Mandatory access control: come funziona?
La protezione dati acquisisce sempre maggiore importanza e riguarda ormai tutti gli ambiti della società. Sono però soprattutto le aziende a non poter fare a meno di avvalersi di una strategia di sicurezza dati accurata, che permetta loro di proteggere i dati interni all’azienda e quelli dei propri clienti da accessi indesiderati o usi impropri. Imprescindibile in queste strategie è l’attribuzione di permessi d’accesso limitati, verificati ogniqualvolta un utente tenti di accedere a determinate informazioni. I modelli tra cui scegliere per l’implementazione e la gestione dei permessi di accesso sono vari, tra questi vi è il controllo d’accesso vincolato o mandatory access control.
Il MAC, acronimo di mandatory access control, è un modello di sicurezza impiegato in settori particolarmente delicati come quello politico e militare, nei quali la protezione dei dati da tentativi di manipolazione è di particolare importanza. In questo articolo vi spieghiamo il funzionamento dei controlli di accesso basati su regole e vi mostriamo i vantaggi e gli svantaggi di questo modello.
Che cos’è il mandatory access control?
Al fine di proteggere i dati e le impostazioni di sistema da accessi e modifiche non autorizzate, le aziende sono solite assegnare solamente quei permessi d’accesso che ciascun utente, in base alla propria mansione, necessita per svolgere il proprio lavoro. La definizione e l’assegnazione dei diritti d’accesso risultano compiti complessi già nelle aziende di medie dimensioni.
Ogni azienda si divide infatti in più reparti: amministrativo, finanziario, marketing, vendite, risorse umane, e così via. Gli impiegati di ciascuno di questi reparti hanno bisogno di permessi d’accesso differenti per il corretto svolgimento delle proprie mansioni. Dopodiché il singolo lavoratore può necessitare di permessi aggiuntivi specifici, in base al proprio ruolo in azienda o all’interno di un progetto.
Per una gestione e un controllo efficaci dei permessi d’accesso sono state sviluppate diverse strategie di sicurezza, tra le quali si annovera il mandatory access control, abbreviato in MAC, tradotto come “controllo di accesso vincolato”. Con questa strategia ogni utente ottiene accesso solamente a quelle risorse del file system delle quali non può assolutamente fare a meno. Il termine “vincolato” implica già che il controllo d’accesso si basi su determinate regole che devono essere rispettate e che vengono verificate in automatico.
Per risorse si considerano gli oggetti, i file e i sistemi IT.
L’organizzazione dei diritti d’accesso con il MAC
L’assegnazione dei permessi d’accesso è regolata da un’amministrazione centrale. Di solito questa è affidata a una singola persona che dispone di adeguate conoscenze riguardo i compiti e le necessità degli utenti. Questo permette che tutti i lavoratori possano operare avendo accesso garantito a tutti i dati di loro competenza. Nelle aziende questo ruolo è spesso ricoperto dagli amministratori di sistema.
Il controllo effettivo e l’aggiornamento sono solitamente automatizzati e avvengono attraverso l’utilizzo di un sistema operativo o di un security kernel: se un utente tenta di ottenere accesso a determinati dati, il sistema verifica se concedere o negare il permesso. Il vantaggio dell’automatizzazione è che esclude nel miglior modo possibile eventuali manipolazioni.
Le scelte relative ai permessi di accesso dipendono dai seguenti fattori:
- Utenti e processi
- Oggetti: le risorse alle quali si intende accedere
- Regole e proprietà: categorizzazione, etichette, parole chiave
Il mandatory access control segue un approccio gerarchico in cui a ogni oggetto di un file system viene assegnato un livello di sicurezza basato sulla sensibilità dei dati. I livelli di sicurezza tipici sono “confidenziale” o “strettamente confidenziale”. La stessa classificazione è applicata sia agli utenti che ai dispositivi. Ogniqualvolta un utente tenta di accedere a una qualsiasi risorsa si avvia in automatico una verifica atta a convalidare o a negare l’accesso.
Inoltre, il sistema controlla la conformità di tutte le informazioni e degli utenti assegnati a una data categoria. Questo significa che per ogni tentativo di accesso devono essere soddisfatti non uno ma ben due criteri per accedere ai dati: quello di sicurezza e quello di categoria.
Il Role Based Access Control o RBAC è un modello di sicurezza alternativo che astrae i processi di lavoro in ruoli e sulla base di questi assegna le limitazioni d’accesso.
Le forme del mandatory access control
Ci sono due modelli di mandatory access control:
I sistemi di sicurezza multilivello
Questo modello è la forma originale e più semplice di MAC, composta di una struttura verticale dei livelli di sicurezza. Le informazioni fluiscono solo all’interno di questi compartimenti. Anche agli utenti viene assegnato un livello di sicurezza che permette loro di accedere a quel determinato livello o a uno qualsiasi di quelli inferiori.
I sistemi di sicurezza multilaterali
Questi sistemi sono più complessi e consentono l’accesso sulla base di segmenti che, riuniti, costituiscono dei blocchi. Questi si compongono a loro volta di gradi di sicurezza e parole chiave. Grazie a questa struttura si compone un sistema di sicurezza orizzontale, contenente livelli di sicurezza verticali aggiuntivi.
Quali sono i vantaggi e gli svantaggi del MAC?
Il mandatory access control è uno dei sistemi di sicurezza più sicuri in circolazione, in quanto esclude quasi completamente il rischio di manipolazioni. Diversamente da quanto avviene con il RBAC, nei sistemi MAC gli utenti non hanno alcuna possibilità di apportare modifiche. Il controllo e l’osservanza dei permessi di accesso sono del tutto automatizzati e imposti dal sistema. Per questo motivo il mandatory access control offre un elevato grado di riservatezza. Inoltre, il sistema si contraddistingue per l’altrettanto elevata integrità: senza sufficiente autorizzazione i dati non possono essere modificati, prevenendo eventuali manipolazioni.
I sistemi MAC prevedeno però una pianificazione dettagliata. Anche dopo l’implementazione, l’impegno per una corretta amministrazione rimane elevato. Ogni assegnazione di permessi d’accesso a oggetti e utenti obbliga a una verifica e a un aggiornamento del sistema costanti. Da considerare tra i lavori di manutenzione continui, richiesti per una corretta gestione del sistema, vi sono anche le modifiche da apportare a categorizzazione o a classificazione. I permessi necessari per svolgere tali mansioni spettano solitamente a una singola persona. Se questo garantisce un elevato grado di sicurezza, rappresenta però anche un grande dispendio di tempo e energie per l’amministratore.
Dove vengono impiegati i sistemi MAC?
L’elevato grado di affidabilità e integrità fa sì che il mandatory access control risulti particolarmente indicato laddove si lavori con dati sensibili e in ambienti particolarmente critici in materia di sicurezza. Questi sono solitamente gli ambiti militare, politico, delle autorità, del commercio con l’estero, della sanità e dei mezzi d’informazione. Tuttavia, ciò non significa che il MAC non venga utilizzato anche in contesti aziendali. Il sistema di sicurezza Security-Enhanced Linux (SELinux) si basa ad esempio su un’implementazione del MAC nel kernel di Linux.
Oltre a MAC, SELinux può utilizzare anche Type Enforcement (TE) e Role Base Access Control (RBAC).