Tipos de controle DAC-MAC RBAC

Prévia do material em texto

Pauloeustaquiocoelho.com.br 
Modelos de autorização DAC-MAC-RBAC 
Discretionary Access Control - DAC 
O que significa a palavra Discricionário? 
Discricionário é uma palavra que pode ter diferentes significados dependendo do 
contexto. Em geral, "discricionário" se refere a algo que é deixado ao critério ou à 
escolha livre de alguém, sem regras ou regulamentos fixos. Em finanças, o termo pode 
se referir a um fundo de investimento em que o gestor tem a liberdade de escolher 
onde investir o dinheiro, ao invés de seguir uma estratégia rigorosa. 
Controle de Acesso Discricionário (DAC)? 
O controle de acesso discricionário (DAC) é um tipo de controle de acesso de 
segurança que concede ou restringe o acesso a objetos por meio de uma política de 
acesso determinada pelo grupo e / ou pelos proprietários de um objeto. Os controles 
do mecanismo DAC são definidos pela identificação do usuário com credenciais 
fornecidas durante a autenticação, como nome de usuário e senha. Os DACs são 
discricionários porque o sujeito (proprietário) pode transferir objetos autenticados ou 
acesso a informações para outros usuários. Em outras palavras, o proprietário 
determina os privilégios de acesso ao objeto. 
No DAC, cada objeto do sistema (arquivo ou objeto de dados) possui um proprietário e 
cada proprietário inicial do objeto é o assunto que causa sua criação. Assim, a política 
de acesso de um objeto é determinada por seu proprietário. 
 
Um exemplo típico de DAC é o modo de arquivo Unix, que define as permissões de 
leitura, gravação e execução em cada um dos três bits para cada usuário, grupo e 
outros. 
 
Os atributos do DAC incluem: 
• O usuário pode transferir a propriedade do objeto para outro (s) usuário (s). 
• O usuário pode determinar o tipo de acesso de outros usuários. 
• Após várias tentativas, falhas de autorização restringem o acesso do 
usuário. 
• Usuários não autorizados não sabem as características do objeto, como 
tamanho, nome e caminho do diretório. 
• O acesso a objetos é determinado durante a autorização da lista de controle 
de acesso (ACL) e com base na identificação do usuário e / ou associação ao 
grupo. 
O DAC é fácil de implementar e intuitivo, mas tem certas desvantagens, incluindo: 
• Vulnerabilidades inerentes (cavalo de Tróia) 
• Manutenção ou capacidade de ACL 
 
Pauloeustaquiocoelho.com.br 
• Conceder e revogar manutenção de permissões 
• Poder de autorização negativo limitado 
 
 
Onde é utilizado? 
 
Esse modelo é comumente utilizado em sistemas de arquivos de computadores 
pessoais, onde o proprietário do arquivo pode conceder ou revogar permissões de 
acesso para outros usuários. 
Mandatory Access Control - MAC 
O MAC ou controle de acesso obrigatório, é uma estratégia de segurança que restringe 
a capacidade dos proprietários de recursos individuais de conceder ou negar acesso a 
objetos de recursos em um sistema de arquivos. Os critérios MAC são definidos pelo 
administrador do sistema, rigorosamente aplicados pelo sistema operacional de 
segurança e não podem ser alterados pelos usuários finais. 
 
Frequentemente empregado em instalações governamentais e militares, o MAC ou 
controle de acesso obrigatório funciona atribuindo um rótulo de classificação a cada 
objeto do sistema de arquivos. As classificações incluem confidencial, secreto e 
ultrassecreto. Cada usuário e dispositivo no sistema recebe uma classificação e nível de 
autorização semelhantes. Quando uma pessoa ou dispositivo tenta acessar um recurso 
específico, o sistema operacional ou o kernel de segurança verifica as credenciais da 
entidade para determinar se o acesso será concedido. Embora seja a configuração de 
controle de acesso mais segura disponível, o MAC requer planejamento cuidadoso e 
monitoramento contínuo para manter todos os objetos de recursos e classificações de 
usuários atualizados. 
 
Como o nível mais alto de controle de acesso, o MAC pode ser contrastado com o 
controle de acesso discricionário (DAC) de nível inferior, que permite que proprietários 
de recursos individuais criem suas próprias políticas e atribuam controles de 
segurança. 
 
 
Onde é utilizado? 
 
Esse modelo é usado em sistemas críticos, como sistemas nucleares ou militares, onde 
as informações são altamente classificadas e requerem proteção rigorosa. 
 
 
 
 
Pauloeustaquiocoelho.com.br 
Role Basic Access Control – RBAC 
 
O controle de acesso baseado na função (RBAC – Role-based access control) é um 
método de restringir o acesso à rede com base nas funções de usuários individuais em 
uma empresa. O RBAC permite que os funcionários tenham direitos de acesso apenas 
às informações de que precisam para fazer o seu trabalho e os impede de acessar 
informações que não pertencem a eles. 
 
A função de um funcionário em uma organização determina as permissões que o 
indivíduo recebe e garante que os funcionários de nível inferior não possam acessar 
informações confidenciais ou executar tarefas de alto nível. 
 
No modelo de dados de controle de acesso baseado nas funções, as funções são 
baseadas em vários fatores, incluindo autorização, responsabilidade e competência 
para o trabalho. Como tal, as empresas podem designar se um usuário é um usuário 
final, um administrador ou um usuário especialista. Além disso, o acesso aos recursos 
do computador pode ser limitado a tarefas específicas, como a capacidade de 
visualizar, criar ou modificar arquivos. 
 
Limitar o acesso à rede é importante para organizações que têm muitos funcionários, 
empregam empreiteiros ou permitem acesso a terceiros, como clientes e 
fornecedores, dificultando o monitoramento eficaz do acesso à rede. As empresas que 
dependem do RBAC são mais capazes de proteger os seus dados confidenciais e 
aplicativos essenciais. 
 
Onde é utilizado? 
Esse modelo é comumente utilizado em grandes organizações, onde é necessário 
gerenciar o acesso para dezenas ou centenas de usuários. Por exemplo, em uma 
empresa, os funcionários podem ter diferentes papéis, como gerente, funcionário, 
contador, etc., e cada papel pode ter diferentes permissões de acesso a recursos, 
como sistemas financeiros ou de RH.