Модели контроля доступа
Дополнительно MAC позволяет создавать отдельные домены внутри уровней, как в секции Confidential (Lentil, Foil, Crimson, Matterhorn). Они содержат конфиденциальные данные, но разделены для дополнительной защиты. Пользователям с уровнем Confidential требуется дополнительная метка для доступа.
На следующем слайде рассмотрим классификацию MAC:
Классификации MAC модели:
В модели MAC различают три типа окружений:
Иерархическое окружение — уровни безопасности организованы в порядке возрастания. Доступ к объектам высокого уровня безопасности разрешает доступ ко всем объектам более низких уровней, но запрещает доступ к более высоким уровням.
Изолированное окружение — в таком окружении каждый домен безопасности независим от других. Это значит, что для доступа к объекту нужно иметь разрешение именно для того домена, в котором этот объект находится. Нет связей между доменами, и доступ к одному домену не даёт доступа к другим. Каждый домен — это как отдельная зона, и чтобы попасть в неё, нужно иметь специальное разрешение.
Классификации MAC модели:
Гибридное окружение — сочетает элементы иерархического и изолированного окружений. Каждый иерархический уровень может содержать множество изолированных подразделений. Для доступа к объекту необходимо иметь соответствующее разрешение и потребность в знании данных в конкретном подразделении.
Реализация систем аутентификации
SSO (Single Sign On - Единый вход) позволяет пользователю входить на несколько сервисов, используя один набор учетных данных. Это упрощает использование и повышает безопасность, избавляя от необходимости запоминать множество паролей.
Многие сайты поддерживают SSO для удобства пользователей и защиты данных. Например, при переводе денег между банками вам не нужно передавать свои данные третьим лицам. Решения как SAML, OAuth, OpenID и OIDC позволяют обмениваться аутентификацией и авторизацией без передачи учетных данных между сайтами.
Реализация систем аутентификации
XML (Extensible Markup Language) — это расширяемый язык разметки, который не только описывает, как отображать данные, но и описывает сами данные. Он использует теги для обозначения данных. Например, тег <ExamResults>Passed</ ExamResults> обозначает результаты экзамена. XML позволяет различным базам данных импортировать и экспортировать данные в этом формате, что делает его универсальным языком обмена информацией. Многие облачные провайдеры используют языки на основе XML для обмена данными для аутентификации и авторизации. Однако они не используют XML в его исходном виде, а вместо этого применяют другие языки, основанные на XML.
Реализация систем аутентификации
SAML (Security Assertion Markup Language) — это открытый стандарт на основе XML, используемый для обмена данными об аутентификации и авторизации между организациями. Он предоставляет возможности единого входа (SSO) для доступа через браузер.
SAML 2.0 включает три ключевых элемента: пользователь (principal), поставщик услуг (service provider) и поставщик идентификации (identity provider). Когда пользователь пытается войти на сайт, SAML отправляет учетные данные поставщику идентификации (IdP), который проверяет их и возвращает XML-ответ с информацией о доступе.
Identity Provider (IdP)
Типы XML-сообщений (ассерций), которые может отправлять IdP:
Аутентификационная ассерция: подтверждает, что пользователь ввел правильные учетные данные, указывает метод аутентификации и время входа.
Авторизационная ассерция: указывает, имеет ли пользователь доступ к запрашиваемому сервису, и если доступ запрещен — почему.
Атрибутная ассерция: содержит информацию о пользователе.
Многие облачные провайдеры используют SAML в своих решениях, так как это упрощает процесс аутентификации и авторизации для пользователей.
Реализация систем аутентификации
OAuth 2.0 — это фреймворк авторизации, который позволяет сторонним приложениям получать доступ к данным, не требуя передачи учетных данных.
Предположим, вы используете приложение для автопостинга во ВКонтакте. При подключении приложение перенаправляет вас на ВКонтакте, где вы даете разрешение на доступ. ВКонтакте отправляет приложению токен авторизации, который оно использует для размещения постов. Вы не передаете свои данные, что повышает безопасность.
Реализация систем аутентификации
OpenID — это стандарт для децентрализованной аутентификации, позволяющий пользователям входить на различные сайты с одними и теми же учетными данными, хранимыми сторонним сервисом (OpenID-поставщиком).
Когда пользователь заходит на сайт, поддерживающий OpenID, его просят ввести идентификатор (URI). Сайт и поставщик обменяются данными, и пользователь будет перенаправлен на поставщика для ввода пароля. Если пароль правильный, его вернут на исходный сайт.
Реализация систем аутентификации
OpenID Connect (OIDC) использует OAuth 2.0 и предоставляет аутентификацию и авторизацию с помощью JSON Web Token (JWT). Он используется для безопасного входа на сайты, например, через Google аккаунт.
Пример: чтобы войти на eBay с Google аккаунтом, выполните следующие шаги:
1.Перейдите на ebay.com и нажмите "Sign In".
2.Выберите "Continue with Google", войдите в свой аккаунт и вы автоматически будете авторизованы на eBay без регистрации аккаунта.