שליטה רחבה מול שליטה מדוקדקת בגישה – מהי הבחירה הנכונה?

בקרת גישה היא אחת מהפרקטיקות הבטחת מידע החשובות ביותר. ניהול מדוקדק של זכויות הגישה של המשתמש עוזר להבטיח את הנתונים הרגישים ומקטין את הסיכוי להצלחת התקפה.

אך, בחירת דגם שליטת גישה הרלוונטי לארגון שלך יכולה להיות מסובכת. מאמר זה מדבר על מקרי שימוש לדגמי שליטת גישה חובה (MAC) ושליטה בגישה דחופה (DAC). אנו גם מציגים את ההבדל בין DAC ל-MAC כדי לעזור לך לבחור אחד מעל השני. לבסוף, אנו מספקים טיפים על היישום.

דגמי שליטת גישה: למה הם חשובים?

שליטת גישה שליטת הגישה מנהלת אילו משתמשים, יישומים והתקנים יכולים לצפות, לערוך, להוסיף ולמחוק משאבים בסביבת הארגון. שליטת הגישה היא אחת מן הפרקטיקות המרכזיות להגנת נתונים רגישים מפני גניבה, שימוש לרעה, שימוש למטרות לא הוגנות ואיומים אחרים. ישנם שני רמות של שליטת גישה: פיזית ולוגית.

שליטת גישה עוזרת להפחית את האיומים הפנימיים והחיצוניים כאחד. לכן, תקני ה-IT, החוקים והתקנות — NIST, HIPAA, PCI DSS ואני אחרים — ליישם תקנים קשים לשליטה פיזית ולוגית על גישה. במאמר זה, אנו דנים בדפוסים של שליטה לוגית על גישה.

באפשרותך לבחור מתוך מספר דפוסים של שליטה לוגית על גישה, כולל שליטה חובתית, שליטה ברשות, מבוססת תפקיד ומבוססת מאפיינים. לכל דפוס יתרונותיו וחסרונותיו. מאוחר יותר במאמר זה, נבחן את היתרונות והחסרונות של שליטה חובתית ושליטה ברשות. למידע נוסף בנושא זה, קרא את המאמר שלנו על זה יתרונות וחסרונות של שליטת גישה מבוססת תפקידים ושליטת גישה מבוססת מאפיינים יכולים להיות: דפוסים.

תהליך בחירת אחד מהדפוסים הללו משתנה מארגון לארגון. בחירת הדפוס תלויה ב:

• טבע המידע שמוגן
• דרישות ה-IT ותקני התעשייה
• מספר העובדים
• התקציב לאבטחת מידע

בואו נלמד את הפרטים של כל דפוס כדי לגלות מתי יש טוב להשתמש בשליטה גישה חובתית מאשר בשליטה גישה ברשות, ולהיפך.

"מהו שליטת גישה חובתית?"

שליטת גישה חובתית זו שיטת שליטת גישה בה מערכת ההפעלה מספקת למשתמשים גישה למשאבים על סמך רמות הסודיות של הנתונים ורמות האישור של המשתמש. בדגם זה, הגישה מתנתקת על פי צורך לדעת בסיס של צורך לדעת: משתמשים חייבים להוכיח את צורךם למידע לפני שישוגו לגישה.

MAC נקרא גם מודל של שליטת גישה לא-דיסקרציונית, וזה אומר שהשליטה אינה ניתנת לשיקולו של המשתמש או בעל הקובץ. מנגנוני השליטה של דגם ה-MAC מאפשרים לארגונים ליישם עקרונות "אי-אמון".

MAC נחשב אחת הרמות בטיחותיות הגבוהות ביותר דגמי שליטת גישה. כללי גישה במודל זה מוגדרים ידנית על ידי מנהלי המערכת ומיושמים בתוקף על ידי מערכת ההפעלה או ליבת האבטחה. משתמשים רגילים לא יכולים לשנות מאפייני אבטחה גם לנתונים שיצרו.

העקרונות הבסיסיים של שליטת גישה חובתית (MAC) כוללים:

1. הפרטיות והסודיות המרביות של משאבי הארגון הם עיקריים. אף אחד לא מופנה עם הרשאות ברירת מחדל לגישה או לעריכה של נתוני מישהו.
2. הצפייה בגישה מנוהלת מרכזית.
3. כל אדם ומשאב במערכת מכילים תוויות אבטחה עם הסיווג והקטגוריה שלהם.

עם שליטת גישה חובתית (MAC), התהליך לקבלת גישה נראה כך:

• המנהל מגדיר מדיניות גישה ומגדיר מאפייני אבטחה: רמות סודיות ורישיונות לגישה לפרויקטים שונים וסוגי משאבים.
• המנהל מקצה קבוצת מאפיינים לכל נושא (משתמש או משאב שגישה לנתונים) ואובייקט (קובץ, מסד נתונים, יציאת פורט, וכו').
• כאשר נושא מנסה לגשת לאובייקט, מערכת ההפעלה בודקת את המאפיינים האבטחתיים של הנושא ומחליטה האם יש להעניק גישה.
• כדי לקבל גישה לאובייקט, המשתמש מספק את הפרטים האישיים שלו.

בנוסף לבדיקת רמות הסודיות והאישור (התאמת סיווג בין הנושא לאובייקט), מערכות ההפעלה מתמקדות ב התאמת קטגוריות בין הנושא לאובייקט. סיווג "סודי מאוד" אינו מעניק באופן אוטומטי למשתמש גישה מלאה לקובץ אם הוא לא חבר בקטגוריה הנדרשת עבור האובייקט.

בואו נביט בדוגמה של מימוש של שליטת גישה חובתית. נניח שארגון מחזיק בנתונים ברמת סודיות "סודי מאוד" ותווית אבטחה "פרויקט הנדסי". נתונים אלו זמינים רק לקבוצת משתמשים עם גישה לשניים מתוויות: "סודי מאוד" (סיווג) ולהירשמויות לגשת למסמכי הנדסה (קטגוריה). משתמשים אלו יכולים גם לגשת למידע הדורש רמת סודיות נמוכה יותר. באותו הזמן, עובדים עם רמות סודיות נמוכות יותר או ללא הרשאות לגשת למסמכים הנדסיים לא יכולים לגשת למידע כזה.

MAC מביא רבות יתרונות למערכת אבטחת מידע, אך יש לו גם מספר חסרונות. בואו נסתכל על יתרונות וחסרונות של שליטת גישה חובתית.

יתרונות וחסרונות של MAC

מתי להשתמש בשליטת גישה חובתית (MAC):

DAC אינה צריכה להיות בשימוש על ידי ארגונים שעובדים עם נתונים קטנים מאוד (רפואיים, פיננסיים, צבאיים, וכו') מספר סיבות:

• אם משתמש 1 משתף זכויות גישה עם משתמש 2, אין הבטחה כי משתמש 2 זקוק לגישה זו לעבודה, ולא יגנב או יפגיע בנתונים, ולא יעניק גישה למשתמש זדוני.
• אי אפשר לשלוט בזרימות מידע בתוך הרשת.
• אי אפשר ליישם את מנגנון העיקרון של הרשאה מינימלית, דרישה לדעת, והפרדת תפקידים.
• אי אפשר ליישם את עקרונות הרשאה מינימלית, דרישה לדעת והפרדת תפקידים.

באותו הזמן, שליטת גישה בקריה (DAC) היא בחירה טובה לעסקים קטנים עם צוות IT ותקציבים לא גדולים לאבטחת מידע. זה מאפשר לשתף מידע ומבטיח את הפעולה החלקה של העסק. כאשר מיושם בארגון עם 10 עד 20 עובדים, DAC מציג פחות מורכבות ואתגרים של ניטור לעומת השימוש בו בארגונים עם מאות או אלפי עובדים.

MAC לעומת DAC: טבלת השוואה

להלן, אנו מבקשים על המאפיינים העיקריים של שני הדגמים כדי לעזור לך להבין את ההבדלים בין DAC ל-MAC.

הבדלים DAC ו-MAC

מאפיין	MAC	DAC
שליטת גישה מוטלת על ידי	מנהלי המערכת והמערכת הפעלה	מנהלי המערכת והמשתמשים
סוגיית מדיניות שליטת הגישה	רמות סודיות ואישורים	רשימות שליטת גישה עם זיהוי מזהים משתמש
גמישות
קיימות ממשקות
פשטות
תחזוקה	קשה	קל
עלות היישום	גבוהה	נמוכה
רמת העדינות	גבוהה (מנהלים מתאימים רישיונות לכל משתמש ואובייקט באופן ידני)	גבוהה (משתמשים יכולים להקצות זכויות גישה לכל משתמש או קבוצה אחרת)
נוח לשימוש
רמת אבטחה	גבוהה	נמוכה
שימושי עבור	ממשל, צבא, ושוטרים	חברות קטנות ובינוניות
משתמשים מהימנים	רק מנהלים	כל המשתמשים
בסיס להחלטות על קבלת גישה	משימות ואובייקטים שיש להם מזהה ייחודי	בעלות ומזהה משתמש

להשוואת דגמי שליטת הגישה DAC ל-MAC בדרך זו מדגישה את ההבדלים בין השיטות בכמעט כל נושא ומראה שהן מתאימות לסוגי ארגונים שונים. DAC עובדת היטב עבור ארגונים שדורשים גמישות וזריזות בזרימות העבודה. מאידך, MAC מתאימה יותר לארגונים שעוסקים בנתונים עם רמות רגישות גבוהות.

MAC vs. DAC: שאלות נפוצות

אפשרות גמישות והתאמה אישית יותר למנהלים?

בין מודלי שליטת הגישה DAC ל-MAC, DAC היא ברור הכי גמישה וניתנת להתאמה אישית. למעשה, DAC מאפשרת למשתמשים לנהל ולהתאים אישית הרשאות גישה בעצמם, גם בלי מנהלים. לכן, DAC מציעה גמישות גדולה יותר מאשר היא מאפשרת למנהלים להקצות מספר משימות של שליטת גישה למשתמשים.

להבדיל מ-MAC, DAC אינה כוללת מערכת נוקשה של כללים מוגדרים מראש, לכן ניתן לקבוע ש-DAC מספקת התאמה אישית יותר.

הדגם המתאים יותר לסביבות שבהן מדיניות שליטת הגישה צריכה להתעדכן בתדירות הוא DAC.

דגם DAC גמיש יהיה התאמה מתאימה לארגונים שמעדכנים בתדירות את מדיניות השליטה בגישה שלהם.

בדגם ה-MAC, שליטת הגישה מוטלת על ידי מערכת ההפעלה. לכן, כאשר ארגון מעדכן את מדיניות השליטה בגישה שלו, מנהלי המערכת חייבים להגדיר מחדש את המערכת כדי ליישם את העדכונים. התהליך של הגדרה מחדש עשוי להיות מורכב וזמן רב.

להפך, DAC מאפשר כוונות מהירות של הרשאות גישה, מה שהופך אותו להתאמה טובה יותר לסביבות עם עדכונים תדירים למדיניות שליטת הגישה.

ניתן לקבוע כי דגם שליטת הגישה המותאם יותר לדרישות התקן הרגולטורי בתעשיות ספציפיות הוא DAC.

בעוד ש-DAC מציע רמת גמישות גבוהה, הוא לא יכול להבטיח אבטחה נאמנה. להפך, MAC מסוגל לספק רמה גבוהה של הגנה נגד גישה לא מורשית לנתונים ולמערכות.

לכן, שימוש ב-MAC מתאים יותר בתחומים כבולי הרגולציה כמו פיננסים, בריאות, ממשל וצבא. דרישות הרגולציה בתחומים אלו מדגישות באופן מפורש את חשיבותן של צעדי שליטת גישה חזקים.

מהן ההשלכות הכלכליות הקשורות ליישום ותחזוקת מערכות MAC לעומת מערכות DAC?

ההטמעה של MAC היא מורכבת ויקרה מאחר ודורשת תכנון מדוק ומומחות מתקדמת. לדוג' לפני ההטמעה עשוי להיות נדרש רכישת תוכנה מיוחדת והשקעה בשירותי ייעוץ. כמו כן, עשוי להיות נדרש הדרכת מנהלים שיבצעו וישמרו מדיניות שליטת גישה. לבסוף, תחזוקת MAC דורשת הוצאה רבה על הימור ומעבירה את העומס על מנהלי המערכת, לכן תהיה צורך להעסיק מספיק ספקים לניהול המערכת.

DAC כללית דורשת פחות השקעה כספית מאחר ואינה דורשת מומחות ספציפית או תכנון מדוק. עם זאת, עשוי להיות עדיין נדרשת ייעוץ מומחה, הדרכת ספקים ותוכנה מיוחדת, כל אלו יכולים לגרום להוצאות כספיות.

האם ניתן להשתמש ב-MAC ו-DAC יחד?

כן, ניתן לשלב בין MAC ו-DAC ולהשתמש בדגם משולב של שליטת גישה בארגון שלך. לדוגמה, ניתן ליישם מערכת MAC מחמירה לספק גישה למשאבי המובנים והקריטיים של הארגון שלך, ולשאר הרשת והמשאבים, ניתן ליישם מערכת DAC פשוטה ופחות תלתלה במשאבים.

יישום ניהול גישה חזק וגמיש עם מערכת Ekran

רבות מהארגונים דורשים את היתרונות של שני הדגמים, זיהוי באופן אישי של אנשי הצוות והתאמה מדויקת של הרשאות הגישה שלהם, כך כך יתרונות המדמ"ח נכנסים לפעולה. מימין לשמאל: זיהוי מדויק של אנשי הצוות והתאמה מדויקת של הרשאות הגישה שלהם מאפשרים לארגון לשפר את התפקוד ולהפחית את הסיכונים.

האם התכונות הללו חיוניות לארגון שלך? פונקציית ניהול הגישה של Ekran System יכולה לעזור לך להשיג את המיטב מהדגמים של MAC ו-DAC עם פלטפורמה כוללת. אנו מציעים מגוון רחב של אפשרויות של שליטת גישה:

• ניהול זהות – אוטומציה ואבטחת אימות משתמש על מנת להפחית את הסיכונים של גישה לא מורשית או רעולה.
• אימות דו-שלבי – אימות זהות משתמשים על ידי בקשת קודים חד-פעמיים נוספים שנשלחים למכשירים הניידים שלהם.
• אימות משני – בקשת הזנת פרטי זיהוי נוספים לאחר התחברות למערכת כדי להבחין בפעילותם בחשבונות מנהליים ואחרים המשותפים.
• ניהול סיסמאות – ניהול פרטי זיהוי של חשבונות פריווילגיים, אוטומציה של ספק וסיבוב סיסמאות, ואפשרות לעובדים ליצור ולשתף את הסיסמאות שלהם לצורך שיתוף פעולה יותר טוב בתוך הצוותים.
• ניהול גישה פריבלגי– ניהול הרשאות המשתמש ומעקב אחר ישיבות המשתמשים הפריווילגיות כדי לוודא שהמשתמשים טופלים את נתוני הארגון הרגישים בצורה מאובטחת.
• תהליכי בקשה ואישור גישה – אפשר למנהלים שלך לאשר בקשות משתמשים לגישה כדי להגן על המשאבים הכי חשובים שלך בצורה תקינה.

סיכום

לאחר השוואת דק ו-DAC, אנו יכולים לראות בבירור שהם נמצאים בקצוות הנגדיים של הספקטרום של שליטת גישה. MAC מופעל על ידי מנהלים ודורש הרבה זמן ומאמצים כדי לתחזק אותו, אך הוא מספק רמה גבוהה של אבטחה. DAC הוא הרבה יותר קל ליישום ולתחזק, מאחר ומשתמשים יכולים לנהל גישה לנתונים שהם בבעלותם. אף על פי כן, DAC אינו תואם לסטנדרטים כשמדובר בהגנה על רשומות רגישות.

Ekran System מאפשר לך לשלב את היתרונות של שני דפוסי שליטת גישה אלו. פונקציות ניהול הסיסמאות, סיסמאות חד-פעמיות, הגבלות זמן לגישת משתמשים ואישור גישה ידניות של הפלטפורמה יכולות לעזור לך ליישם תהליך ניהול גישה גמיש ובטוח