4.9 C
New York

Подробное руководство по обязательному контролю доступа (MAC) в 2024 году | DeepTech

Published:

Рисунок 1. Обзор обязательного контроля доступа (MAC).

В 2022 году в США произошло более 1500 утечек данных. Между тем, атаки на данные, такие как утечки и раскрытие данных, в этом году затронули более 420 миллионов человек.1

Мандатный контроль доступа (MAC) — это одна из наиболее важных процедур, связанных с рисками кибербезопасности, которая помогает компаниям разрешать или отказывать пользователям в привилегиях для защиты критически важных данных и ограничивать вероятность успешной атаки.

Цель этой статьи — предоставить специалистам по ИТ и безопасности рекомендации по обязательному контролю доступа (MAC), его преимуществам, проблемам и вариантам использования.

Что такое обязательный контроль доступа (MAC)?

Мандатный контроль доступа (MAC) — это форма контроля доступа, при которой операционная система или база данных ограничивает возможность субъекта или инициатора получать доступ или иным образом выполнять какие-либо действия над объектом или целью.2Функция MAC заключается в присвоении уникального идентификатора контроллеру сетевого интерфейса и ограничении его в качестве сетевого адреса при внутрисетевой связи.

Читать далее: Управление доступом на основе ролей (RBAC), сегментация сети, микросегментация, статистика сетевой безопасности.

Почему обязательный контроль доступа (MAC) важен?

Протокол MAC является важным инструментом для контроля доступа к данным. Он часто используется для защиты информации (частной, конфиденциальной, конфиденциальной или ограниченной информации), которая может нанести вред компании в случае кибератаки или потери данных.

Вот несколько примеров:

  • Корпоративные тайны.
  • Чертежи.
  • Планирование партнерства или слияний и поглощений.
  • Интеллектуальная собственность.
  • Финансовые детали и транзакции.
  • Медицинские данные.
  • Данные клиентов.

Читать далее: Предотвращение потери данных.

Как работает обязательный контроль доступа (MAC)?

Обязательный контроль доступа обеспечивает соблюдение набора правил безопасности или меток, которые определяют, какие пользователи или системы имеют доступ к указанным ресурсам. Доступ разрешается по принципу служебной необходимости.

Эти правила или метки устанавливаются администратором и реализуются системой, ограничивая индивидуальные возможности владельцев ресурсов предоставлять или запрещать доступ к файловым объектам.

Группы безопасности или администраторы определяют, является ли ресурс конфиденциальным или нет, назначая ему уровень безопасности, например «ограниченный», «конфиденциально», «секретно» или «совершенно секретно», и классифицируя его как «группа пользователей XZ» или «группа пользователей XZ». отдел продаж”.

Рисунок 2. Примеры меток/MAC.

Метки обязательного контроля доступа

Этикетка состоит из следующих двух компонентов: Этикетка = классификация или отсек.

  1. Классификация, также известная как уровень: Классификация представляет собой иерархическую степень безопасности. При использовании для сотрудников классификация обеспечивает уровень доверия. При использовании для данных классификация указывает уровень безопасности.
  1. Отсеки, также известные как категории: Отделение обозначает группу, например команду, отдел, задачу, отдел или тему. Классификация не обязательно должна включать отсек.

Рисунок 3: Метки обязательного контроля доступа

Метки обязательного контроля доступа

Источник: Майкрософт3

При присвоении класса безопасности отсекам правительство США использует следующие категории: «совершенно секретно», «секретно», «конфиденциально» и «несекретно».

Тем не менее, отраслевые категории не являются стандартными. Администратор может создавать уникальные категории, такие как «максимальное количество меток», «конфиденциально» и «публично» (см. рис. 3). Термины слева представляют собой классификации. Термины справа представляют отсеки.

На рисунке показана конфиденциальная классификация с тремя эксклюзивными отсеками и пятью метками (в Public и Max Label отсеки отсутствуют).

  • L1 = (макс. метка)
  • L2 = (конфиденциально, {ограничено, необходимо знать, только для внутреннего использования})
  • L3 = (публичный)

Рисунок 4. Метки конфиденциальности для обязательного контроля доступа

Метки чувствительности для обязательного контроля доступа

Источник: Оракул4

Когда метка конфиденциальности применяется к ресурсам компании (сообщению, приглашению на собрание или файлам), все параметры защиты, установленные для этой метки, применяются к содержимому, а система MAC определяет, как данные будут ограничены на основе метки конфиденциальности.

Пример случая: Пользователь 1 из отдела продаж может иметь разрешение на просмотр данных в объекте (также называемом ресурсом), помеченном как «только для отдела продаж», однако пользователь 2 из отдела финансов не может этого сделать. Аналогично, пользователь 2 может иметь доступ к ресурсу с пометкой «конфиденциально по финансовому проекту», а пользователь 1 — нет.

Рисунок 5. Метка конфиденциальности, примененная на панели окна Excel.

Примененная метка чувствительности на панели окна

Источник: Майкрософт5

Как реализовать обязательный контроль доступа (MAC)

1. Установите общие цели

Координировать действия с лицами, принимающими решения, о необходимости внедрения системы контроля доступа.

Производительность: Предоставьте сотрудникам утвержденный доступ к приложениям и данным, необходимым им для достижения своих целей, именно тогда, когда они этого потребуют.

Безопасность: Защитите критически важные записи и ресурсы, одновременно снижая нагрузку на пользователей, используя реагирующие политики и правила, которые уведомляют в режиме реального времени о возникновении рисков.

Самообслуживание: Назначайте формы идентификации, меняйте пароли, выполняйте аудит безопасности и запросы доступа, чтобы сэкономить время и усилия.

Читать далее: Автоматизированная оценка рисков безопасности.

2. Выберите решение

Выберите систему MAC, которая позволит вам защитить ваши данные, а также обеспечит положительный опыт для конечного пользователя. В идеале должна обеспечиваться первоклассная поддержка как пользователей, так и ИТ-персонала: от обеспечения удаленного доступа к сотрудникам до снижения рабочей нагрузки руководителей.

3. Установите политику

После развертывания выбранного решения решите, кто имеет доступ к вашим ресурсам, к каким из них он имеет доступ и на каких условиях. Правила контроля доступа могут быть созданы для предоставления доступа, ограничения доступа с помощью временных элементов управления или даже запрета доступа — в зависимости от требований вашей компании.

В пути можно задать следующие вопросы:

  • Какие пользователи, группы, должности или профили рабочей нагрузки будут охвачены или исключены этой политикой?
  • К каким отраслям применяется эта политика?
  • К каким устройствам и программному обеспечению применяется эта политика?
  • На какое поведение пользователей будет распространяться эта политика?

Читать далее: Управление сетевой политикой, 10 лучших решений по управлению политикой сетевой безопасности (NSPM).

Лучшие практики обязательного контроля доступа (MAC)

MAC редко используется в малом бизнесе или в личных целях. Тем не менее, у него есть уверенные важные варианты использования:

  • Правительственные, военные и разведывательные учреждения используйте MAC для установления жестких уровней допуска. Государственные учреждения обрабатывают огромные объемы конфиденциальной информации, которую необходимо хранить в безопасности, однако она также должна быть доступна сотрудникам. MAC делает это возможным. Администраторы могут определять категории и безопасно подключать людей к необходимым им секретным данным.
  • Предприятия и другие частные организации используйте MAC для защиты потребительских данных. Например, MAC позволяет страховым и банковским предприятиям ограничить количество людей, имеющих доступ к финансовым данным. Это снижает вероятность утечки данных, инсайдерских угроз, кибератак и репутационного ущерба.

Читать далее: 10 лучших программ для управления внутренними угрозами.

Преимущества обязательного контроля доступа (MAC)

Централизованное управление: MAC позволяет менеджерам безопасности централизованно устанавливать и администрировать политики и правила доступа, гарантируя, что конфиденциальная информация тщательно контролируется, а все решения о доступе соответствуют определенным правилам безопасности.

Мелкозернистый контроль: MAC ограничивает доступ к указанным ресурсам или действиям в зависимости от множества факторов, включая идентификацию пользователя, роль и местоположение.

Улучшенная безопасность: MAC реализует ограничения, используя компьютерную систему (а не человеческие решения), это сводит к минимуму человеческие ошибки, которые могут привести к несанкционированному доступу к критической информации, и снижает вероятность нарушений безопасности.

Повышенная согласие: MAC помогает компаниям соблюдать нормативные и нормативные обязательства, используя систематическую и поддающуюся проверке стратегию.

Проблемы

Сложность: Администрирование большого количества систем и пользователей может оказаться затруднительным, поскольку администратор отвечает за настройку и поддержку множества аспектов политик доступа. По той же причине MAC не подходит для многопользовательских программ, таких как веб-приложения.

Производительность: MAC требует, чтобы пользователи предоставляли свои учетные данные каждый раз, когда им требуется доступ к данным. Это может быть серьезной проблемой при использовании таких операционных систем, как Linux или Windows, поскольку пользователи не могут обновлять свои права доступа, и только администраторы могут делать это с помощью ядра безопасности. Ограничение доступа таким образом замедляет потоки данных и может снизить производительность.

Масштабируемость: MAC не масштабируется автоматически. Новые пользователи могут быть перегружены постоянными обновлениями объектов и настроек учетной записи.

Устойчивость: Ручная настройка уровней безопасности и допусков требует постоянного контроля со стороны администраторов.

Другие типы контроля доступа

Дискреционный контроль доступа (DAC): В моделях DAC каждый объект в системе зашифрованных данных имеет владельца, который предоставляет доступ пользователям по их собственному выбору. DAC предоставляет полномочия над ресурсами в каждом конкретном случае.

Ролевой контроль доступа (RBAC): Модели RBAC предоставляют права доступа на основе заранее определенных ролей для набора людей внутри организации. Эти должности основаны на трудовых обязанностях, ответственности и организационных ролях.

Управление доступом на основе атрибутов (ABAC): Модели ABAC обеспечивают гибкий доступ в зависимости от сочетания качеств и переменных окружающей среды, таких как время и местоположение. ABAC — это наиболее детальный подход к управлению доступом, который сокращает количество назначений ролей.

Примечание: Эти системы не являются взаимоисключающими. Возможно, имеет смысл применить DAC во всей компании, а затем MAC или RBAC. Например, организация может использовать ядро ​​безопасности Linux для обеспечения соблюдения MAC-адресов при доступе к конфиденциальным ресурсам. Однако пользователи могут получить доступ к остальной части сети с помощью простых средств управления по своему усмотрению.

Обязательный контроль доступа (MAC) и дискреционный контроль доступа (DAC)

Авторизация: В DAC владелец ресурса имеет разрешение определять, кто может получить к нему доступ. В MAC решение о доступе принимает центральный орган, обычно системный администратор.

Гибкость: DAC более универсален, чем MAC, поскольку он позволяет администраторам предоставлять авторизацию доступа всем, кого они выберут, а пользователи могут совместно использовать ресурсы. Напротив, MAC является жестким, поскольку доступ регулируется заранее определенными правилами и положениями, установленными центральным органом власти.

Безопасность: MAC считается более безопасным, чем DAC, поскольку он позволяет лучше контролировать доступ к ресурсам. MAC поддерживает строгую иерархию авторизаций безопасности, и только лицам с необходимым разрешением разрешен доступ к ресурсу. Напротив, DAC более чувствителен к внутренним атакам и человеческим ошибкам, поскольку владельцы не всегда выполняют оптимальный выбор доступа.

Сложность: MAC сложнее, чем DAC, поскольку ему необходим центральный орган для установления и мониторинга правил контроля доступа. DAC проще, поскольку владельцы могут выбирать доступ на индивидуальной основе.

Таким образом, решение между MAC и DAC основывается на потребностях безопасности компании или сети. На рабочих местах с высоким уровнем безопасности (например, в государственных или корпоративных учреждениях) MAC может быть лучшим вариантом, однако в более адаптируемых и творческих контекстах DAC может оказаться более подходящим.

Чтобы получить рекомендации по выбору подходящего инструмента или услуги, ознакомьтесь с нашими основанными на данных списками программное обеспечение программно-определяемого периметра (SDP) и сетевое программное обеспечение с нулевым доверием.

дальнейшее чтение

Найдите подходящих поставщиков

  1. »Ежегодное количество случаев компрометации данных и пострадавших лиц в США с 2005 по 2022 год.«. Статистика. 29 августа 2023 г. Проверено 23 января 2024 г.
  2. »Реализация обязательного контроля доступа в распределенных системах«. (PDF). Авт. Контрольный комп. Науч.. 7 марта 2019 г. Проверено 23 января 2024 г.
  3. »Подробнее о метках конфиденциальности«. Майкрософт. 17 января2024. Проверено 23 января 2024 года.
  4. »Руководство пользователя доверенных расширений«. Оракул. Июль 2014. Проверено 23 января 2024 года.
  5. »Узнайте о сенметки активности«. Майкрософт. 17 января2024. Проверено 23 января 2024 года.

Related Articles

Recent articles