Cita

"Those who are willing to pay a penny of security for a penny of usability will eventually have neither"

28 marzo 2015

Control de accesos


Con el control de acceso, dada una petición de recursos, se permite o deniega el acceso según ciertas políticas. Incluye mecanismos de autenticación, autorización y auditoría. Las políticas de acceso son un conjunto de reglas que determinan las acciones que un sujeto puede hacer sobre un objeto (lectura, escritura, modificación, borrado, ejecución).

Los tipos de control de acceso son: control de acceso obligatorio, control de acceso discrecional, control de acceso basado en roles y control de acceso basado en atributos.

En el control de acceso obligatorio o Mandatory Access Control (MAC) las políticas son evaluadas de forma centraliza (por ejemplo, en el núcleo del sistema) y el acceso a un determinado objeto dependerá de la sensibilidad de la información contenida en él y de la autorización formal que tenga el sujeto para acceder a ese nivel de sensibilidad.

El control de acceso discrecional o Discretionary Access Control (DAO) consiste en un conjunto de reglas de acceso que son definidas por los propietarios de los objetos. Entonces, las políticas lo que regulan son los procesos de gestión de privilegios entre los sujetos. Los privilegios se pueden representar mediante tablas de autorización, listas de control de acceso (ACL) o listas de capacidades.

Con el control de acceso basado en roles o Role-Based Access Control (RBAC) la gestión se simplifica, ya que, una vez asignados los permisos a roles, después solo habrá que asignar correctamente los roles a los distintos usuarios que se vayan incorporando al sistema. Aunque es el más utilizado actualmente, tiene algunas limitaciones que son solventadas por el control de acceso basado en atributos. Por lo que lo más probable es que este último se acabe imponiendo.

La ventaja del control de acceso basado en atributos o Attribute Based Access Control (ABAC) con respecto a los anteriores es que, además del rol, toma en cuenta otros atributos más dinámicos, como pueden ser: la relación de los usuarios con las distintas fuentes de información, el momento del acceso (fecha/hora), o la IP de origen. La políticas de acceso se definen estableciendo relaciones entre varios atributos. Este modelo refleja mejor la realidad, que puede ser cambiante.

Relacionado con ABAC está XACML, un estandar basado en XML que describe un access control framework y que proporciona un lenguaje para definir las políticas de acceso, el diálogo mantenido durante el control de acceso y la arquitectura formada por los diversos componentes que lo forman.

Más información:


No hay comentarios:

Publicar un comentario

A penny for your thoughts