Modelos

Hoje em dia existe vários modelos referente ao controle de acesso , EM linha gerais existem atualmente três modelos básicos bastantes maduros, largamente utilizados como referência é que vamos ver logo abaixo.

4.1 – DAC (Discretionary Access Control

É uma a definição de uma pessoa com a responsabilidade de aprovar a concessão de direitos de acesso para as pessoas. O termo original utilizado em inglês é “owner”, que significa dono em português. As empresas, no entanto, têm optado por outros termos mais adequados à realidade Brasileira como: Responsável ou Gestor.

Duas implementações deste mecanismo são as Listas de Controle de Acesso (Access Control Lists – ACL) e Capabilities Tables.

4.1.1 – ACLs (Access Control Lists )

São permissões mais específicas que são úteis para dar acesso a um determinado usuário sem que ele necessite ter as mesmas características do dono do arquivo e/ou diretório. Além disso, o acesso pode ser configurado de diferentes formas para um ou mais grupos heterogêneos.

As ACL descrevem, para cada objeto, qual sujeito tem quais direitos sobre este objeto. Tomando-se a Matriz de Acesso como modelo, as ACL são representadas como a coluna de cada objeto. Um modelo simples de ACL pode ser visto nos sistemas UNIX, em que os arquivos possuem listas de permissões de acesso (direitos) para o proprietário, o grupo e os demais usuários.

As ACLs são importantes quando precisamos dar autorizações diferentes de acesso a um ou mais usuários e/ou grupos, mas quando as permissões forem gerais podemos utilizar o comando chmod do linux é claro

4.1.2 – Capabilities Tables

São tecnologia proposta para substituir a adoção de ACLs, especialmente em permissões de sistemas de arquivo. Ao invés de usuário passar um identificador falando quem ele é cada vez que o acesso a um arquivo é solicitado, o que demanda verificação por parte do reference monitor, o usuário recebe as chamadas “capacidades”. Elas são referencias para o acesso aos arquivos, semelhantes a file descriptors, que já incluem as permissões que o usuário possui para aquele arquivo, eliminando a necessidade de verificação dessas informações no momento do acesso.

File descriptors – São referencias a arquivos internos dos sistemas operacionais

4.2 – MAC (Mandatory Access Control )

O modelo MAC (Mandatory Access Control – Controle de acesso obrigatório) é um mecanismo que limita o nível de controle dos usuários sobre os objetos que eles próprios criaram. Ao contrário do que ocorre com o DAC, onde o usuário tem pleno controle sobre seus objetos.

Um modelo de controle MAC exige que os objetos sejam catalogados de acordo com a classificação de segurança adotada na organização. Em geral são adotados 3 ou 5 níveis, como por exemplo: Secreto, Confidencial, Uso interno e público. O acesso a um objeto só é permitido às pessoas que possuem no mínimo o mesmo nível de classificação de segurança.

O modelo popular para o MAC, chamado Bell-LaPadula, é composto de objetos (tabelas, visões, linhas, colunas), sujeitos (usuários, programas), classes de segurança e passes.

O modelo Bell-LaPadula impõe duas restrições em todas as leituras e escritas em objetos:

-  Propriedade Simples de Segurança: Sujeito S pode ler um objeto O apenas se class (S) >= class (O).

- Propriedade : Sujeito S pode escrever em um objeto O apenas se class (S) <= class (O).

4.3 – RBAC (Role-based Access Control )

É um modelo recente que muito se adéqua as necessidades das empresas, em que o controle de acesso este fortemente ligado a função, ou papel, do sujeito dentro da empresa.

Por exemplo, entende-se que um diretor  financeiro e um gerente de vendas tem papeis diferentes e, logo, precisam acessar apenas as informações que sao adequadas as suas funções. Da mesma forma, todos os diretores financeiros podem ter acesso aos mesmos dados, visto que desempenham o mesmo papel

4.4 – Outras tecnologias

Existem outras tecnologias relacionadas a controle de acesso que podem estar atreladas a mais de um modelo ou que foram projetadas para necessidades bem especificas, mantendo uns distanciamentos os modelos vistos

4.4.1- Role –Based

Conjunto de regras para definir permissões de acesso. Uma ACL é criada para cada recurso existente no sistema, sendo ela consultada cada vez que um acesso a esse recurso seja feito.

Um exemplo comum é o conjunto de regras de um firewall que definem quais origens podem acessar quais destinos

4.4.2- Content Dependent

Permitem que o acesso seja feito levanto em consideração aspectos da própria informação que é acessada . , ou seja considera o conteúdo do objeto no processo de controle de acesso , exemplos são sistemas que acessam os bancos de dados, como ERPs, CRMs  etc

4.4.3 – Interfaces restritas

Restringem as ações dos usuários, removendo a possibilidade de alterações ou acessos não autorizados, por exemplo. Seu uso, porem, deve ser complementado com mecanismo de acesso implementando na própria base de dados de forma a evitar ataques de byspass, onde o atacante tenta acessar a base de dados diretamente burlando a interface

4.4.4 – Access Control Matrix

A Access Control Matriz, ou ACM, é o somatório dos dois mecanismos anteriores formando uma estrutura equivalente a uma matriz, onde as linhas são compostas pelos usuários, as colunas por objetos e os elementos são listas de permissões. Cada coluna de uma ACM é uma

ACL e cada linha é uma Capability.