בקרת גישה מנדטורית

באבטחת מחשבים, בקרת גישה מנדטורית (MAC, ראשי תיבות של: Mandatory Access Control) מתייחסת לסוג של בקרת גישה, שבאמצעותה מערכת ההפעלה או מסד הנתונים מגבילים את יכולתו של "נושא" או "יוזם" לגשת או לבצע פעולה כלשהי על "אובייקט".[1] במקרה של מערכות הפעלה, "נושא" הוא בדרך כלל תהליך או תהליכון ו"אובייקט" הם מבנה כגון קבצים, ספריות (folder), יציאות TCP/UDP, קטעי זיכרון משותפים, התקני IO וכן הלאה. לכל הנושאים והאובייקטים קבוצה של תכונות אבטחה. בכל פעם שנבדק מנסה לגשת לאובייקט, כלל הרשאה שנאכף על ידי ליבת מערכת ההפעלה בוחן את מאפייני האבטחה הללו ומחליט אם הגישה מותרת. כל פעולה של נושא כלשהו על אובייקט כלשהו נבדקת על פי קבוצת כללי ההרשאה (authorization rules), המכונה "מדיניות" (policy), כדי לקבוע אם הפעולה מותרת. מערכת ניהול מסדי נתונים, במנגנון בקרת הגישה שלה, יכולה גם להחיל בקרת גישה מנדטורית. במקרה זה, האובייקטים הם טבלאות, תצוגות, פרוצדורות.

עם MAC, מדיניות האבטחה נשלטת באופן מרכזי על ידי מנהל מדיניות אבטחה; למשתמשים אין את היכולת לעקוף את המדיניות, למשל, להעניק גישה לקבצים שאחרת היו מוגבלים. לעומת זאת, בקרת גישה דיסקרטית (DAC), השולטת גם ביכולתם של נושאים לגשת לאובייקטים, מאפשרת למשתמשים לקבל החלטות מדיניות או להקצות תכונות אבטחה. (מערכת יוניקס המסורתית של משתמשים, קבוצות והרשאות קריאה-כתיבה-ביצוע היא דוגמה ל- DAC) מערכות המותאמות ל-MAC מאפשרות למנהלי מדיניות ליישם מדיניות אבטחה רחבה בארגון. תחת MAC (ובניגוד ל- DAC), משתמשים אינם יכולים לעקוף או לשנות מדיניות זו, בטעות או בכוונה. זה מאפשר למנהלי אבטחה להגדיר מדיניות מרכזית המובטחת (באופן עקרוני) לאכוף עבור כל המשתמשים.

היסטורית, MAC נקשר באופן הדוק עם אבטחה רב-שכבתית (MLS) ומערכות צבאיות מיוחדות. בהקשר זה, MAC מרמז על מידה רבה של קפדנות כדי לספק את האילוצים של מערכות MLS. לאחרונה, לעומת זאת, MAC חרג מהנישה של ה-MLS והחל להפוך למיינסטרים יותר. היישומים האחרונים של MAC, כגון SELinux ו- AppArmor for Linux ו- Mandatory Integrity Control עבור Windows, מאפשרים למנהלים להתמקד בנושאים כמו התקפות רשת ותוכנות זדוניות ללא הקפדה או אילוצים של MLS.

הערות שולייםעריכה

  1. ^ Belim, S. V.; Belim, S. Yu. (בדצמבר 2018). "Implementation of Mandatory Access Control in Distributed Systems". Automatic Control and Computer Sciences (באנגלית). 52 (8): 1124–1126. doi:10.3103/S0146411618080357. ISSN 0146-4116. {{cite journal}}: (עזרה)