¿No es RBAC solo una implementación de MAC?

Question

¿No es RBAC solo una implementación de MAC?

#1 de Herringbone Cat (1 votos)

1

Así que he estado leyendo sobre MAC vs DAC vs RBAC y hay algo que no entiendo. En todos los lugares que lees, te dice que estos tipos son diferentes (desunidos) pero que RBAC no es solo un tipo (implementación) de MAC?

De lo que recojo, MAC es una política de control genérica en la cual el administrador administra todos los derechos de acceso. En RBAC, los derechos se asignan a roles pero, en última instancia, los administradores aún administran los roles, ¿no? El administrador decide qué usuario tiene qué función y él también es el que puede cambiar el permiso para todas las funciones, por lo que, en última instancia, el administrador sigue siendo el que administra todos los derechos de acceso, ¿correcto?

También he visto este video en YouTube Implementando el ejemplo de MAC , y este modelo funcionó como tal: datos se clasificó en categorías según su sensibilidad (es decir, alto secreto, secreto, confidencial, etc.) y la empresa se dividió en departamentos. El control de la cuenta se implementó como un conjunto de etiquetas L = (nivel de sensibilidad, departamento) lo que significa que los usuarios de ese departamento tienen derechos sobre los archivos de ese nivel de sensibilidad. Ejemplo muy básico, lo sé, pero no entiendo en qué se diferencia de RBAC. El departamento de un usuario es básicamente su función y las etiquetas muestran qué derechos tiene cada uno de los departamentos. Honestamente, si me preguntaran "qué tipo de control de cuenta se presentó en el video", respondería a RBAC, pero el video dice que presenta MAC.

¿Puede alguien arrojar algo de luz sobre qué difiere exactamente entre los dos y por qué uno no es solo una subcategoría del otro?

Gracias de antemano.

account-security access-control mandatory-access-control

pregunta Nu Nunu 29.01.2017 - 22:20

fuente

1 respuesta

Lea otras preguntas en las etiquetas account-security access-control mandatory-access-control

Cómo verificar si mi versión de OpenSSL es vulnerable a CVE-2016-7056 (ECDSA P-256 Key Recovery Timing Attack) Borrado seguro de un SSD de Toshiba con el software Absolute Secure Disk

score 1 · Answer 1

Piense en los dos modelos como en el logro de objetivos similares, pero desde una perspectiva diferente. Lo que es aún más confuso es que en la práctica pueden combinarse.

Piense en MAC como una versión simplificada del sistema de clasificación del gobierno de los EE. UU., por ejemplo, tiene Confidencial, Secreto, Máximo secreto. Si uno solo tiene una autorización confidencial, es posible que no acceda al secreto o al máximo secreto, pero cuando tenga una autorización de alto secreto puede recibir acceso a documentos de todos los niveles. Sin embargo, un elemento clave de MAC es que el sistema informático lo maneja de manera centralizada, por lo que los usuarios, administradores de sistemas, etc., no pueden escalar privilegios por sí solos sin la aprobación de la autoridad central de la organización.

En contraste, un control de acceso basado en roles sería más granular. Por ejemplo, si utiliza el control de acceso basado en roles, alguien que trabaje para el Gobierno de EE. UU. En Relaciones Humanas tendrá acceso a notas, informes y otra información sobre los empleados según lo requiera su puesto. Sin embargo, no tendrían acceso a otra información en el mismo nivel de clasificación que esté fuera de su ámbito de trabajo, como, por ejemplo, las finanzas para la compra de equipos. Por lo tanto, el control de acceso basado en roles limita el alcance de la información.

Los sistemas se pueden combinar en la práctica, y muchos sistemas pueden tener una combinación de controles de acceso obligatorio y basados en roles. Sin embargo, RBAC se considera generalmente más adecuado para entornos comerciales, mientras que MAC está más asociado con entornos sensibles como la defensa.

Dicho esto, en términos del video que identificas, la pregunta es complicada. Sin embargo, el hecho de que contiene tanto el nivel de sensibilidad como el departamento significa que es RBAC, ya que el departamento está involucrado (ese es un rol). Debido a que el nivel de sensibilidad está involucrado, entonces no es DAC (control de acceso discrecional) sino que MAC se está implementando de manera RBAC.