Identität und Zugriff
Verbindliche Zugriffskontrolle (MAC)
Auch bekannt als: MAC, Nicht-diskretionäre Zugriffskontrolle
Definition
Zugriffsmodell, in dem eine zentrale Richtlinie – nicht der Ressourceneigentümer – Entscheidungen anhand von Klassifizierungen und Freigaben für Subjekte und Objekte durchsetzt.
Beispiele
- SELinux verhindert, dass ein als root laufender Webserver-Prozess /etc/shadow liest.
- Ein klassifiziertes System erlaubt einem Secret-Nutzer kein Schreiben in ein Unclassified-Verzeichnis.
Verwandte Begriffe
Diskretionäre Zugriffskontrolle (DAC)
Zugriffsmodell, in dem der Eigentümer einer Ressource entscheidet, wer zugreifen darf und welche Operationen erlaubt sind.
Rollenbasierte Zugriffskontrolle (RBAC)
Autorisierungsmodell, das Berechtigungen Rollen statt direkt Nutzern zuweist; Nutzer erhalten Zugriff durch ihre Rollenzuordnungen.
Attributbasierte Zugriffskontrolle (ABAC)
Autorisierungsmodell, das Richtlinien anhand von Attributen des Subjekts, der Ressource, der Aktion und der Umgebung auswertet, um über eine Zugriffsanfrage zu entscheiden.
Prinzip der geringsten Rechte
Sicherheitsprinzip, das jedem Nutzer, Prozess oder Dienst nur jene Rechte gewährt, die er zwingend für seine Aufgabe benötigt — nicht mehr.
Autorisierung
Entscheidung darüber, was eine bereits authentifizierte Identität tun darf – welche Ressourcen, Aktionen und Bedingungen erlaubt sind.
Systemhärtung
Reduktion der Angriffsfläche eines Systems durch Entfernen unnötiger Funktionen, Verschärfung der Konfiguration und Erzwingen sicherer Standardwerte.