Cos'è un elenco di controllo di accesso?

Un elenco di controllo di accesso (ACL) è un elenco di regole che determinano a quali utenti o sistemi è consentito accedere a specifiche risorse di rete, oltre alle azioni permesse durante l'utilizzo di tali risorse.

Costituisce un principio fondamentale del framework di policy per la Gestione delle identità e degli accessi (IAM), facendo sì che gli utenti autorizzati possano accedere solo alle risorse per cui dispongono dell'autorizzazione.

Come funzionano gli elenchi di controllo di accesso?

Gli elenchi di controllo di accesso verifichano le credenziali di un utente valutandone le autorizzazioni e altri fattori, a seconda del tipo di elenco di controllo di accesso implementato da un'organizzazione. A seguito della valutazione e della verifica, l'ACL concederà o negherà l'accesso alla risorsa richiesta.

Tipi di elenchi di controllo di accesso

Gli elenchi di controllo di accesso possono essere suddivisi in due categorie principali:

ACL standard

Un elenco di controllo di accesso standard è il tipo più comune di ACL. Filtra il traffico esclusivamente in base all'indirizzo IP di origine. Le ACL standard non considerano altri fattori del pacchetto dell'utente.

ACL esteso

Un elenco di controllo di accesso esteso è un metodo più accurato che consente di filtrare in base a numerosi criteri come i numeri di porta, i tipi di protocollo, gli indirizzi IP di origine e di destinazione dell'utente.

Tipi di controlli di accesso

Esistono diversi tipi di controlli di accesso personalizzati per soddisfare le esigenze di un'organizzazione. Ecco i quattro tipi più comuni di controlli di accesso.

Controllo degli accessi basato sui ruoli (RBAC)

Il controllo di accesso basato sui ruoli (RBAC) è un metodo ampiamente utilizzato per gestire l'accesso alle risorse. Gestisce le autorizzazioni e le restrizioni di un utente all'interno di un sistema in base al suo ruolo nell'organizzazione. Alcuni privilegi e autorizzazioni vengono configurati e associati al ruolo dell'utente. Questo modello di sicurezza segue il principio dei privilegi minimi PoLP), garantendo che agli utenti sia consentito l'accesso alla rete solo per i sistemi necessari per le loro funzioni lavorative. Ad esempio, un operation analyst disporrà di risorse diverse rispetto a un sales executive, date le diverse attività.

Controllo degli accessi discrezionale (DAC)

Il controllo degli accessi discrezionale (DAC) è un metodo in cui i proprietari delle risorse sono responsabili per concedere o negare l'accesso a utenti specifici. Fondamentalmente, la decisione del proprietario è discrezionale. Questo modello offre una maggiore flessibilità, in quanto consente ai proprietari di modificare rapidamente e facilmente le autorizzazioni, ma può costituire una minaccia in caso di un giudizio errato o di decisioni incoerenti del proprietario della risorsa.

Controllo degli accessi obbligatorio (MAC)

Il controllo degli accessi obbligatorio (MAC) è un metodo in cui l'accesso alle risorse si basa su policy di sistema, che solitamente sono configurate da un'autorità centrale o da un amministratore. Può essere immaginato come un sistema a livelli in cui a diversi gruppi di utenti vengono concessi diversi livelli di accesso in base al loro livello di autorizzazione. Il controllo degli accessi obbligatorio è ampiamente utilizzato nei sistemi governativi e militari, dove sono essenziali norme severe per motivi di sicurezza.

Controllo degli accessi basato sugli attributi (ABAC)

Il controllo degli accessi basato sugli attributi (ABAC) è un metodo di controllo degli accessi che prevede l'ispezione degli attributi associati agli utenti. Piuttosto che concentrarsi solo sul proprio ruolo, questo modello di sicurezza esamina altre caratteristiche, come l'oggetto, l'ambiente, il titolo professionale e l'ora di accesso. Il controllo degli accessi basato sugli attributi stabilisce determinate policy in base agli attributi e vi si attiene scrupolosamente.

I componenti di un elenco di controllo di accesso

Vi sono diversi componenti di un elenco di controllo di accesso, ognuno dei quali rappresenta un'informazione cruciale che può svolgere un ruolo importante nel determinare le autorizzazioni dell'utente.

Numero di sequenza: Un numero di sequenza è il codice utilizzato per individuare la voce ACL.
Nome ACL: Anche il nome ACL viene utilizzato per individuare la voce ACL, ma utilizza un nome piuttosto che una sequenza di numeri. In alcuni casi, viene utilizzato un mix di lettere e numeri.
Protocollo di rete: Gli amministratori possono concedere o negare l'ingresso in base ai protocolli di rete dell'utente, come il protocollo Internet (IP), il protocollo di controllo di trasmissione (TCP) e il protocollo datagram utente (UDP).
Fonte: La fonte definisce l'indirizzo IP dell'origine richiesta.

Vantaggi dell'utilizzo di un elenco di controllo di accesso

Un vantaggio dell'utilizzo di un elenco di controllo di accesso è che fornisce un controllo granulare, consentendo alle organizzazioni di impostare e stabilire autorizzazioni su misura per gruppi specifici. Ciò consente alle organizzazioni di avere flessibilità e una gestione concisa delle risorse, proteggendo al contempo la riservatezza dei sistemi.

Inoltre, gli elenchi di controllo di accesso mitigano i rischi di violazioni della sicurezza, di accessi non autorizzati e della maggior parte delle altre attività dannose. Non solo possono bloccare l'ingresso del traffico non autorizzato, ma possono bloccare anche gli attacchi di spoofing e Denial-of-Service (DoS). Poiché gli ACL sono ideati per filtrare gli indirizzi IP della fonte, consentiranno esplicitamente l'ingresso alle fonti attendibili, bloccando quelle non attendibili. Inolre, gli ACL possono mitigare gli attacchi DoS filtrando il traffico dannoso e limitando la quantità di pacchetti di dati in entrata, evitando un volume di traffico eccessivo.

Come implementare gli elenchi di controllo di accesso

Per implementare un elenco di controllo di accesso, è importante innanzitutto individuare i punti deboli e capire quali aree devono essere migliorate all'interno di un'organizzazione. Una volta valutato questo, le organizzazioni devono scegliere una buona soluzione IAM che soddisfi al meglio le esigenze di sicurezza e conformità dell'organizzazione, affrontando al contempo i potenziali rischi.

Dopo che un'organizzazione ha scelto una soluzione IAM, potrà impostare le autorizzazioni appropriate per garantire agli utenti il giusto livello di accesso alle risorse necessarie, pur mantenendo gli standard di sicurezza.