Bilgi Güvenliği Bakış Açısı İle Erişim Kontrol Modelleri

0
421
views
Teknolojiden veya uygulama platformundan bağımsız bir dizi erişim denetimi kuralının resmi olarak tanımlanmış hali olarak ifade edilen erişim kontrol modelleri; işletim sistemleri, ağlar, veritabanı yönetim sistemleri, arka ofis, uygulama ve web sunucusu yazılımları içinde uygulanır. Özet ifade ile erişim kontrol modeli, öznelerin nesnelere nasıl eriştiğini belirleyen bir çerçevedir. Bu yazıda erişim kontrol modelleri bilgi güvenliği bakış açısı ile incelenecektir.

 

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

 

Erişim kontrollerine yönelik temel saldırı yöntemleri aşağıdaki gibi sıralanabilir.

  • MITM atakları
  • Kaba kuvvet saldırıları
  • Sözlük saldırıları

 

Yıllar içinde, erişim kontrolü politikalarını iş veya organizasyon kuralları ve teknolojideki değişikliklerle eşleştirmek için çeşitli modeller geliştirilmiştir. Bu kapsamda her modelin belirli bir bilgi güvenliği amacı için kullanıldığı göz önüne alındığında, bir modelin diğerinden daha iyi olduğu düşünümemelidir. Bu yazıda erişim kontrol modelleri, türleri bakımından incelenmiştir.

 

 

A) İsteğe Bağlı Erişim Kontrol Modeli (Discretionary Access Controls – DACs)

İsteğe Bağlı Erişim Kontrolü (DAC), nesnelerin diğer öznelerle paylaşılması da dahil olmak üzere, öznelere oluşturdukları veya erişim izni verdikleri nesneler üzerinde kontrol imkanı sağlar. Kontroller, verilerin sahibi tarafından verilere yerleştirilir. Sahip özne, verilere kimin erişimi olduğunu ve sahip oldukları ayrıcalıkları belirler.

İşletim sistemi erişim kontrollerinde DAC tercih edilir.

DAC, MAC’e göre daha esnek (kaynak sahibine yetkilendirme olanağırbac sunar), kullanıcı dostu ve ölçeklendirilebilirdir. 

 

DAC’ta yetkilendirme kaynak sahibine bağlı olduğu ve dağıtık bir yapıda olduğu için en az güvenilir yöntem olarak kabul edilir.

İsteğe bağlı kontroller, erişim kontrolünün çok erken bir biçimini temsil eder ve kişisel bilgisayarların gelişiminden önce üniversitelerde ve diğer organizasyonlarda VAX, VMS, UNIX ve diğer mini bilgisayarlarda yaygın olarak kullanılmıştır. Günümüzde DAC’ler, kullanıcıların kendi verilerini ve bu bilgilerin güvenliğini yönetmelerine olanak sağlamak için yaygın olarak kullanılmaktadır. Microsoft ve Apple’dan mobil işletim sistemlerine ve Linux’a kadar hemen hemen her ana işletim sistemi DAC’yi desteklemektedir.

DAC tabanlı bir sistemin avantajı, öncelikle kullanıcı merkezli olmasıdır. Veri sahibi, bu verilere kimin erişebileceğini (veya erişim veremeyeceğini), bu sahibi etkileyen iş gereksinimlerine ve kısıtlamalarına göre belirleme gücüne sahiptir. Sahip özne, kuruluşun erişim kontrolü politikalarını hiçbir zaman göz ardı etme veya bunlarla çelişme yeteneğine sahip olmasa da, bu politikaları kendi sisteminin ve kullanıcılarının özel ihtiyaçlarına uyacak şekilde yorumlama yeteneğine sahiptir. Bir özne, genel bir posta listesine gönderilen bir e-postaya yanlış dosyanın eklenmesi gibi bir hata yaparsa, gizlilik kaybına neden olabilir. Hatalar ve kötü niyetli eylemler de verilerin bütünlük veya kullanılabilirlik kaybına neden olabilir.

Özetle DAC;

  • Kaynak sahibinin hangi öznelerin belirli kaynaklara erişebileceğini belirlemesi,
  • Erişimin kontrolü, sahibinin takdirine bağlıdır,
  • Bir kuruluş bir DAC modeli kullanıyorsa, ağ yöneticisi kaynak sahiplerinin dosyalarına kimlerin erişebileceğini kontrol etmesine izin verebilir,
  • Kimlik tabanlı erişim kontrolü,
  • İsteğe bağlı olmayan erişim kontrolleri (Nondiscretionary access controls), kuruluşun en kritik varlıklarını korumak amacıyla yetkili bir kuruluş (genellikle bir güvenlik yöneticisi) tarafından uygulamaya konulur. (kaynak sahibi değil de merkezi bir yer tarafından yetki verilmesi)

… şeklinde ifade edilebilir.

 

B) Zorunlu Erişim Kontrol Modeli (Mandatory Access Controls – MACs)

Zorunlu Erişim Kontrolü (MAC), bir öznenin iznine ve bir nesnenin etiketlerine (security label) dayalı, sistem tarafından uygulanan erişim kontrolüdür. Başka bir ifade ile sistemin kendisi, kuruluşun güvenlik politikalarına (etiketlerine) göre kaynağa erişim verilip verilmemesine karar verir; kaynağın sahibinin bir yetkilendirmesi yoktur. Bu da çok seviyeli güvenlik politikası sağlar.

MAC, gizliliğin önemli olduğu devlet kurumlarında veya askeri kurumlarda tercih edilir.

MAC, DAC’a göre daha güvenlidir.

 

 

MAC mekanizmasında kaynak sahibi de need to know değerini belirler, sistem de erişimleri kaynak etiketine göre kontrol eder.

 

MAC’ler tipik olarak son derece hassas olan ve sistem sahiplerinin, kullanıcıların organizasyon tarafından zorunlu kılınan erişim kontrolleriyle potansiyel olarak çelişmesine veya bunları atlamasına izin vermek istemediği sistemler ve veriler için kullanılır.

LB modeller, verileri bölümlere ayırmak için sınıflandırma etiket matrisleri kullanırlar. Bundan dolayı, zorunlu erişim kontrol (Mandatory Access Control – MAC) sistemlerinin, BİBA gibi kafes tabanlı modellere (Lattice-Based Model) dayandığı söylenebilir. Çünkü bu modellerde kullanıcı kaynağı / içeriği oluşturur; sistem yetkilendirmeyi yapar.

Özne ve nesnelerin (ikisinin de) sırasıyla özel, gizli ve çok gizli gibi izinleri ve etiketleri vardır. Bir özne, bir nesneye ancak öznenin izni nesnenin etiketine eşit veya bundan büyükse erişebilir. Özneler, nesneleri uygun yetkiye sahip olmayan diğer öznelerle paylaşamazlar veya nesneleri daha düşük bir sınıflandırma seviyesine kaydedemezler.

MAC ile Read-down ve Write-up yapılabilrken; Read-up and Write-down yasaktır. 

 

MAC sistemleri genellikle verilerin gizliliğini korumaya odaklanır, pahalıdır ve özellikle birbirine bağlı BT sistemi içinde farklı gizlilik düzeylerini (güvenlik etki alanları) ayırmaya çalıştığından uygulanması zordur.

Aşağıdaki resim bir nesneye atanabilecek olası izinlerin yalnızca birkaçını temsil etmektedir.

 

Özetle MAC;

  • Kullanıcılar, (DAC modelinde olduğu gibi) nesnelere kimlerin erişebileceğini belirleme yetkisine sahip değildir (kaynak sahibi kaynak kritikliğini belirtir , merkezi bir yer tarafından erişim yetkisi verilir)
  • Kullanıcılara belirli güvenlik izni verilir (gizli, çok gizli, özel vb.) ve veriler aynı şekilde sınıflandırılır,
  • MAC uygulamalarında sistem, öznenin yetkisini/iznini karşılaştırarak erişim kararlarını verir (bir işlevin devam etmesi veya gerçekleşmesi için resmi/gerekli yetki gibi)

… şeklinde ifade edilebilir.

Low water-mark mandatory access control (LOMAC), Linux’a özel bir erişim kontrol modeli olup, yüklenebilir bir çekirdek modülü (loadable kernel module) kullanılarak uygulanır.

 

C) Rol Bazlı Erişim Kontrol Modeli (Role Based Access Controls – RBAC)

Rol tabanlı bir erişim denetimi (RBAC) modeli, erişim denetimi yetkilerini, kullanıcıya bir kuruluş içinde atanan rollere (veya işlevlere) dayandırır. Bir kaynağa hangi rollerin erişime sahip olduğunun belirlenmesi, İsteğe Bağlı Erişim Kontrollerinde (DAC’ler) olduğu gibi veri sahibi tarafından yönetilebilir veya Zorunlu Erişim Kontrollerinde (MAC’ler) olduğu gibi politikaya göre uygulanabilir.

Kurumsal ortamda iş fonksiyonlarına göre erişim yetkilendirmelerinde (özellikle çalışan değişimi veya ekipler arası personel değişimi sıksa) RBAC tercih edilir.

Yönetimi / uygulanması en kolay erişim kontrol modeli RBAC’tır. Ayrıca maliyeti de oldukça düşüktür.

 

Bütünlük ön planda ise, RBAC tercih edilir.

Erişim kontrol kararları, önceden tanımlanmış ve ilkeye göre yönetilen iş işlevine dayanmaktadır ve her rolün (iş işlevi) kendi erişim yetenekleri olacaktır. Bir rolle ilişkili nesneler, o role atanan ayrıcalıkları devralır. Bu aynı zamanda kullanıcı grupları için de geçerlidir ve yöneticilerin, kullanıcıları gruplara ve grupları rollere atayarak erişim kontrol stratejilerini basitleştirmesine olanak tanır.

RBAC için birkaç yaklaşım vardır. Birçok sistem kontrolünde olduğu gibi, bir bilgisayar sistemi içinde nasıl uygulanabilecekleri konusunda farklılıklar vardır. Temelde dört RBAC mimarisi vardır:

 

  • Non-RBAC, basitçe kullanıcı tarafından verilere veya ACL’ler gibi geleneksel haritalama yoluyla bir uygulamaya erişimdir. Belirli kullanıcı tarafından tanımlananlar dışında, eşlemelerle ilişkili resmi “roller” yoktur.
  • Sınırlı RBAC, kullanıcılar kuruluş çapında bir rol yapısı yerine tek bir uygulamadaki rollerle eşleştirildiğinde elde edilir. Sınırlı bir RBAC sistemindeki kullanıcılar, RBAC tabanlı olmayan uygulamalara veya verilere de erişebilir. Örneğin, bir kullanıcı çeşitli uygulamalarda birden çok role atanabilir ve ek olarak, kendisine atanan rolünden bağımsız olarak başka bir uygulama veya sisteme doğrudan erişebilir. Sınırlı RBAC’nin temel özelliği, o kullanıcının rolünün bir uygulama içinde tanımlanması ve kullanıcının kurumsal iş işlevine bağlı olmamasıdır.
  • Hibrit RBAC, bir kullanıcının kuruluş içindeki belirli rolüne dayalı olarak birden çok uygulamaya veya sisteme uygulanan bir rolün kullanımını sunar. Bu rol daha sonra kuruluşun rol temelli modeline abone olan uygulamalara veya sistemlere uygulanır. Bununla birlikte, hibrit teriminin kavramsal olarak ima ettiği gibi, öznenin yalnızca belirli uygulamalarda tanımlanan rollere atanabileceği, diğer sistemler tarafından kullanılan daha büyük, daha kapsamlı örgütsel rolü tamamlayan (veya belki de çelişen) durumlar vardır.
  • Tam RBAC sistemleri, kuruluşun ilkesi ve erişim denetimi altyapısı tarafından tanımlanan roller tarafından kontrol edilir ve ardından kuruluş genelindeki uygulamalara ve sistemlere uygulanır. Uygulamalar, sistemler ve ilişkili veriler, bu kuruluş tanımına dayalı olarak izinleri uygular ve bunlardan biri, belirli bir uygulama veya sistem tarafından tanımlanmaz.

 

NIST’e göre, RBAC aşağıdaki kurallara sahiptir:

  • Rol Atama: Bir özne, yalnızca özne bir rol seçtiyse veya atanmışsa bir işlemi gerçekleştirebilir. Tanımlama ve doğrulama süreci (örneğin, oturum açma) bir işlem olarak kabul edilmez. Sistemdeki diğer tüm kullanıcı faaliyetleri işlemler aracılığıyla yürütülür. Bu nedenle, tüm aktif kullanıcıların bir takım aktif role sahip olması gerekmektedir.
  • Rol Yetkilendirme: Bir öznenin aktif rolü özne için yetkilendirilmelidir. Yukarıdaki (1) ile bu kural, kullanıcıların yalnızca yetkilendirildikleri rolleri alabilmesini sağlar.
  • İşlem Yetkisi: Bir özne, bir işlemi ancak işlemin öznenin rol üyelikleri aracılığıyla yetkilendirilmesi ve kullanıcılar, roller ve izinler arasında uygulanabilecek herhangi bir kısıtlamaya tabi olması durumunda gerçekleştirebilir. (1) ve (2) ile bu kural, kullanıcıların yalnızca yetkilendirildikleri işlemleri gerçekleştirebilmelerini sağlar.

Güçlü rollerin bile sınırlamaları vardır; örneğin, birçok kuruluş, sistem yöneticilerinin yönetici hesabını kullanırken Web’de gezinmesine izin vermez. Bu, her rolü sistemde ayrı tutulmasını ve daha hassas hesapların açığa çıkmasını azaltır. RBAC, isteğe bağlı olmayan bir erişim denetimi türüdür çünkü kullanıcıların nesne grupları konusunda takdir yetkisi yoktur.

Not: Görev tabanlı erişim kontrolü(task based), RBAC ile ilgili isteğe bağlı olmayan başka bir erişim kontrol modelidir. Görev tabanlı erişim kontrolü, yönerge yazma veya bir yedekleme teypinden verileri geri yükleme veya bir yardım masası bileti açma gibi her bir öznenin gerçekleştirmesi gereken görevlere dayanır. Roller yerine belirli görevlere odaklanarak, RBAC’ın çözdüğü aynı sorunu çözmeye çalışır.

Özetle RBAC;

  • Bu model türü, kaynaklara erişimin kullanıcının rolüne dayalı olmasını sağlar.
  • Çalışan değişim hızı yüksek kurumlar için en iyi sistem RBAC modelidir.

… şeklinde ifade edilebilir.

 

D) Kural Bazlı Erişim Kontrol Modeli (Rule based Access Controls-RB-RCAC)

Tahmin edileceği gibi, kural tabanlı bir erişim kontrol sistemi, bir sistem içindeki nesnelere erişmek için bir dizi tanımlanmış kural, kısıtlama ve filtre kullanarak hangi erişimlerin verilmesi gerektiğini belirleyen önceden tanımlanmış kurallar listesine dayanır. Kurallar “IF / ELSE” ifadeleri şeklindedir.

 

Sistem sahipleri tarafından oluşturulan veya yetkilendirilen kurallar, bir kuralın belirli koşulu karşılandığında kullanıcılara verilen ayrıcalıkları (örneğin, okuma, yazma ve yürütme) belirtir. Kural tabanlı erişim kontrol cihazına bir örnek, kullanıcıların web’de yalnızca önceden tanımlanmış onaylanmış içerikle gezinmesine izin veren bir proxy güvenlik duvarıdır. Örneğin; kullanıcı web’de gezinme yetkisine sahipse ve site onaylılar listesindeyse, o zaman erişime izin verilir. Diğer siteler yasaktır ve bu kural tüm kimliği doğrulanmış kullanıcılar için uygulanır.

Kural tabanlı kontroller en yaygın olarak bir DAC biçimidir, çünkü sistem sahibi genellikle kuralları organizasyona veya işleme ihtiyaçlarına göre geliştirir.

 

Özetle RB-RBAC;

  • Kural tabanlı erişim kontrolü, bir özne ile bir nesne arasında neyin olabileceği ve olamayacağını belirten belirli kurallar kullanır,
  • Bu erişim kontrol modeli, geleneksel RBAC üzerine inşa edilmiştir ve bu nedenle genellikle RB-RBAC olarak adlandırılır,

… şeklinde ifade edilebilir.

 

E) İçerik ve Bağlam Bağımlı Erişim Kontrol Modeli (Content and Context-Dependent Access Controls)

İçerik ve bağlama bağlı erişim kontrolleri, kendi başlarına tam teşekküllü erişim kontrol yöntemleri değildir (MAC ve DAC gibi), ancak tipik olarak savunmadan bağımsız bir destekleyici rol oynarlar. Genel olarak DAC sistemlerine ek bir kontrol olarak eklenebilirler.

 

İçeriğe bağlı erişim kontrolü, tanımlama ve kimlik doğrulamanın ötesinde ek kriterler eklemektedir. Özetle; bir nesneye erişim, konum, zaman (mesai saati dışında sistemlere erişilememesi gibi), yanıt sırası, erişim geçmişi vb. gibi belirli bağlamsal parametrelere dayalı olarak kontrol ediliyorsa, o zaman bu içeriğe bağlı erişim kontrolü olarak bilinir. Bu tür bir kontrolde, erişilmekte olan varlığın değeri birincil husus değildir. Kullanıcı adı ve parola kombinasyonunu ve ardından CAPTCHA gibi bir sınama ve yanıt mekanizmasının sağlanması, erişimin kablosuz bağlantılardaki MAC adreslerine göre filtrelenmesi veya paket analizine göre verileri filtreleyen bir güvenlik duvarı içeriğe bağlı erişim kontrol mekanizmalarının örnekleridir.

Bir web uygulamasında belli menülerin gösterilmesi, bir sosyal medya uygulamasında bir kişi bir fotoğrafta olmasına rağmen bu resmi görememesi,… bu şekilde sağlanır.

 

F) Öznitelik Bazlı Erişim Kontrol Modeli (Attribute-Based Access Controls-ABAC)

ABAC, bir taleple ilgili varlıkların (özne ve nesne) eylemlerinin özniteliklerine ve ortama göre kuralları değerlendirerek nesnelere erişimi kontrol ettiği için ayırt edilebilen mantıksal bir erişim kontrol modelidir.

 

Nitelikler, tanımlanabilen ve bir değer atanabilen herhangi bir şeyin özellikleri olarak kabul edilebilir. Öznitelik tabanlı erişim kontrolleri;

  • Kullanıcı öznitelikleri,
  • Erişilecek uygulama veya sistemle ilişkili öznitelikler,
  • Mevcut çevre koşulları,

kombinasyonları için izin verilen işlemleri tanımlayan resmi bir ilişki veya erişim kontrol kuralına dayanır. ABAC, diğer erişim kontrol modellerine göre esnek ve güçlü olmasının yanı sıra en karmaşık olanı olarak öne çıkmaktadır. Teknik olarak ABAC, çoğunlukla DAC, MAC ve RBAC’ı güçlendirme amacıyla uygulanmakta olup, özünde, bir erişim kontrol kararına daha fazla giriş değişkenine izin veren ayrıntılı erişim kontrolü sağlar. Dizindeki mevcut herhangi bir öznitelik, bir kaynağa erişimi kontrol etmek için doğru filtreyi tanımlamak üzere kendi başına veya bir başka kontrol modeli ile birlikte kullanılabilir.

 

 

G) Kaynak Tabanlı Erişim Kontrolü (Resource-based Access Controls)

RE-BAC; izinleri (permission), kaynaklarla / cihazlarla eşleştirir. Örneğin bi,r depolama aygıtı için aşağıdaki gibi bir izin listesi çıkarılabilir.

  • Kullanıcı 1: Okuyabilme, Yazabilme, Listeleyebilme
  • Kullanıcı 2: Okuyabilme, Listeleyebilme
  • Kullanıcı 3: Okuyabilme, Yazabilme, Listeleyebilme, Silebilme
  • Kullanıcı 4: Can Listeleyebilme

Gerçek hayatta, Apache Shiro ürününde bu şekilde bir erişim kontrolü uygulanmaktadır.

 

 

Kaynaklar:

https://www.amazon.com/CISSP-All-One-Guide-Eighth-ebook/dp/B07J1JQSJY

https://portswigger.net/web-security/access-control/security-models
https://blog.identityautomation.com/rbac-vs-abac-access-control-models-iam-explained
https://csrc.nist.gov/Projects/Attribute-Based-Access-Control
https://www.slideshare.net/sabrinakirrane/20150506-wu-talkskirrane

 

 

 

 

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

This site uses Akismet to reduce spam. Learn how your comment data is processed.