Controllo degli accessi
Il controllo degli accessi definisce e applica autorizzazioni e limitazioni per l'uso da parte di utenti, sistemi o applicazioni per accedere alle risorse.
Tipi
DAC: Accesso basato sull'identità e sulle autorizzazioni dell'utente; i proprietari hanno la discrezione sull'accesso; gli elenchi di controllo degli accessi definiscono le autorizzazioni.
MAC: Accesso basato sui livelli di sensibilità e sulle autorizzazioni; controllo degli accessi basato su policy; le etichette di classificazione definiscono l'accesso.
RBAC: Accesso basato sui ruoli e sulle responsabilità dell'utente; i ruoli definiscono le autorizzazioni; riduce l'onere amministrativo.
ABAC:
- Controllo degli accessi basato sugli attributi dell'utente e sulle condizioni ambientali
- Controllo degli accessi dinamico
Utilizza policy e regole
Controllo degli accessi ibrido: Combina più tipi di controlli degli accessi (come DAC + MAC).
Controllo degli accessi basato su regole: Controllo degli accessi basato su regole predefinite e ogni volta che si verifica l'accesso, è definito da alcune condizioni e azioni.
Controllo degli accessi basato sull'identità: Accesso basato sull'identità dell'utente. L'autenticazione è anche integrata con l'autorizzazione.
Controllo degli accessi dipendente dal contesto: L'accesso si basa su un certo contesto, ad esempio, posizione e ora.
Controllo degli accessi basato sulla cronologia: Accesso basato sul contesto, sul comportamento dell'utente e sulla cronologia
RBAC
Controllo degli accessi basato sul rischio
Accesso basato sul rischio di una transazione, ad esempio.
Modelli di controllo degli accessi
1. Modello Bell-LaPadula (modello di riservatezza)
2. Modello Biba (modello di integrità)
3. Modello Clark-Wilson (sia integrità che riservatezza)
Tecniche di controllo degli accessi
1. Firewall
2. IDPS/IPS
3. VPN
4. Crittografia
5. Firma digitale
6. Smart card
7. Autenticazione biometrica
Vantaggi del controllo degli accessi
1. Il controllo degli accessi impedisce l'accesso non autorizzato.
2. I dati sensibili sono protetti.
3. Riservatezza, integrità e disponibilità sono garantite. 4. Sono soddisfatti i requisiti normativi e legali
5. È stata rispettata la postura di sicurezza
Controllo degli accessi Sfide di sicurezza
1. Bilanciamento di sicurezza e usabilità
2. Gestione di complesse policy di controllo degli accessi
3. Garantire che un meccanismo autentico sia forte
4. È necessario affrontare minacce e tecnologie emergenti
5. Manutenzione dei requisiti di audit e conformità
Tecniche di controllo degli accessi fisici
Autenticazione biometrica (volto, voce, impronta digitale)
Smart card
Card di prossimità
Sistemi con badge
Serrature e cancelli
Trappole per uomini
Tornelli
Tecniche di controllo degli accessi logici
Autenticazione tramite password
Autenticazione a più fattori (MFA)
Autenticazione a due fattori (2FA)
Single Sign-On (SSO)
Certificati digitali
Crittografia
Firewall
Tecniche di controllo degli accessi alla rete
Reti private virtuali (VPN)
Sistemi di controllo degli accessi alla rete (NAC)
Sistemi di rilevamento/prevenzione delle intrusioni (IDPS)
Regole firewall
Controllo accessi basato su porta
Filtraggio indirizzi MAC
VLAN (Virtual Local Area Network)
Metodi IAM
1. Federazione identità
2. Provisioning identità
3. Gestione richieste di accesso
4. Controllo accessi basato su ruolo (RBAC)
5. Controllo accessi basato su attributi (ABAC)
6. Analisi identità
7. Governance accessi
Metodi di controllo accessi basati su cloud
1. Gestione identità e accesso cloud (IAM)
2. Cloud Access Security Broker (CASB)
3. Gateway di sicurezza cloud
4. Crittografia
5. Tokenizzazione
6. Autenticazione multifattore basata su cloud
7. Single Sign-On (SSO) basato su cloud
Metodi di controllo accessi basati su radio
1. Crittografia WPA2
2. Crittografia WPA3
3. Sistemi di rilevamento/prevenzione intrusioni wireless (WIDPS)
4. Controllo accessi rete wireless (WNAC)
5. Indirizzo MAC Filtraggio
6. VLAN wireless
7. Rilevamento AP non autorizzati
Best practice per il controllo degli accessi
1. Accesso con privilegi minimi
2. Meccanismi di autenticazione forti
3. Revisione regolare delle policy di controllo degli accessi
4. Monitoraggio e verifica degli accessi
5. Formazione e consapevolezza degli utenti
6. Crittografia
7. Piani di risposta agli incidenti
Punti deboli
1. Sicurezza vs usabilità
2. Policy di controllo avanzate
3. Meccanismi di autenticazione forti
4. Nuove minacce e nuove tecnologie
5. Requisiti di conformità e revisore
Best practice
1. Accesso con privilegi minimi
2. Meccanismi di autenticità
3. Revisioni periodiche delle policy di controllo degli accessi
4. Monitoraggio e verifica degli accessi
Nessun commento:
Posta un commento