Nori zuzenduta dago?
Era guztietako erakundeei, publikoak edo pribatuak izan (enpresa handiak edo ETEak), sareko segurtasun-gertakariak saihestu eta haietatik modu eraginkorrean babesteko prest egon nahi dutenei, eta haien informazio eta jarduerari eragin diezaiokeen enpresei, kalte ekonomikoak, ospeari eragin diezaioketenak edo beste mota batekoak sortuz.
Zer da?
Segurtasun-kudeatzaileei informazio-sistemaren baliabideen erabilera eta horiekin lotutako erabiltzaileen jokabidea kontrolatu eta mugatzeko aukera ematen dien mekanismo eta prozedura multzoa da sarbide-kontrola. Mekanismo horiek zehazten dituzte erabiltzaileek sisteman zer egin dezaketen, erabil ditzaketen baliabideak eta egin ditzaketen operazioak. Sarbidea behar eta baimen egokiak dituzten erabiltzaileek soilik izan dezaten bermatzen duten neurriak dira; baita programak egikaritzeko, eta informazio egokia irakurri, editatu, gehitu eta borratzeko erabilera mugatua bermatzen dutenak ere.
Erakundearen baliabideetara sartzeko kontrola da horiek babesteko faktore garrantzitsuenetako bat. Fisikoki sartzeko ateek sarrailak dituzten moduan, datuekin eta informazioarekin gauza bera egin behar dugu modu logiko batean.
Kontrol-sarbideen funtzioak
Kontrol-sarbideen funtzioak A hirukoitz batekin defini daitezke:
Authentication: Erabiltzailearen identitatea frogatzea
Authorizarion: Identifikatutako erabiltzaileentzako erabilera baimentzea.
Accountability: Sisteman, erabiltzailearen ekintzen jarraipena egitea.
Gainera, baimenak mapeatzeko, arduren banaketaren eta pribilegioen gutxieneko printzipioaren arabera egitea gomendatzen da.
Arduren banaketak esan nahi du urrats ezberdinak bereizi egingo direla zeregin bakoitzarentzat, eta horiek zenbait pertsonek egin beharko dituztela, inork ere ez dezan izan sistemaren erabateko kontrola.
Gutxieneko pribilegioaren printzipioak dio erabiltzaile bati bere lanerako ezinbestekoak diren informazio-baliabideak (eta horien gaineko operazioak) soilik baimendu behar zaizkiola.
Autentifikazioa
Erabiltzailearen identifikazioaren zatiaren barruan, erabiltzailea legezkoa dela jakiteko erabil daitezkeen zenbait mekanismo daude. Erabiltzen diren parametroetako batzuk honako hauek dira:
Zer dakit? Pasahitz bat, galdera bati erantzun bat edo PIN bat
Zer daukat? Txip bat duen txartel bat (NAN elektronikoa), USB token bat, ziurtagiri digital bat. 30 segundora aldatzen den zenbaki bat edo berrespen APP bat mugikorrean.
Zer naiz? Hatz-marka bat, aurpegia ezagutzeko sistema bat, ahots-patroiak edo erretinako eskanerra.
Autentifikazio-mekanismo bat segurua dela jakiteko, kategoria horietako bi erabiltzea gomendatzen da aldi berean. Gaur egun, 2AF edo bigarren autentifikazio faktorea esaten zaio horri.
Asko erabiltzen den beste autentifikazio-prozedura bat “Single Sign-On” moduan ezagutzen dena da. Prozedura horrek zenbait baliabidetara sartzeko modu erosoago bat eskaintzen dio erabiltzaileari; izan ere, sistema batean saioa hastean, erabiltzaileak sarbidea baimendua duen gainerako edukietara sartu ahal izango du, pasahitzak etengabe sartzen ibili beharrik gabe.
Baimena
Baimenak eskuragarri dauden zenbait baliabidetarako sarbidea ahalbidetzen du, behar bezala identifikatutako erabiltzaileei ezarritako arauen arabera.
Sarbide-motak definitzeko zenbait metodo daude, hala nola, DAC edo eskatu ahalakoa, MAC edo derrigorrezkoa eta RBAC roletan oinarritua.
DAC
Eskatu ahalako sarbide-kontrolaren metodoa objektuetarako sarbidea mugatzeko bitarteko bat da, subjektuaren eta/edo parte diren taldearen identitatearen arabera. Kontrolak eskatu ahalakoak dira sarbide-baimena duen subjektu batek baimen hori transmititu dezakeelako, Linux baimen-sistemarekin bezala.
MAC
Derrigorrezko sarbide-kontrolarekin, administratzaile batek kontrolatzen du segurtasun-politika. Segurtasunaren ikuspuntutik, DAC eskema batek esan nahi du erabiltzaile arrotz batek sistema eragile baten nukleorako sarbidea lortzen badu, sistema osorako sarbidea izango duela. MAC eskema baten kasuan horrek ez du zertan horrela izan, segurtasun politika nagusi bat zehaztu baitaiteke, aplikazio jakin batek zenbait ekintza egin nahi dituenean frogatzen dena. MAC sarbide-politikak DACarena baino maila hierarkiko altuago batetik mugatzen du sarbidea.
Sistema askok DAC eta MAC ezartzen dute aldi berean; DAC pribilegioak transferitzeko mekanismoa da, eta MAC transferentzia hori kontrolatzeko aldibereko mekanismo bat.
RBAC
Roletan oinarritutako sarbide-sistemen ideia da baimenak aurretik zehaztutako rolei ematea, eta inoiz ere ez erabiltzaileei zuzenean. Horrek baimenen kudeaketa errazten du, rolen arabera egiten den sarbide-mailen aurretiazko sailkapen-prozesu bat baitago; hierarkietan, zuhaitzak osatuz edo orokorrago, grafoetan, lotu daitezkeenak. Aplikazioak edo erabiltzaileak zehaztutako rolei esleitzen zaizkie, eta rol horiek dira zenbait operazioren gaineko zenbait baimenekin lotuta daudenak.
RBAC sistema batean, kudeaketa maila altuan egiten da, esaterako, lanpostu bat altan ematea eta erabiltzaileari beharrezko baimen guztiak esleitzea.
Ikuskaritza
Ikuskaritzak edo kontabilitateak (accountability) erreferentzia egiten dio sistemaren erabiltzaileen saio eta transakzioak erregistratzeko aukerari, segurtasun-ikuskaritzarako horien informazioa lortze aldera. Egun, ikuskaritza termino orokor gisa erabili ohi da, eta kontabilitatea barne hartzen du. Ikuskaritza horren alderdi garrantzitsu bat logen mantenua da, eta, logikoki, baimenik gabeko erabiltzaileek ezin dituzte horiek aldatu edo horietara sarbidea izan.
Erreferentziak
https://docs.oracle.com/cd/E24842_01/html/E22521/ugintro-14.html
https://docs.oracle.com/cd/E24842_01/html/E23286/rbac-1.html
