Tipos de modelos de controle de acesso
O controle de acesso é um mecanismo de segurança que determina quem pode acessar determinados recursos, como arquivos, pastas, aplicativos ou sites. A autenticação é um aspecto crucial do controle de acesso, que envolve a verificação da identidade dos usuários por meio de vários métodos, como senhas, dados biométricos ou tokens de segurança. A autorização é outro elemento-chave do controle de acesso que envolve a concessão aos usuários dos direitos de acesso necessários a recursos específicos com base em suas funções ou atributos.
De acordo com uma pesquisa realizada pela Centrify, 74% das violações de dados foram resultado de abuso de credenciais privilegiadas, tornando-se a principal causa de incidentes de segurança cibernética. Esta descoberta está alinhada com o Relatório de Investigação de Violação de Dados de 2017 da Verizon, que indicou que impressionantes 81% das violações estavam diretamente relacionadas a senhas roubadas, fracas ou padrão que as organizações não conseguiram alterar. Estes relatórios enfatizam a necessidade de as empresas reconhecerem a importância de sistemas robustos de controlo de acesso, a fim de minimizar o risco de violações de dados.
O que é controle de acesso?
Compreender os sistemas de controlo de acesso requer saber quem deve ter acesso a quê, as directrizes que regem o acesso e os mecanismos para rastrear eventos de acesso. Os sistemas de controle de acesso normalmente mantêm registros da entrada de cada indivíduo no sistema. As organizações devem considerar cuidadosamente o nível de propriedade que terão sobre o sistema e estabelecer critérios claros para determinar quais funcionários terão acesso a recursos específicos.
O que são modelos de controle de acesso?
Existem vários modelos de sistemas de controle de acesso, cada um oferecendo vantagens exclusivas e adequação para diferentes cenários. Compreender os fundamentos dos sistemas de controlo de acesso, incluindo a identificação do utilizador, a autenticação e os vários modelos de controlo de acesso, é essencial para estabelecer uma estratégia de gestão de acesso eficaz e segura.
Quais são os 4 principais modelos de controle de acesso?
Existem três modelos de controle de acesso comumente citados, que incluem; Controle de acesso discricionário, controle de acesso obrigatório e controle de acesso baseado em funções. No entanto, o controle de acesso baseado em regras é outro modelo menos conhecido que incluí para garantir. Esses diferentes modelos são descritos abaixo:
1. Controle de acesso discricionário (DAC)
Os sistemas de controle de acesso discricionário (DAC) capacitam os líderes com autoridade para determinar quem pode acessar recursos específicos, ignorando possíveis limitações impostas pelas hierarquias de arquivos e permissões definidas pelos administradores do sistema. No entanto, esta vantagem vem com a responsabilidade da supervisão, uma vez que os utilizadores finais são encarregados de gerir os níveis de segurança. O envolvimento ativo exigido na gestão de permissões nos sistemas DAC aumenta o risco de omissões. Em contraste, os sistemas de controlo de acesso obrigatório (MAC) oferecem uma abordagem menos flexível, mas exigem menos esforço do utilizador. Em última análise, os sistemas DAC conseguem um equilíbrio entre flexibilidade e carga administrativa, exigindo que as organizações ponderem a necessidade de controlo granular contra o potencial de supervisão.
2. Controle de acesso obrigatório (MAC)
Os sistemas de Controle de Acesso Obrigatório (MAC) fornecem as medidas de segurança mais rigorosas para proteger dados e recursos confidenciais. Dentro de um sistema MAC, a autoridade para conceder acesso cabe exclusivamente aos administradores do sistema, garantindo que apenas indivíduos autorizados possam entrar em áreas ou recursos específicos. Os usuários não podem modificar as permissões, evitando modificações não autorizadas que poderiam comprometer a integridade dos dados. Além disso, os sistemas MAC limitam a capacidade do proprietário dos recursos de conceder acesso aos itens listados, aumentando ainda mais a segurança. Cada funcionário recebe uma ‘etiqueta’ exclusiva que determina seu nível de acesso, permitindo um controle refinado sobre a acessibilidade dos recursos. O acesso aos recursos é restrito com base na etiqueta e na confidencialidade das informações, proporcionando uma abordagem personalizada à segurança. Os sistemas MAC são comumente empregados por entidades e organizações governamentais que lidam com informações altamente confidenciais, demonstrando sua eficácia na manutenção da segurança dos dados e na garantia da conformidade com os padrões regulatórios.
3. Controle de acesso baseado em função (RBAC)
O controle de acesso baseado em funções (RBAC) é o sistema de controle de acesso mais comumente usado, que concede permissões aos usuários com base em suas funções e responsabilidades dentro de uma empresa. Os direitos de acesso são determinados por vários fatores, como os recursos necessários, as necessidades do usuário, o ambiente, a função do trabalho, a localização e muito mais. O RBAC simplifica o agrupamento de funcionários com base nos recursos que eles precisam acessar e oferece um modelo flexível que aumenta a visibilidade e ao mesmo tempo garante proteção contra violações de segurança.
4. Controle de acesso baseado em regras (RuBAC)
O controle de acesso baseado em regras (RuBAC) é um modelo de segurança que usa um algoritmo para ajustar permissões com base em condições como a localização do usuário ou a hora do dia em que acessam o sistema. O RuBAC depende de regras e políticas estruturadas para conceder acesso, o que envolve a verificação das regras definidas em uma lista de controle de acesso para cada recurso quando um usuário tenta acessá-lo. A implementação do RuBAC requer esforço na criação de regras, políticas e contexto, e é muitas vezes combinada com a abordagem baseada em funções. No entanto, configurar e manter este modelo pode ser um desafio, especialmente quando se trata de acesso baseado no tempo a múltiplas partes da rede.