Wat is een toegangscontrolelijst?
- IAM-woordenlijst
- Wat is een toegangscontrolelijst?
Een toegangscontrolelijst (Access Control List, ACL) is een lijst met regels die vaststellen welke gebruikers of systemen toegang hebben tot specifieke netwerkbronnen en welke acties er tijdens het gebruik van die bronnen kunnen worden uitgevoerd.
Dit is een kernprincipe van het raamwerk voor identiteits- en toegangsbeheer(Identity and Access Management, IAM) dat garandeert dat geautoriseerde gebruikers alleen toegang hebben tot bronnen waarvoor ze toestemming hebben.
Hoe werken toegangscontrolelijsten?
Toegangscontrolelijsten verifiëren de aanmeldingsgegevens van een gebruiker door machtigingen en andere factoren te evalueren, afhankelijk van het type toegangscontrolelijst dat een organisatie heeft geïmplementeerd. Na deze evaluatie en verificatie verleent of weigert de ACL toegang tot de gevraagde bron.
Vormen van toegangscontrolelijsten
Toegangscontrolelijsten kunnen worden ingedeeld in twee hoofdcategorieën:
Standaard ACL
Een standaard toegangscontrolelijst is het meest voorkomende type ACL. Het filtert verkeer uitsluitend op basis van het bron-IP-adres. Standaard ACL's houden geen rekening met andere factoren van het pakket van de gebruiker.
Uitgebreide ACL
Een uitgebreide toegangscontrolelijst is een nauwkeurigere methode die filteren mogelijk maakt op basis van tal van criteria, zoals de poortnummers, protocoltypes, bron- en doel-IP-adressen van de gebruiker.
Vromen van toegangscontroles
Er zijn verschillende soorten toegangscontroles die zijn afgestemd op de behoeften van een organisatie. Hier zijn de vier meest voorkomende soorten toegangscontroles.
Rolgebaseerde toegangscontrole (RBAC)
Role-Based Access Control (RBAC) is een veelgebruikte methode voor het beheer van brontoegang. Het beheert de autorisaties en beperkingen van een gebruiker binnen een systeem op basis van hun rol binnen de organisatie. Sommige privileges en machtigingen worden ingesteld en gekoppeld aan de rol van de gebruiker. Dit beveiligingssysteem volgt het principe van minimale privileges (Principle of Least Privilege, PoLP), en zorgt ervoor dat gebruikers netwerktoegang krijgen tot alleen systemen die nodig zijn voor hun taakfuncties. Een bewerkingsanalyst heeft bijvoorbeeld een afzonderlijke bron dan een verkoopspecialist, vanwege hun verschillende taken.
Discretionaire toegangscontrole (DAC)
Discretionary Access Control (DAC) is een methode waarbij broneigenaren verantwoordelijk zijn voor het verlenen of weigeren van toegang aan specifieke gebruikers. Het is gebaseerd op de discretie van de eigenaar om de uiteindelijke beslissing te nemen. Dit systeem biedt meer flexibiliteit omdat het eigenaren in staat stelt om machtigingen snel en eenvoudig aan te passen. Echter, het kan ook bedreigingen vormen als de broneigenaar slecht oordeelt of inconsistent is in diens beslissingen.
Verplichte toegangscontrole (MAC)
Mandatory Access Control (MAC) is een methode waarbij brontoegang is gebaseerd op systeembeleid, dat meestal wordt ingesteld door een centrale autoriteit of een beheerder. Dit kan worden gevisualiseerd als een gelaagd systeem waarbij verschillende groepen gebruikers verschillende toegangsniveaus krijgen op basis van hun goedkeuringsniveau. Verplichte toegangscontrole wordt veel gebruikt in overheids- en militaire systemen waar strikte regelgeving essentieel is vanwege beveiligingsredenen.
Attribuut-gebaseerde toegangscontrole (ABAC)
Attribute-Based Access Control (ABAC) is een methode voor toegangscontrole waarbij attributen die aan de gebruikers zijn gekoppeld, worden geïnspecteerd. In plaats van zich alleen te concentreren op hun rol, kijkt dit beveiligingssysteem naar andere kenmerken, zoals het onderwerp, de omgeving, de functieomschrijving, de locatie en het tijdstip van toegang. Op attributen gebaseerde toegangscontrole definieert zekere beleidsregels op basis van attributen en past deze strikt toe.
De componenten van een toegangscontrolelijst
Er zijn verschillende componenten van een toegangscontrolelijst, die elk cruciale informatie vertegenwoordigen die kan bijdragen aan het vaststellen van de machtigingen van de gebruiker.
- Volgnummer
- Een volgnummer is de code die wordt gebruikt om de ACL-ingang te identificeren.
- ACL-naam
- De ACL-naam wordt ook gebruikt om de ACL-ingang te identificeren, maar gebruikt een naam in plaats van een reeks cijfers. In sommige gevallen wordt een mix van letters en cijfers gebruikt.
- Netwerkprotocol
- Beheerders kunnen toegang verlenen of weigeren op basis van de netwerkprotocollen van de gebruiker, zoals Internet Protocol (IP), Transmission Control Protocol (TCP) en User Datagram Protocol (UDP).
- Bron
- De bron definieert het IP-adres van de gevraagde oorsprong.
Voordelen van het gebruik van een toegangscontrolelijst
Een voordeel van het gebruik van een toegangscontrolelijst is dat het granulaire controle biedt, waardoor organisaties machtigingen kunnen instellen en op maat toestemming kunnen verlenen aan specifieke groepen. Dit biedt organisaties flexibiliteit en efficiënt beheer van bronnen terwijl de vertrouwelijkheid van systemen wordt beschermd.
Daarnaast beperken toegangscontrolelijsten de risico's van beveiligingslekken, onbevoegde toegang en de meeste andere kwaadwillende activiteiten. Niet alleen kunnen ACL's onbevoegd verkeer blokkeren, maar ze blokkeren ook spoofing en Denial-of-Service (DoS)-aanvallen. Aangezien ACL's zijn ontworpen om de IP-adressen van de bron te filteren, staan ze expliciet toe dat vertrouwde bronnen binnenkomen terwijl niet-vertrouwde bronnen worden geblokkeerd. ACL's beperken ook DoS-aanvallen door kwaadwillig verkeer te filteren en de hoeveelheid binnenkomende gegevenspakketten te beperken, wat voorkomt dat een overweldigend volume aan verkeer ontstaat.
Het implementeren van toegangscontrolelijsten
Om een toegangscontrolelijst te implementeren, is het belangrijk om eerst de pijnpunten te identificeren en uit te zoeken welke gebieden binnen een organisatie verbetering nodig hebben. Na deze evaluatie moeten organisaties een goede IAM-oplossing kiezen die het beste aansluit bij de beveiligings- en nalevingsbehoeften van de organisatie terwijl mogelijke risico's worden aangepakt.
Zodra een organisatie een IAM-oplossing heeft gekozen, kan het de juiste machtigingen instellen om ervoor te zorgen dat gebruikers het juiste toegangsniveau hebben tot de benodigde bronnen terwijl de beveiligingsnormen gewaarborgd blijven.