第7章アクセス制御技術の原理と応用
アクセス制御の概要
- アクセス制御の概念
- アクセス制御とは、訪問者認証のリソースオブジェクト、制御方法、および操作メカニズムを指します。
- 訪問者はサブジェクトとも呼ばれ、ユーザー、プロセス、アプリケーションなどになります。
- リソースオブジェクトはオブジェクトとも呼ばれ、アクセスされているオブジェクトです。
- 承認は、訪問者がファイルの読み取りと書き込み、削除などのリソースオブジェクトにアクセスするための方法です。
- 管理:アクセスの拒否、許可、操作の禁止など
- アクセス制御とは、訪問者認証のリソースオブジェクト、制御方法、および操作メカニズムを指します。
- アクセス制御の目標
- 違法なユーザーがシステムに入るのを防ぐ
- 正当なユーザーがシステムリソースを違法に使用するのを防ぐ
アクセス制御モデル
-
アクセス制御参照モデル
-
コンポーネント要素:サブジェクト、参照モニター、オブジェクト、アクセス制御データベース、監査データベース
-
アクセス制御タイプ
-
随意アクセス制御(DAC):オブジェクトの所有者は、独自のセキュリティポリシーに従って、システム内の他のユーザーにアクセス制御を付与します。
-
行ベースの随意アクセス制御
サブジェクトがアクセスできるオブジェクトのリストを、3つの形式に分けて各サブジェクトに添付します。
- 能力テーブル:オブジェクトにアクセスし、ユーザーアクセスモードを決定するためのキー(r、w、x)
- プレフィックステーブル:保護されたオブジェクトの名前とそのサブジェクトのアクセス権限が含まれます。プレフィックステーブルを確認して、アクセス権を確認してください
- パスワード:各オブジェクトにはパスワードがあります。アクセスする前に、システムはオブジェクトのパスワードを提供する必要があります
-
列ベースの随意アクセス制御
各オブジェクトでアクセスできるサブジェクトのリストを添付してください
- 保護ビット:すべてのサブジェクト、サブジェクトグループ、およびオブジェクト所有者のアクセスモードのセットを指定し、ビットを使用してアクセス権を表します
- アクセス制御リスト(ACL):アクセス制御マトリックスを表すサブジェクトリストが各オブジェクトに添付されます。各アイテムには、サブジェクトのIDとサブジェクトのオブジェクトへのアクセス権が含まれます
利点:ユーザーはセキュリティ要件に応じて独自のアクセス制御権限を設定でき、アクセスメカニズムはシンプルで柔軟です
短所:ユーザーの安全意識とスキルに依存し、高い安全レベルの安全要件を満たすことができません
-
-
強制アクセス制御(MAC)
- サブジェクトとオブジェクトのセキュリティ属性に従って、オブジェクトへのサブジェクトのアクセスを必須の方法で制御するシステムを指します
利点:他のユーザーが自分のネットワークリソースに不法に侵入するのを防ぎます
短所:ユーザーの事故や誤操作には効果がありません
-
役割ベースのアクセス制御(PBAC)
-
特定の職務とタスクを完了するために必要なアクセス権に基づく承認と管理を指します
-
コンポーネント:ユーザー、ロール、セッション、権限
-
アクセス制御戦略の設計と実装
- アクセス制御戦略
- リソースへのユーザーのアクセスを規定し、リソースの損失、漏洩、または違法な使用を防止するために使用されます
- 明確に禁止および許可されなければならないこと
- 制御対象のオブジェクト、アクセス制御ルール、ユーザー権限、またはその他のアクセスセキュリティ要件で構成されます
- アクセス制御ルールの種類と実装方法
- ユーザーIDに基づくアクセス制御ルール
- ロールベースのアクセス制御ルール
- アドレスベースのアクセス制御ルール
- 時間ベースのアクセス制御ルール
- 異常なイベントに基づくアクセス制御ルール
- サービス数に基づくアクセス制御ルール
アクセス制御プロセスとセキュリティ管理
-
アクセス制御管理プロセス
- 明確なアクセス制御管理資産
- 管理資産のセキュリティ要件を分析する
- アクセス制御ポリシーを策定し、アクセス制御ルールとユーザー権限の割り当てを決定します
- アクセス制御戦略を実装し、ユーザーアクセスID認証システムを確立し、ユーザータイプに基づいて資産へのアクセスを承認します
- アクセス制御システムを運用および保守し、時間内にアクセス戦略を調整します
-
最小特権管理
- 最小特権の原則は、システム内の各サブジェクトがタスクを完了するために必要な一連のアクセス許可のみを持つことができることを意味します
-
ユーザーアクセス管理
-
パスワード管理
アクセス制御の主な技術指標と製品
- アクセス制御の主な製品
- 4Aシステム:認証(認証)、承認(承認)、アカウント(アカウント)、監査(監査)
- セキュリティゲートウェイ:ファイアウォール、統合脅威管理(UTM)
- システムセキュリティの強化
- アクセス制御の主な技術的指標
- 製品はアクセス制御ポリシールールタイプをサポートします
- この製品は、最大数のアクセス制御ルールをサポートしています
- 製品アクセス制御ルールのチェック速度
- 製品育種の安全性と品質保証レベル
アクセス制御技術アプリケーション
-
UNIX / Linuxオペレーティングシステムのアクセス制御アプリケーション
-
各ファイルで「9ビットモード」を使用して、アクセス制御機関の情報を識別します
-
-
Windowsオペレーティングシステムのアクセス制御アプリケーション
-
Webサーバーのアクセス制御アプリケーション
-
ネットワーク通信アクセス制御アプリケーション
-
ネットワーク通信接続制御
- 通信フローがアクセス制御ルールに準拠している場合にのみ、通信は正常に続行できます。
-
VLANベースのネットワーク分離
-