Técnicas de control de acceso

2

Queridos todos los miembros de Seguridad de la información, esta es mi primera publicación aquí y espero haber llegado al lugar correcto. Actualmente estoy estudiando sobre técnicas de control de acceso y estoy luchando para visualizar y conceptualizar las ideas.

A continuación hay un conjunto de técnicas sobre las que he estado leyendo:

  1. Matriz de control de acceso
  2. Listas de control de acceso
  3. Capacidad de control de acceso
  4. Control de acceso basado en roles
  5. Control de acceso basado en reglas

Me siento cómodo con [1] [2] y [3]; parcialmente cómodo con [4] y completamente perdido con [5]. Lo que quiero decir con comodidad es que entiendo el concepto básico detrás de la técnica, pero no tengo un ejemplo práctico de una implementación.

Me encantaría tener una definición clara que me ayude a visualizar estas ideas. Idealmente, me interesaría el tipo de información visual que podría ayudarme a establecer la comprensión conceptual. Bonificación, si alguien pudiera describir un ejemplo práctico conciso.

    
pregunta e.doroskevic 03.10.2016 - 16:32
fuente

2 respuestas

4

Definición
El acceso basado en reglas significa que sus privilegios se calculan en función de las reglas. Las reglas son fórmulas lógicas basadas en 1) atributos de usuario como: puesto de trabajo, nivel de autorización, título del trabajo, descripción del trabajo, ubicación geográfica, etc. y / o 2) cosas físicas como la dirección IP desde la que inicia sesión, día de la semana, si re de vacaciones o no, ...
Ejemplo
Eres un usuario avanzado del producto de software ABC. El producto utiliza acceso basado en reglas. Tiene algunos privilegios sólidos que le permiten realizar XYZ en objetos asignados a la misma región geográfica en la que trabaja. Estos privilegios solo son efectivos si:

  1. la IP de tu cliente está en algún rango de IP (lo que excluye hacer cosas desde casa a través de VPN)
  2. Es de lunes a viernes entre las 8 am y las 6 pm.

Por lo tanto, la regla que se otorgará a un cierto privilegio sería en este ejemplo

ip == 10.10.1.0/24 and workday <= friday and workday >= monday and timeofday <= 6pm and timeofday >= 8pm

y tal regla también podría verificar cosas como la posición de trabajo, que es relativamente sencilla si se trata de un código alfanumérico del sistema de recursos humanos que lo identifica inmediatamente como usuario avanzado para ese producto en particular.

    
respondido por el kaidentity 03.10.2016 - 16:49
fuente
2

Para agregar a la excelente descripción de @ kaidentity del número 5 ...

Control de acceso basado en roles

Permite o niega el acceso a los recursos según su rol de su trabajo.

Un ejemplo común es en la banca. Un cajero bancario tendrá acceso a los sistemas del frente del banco para las cuentas de cheques y para entregar efectivo hasta una cierta cantidad. Un gerente bancario tendrá acceso a los sistemas administrativos y tal vez permisos para autorizar grandes cantidades de efectivo.

Los sistemas RBAC más avanzados son más dinámicos. Por lo tanto, un cajero puede ser "ascendido" a un gerente de banco por un día o dos cuando el gerente actual está apagado. O pueden obtener algún otro rol temporal, como el acceso al sistema hipotecario.

Un excelente ejemplo de la falla de un RBAC es cuando a alguien se le da acceso accidentalmente a dos roles que deberían ser mutuamente exclusivos, como realizar y autorizar operaciones de más de 10 millones de libras. Mientras que cualquier sistema RBAC hará roles básicos, muchos menos son lo suficientemente sofisticados como para hacer roles exclusivos.

    
respondido por el Julian Knight 03.10.2016 - 21:19
fuente

Lea otras preguntas en las etiquetas