Embed Size (px)
Citation preview
Modèles Principaux de contrôle d’accès
1
ACM, DAC, MAC, RBAC, ABAC
Dans la leçon d’aujourdh’hui
Nous donnerons un coup d’oeil général sur les principales techniques de contrôle d’accès que nous étudierons dans le reste du cours
Chacune des techniques que nous mentionnerons aujourd’hui sera étudiée en détail plus tard
Nous discuterons les techniques dans l’ordre historique de leur évolution, qui est aussi un ordre logique: Historiquement, on a commencé par des techniques simples
et on a évolué vers des techniques plus complexes Cependant toutes les techniques mentionnées sont encore
utilisées aujourd’hui, parfois en combinaison.
2INF6153
Rappel: ‘Politiques’ de Cd’A:
Une politique de contrôle d’accès est une règle ou un ensemble de règles de Cd’A dans une organisation On parle parfois d’une seule politique pour toute
l’organisation Dans ce cas, la politique est normalement implémentée par
plusieurs règles Mais parfois on appelle ‘politique’ une règle particulière
3INF6153
Politiques à différents niveaux d’abstraction
Plus abstrait: “Notre compagnie assure la plus haute confidentialité concernant les
données personnelles de ses clients”
Moins abstrait: “Une fois une transaction terminée, toutes les données personnelles du
client seront disponibles seulement après autorisation spéciale d’un chef de département”
Encore plus concret (en effet, une règle de Cd’A) “Si un employé demande de lire le numéro de carte de crédit d’un client
passé, cette requête sera niée”
Clairement, nous pourrons avoir plusieurs autres niveaux
4INF6153
Modèles de CA
Les modèles de contrôle d’accès décrivent des systèmes abstraits pour l’implémentation de politiques de contrôles d’accès
Cinq modèles de contrôle d’accès ont été particulièrement développés dans la pratique et dans la théorie Matrices de contrôle d’accès: ACM Contrôle d’accès discrétionnaire: DAC Contrôle d’accès obligatoire: MAC et LAC Contrôle d’accès basé sur les rôles: RBAC Contrôle d’accès basé sur les attributs: ABAC
Chacun de ces modèles connaît nombreuses variations, adaptations et implémentations
5INF6153
Autres modèles: théorie et pratiqueLa théorie et la pratique du contrôle d’accès est un sujet très actif de
recherche depuis les années 1970Un grand nombre de modèles ont été développés en théorie depuis cette
époque Le développement des besoins de sécurité Ainsi que le développement des techniques informatiques
Ont motivé cette évolution
Aussi, les compagnies de logiciels ont fourni des produits puissants qui ont parfois anticipé la théorie et fourni des variations à ce que la théorie avait prévu
Dans ce cours, nous étudierons seulement les modèles principaux Les pointes des icebergs …
6INF6153
Contrôle d’accès dans outils spécifiquesUne méthode souvent utilisée est d’associer des fichiers à
des outilsP.ex. à l’UQO les professeurs et les étudiants ont accès à
MoodleCeux qui peuvent s’identifier par rapport à Moodle (id et
mot de passe) ont accès aux fichiers de Moodle – mais pas tous!
Ces outils, tel que Moodle, contiennent des systèmes de contrôle d’accès qui déterminent qui a accès à quoi Qui peut seulement lire, qui peut lire ou écrire, quelles infos … Le centre d’informatique est responsable de la gestion de
l’Identification et des permissions d’accès
7INF6153
ACM: Matrices de contrôle d’accès
8INF6153
ACM: Matrices de contrôle d’accès
Le modèle le plus traditionnel et encore souvent utiliséIl utilise simplement des listes d’usagers avec
indication de tous les permissions de contrôle d’accès pour chaque usager
Les permissions sont donnés et modifiés par les administrateurs de la sécurité de l’organisation, suivant la politique de l’organisation
9INF6153
ACM: Matrices de contrôle d’accès
Fichier Salaires Fichier Impôts
Programmes impôts
Imprimante P1
Alice Lire, Écrire Exécuter Écrire
Bob Lire
Jean Lire Écrire
10INF6153
ACM: Lignes et colonnes
Les lignes de la matrice sont les listes de permissions ou capacités (capabilities) Pour chaque usager dans l’organisation, il est indiqué quels
sont ses permissions Normalement, lecture, écriture, exécution de fichiers de certains
typesLes colonnes de la matrice sont les listes de contrôle
d’accès Pour chaque ressource, il est indiqué qui a le des capacités
sur la ressource
11INF6153
Fichier Salaires FichierImpôts
Programmes impôts
ImprimanteP1
Alice Lire, Écrire Exécuter Écrire
Bob Lire
Jean Lire Écrire
Critique d’ACM
+ Permet de spécifier un contrôle d’accès très détaillé– Difficile à gérer, car les usager et les objets doivent être
considérés individuellement Surtout dans les grandes organisations
Milliers d’usagers et objets P.ex. chaque fois qu’un usager change de poste dans
l’organisation, il faut s’assurer de lui enlever et ajouter individuellement toute une série de permissions
Lesquelles exactement?
– Problème de garder cohérentes les listes des permissions et d’accès
12INF6153
DAC: Discretionary Access Control
DAC est une extension du modèle ACM et il utilise les matrices de contrôle d’accès
Dans DAC, pour chaque objet il y a un ‘propriétaire’Le propriétaire détermine qui a quelles permissions par
rapport aux objets dont il es propriétaireNous pouvons aussi avoir des méthodes de transfert
de droits d’accès P.ex. les droits d’accès ou même la propriété peuvent être
transférés
13INF6153
Critique de DAC
+ DAC est très flexible du point de vue des propriétaires des données
– Mais il ne les protège pas par rapport à des transferts imprévus Je transfère à Alice qui puis transfère à Ben, etc. …
– Ignore le fait que souvent dans une organisation le propriétaire d’une information n’est pas celui qui l’a créée
– Il est complexe à gérer dans des organisations où il y a beaucoup de propriétaires et beaucoup d’objets à protéger
14INF6153
MAC: Mandatory Access ControlDans MAC, les usagers ne sont pas propriétaires des
objetsL’accès aux objets est sujet à des règles fixes que les
usagers ne peuvent pas modifierOn suppose des classifications fixes des usagers et
objets Les permissions des sujets sont déterminés par des
règles qui sont en fonction de ces classifications
15INF6153
MAC: Mandatory Access Control
Exemple de MAC: Classifier les usagers et les objets dans des classes de
confidentialité (Très sécret, Sécret, Confidentiel …) Fixer la règle qu’un usager à un certain niveau ne peut pas
lire un objet classifié à un niveau supérieur P.ex. un soldat simple, étant au niveau ‘Confidentiel’ ne peut pas lire des
informations classifiées ‘Secret’
16INF6153
MLS: Multi-Level Systems
MAC est souvent considéré synonyme avec MLSDans MLS nous avons des classifications
hiérarchiques fixes d’usagers et d’objets Comme dans l’exemple précédent Mais ces classifications peuvent être plus complexes, nous
verronsOn parle aussi de LBAC, Lattice-Based Access control,
nous verrons
17INF6153
Critique de MAC-MLS-LBAC
+ Très approprié dans les contextes où les classifications fixes par niveaux de sécurité sont possibles
+ S’occupe non seulement du contrôle d’accès, mais aussi du contrôle de flux
– Rigide, appropriée pour les organisations où le besoin de la sécurité est très stricte
– Dans la plupart des organisations, nous avons besoin de classifications plus souples
18INF6153
RBAC: Role-Based Access Control
Dans la plupart des organisations, les usagers sont classés dans des rôles: P.ex., rôles à l’UQO:
Recteur, vice-recteurs, doyens, directeurs de services, directeurs de départements, directeurs de programmes et modules, professeurs, étudiants
Les usagers sont affectés à des rôles et les permissions des usagers sont déterminés par le(s) rôles auxquels ils appartiennent
19INF6153
Critique de RBAC
+ Approprié aux organisations de structure assez fixe et hiérarchiques:
Surtout banques, finances et gouvernement
+ Probablement la méthode la plus largement utilisée dans les grandes entreprises
+ Peut simuler DAC, MAC (mais avec difficulté …)± Nombreuses variations, pour l’adapter à différents besoins– Peu approprié pour les organisations très dynamiques ou
qui suivent des autres modèles, p.ex. réseau
20INF6153
ABAC: Attribute-Based Access Control
Dans ABAC, chaque usager et objet a des attributsOn peut considérer aussi des attributs
d’environnement (p.ex. l’heure, le placement dans l’espace …)
Les décisions de contrôle d’accès sont prises en fonction de ces attributs
21INF6153
Critique de ABAC
+ Très flexible– Difficile de déterminer en principe qui a droit à quoi
– Difficile de bien saisir les implications dérivant des changements d’attributs
Si un des attributs d’un usager change, quels seront ses nouveaux permissions, quelles permissions perdra-t-il?
Difficile à gérer pour l’administrateur de la sécurité
22INF6153
Modèles hybrides
Il est parfois possible de combiner les caractéristiques de différents modèles
Les modèles qui font ceci sont appelés modèles hybrides
Cependant, en faisant ceci, il est important d’éviter que les modèles se ‘cassent’ l’un l’autre Problème d’interaction de fonctionnalités
23INF6153
Dans le reste du cours …
Nous donnerons une présentation plus détaillée de chacune des techniques que nous venons de discuter
Plus quelques autres évidemment
24INF6153
Connaître les différents modèles …
… Nous avons fait de vous des nations et des tribus, afin que vous connaissiez vos différences, forces et faiblesses et vous vous respectiez mutuellement malgré ces différences … Coran: 49, 13
ه� �� ه ال ه�� إ�ا م� ك� ه�ا م� ه�ا إ� �� ه ال ه� إ�ن م� ك� ه� ه� م� ه�ا ه�� إ�ا ك�وا �ه ه�ا �ه إل ه� إ ه!ا ه" ه# ب$ا ك�و ك& م� ك� هنا م� �ه ه' ه# ى) ه* ك�ان ه# ر� ه� ه- م�ن ك�� هنا م� ه� ه0 �نا ه إ�ا ك1 �نا ه ال ه2ا ك�3 ه�ا ه3االحج�ات ] : ر� إ!ي ه0 ر� إ�ي [13ه�
INF615325
