O que é uma Lista de controle de acesso?
- Glossário do IAM
- O que é uma Lista de controle de acesso?
Uma lista de controle de acesso (ACL) é uma lista de regras que determinam quais usuários ou sistemas têm acesso permitido a recursos de rede específicos, além de quais ações eles podem realizar ao usar esses recursos.
Esse é um princípio central sob a estrutura de políticas de gerenciamento de identidade e acesso (IAM), garantindo que usuários autorizados só possam acessar recursos para os quais têm permissão.
Como as listas de controle de acesso funcionam?
As listas de controle de acesso verificam as credenciais de um usuário avaliando suas permissões e outros fatores, dependendo do tipo de lista de controle de acesso que uma organização implementou. Após esta avaliação e verificação, a ACL concederá ou negará o acesso ao recurso solicitado.
Tipos de listas de controle de acesso
As listas de controle de acesso podem ser classificadas em duas categorias principais:
ACL padrão
Uma lista de controle de acesso padrão é o tipo mais comum de ACL. Ela filtra o tráfego apenas com base no endereço IP de origem. ACLs padrão não consideram outros fatores do pacote do usuário.
ACL estendida
Uma lista de controle de acesso estendida é um método mais preciso que permite filtragem com base em vários critérios, como números de porta, tipos de protocolo, endereços IP de origem e destino do usuário.
Tipos de controles de acesso
Existem vários tipos de controles de acesso personalizados para atender às necessidades de uma organização. Aqui estão os quatro tipos mais comuns de controles de acesso.
Controle de acesso baseado em função (RBAC)
O controle de acesso baseado em função (RBAC) é um método amplamente usado de gerenciamento de acesso de recurso. Ele gerencia as autorizações e restrições de um usuário dentro de um sistema com base em sua função dentro da organização. Certos privilégios e permissões são configurados e associados à função do usuário. Esse modelo de segurança segue o princípio do menor privilégio (PoLP), garantindo que os usuários tenham acesso de rede a apenas sistemas que são necessários para suas funções de trabalho. Por exemplo, um analista de operações terá um recurso distinto de um executivo de vendas, devido às suas tarefas diferentes.
Controle de acesso discricionário (DAC)
O controle de acesso discricionário (DAC) é um método em que os proprietários de recursos são responsáveis por conceder ou negar acesso a usuários específicos. Ele é baseado no critério do proprietário para finalmente tomar uma decisão. Esse modelo oferece maior flexibilidade, pois permite que os proprietários ajustem permissões de forma rápida e fácil, mas pode representar ameaças se o proprietário do recurso fizer um julgamento ruim ou for inconsistente em suas decisões.
Controle de acesso obrigatório (MAC)
O controle de acesso obrigatório (MAC) é um método em que o acesso de recurso é baseado em políticas do sistema, que são normalmente configuradas por uma autoridade central ou um administrador. Isso pode ser visualizado como um sistema de camada onde diferentes grupos de usuários recebem níveis variáveis de acesso com base no nível de liberação. O controle de acesso obrigatório é amplamente usado em sistemas governamentais e militares, onde regulamentações rigorosas são essenciais por razões de segurança.
Controle de acesso baseado em atributos (ABAC)
O controle de acesso baseado em atributos (ABAC) é um método de controle de acesso que envolve a inspeção de atributos associados com os usuários. Em vez de apenas se concentrar em sua função, esse modelo de segurança olha para outras características, como o assunto, o ambiente, a parte do trabalho, localização e hora de acesso. O controle de acesso baseado em atributos define certas políticas com base em atributos e as segue completamente.
Os componentes de uma lista de controle de acesso
Existem vários componentes de uma lista de controle de acesso, cada um dos quais representa uma informação crucial que pode desempenhar um fator na determinação das permissões do usuário.
- Número de sequência
- Um número de sequência é o código usado para identificar a entrada da ACL.
- Nome da ACL
- O nome da ACL também é usado para identificar a entrada da ACL, mas ele usa um nome em vez de uma sequência de números. Em alguns casos, uma mistura de letras e números é usada.
- Protocolo de rede
- Os administradores podem conceder ou negar entrada com base nos protocolos de rede do usuário, como protocolo de internet (IP), protocolo de controle de transmissão (TCP) e protocolo de datagrama de usuário (UDP).
- Fonte
- A fonte define o endereço IP da origem solicitada.
Vantagens de usar uma lista de controle de acesso
Uma vantagem de usar uma lista de controle de acesso é que ela fornece controle granular, permitindo que as organizações definam e estabeleçam permissões personalizadas para grupos específicos. Isso dá às organizações flexibilidade e gerenciamento conciso de recursos enquanto protege a confidencialidade dos sistemas.
Além disso, as listas de controle de acesso minimizam os riscos de violações de segurança, acesso não autorizado e a maioria das outras atividades maliciosas. As ACLs não só podem bloquear a entrada de tráfego não autorizado, mas também bloqueiam ataques de spoofing e de negação de serviço (DoS). Como as ACLs são projetadas para filtrar os endereços IP da fonte, elas permitirão explicitamente que fontes confiáveis entrem enquanto bloqueiam fontes não confiáveis. As ACLs também minimizam os ataques de DoS filtrando o tráfego malicioso e limitando a quantidade de pacotes de dados recebidos, evitando um volume esmagador de tráfego.
Como implementar listas de controle de acesso
Para implementar uma lista de controle de acesso, é importante primeiro identificar os pontos problemáticos e descobrir quais áreas precisam de melhorias dentro de uma organização. Após essa avaliação, as organizações devem escolher uma boa solução de IAM que melhor corresponda às necessidades de segurança e conformidade da organização, ao mesmo tempo em que lidam com riscos potenciais.
Depois que uma organização escolhe uma solução de IAM, ela pode configurar as permissões adequadas para garantir que os usuários tenham o nível certo de acesso aos seus recursos necessários enquanto ainda mantêm os padrões de segurança.