Access Control
Als we het hebben over de beveiliging van IT systemen, servers, computers en applicaties dan is Acces Control tegenwoordig omvattend begrip voor authenticatie, autorisatie, goedkeuring van toegang en het testen van toegang.
Definitie Access control – toegangscontrole –
Beveiliging die verzekert dat alleen geautoriseerde gebruikers toegang (Access) krijgen tot bepaalde gegevens of programmatuur in een netwerk.
Bron: Computable ICT woordenboek
Authenticatie en access control worden vaak gecombineerd binnen een procedure. Doormiddel van authenticatie kan gecontroleerd worden of de toegang tot een systeem toegestaan is. Authenticatie kan plaatsvinden door middel van wachtwoorden, een token, biometrische gegevens, elektronische sleutels, fysieke sleutels, monitoring door mensen of door middel van geautomatiseerde systemen.
Subjects en Objects
Binnen het access-control model, worden de entiteiten die acties kunnen uitvoeren op de systemen subjects genoemd, de entiteiten die de data bevatten waar voor access control nodig is worden objects genoemd. Zowel subjects als de objects zijn software entiteiten. Entiteiten zijn geen menselijke gebruikers. Gebruikers kunnen alleen effect hebben op het systeem door middel van de software entiteiten die zij besturen.
Binnen sommige systemen is het mogelijk om software zowel als subject als object te laten optreden
Capability-based en ACL-based modellen
Access control modellen kunnen we over het algemeen opdelen in twee groepen. Access control gebaseerd op capabilities (vermogen) en access control gebaseerd op access control lists (ACL).
Bij het cabability based access model wordt er een vaste referentie aangelegd tussen objecten. (een simpel voorbeeld is de sleutel van de voordeur van een woning) De toegang wordt geregeld door een derde partij door het verstrekken van toegang via een beveiligd kanaal.
Bij het ACL gebaseerd model wordt er toegang verleend op basis van toegangslijsten. (een voorbeeld daarvan is de portier die de toegang tot een privé feest controleert door middel van een ID kaart. Als de eigenaar op de genodigden lijst staat dan krijgt hij toegang). De toegang tot systemen kan worden beheerd door de ACL lijst aan te passen. ACL systemen hebben een grote verscheidenheid aan regels over wie er verantwoordelijk is voor het beheer van de lijsten en op welke manier de lijsten aangepast worden.
Beide modellen werken op basis van het zelfde mechanisme voor het verlenen van toegang aan gebruikers.
Authorisatie, identificatie en authenticatie, access approval en accountability.
Accesscontrol systemen combineren een aantal services :
- Authorisatie: Wat kan het subject doen
- Identificatie en Authenticatie: Zorgt ervoor dat alleen legitieme subjects toegang hebben tot een systeem
- Access approval: verleent toegang tijdens werkzaamheden, door gebruikers te koppelen aan de resources waartoe zij toegang hebben, gebaseerd autorisatie
- Accountability identificeert welke acties een subject (of alle subjects in relatie tot een gebruiker) uitgevoerd heeft.
Authorisatie
Authorisatie zorgt ervoor dat de toegangsrechten van een subject vastgesteld kunnen worden. Een Authorisatie policy beschrijft de werkzaamheden die een subject mag uitvoeren binnen een systeem
Authorisatie wordt binnen moderne besturingssystemen gebaseerd op drie basistypen.
Lezen: Het subject kan de inhoud van bestanden lezen en de inhoud van een directory zien
Bewerken: Het subject kan bestanden toevoegen, bewerken, verwijderen en hernoemen
Uitvoeren: Als het bestand dat gebruikt wordt een programma is dan kan het subject het programma uitvoeren.
Identification and Authentication (I&A)
Identity management (ID management) is een breed bestuurlijk gebied dat zich bezighoudt met het identificeren van individuen in een system (zoals een land, een netwerk of een onderneming) en het controleren van hun toegang tot middelen binnen dat systeem door gebruikers rechten te associëren met de vastgestelde identiteit. Lees verder >>
Access approval
Toegangs controle is de functie die daadwerkelijk toegang verleent tot verschillende systemen.
Het systeem controleert op basis van de authorisatie rechten of de toegang tot een systeem wordt toegestaan of geweigerd
Accountability
Accountability gebruikt records en logs om de acties van subjects te controleren. De informatie kan gebruikt worden om de acties die een subject uitgevoerd heeft terug te leiden naar de gebruiker die het subject bestuurde. Accountability is van belang om inbreuk op de beveiliging te kunnen detecteren en security incidenten te kunnen achterhalen.
Veel systemen kunnen rapporten automatiseren die gebaseerd zijn op vooraf ingestelde criteria of drempels. Automatische rapporten kunnen gebruikt worden om bijvoorbeeld te meten hoe vaak er geprobeerd is in te loggen met een foutief wachtwoord of wanneer er wordt geprobeerd in te loggen met een account dat geblokkeerd is.
Access control modellen
Er zijn drie access control modellen die wereldwijd regematig gebruikt worden namelijk Discretionary Access Control (DAC), Mandatory Access Control (MAC), and Role Based Access Control (RBAC)