Mandatory Access Control

Mandatory Access Control

Mandatory Access Control (MAC) („zwingend erforderliche Zugangskontrolle“) ist ein Oberbegriff für Konzepte zur Kontrolle und Steuerung von Zugriffsrechten, vor allem auf IT-Systemen. Die Entscheidungen über Zugriffsberechtigungen werden nicht nur auf der Basis der Identität des Akteurs (Benutzers, Prozesses) und des Objekts (Ressource, auf welche zugegriffen werden soll) gefällt, sondern aufgrund zusätzlicher Regeln und Eigenschaften (wie Kategorisierungen, Labels und Code-Wörtern). Im Unterschied zu anderen Zugriffsmodellen wie DAC oder RBAC werden spezielle Funktionen in das IT-System und die Anwendungsprogramme eingearbeitet, welche den Zugriff, die Benutzung und Konvertierung von Informationen nur unter den im jeweiligen Konzept geltenden Voraussetzungen erlauben.

Inhaltsverzeichnis

Einsatzgebiete

Modelle der Mandatory Access Control dienen dazu, die Sicherheit von Informationen vor unautorisiertem Zugriff sicherzustellen und auch systemtechnisch zu erzwingen. Der Schutz der Informationen bezieht sich auf Vertraulichkeit und Integrität.

Vertraulichkeit
Verhindern des Zugriffs von nicht autorisierten Personen auf geschützte Informationen. Als Beispiel können hier Informationen aufgeführt werden, welche der Geheimhaltung unterstehen.
Integrität
Verhindern der Manipulation von Informationen durch unautorisierte Personen. Als Beispiel kann hier die Befehlskette eines militärischen Einsatzsystems wie den Command-and-Control-Systemen angeführt werden.

Eine Ausprägung ist die Umsetzung der Zugriffskontrolle in IT-Systemen. Weiterhin können die Sicherheitsmodelle analog auch in Organisationsformen, Prozessen sowie in der Gebäudetechnik eingesetzt werden.

Vor allem im Bereich des Militärs werden solche Zugriffssysteme benötigt, wobei es sich um sensible Informationen bezüglich der Kriegsführung handelt, aber auch im Bereich der Behörden, wobei es sich hier um Informationen bezüglich Technik, Politik, Außenhandel sowie der Nachrichtentechnik handelt. Siehe hierzu auch Verschlusssache. Ein weiterer Anwendungsbereich sind Patientendaten in der Gesundheitsbranche, zum Beispiel bei der Patientenkarte.

  • Im einfachsten (und auch z. T. historischen) Fall, den Multi-Level-Sicherheitssystemen, bilden solche Systeme das Modell der Schutzstufen ab. Dabei wird jedes Objekt (Ressource, auf welche zugegriffen werden soll) einer Schutzstufe zugeordnet. Die einzelnen Schutzklassen unterteilen die Objekte in „Schichten“ (vertikale Gliederung). Der Ausdruck „vertikal“ bezieht sich auf den Informationsfluss und bedeutet, dass Informationen ohne Weiteres nur innerhalb Schichten fließen dürfen. Eine geheime Information darf nicht öffentlich werden. Jedem Subjekt (Akteur, Benutzer) wird nun ebenfalls eine Schutzstufe zugewiesen (Vertrauen). Ein Subjekt darf nur dann auf ein Objekt einer anderen Schicht zugreifen, wenn die Schutzstufe des Subjekts (die Clearance einer Person) mindestens so hoch ist wie die Schutzstufe des Objekts (beispielsweise die Geheimhaltungsstufe eines Dokuments).
  • Im komplexeren Fall, den Multilateralen Sicherheitsmodellen, bilden solche Systeme nicht nur eine vertikale Gliederung in Schutzstufen ab, sondern einen Verband (engl. lattice), bestehend aus mehreren Schutzstufen und Codewörtern (engl. „labels“). Technisch sind sowohl Schutzstufen als auch Codewörter als Labels abgebildet. Somit ergibt sich ein horizontales Zugriffssystem (die Codewörter), welches zusätzliche vertikale Eigenschaften (die Schutzstufen) aufweist. Ein Zugriff auf geschützte Information ist nicht nur mit einer Klassifizierung Geheim möglich, sondern es müssen alle Schutzstufen und Code-Wörter erfüllt werden. Wenn Benutzer A Lesezugriff auf die Klassifizierung Streng Vertraulich besitzt, kann er Informationen dieser Klassifizierung lesen. Derselbe Benutzer besitzt aber keinen Zugriff auf Daten, welche als Streng Vertraulich-(CodeWord:Krypto) klassifiziert sind. Um den komplexeren Sachverhalt zu verdeutlichen, werden diese Systeme auch als Policy-basierende Sicherheitsmodelle oder regelbasierte Sicherheitssysteme bezeichnet.

Multi-Level-Sicherheitssysteme

Die Multi-Level-Sicherheitssysteme (MLS) entsprechen der ursprünglichen Form der Mandatory Access Control, die in den 1970er Jahren beschrieben wurde. Meistens wurden Implementierungen auf Mainframes im militärischen oder sicherheitstechnischen Bereich verwendet. Bis heute ist diese Art der Mandatory Access Control am weitesten verbreitet. Bei den MLS-Systemen wird der Zugriff immer anhand der Schutzstufen abgebildet. Die Zugriffssicherheit bezieht sich auf den Top-Down- und Bottom-Up-Informationsfluss.

Schutzstufen in der MLS Sicherheit

Bell LaPadula

Das Bell-LaPadula-Modell adressiert die Vertraulichkeit der Daten. Es soll nicht möglich sein, Informationen einer höheren Schutzstufung zu lesen oder Informationen einer höheren Schutzstufung in eine tiefere Schutzstufung zu überführen. Systeme, die auf dem Bell-LaPadula-Prinzip basieren, wurden vor allem dann verwendet, wenn Daten einer gewissen Geheimhaltung unterliegen. Die klassischen Bell-LaPadula-Systeme wurden durch Lattice- oder Compartment-basierende Systeme abgelöst.

Biba

Das Biba-Modell stellt eine Umkehrung des Bell-LaPadula-Modells dar: Hier werden Informationen nicht vor dem Lesen, sondern vor Manipulation durch Unbefugte geschützt. Das Biba-Modell adressiert die Integrität der Daten. Es wird einerseits in der Informationstechnik verwendet, z. B. als Gegenmassnahme bei Angriffen auf sicherheitsrelevante Systeme wie Firewalls, andererseits auch bei militärischen Systemen, wo es grundlegend wichtig ist, dass ein Befehl in der Kommandokette nicht modifiziert werden kann und somit eine falsche Anweisung weitergegeben wird.

LoMAC

Low-Watermark Mandatory Access Control ist eine Variation des Biba-Modells, welche erlaubt, dass Subjekte hoher Integrität lesend auf Objekte niedrigerer Integrität zugreifen. Es wird die Integrität des lesenden Subjekts heruntergesetzt, damit dieses nicht mehr schreibend auf Objekte mit hoher Integrität zugreifen kann. LoMAC-Systeme werden vor allem in chroot-Anwendungen wie Honeypot implementiert.

Multilaterale Sicherheitsmodelle

Der Begriff Multilaterale Sicherheitsmodelle wird für Sicherheitssysteme verwendet, die nicht nur Top-down- oder Bottom-up-Betrachtungen anstellen, wie das Bell-LaPadula oder Biba-Modell, sondern die Zugriffsrechte auf Basis von Segmenten vergeben. Die Multilateralen Sicherheitsmodelle werden auch als Policy-Basierende Sicherheitsmodelle oder Regelbasierte Sicherheitssysteme bezeichnet.

Schutzstufen in den Multilateralen Sicherheitsmodellen

Compartment- oder Lattice-Modell

Auch bezeichnet als Lattice (Verbund)-Modell oder Compartment. Das Compartment-Modell basiert auf dem Bell-LaPadula Modell, erweitert die Zugriffe um Codewörter und bildet somit einen Verbund (Lattice). Das Lattice-Modell wurde 1993 von Ravi S. Shandu[1] und 1976 von Dorothy E. Denning[2] beschrieben. Wenn Benutzer A Lesezugriff auf die Klassifizierung Streng Vertraulich und Klassifizierung Vertraulich besitzt, kann er Informationen dieser Klassifizierung lesen. Derselbe Benutzer besitzt aber keinen Zugriff auf Daten welche als Streng Vertraulich-(Krypto) klassifiziert sind. Nur wenn der Benutzer Zugriff auf die Klassifizierungen Streng Vertraulich und Krypto besitzt kann er auf die Daten zugreifen.

Im Prinzip stellt das Modell eine Kombination von Schutzstufen mit dem Prinzip des notwendigen Wissens (engl.: Need to know principle) dar: Objekte werden sowohl vertikal (nach Schutzstufe) als auch horizontal (nach Sachgebiet) unterteilt, Subjekte werden pro Sachbereich einer Schutzstufe zugeordnet. Ein Zugriff kann nur erfolgen, wenn die Voraussetzung beider Regelsysteme erfüllt sind. Hauptaugenmerk wird auf eine Kontrolle des Informationsflusses gelegt. Es soll nicht möglich sein, dass vertrauliche Informationen an nicht vertrauenswürdige Personen weitergegeben werden.

Chinese Wall – Brewer-Nash

Der Ausdruck Chinese Wall kommt aus der Finanzbranche, siehe auch Chinese Wall (Finanzwelt), und bezeichnet bestimmte Regeln, die verhindern sollen, dass ein Interessenkonflikt herbeigeführt wird.

Dieses sogenannte Chinese-Wall-Modell oder Brewer-Nash-Modell wurde 1989 von David F.C. Brewer und Michael J. Nash beschrieben[3]. Ein Graph aus Knoten und Kanten bildet die Beziehungen zwischen Subjekten (z.B. Investoren, Finanzaufsicht) und Objekten (z.B. Depot bei JP Morgan, Konto bei Deutsche Bank) ab. Die Daten werden in Konfliktklassen gruppiert. Es können Regeln definiert werden die dem System (Zugriffsgraph, Historiematrix) Grenzen in der Entwicklung setzen. Wichtigstes Merkmal ist die Historiematrix, die Zugriffe von Subjekten auf Objekte aus bestimmten Konfliktklassen protokolliert. Zugriffe von Subjekten auf Objekte grenzen somit die zukünftigen Zugriffe auf Objekte des Graphen ein. Beispiel: Ein Anwalt (Subjekt) der für die Partei des Klägers (Objekt aus Konfliktklasse 1) arbeitet, darf dann nicht mehr als Vertreter für die Partei (Objekt aus Konfliktklasse 1) des Beklagten arbeiten (selbe Konfliktklasse).

Weitere Sicherheitsmodelle

Clark Wilson

Das Clark-Wilson-Modell beschreibt die Integrität von kommerziellen, nicht-militärischen Systemen und ist eine Variation des klassischen MAC-Ansatzes. Praktisch jeder Großrechner verarbeitet Daten auf Basis des Clark-Wilson-Modells.

  1. Das System befindet sich in einem gültigen (konsistenten) Anfangszustand
  2. Zugriff auf das System nur mittels explizit erlaubter Transaktionen.
  3. Nur solche Transaktionen sind erlaubt, die das System unter allen Umständen in einen (neuen) gültigen Zustand bringen.

BMA-Modell (British Medical Association)

Das BMA-Modell wurde 1996 von Ross Anderson[4] beschrieben. Das Modell vereint Eigenschaften des Clark-Wilson-Modells mit dem Bell-LaPadula-Sicherheitsmodell. Das BMA-Modell ist ein Zugriffsmodell, welches zum Schutz von medizinischen Daten entwickelt wurde. Das BMA-Modell ist generell anwendbar auf alle Daten, die dem Datenschutz unterstehen. 1996 wurde das Modell von der UEMO European Medical Organisation übernommen. Das BMA-Modell ist nicht zentral, sondern dezentral angelegt. Die Policy wird durch den Patienten bestimmt.

Prinzip des notwendigen Wissens

Das Prinzip des notwendigen Wissens (engl: need-to-know principle) bietet eine Alternative zum Schutzklassenmodell: Hier werden die Objekte „horizontal“ in Sachbereiche gegliedert; jedem Subjekt werden die Sachbereiche zugewiesen, für die er oder sie zuständig sein soll. Je nach Ausprägung muss nun ein Subjekt, das auf ein Objekt zugreifen will, entweder allen oder zumindest einem Sachgebiet angehören, das dem Objekt zugeordnet ist. So wird der Verbreitungsbereich von Informationen wesentlich eingeschränkt, eine Kontrolle der Informationsflüsse wird erleichtert.

Der Vorteil dieses Sicherheitskonzeptes besteht darin, dass den einzelnen Akteuren nur die Rechte eingeräumt werden, die sie für ihre Aufgabe benötigen. Hierdurch wird das Risiko eines Missbrauchs von Anwendungen durch Ausnutzung von Sicherheitslücken minimiert.

Das bedeutet zum Beispiel, dass eine Anwendung, die keine Berechtigung für Netzwerkzugriffe benötigt, hierfür keine Rechte erhält. Dies hat zur Folge, dass ein Angreifer, der eine Sicherheitslücke ausnutzen möchte, das Programm nicht dazu missbrauchen kann, um Netzwerkverbindungen herzustellen.

Nachteile

Der Nachteil dieses Konzeptes besteht in der Komplexität der Konfiguration, da für jede Anwendung ermittelt werden muss, welche Zugriffsberechtigungen diese benötigt.

Implementationen

Hersteller/Implementation Typus System Akkreditiert
NSA/Red Hat - SELinux Variante von Bell-LaPadula Red Hat, Gentoo Linux, Suse, Debian, Darwin -
TrustedBSD Biba, LoMAC TrustedBSD, Mac OS X, Darwin -
Novell AppArmor - Suse Linux -
Rule Set Based Access Control (RSBAC) Variante von Bell-LaPadula Gentoo Linux, Debian, Fedora -
Sun Microsystems Variante von Bell-LaPadula Sun Trusted Solaris -
Microsoft Biba Windows Vista -
Unisys Biba, Bell-LaPadula, Lattice (compartment), Clark-Wilson OS2200 TCSEC B1
Argus Systems Group PitBull LX Lattice (compartment) AIX, Sun Solaris, Linux ITSEC F-B1, E3

Siehe auch

Literatur

  • Ross J. Anderson: Security Engineering. A Guide to Building Dependable Distributed Systems. Wiley, New York, NY u. a. 2001, ISBN 0-471-38922-6 (Wiley Computer Publishing).

Fußnoten

  1. Ravi S. Sandhu, Lattice-Based Access Control Models, Computer, v.26 n.11, p.9-19, November 1993
  2. Dorothy E. Denning, A lattice model of secure information flow, Commun. ACM, v.19 n.5,1976
  3. Dr. David F.C. Brewer, Dr. Michael J. Nash: The Chinese Wall Security Policy. Gamma Secure Systems Limited, 1989, abgerufen am 13. März 2008 (PDF, englisch).
  4. Ross J. Anderson: A Security Policy Model for Clinical Information Systems. University of Cambridge Computer Laboratory, 1996, abgerufen am 13. März 2008 (PDF, englisch).

Wikimedia Foundation.

Schlagen Sie auch in anderen Wörterbüchern nach:

  • Mandatory access control — In computer security, mandatory access control (MAC) refers to a type of access control by which the operating system constrains the ability of a subject or initiator to access or generally perform some sort of operation on an object or target.… …   Wikipedia

  • Mandatory Access Control — Contrôle d accès obligatoire Le Mandatory access control (MAC) ou contrôle d accès obligatoire est une méthode de gestion des droits des utilisateurs pour l usage de systèmes d information. Il existe d autres méthodes telles que : le… …   Wikipédia en Français

  • Mandatory access control — Contrôle d accès obligatoire Le Mandatory access control (MAC) ou contrôle d accès obligatoire est une méthode de gestion des droits des utilisateurs pour l usage de systèmes d information. Il existe d autres méthodes telles que : le… …   Wikipédia en Français

  • Mandatory Access Control — …   Википедия

  • Simplified Mandatory Access Control Kernel — Smack est un module de sécurité du noyau Linux, permettant d’implémenter un contrôle d accès obligatoire basé sur des labels. Il repose sur le framework LSM et a été intégré dans la version 2.6.25 de Linux[1]. Celui ci a été écrit et est maintenu …   Wikipédia en Français

  • Simplified Mandatory Access Control Kernel — Infobox Software name = Smack author = Casey Schaufler operating system = Linux genre = Computer security license = GPL2 website = http://schaufler ca.com/ latest preview version = linux 2.6.24 rc4 mm1Smack is a Linux kernel security module that… …   Wikipedia

  • Мандатное управление доступом Mandatory access control — 25. Мандатное управление доступом Разграничение доступа субъектов к объектам, основанное на характеризуемой меткой конфиденциальности информации, содержащейся в объектах, и официальном разрешении (допуске) субъектов обращаться к информации такого …   Словарь-справочник терминов нормативно-технической документации

  • Mandatory Integrity Control — In the context of the Microsoft Windows range of operating systems, Mandatory Integrity Control (MIC) or Integrity Levels (or Protected Mode in the context of applications like Internet Explorer, Google Chrome and Adobe Reader)[1] is a core… …   Wikipedia

  • Access control — is the ability to permit or deny the use of a particular resource by a particular entity. Access control mechanisms can be used in managing physical resources (such as a movie theater, to which only ticketholders should be admitted), logical… …   Wikipedia

  • Access control list — In computer security, an access control list (ACL) is a list of permissions attached to an object. The list specifies who or what is allowed to access the object and what operations are allowed to be performed on the object. In a typical ACL,… …   Wikipedia

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”