программа должна отображаться в меню выбора. Это ограничивает доступную пользователям функциональность. Оболочка – это разновидность виртуальной среды системы, ее пользовательский интерфейс, командный интерпретатор. Ограниченная оболочка содержит только те команды, которые администратор хочет сделать доступными пользователям.
Часто администраторы баз данных настраивают базы данных так, чтобы пользователи не видели непосредственно поля, содержащие конфиденциальную информацию [21]. Доступ пользователей к данным, содержащимся в базах данных, ограничивается с помощью представлений. Например, если администратор базы данных хочет, чтобы руководители видели график рабочего времени своих сотрудников, но не информацию об их заработной плате, они просто запрещают доступ к полям с информацией о заработной плате для данного типа пользователей. Аналогично, когда сотрудники бухгалтерии, занимающиеся начислением заработной платы, будут просматривать ту же базу данных, им, наоборот, должна быть доступна информация о заработной плате, но не данные о графике рабочего времени.
2.2.2.3Матрица контроля доступа
Матрица контроля доступа (access control matrix) – это таблица субъектов и объектов, содержащая информацию о том, какие действия конкретные субъекты могут делать с конкретными объектами. Этот тип управления доступом обычно используется в качестве атрибутов в моделях DAC. Права доступа могут быть напрямую назначены субъектам (разрешения) или объектам (ACL).
Таблицы разрешений (capability tables) указывают права доступа определенного субъекта к определенным объектам. Таблицы разрешений отличаются от ACL: таблицы разрешений являются ограничением для субъектов, а ACL – для объектов. Разрешения соответствуют строке субъекта в матрице контроля доступа. Пример системы, основанной на таблицах разрешений – Kerberos. Когда субъект предоставляет свой компонент разрешений, операционная система (или приложение) просматривает права доступа и операции, описанные в нем, и разрешает субъекту выполнять только соответствующие функции. Компонент разрешений – это структура данных, содержащая уникальный идентификатор объекта и права доступа субъекта к объекту. Объектом может быть файл, массив, сегмент памяти или порт. Каждый пользователь, процесс, приложение имеет свой список разрешений.
Списки контроля доступа (ACL – access control list) используются во многих операционных системах, приложениях и маршрутизаторах [17]. Это списки субъектов, которым разрешен доступ к определенному объекту, с указанием уровня разрешенного доступа. Разграничение доступа может выполняться на уровне пользователей или на уровне групп.
ACL являются отображением значений матрицы контроля доступа на отдельный объект. Тогда как разрешения являются строкой в матрице контроля доступа, ACL соответствует столбцу в этой матрице.
2.2.2.4Контентно-зависимое управление доступом
В системе контентно-зависимого управления доступом (content-dependent access control) доступ к объекту определяется на основании содержимого самого объекта. Например, содержимое поля базы данных может указывать, какие пользователи могут иметь к нему доступ. Контентно-зависимая фильтрация используется в корпоративных фильтрах электронной почты, которые ищут в тексте сообщения определенные строки (например, «конфиденциально», «номер паспорта», «совершенно секретно» и другие словосочетания, которые компания считает подозрительными). Также компании используют это для контроля доступа в Интернет, аналогичным образом отслеживая в трафике определенные слова, например, с целью выявления сотрудников, играющих в азартные игры или занимающихся поиском работы.
2.2.2.5Контекстно-зависимое управление доступом
Контекстно-зависимое управление доступом (context-dependent access control) отличается от контентно-зависимого, при контекстно-зависимом управлении доступом решение о возможности доступа принимается не на основе критичности данных, а на основе контекста собранной информации. Система, использующая контекстно-зависимое управление доступом, сначала «анализирует ситуацию», а затем принимает решение о возможности доступа. Например, ряд межсетевых экранов может принимать контекстно-зависимое решение, собрав информацию о состоянии пакета, перед тем, как пропустить его в сеть. Межсетевой экран с контролем состояния (stateful firewall) «знает» необходимые шаги для коммуникаций по определенным протоколам и проверяет, что они были соблюдены. Например, при использовании соединения TCP, отправитель отправляет пакет SYN, получатель отправляет SYN/ACK, и затем отправитель направляет пакет ACK (подтверждение). Межсетевой экран с контролем состояния понимает эти шаги и не пропускает пакеты, нарушающие эту последовательность. Если, к примеру, такой межсетевой экран получает SYN/ACK, однако перед ним не было соответствующего (в рамках этого соединения) пакета SYN, межсетевой экран понимает, что это неправильно и уничтожает этот пакет. Это пример контекстно-зависимого управления доступом – в нем межсетевой экран учитывает контекст при принятии решения о возможности доступа.
2.2.3Подходы к администрированию доступа
Существует два основных варианта администрирования управления доступом: централизованный и децентрализованный. При принятии решения необходимо понимать оба подхода, чтобы выбирать из них именно тот, который позволит обеспечить необходимый уровень безопасности.
2.2.3.1Централизованное управление доступом
При централизованном администрировании доступа (centralized access control administration) один субъект (человек или подразделение) следит за доступом ко всем корпоративным ресурсам. Этот субъект (администратор безопасности) настраивает механизмы, которые реализуют управление доступом, выполняет изменения пользовательских профилей, отзывает права доступа при необходимости, полностью блокирует доступ пользователя в случае его увольнения. Этот тип администрирования предоставляет последовательные и унифицированные методы управления правами доступа пользователей. Он обеспечивает строгий контроль данных, т.к. только один человек (или подразделение) имеет необходимые права для изменения профилей доступа и разрешений, однако это довольно медленный способ, поскольку все изменения должны быть выполнены одним человеком (подразделением). Применяющиеся для этих целей протоколы аутентификации называют AAA-протоколами (аутентификация, авторизация и аудит).
В зависимости от протокола, существуют различные способы аутентификации пользователей в клиент-серверной архитектуре. Традиционные протоколы аутентификации: PAP (password authentication protocol), CHAP (challenge handshake authentication protocol) и новый метод EAP (extensible authentication protocol).
2.2.3.2 Децентрализованное управление доступом
Метод децентрализованного администрирования управления доступом (decentralized access control administration) передает управление доступом людям, которые непосредственно связаны с ресурсами и лучше понимают, кто должен и кто не должен иметь доступ к определенным файлам, данным и ресурсам. Обычно это функциональные руководители, которые предоставляют права доступа сотрудникам. Компании следует выбрать децентрализованную модель, если ее руководители имеют хорошее представление о том, какие пользователи к каким ресурсам должны иметь доступ, а также в компании отсутствуют требования о необходимости использования централизованной модели.
Управление доступом в децентрализованной модели может происходить быстрее, поскольку этим занимается больше людей в компании. Однако при этом может возникнуть конфликт интересов. Поскольку не один человек (подразделение) управляет всеми правами доступа, различные руководители и подразделения могут выполнять функции по управлению доступом и обеспечению безопасности различными способами. Это не позволит обеспечить унификацию и справедливость в рамках всей компании. Одни руководители будут слишком заняты своими ежедневными задачами и легко позволят, кому угодно, получить полный доступ ко всем системам своего подразделения. Другие подразделения, напротив, будут применять строгие и детальные методы управления, предоставляя сотрудникам только тот уровень доступа, который необходим им для выполнения своих задач. Кроме того, в некоторых случаях функции управления доступом будут накладываться друг на друга, что может стать причиной того, что некоторые нежелательные действия не будут запрещены и заблокированы. Таким образом, метод децентрализованного администрирования не обеспечивает целостного управления и достаточного уровня согласованности в процессе защиты компании.
|
