Versión corta:
- Desea Control de acceso obligatorio
- El uso de MAC en las mejores prácticas de la industria en el mundo real es raro
- El uso de bastiones es la alternativa más comúnmente accesible a todos
Versión larga:
La capacidad de aplicar controles detallados no solo a los usuarios, sino a los procesos que pueden acceder a los datos generalmente solo se encuentra en los sistemas de control de acceso obligatorio. Tales sistemas se utilizan históricamente, por ejemplo, para asegurar que los datos con diferentes niveles de clasificación de gobierno / militares no se filtran de manera inapropiada a través de los límites de clasificación.
Estos sistemas generalmente solo se ven en contratos gubernamentales, militares y de defensa donde la clasificación se toma muy en serio. Las empresas "regulares" no admiten ese nivel de burocracia.
Hay varias implementaciones de MAC disponibles para ti. Cisco Security Agent solía permitirle hacer exactamente eso; digamos que solo se puede acceder a \DOMAINFILES\SECRET STUFF\SUPER SECRETS.xlsx
mediante C:\Program Files\Microsoft Office\excel.exe
y no a C:\Program Files\Microsoft Office\outlook.exe
. Desafortunadamente, Cisco mató a CSA: *
Una solución alternativa que verás es el uso de hosts de bastion o entornos de bastion. Por ejemplo, una empresa puede bloquear el acceso a su banco desde estaciones de trabajo regulares, pero permitirlo desde un host de bastión (RDP o Citrix) en el que los empleados de finanzas deben iniciar sesión para realizar transacciones confidenciales (por ejemplo, transferencias de decenas de miles de dólares). El navegador en el bastión solo se usa para este propósito y, por lo tanto, es menos probable que se infecte con malware que capture y envíe las credenciales del banco. El navegador de escritorio del usuario todavía se puede utilizar para navegar en Internet, con todos los peligros inherentes, sin temor a exponer las transacciones de mayor valor a malcode.
Le puede interesar que los sistemas no tradicionales estén jugando con otros conceptos de acceso. En Android, por ejemplo, cada aplicación se instala y ejecuta como una identificación de usuario diferente, y el acceso a las identificaciones de la aplicación no se concede de forma predeterminada.