Bilgisayar Erişim Denetimi

Bilgisayar güvenliğinde genel erişim denetimi; tanımlama, yetkilendirme, kimlik doğrulama, erişim onayı ve kimlik denetimini içerir . Erişim kontrolünün daha dar bir tanımı, sadece erişim onayını kapsar. Erişim onayı yapısında sistem; nesnenin erişim yetkisine bağlı olarak, zaten kimliği doğrulanmış bir nesneden erişim isteği verme veya erişim isteğini reddetme kararı alır. Kimlik doğrulama ve erişim kontrolü genellikle tek bir işlemde birleştirilir; böylece erişim, başarılı kimlik doğrulamasına veya anonim erişim belirtecine(jetonuna) dayalı olarak onaylanır. Kimlik doğrulama yöntemleri ve belirteçleri arasında parolalar, biyometrik taramalar, fiziksel anahtarlar, elektronik anahtarlar ve aygıtlar, gizli yollar, sosyal engeller, insanlar ve otomatik sistemler tarafından izleme bulunur. ^{[kaynak belirtilmeli]}

Bilgisayar erişim kontrolü uygulamak için iki seçenek bulunur. Bunlar yeteneklere ve erişim kontrol listelerine (ACL) dayanan özelliklerdir :

Yetenek temelli bir modelde, bir nesneye ait unutulmayacak bir referans veya kabiliyet tutularak nesneye erişim sağlanır. (birinin ev anahtarına sahip olmanın, kişinin evine nasıl erişim sağlanacağını tanımlaması durumuna kabaca benzetilebilir); erişim, böyle bir kabiliyetin güvenli bir kanal üzerinden iletilmesiyle başka bir tarafa iletilir.
Erişim Kontrol Listesi tabanlı bir modelde, bir nesnenin başka bir nesneye erişimi; erişecek nesnenin kimliğinin, nesne ile ilişkili bir listede görünüp görünmemesine bağlıdır (özel bir partideki bir güvenlik görevlisinin gelen misafirin bilgilerinin elindeki listede olup olmamasını kontrol etmesine benzetilebilir); erişim, listenin düzenlenmesiyle iletilir. (Farklı Erişim Kontrol Listesi sistemleri, listeden kimin veya neyin sorumlu olduğu ve listenin nasıl^{[kaynak belirtilmeli]} düzenlendiğiyle ilgili çeşitli farklı protokollere sahiptir.)^{[kaynak belirtilmeli]}

Hem Yetenek Tabanlı hem de Erişim Kontrol Listesi tabanlı modellerde, bir grubun bütün üyelerine erişim haklarının verilmesine izin veren mekanizmalar vardır (genellikle grubun kendisi bir nesne olarak modellenir). ^{[kaynak belirtilmeli]}

Servisler[değiştir | kaynağı değiştir]

Erişim Kontrol Sistemleri aşağıdaki durumlarda Yetkilendirme, Tanımlama ve Kimlik Doğrulama (I&A), Erişim Onayı ve İzlenebilirlik gibi temel hizmetleri sağlar:^{[kaynak belirtilmeli]}

Yetkilendirme; bir nesnenin neler yapabileceğini belirtir.
Tanımlama ve Kimlik Doğrulama; sistemde yalnızca meşru nesnelerin oturum açabilmesini sağlar.
Erişim Onayı; yetkilendirme politikasına dayanarak; kullanıcıların, erişimlerine izin verilen kaynaklarla ilişkilendirilerek, bu kaynaklara erişim sağlamalarına olanak tanır.
İzlenebilirlik; bir nesnenin(veya bir kullanıcıyla ilişkili bütün nesnelerin) ne yaptığını tanımlar.

^[1] Yetkilendirme[değiştir | kaynağı değiştir]

Yetkilendirme; nesneler için erişim haklarını tanımlar. Yetkilendirme ilkesi, nesnelerin sistem içinde çalıştırmasına izin verilen işlemleri belirtir.^{[kaynak belirtilmeli]} Modern işletim sistemlerinin birçoğu, yetkilendirme ilkelerini üç temel erişim türünün varyasyonu veya uzantısı olan yapılar olarak uygular: ^{[kaynak belirtilmeli]}

Okuma (R): Nesne şunları yapabilir:
- Dosya içeriğini okuma
- Dizin içeriğini listeleme
Yazma (W): Nesne, bir dosyanın veya dizinin içeriğin üzerinde aşağıdaki işlemleri gerçekleştirebilir:
- Ekleme
- Güncelleme
- Silme
- Adını değiştirme
Çalıştırma(X): Dosya bir programsa, nesne programı çalıştırabilir.

Bu haklar ve izinler, isteğe bağlı erişim denetimi (DAC) ve zorunlu erişim denetimine (MAC) dayalı sistemlerde farklı şekillerde uygulanır.

Kimlik Doğrulama (I&A)[değiştir | kaynağı değiştir]

Tanımlama ve Kimlik Doğrulama^[1] (I&A); bir kimliğin, o kimliğin kendisine ait olduğunu iddia eden nesneye ait olduğunu veya kimliği doğrulama sürecidir. Kimlik Doğrulama süreci, kimlik kanıtlama olarak adlandırılan ve genellikle kimliğin ilk olarak doğrulandığı süreçtir. Bu anlamda birçok kimlik doğrulama süreci mevcuttur. Devlet tarafından verilen kimliğin yüz yüze doğrulanmasından, davacının anonim kalmasına olanak sağlayan anonim yöntemlere kadar birçok farklı yapıyı kapsar fakat her koşulda sistem tarafından bilinmesi/doğrulanması gerekir. Kimlik kanıtlama ve doğrulama için kullanılan yöntem, kimliğin sistem içindeki kullanım amacına uygun bir güvence düzeyi sağlamalıdır. Daha sonra varlık, doğrulama aracı olarak bir kimlik doğrulayıcı ile birlikte bir kimlik verir. Tanımlayıcı için tek gereksinim, güvenlik etki alanında benzersiz olmasıdır.^{[kaynak belirtilmeli]}

Kimlik doğrulayıcılar genellikle aşağıdaki dört faktörden en az birine dayanır: ^{[kaynak belirtilmeli]}

Parola veya kişisel kimlik numarası (PIN) gibi nesne tarafından bilinen bir şey. Bu, yalnızca hesabın sahibinin hesaba erişmek için gereken şifreyi veya PIN kodunu bildiğini durumu ifade eder.
Akıllı kart veya güvenlik belirteci gibi sahip olunan bir şey. Bu, hesabın kilidini açmak için yalnızca hesabın sahibinin gerekli akıllı karta veya jetona sahip olduğu durumu ifade eder.
Sahip olunan bir şey; bir parmak izi, ses, retina veya iris gibi nesnenin/kişinin sahip olduğu bir yapıyı ifade eder.
Nerede olunduğunu gösteren bir şey; şirket ateş duvarının iç veya dışın olunması ya da kişisel GPS cihazının giriş konumuna yakınlığı gibi.

Erişim onayı[değiştir | kaynağı değiştir]

Erişim onayı, işlemler sırasında erişimi gerçek manasıyla kabul eden ya da reddeden fonksiyondur.^[2]

Erişim onayı sırasında sistem, isteğin yerine getirilip getirilmeyeceğini belirlemek için yetkilendirme politikasının resmi beyanını erişim talebiyle karşılaştırır. Ayrıca, erişim değerlendirmesi çevrimiçi/sürekli olarak yapılabilir.^[3]

İzlenebilirlik[değiştir | kaynağı değiştir]

İzlenebilirlik, bir nesneyi eylemleriyle ilişkilendirmek için denetim izleri (kayıtlar) ve günlükler gibi sistem bileşenlerini kullanır. Kaydedilen bilgiler, nesneyi kontrol eden bir kullanıcıyla işlemleri eşleştirmek için yeterli olmalıdır. Denetim izleri ve günlükleri aşağıdaki yapılar için önemlidir ^{[kaynak belirtilmeli]}

Güvenlik ihlallerini tespit etme
Güvenlik olaylarını yeniden oluşturma

Hiç kimse günlüklerinizi düzenli olarak incelemiyorsa, güvenli ve tutarlı bir şekilde tutulmuyorsa, delil olarak kabul edilmeyebilir. ^{[kaynak belirtilmeli]}

Birçok sistem, kırpma seviyeleri olarak bilinen önceden tanımlanmış belirli ölçütlere veya eşiklere dayalı otomatik raporlar oluşturabilir . Örneğin, bir kırpma düzeyi aşağıdakiler için bir rapor oluşturacak şekilde ayarlanabilir: ^{[kaynak belirtilmeli]}

Belirli bir sıklıkta üçten fazla başarısız oturum açma denemesi
Devre dışı bırakılmış bir kullanıcı hesabını kullanma girişimleri

Bu raporlar, bir sistem yöneticisinin veya güvenlik yöneticisinin olası zorla girme girişimlerini daha kolay tanımlamasına yardımcı olur.

Kırpma seviyesinin tanımı: bir diskin manyetik özelliklerini koruma ve içeriğini tutma yeteneği olarak tanımlanabilir. Yüksek kalite seviyesi % 65-70; düşük kalite% 55'in altında olacak şekilde belirlenmiştir.

Erişim Denetim Modelleri[değiştir | kaynağı değiştir]

Erişim kontrol modelleri isteğe bağlı veya zorunlu olarak kategorize edilir. En yaygın olarak tanınan üç model İsteğe Bağlı Erişim Kontrolü (DAC), Zorunlu Erişim Kontrolü (MAC) ve Rol Tabanlı Erişim Kontrolü (RBAC) 'dır. MAC isteğe bağlı değildir, zorunludur.^{[kaynak belirtilmeli]}

İsteğe Bağlı Erişim Denetimi[değiştir | kaynağı değiştir]

İsteğe Bağlı Erişim Denetimi (DAC), bir nesnenin sahibi tarafından belirlenen bir ilkedir. Sahip, nesneye kimin erişebileceğine ve erişenin hangi ayrıcalıklara sahip olacağına karar verir.

İsteğe Bağlı Erişim Denetimi'ndeki iki önemli kavram: ^{[kaynak belirtilmeli]}

Dosya ve veri sahipliği: Sistemdeki her nesnenin bir sahibi vardır . Çoğu DAC sisteminde, her nesnenin ilk sahibi, yaratılmasına neden olan nesnedir. Bir nesneye ilişkin erişim politikası sahibi tarafından belirlenir.
Erişim hakları ve izinler: Bunlar, bir sahibin belirli kaynaklar için diğer nesnelere atayabileceği denetimlerdir.

Erişim kontrolleri, ACL tabanlı veya yetenek tabanlı erişim denetimi sistemlerinde isteğe bağlı olabilir..(Yetenek tabanlı sistemlerde, genellikle açık bir 'sahip' kavramı yoktur, ancak bir nesnenin yaratıcısı erişim politikası üzerinde sahipliğe benzer derecede denetime sahiptir)

Zorunlu Erişim Denetimi[değiştir | kaynağı değiştir]

Zorunlu Erişim Denetimi; bir kaynağa, yalnızca belirli bir kullanıcının, o kaynağa erişmesine izin veren kurallar varsa erişmesine izin verir. Yönetilmesi zordur, ancak kullanımı oldukça hassas bilgileri korumak için kullanılabilir. Bazı hükûmet ve askeri bilgilerin korunması bu yapıya örnek olarak verilebilir. Bilgiler hiyerarşik erişim kontrolü kullanılarak veya hassasiyet etiketleri uygulanarak korunabiliyorsa, yönetim genellikle basitleştirilir (gerekenler üzerinde). Yöntemi "zorunlu" yapan şey, kuralların veya duyarlılık etiketlerinin kullanılmasıdır. ^{[kaynak belirtilmeli]}

Hassasiyet etiketleri: Böyle bir sistemde öznelerin ve nesnelerin kendilerine atanmış etiketleri olmalıdır. Bir öznenin hassasiyet etiketi, güven düzeyini belirtir. Bir nesnenin hassasiyet etiketi, erişim için gereken güven düzeyini belirtir. Belirli bir nesneye erişmek için, öznenin istenen nesneye eşit veya daha yüksek bir hassasiyet seviyesi olmalıdır.
Verileri içe aktarma ve dışa aktarma: Diğer sistemlerden bilgi aktarımını kontrol etmek ve diğer sistemlere (yazıcılar dahil) dışa aktarmayı kontrol etmek, hassas sistemlerin düzgün bir şekilde korunabilmesi için hassasiyet etiketlerinin düzgün bir şekilde muhafaza edilmesinin ve uygulanmasının sağlanmak zorunda olduğu bir işlevdir.

Zorunlu erişim denetimini uygulamak için yaygın olarak iki yöntem kullanılır: ^{[kaynak belirtilmeli]}

Kural Tabanlı (veya etiket tabanlı) erişim denetimi: Bu denetim türü ayrıca istenen bir nesneye erişim için belirli koşulları tanımlar. Zorunlu Erişim Denetimi sistemi, erişimin eşleştirilerek verilmesi veya reddedilmesi gerekip gerekmediğini belirlemek için basit bir kural tabanlı erişim denetimi biçimi uygular:
- Bir nesnenin hassasiyet etiketi
- Bir öznenin hassasiyet etiketi
Kafes tabanlı erişim denetimi : Bunlar, birden fazla nesne ve / veya özne içeren karmaşık erişim kontrolü kararları için kullanılabilir. Kafes modeli, bir nesne ve özne gibi bir çift öğe için en büyük alt sınır ve en küçük üst sınır değerlerini tanımlayan matematiksel bir yapıdır.

Birkaç sistem MAC uygular; XTS-400 ve SELinux bunu uygulayan sistemlere örnektir.

Rol Tabanlı Erişim Denetimi[değiştir | kaynağı değiştir]

Rol tabanlı erişim denetimi (RBAC), bu yapıda erişim; sahibi tarafından değil, sistem tarafından belirlenir. RBAC ticari uygulamalarda ve katlamanlı güvenlik gereksinimlerinin de olabileceği askeri sistemlerde kullanılır. RBAC, DAC'dan farklıdır; çünkü DAC, kullanıcıların kaynaklarına erişimi kontrol etmesine izin verirken; RBAC'de erişim, kullanıcı kontrolü dışında sistem düzeyinde kontrol edilir. RBAC isteğe bağlı olmamakla birlikte, öncelikle izinlerin işlenme biçiminde MAC'den ayrılır. MAC, kullanıcının erişim yetki düzeyine ve ek etiketlere göre okuma ve yazma izinlerini kontrol eder. RBAC, bir e-ticaret işlemi gibi karmaşık işlemleri içerebilen veya okuma/yazma gibi basit düzeydeki izinler bütününü ifade eder. RBAC izinler kümesi olarak nitelendirilebilir.

RBAC için üç ana kural tanımlanmıştır:

Rol atama: Bir özne, ancak özneye uygun bir rol seçildiyse veya atanmışsa bir işlem gerçekleştirebilir.
Rol yetkilendirme: Bir öznenin, özne için etkin rolü yetkilendirilmelidir. Yukarıdaki kural 1 ile, bu kural kullanıcıların yalnızca yetkilendirildikleri rolleri üstlenmelerini sağlar.
İşlem yetkilendirme: Bir özne, işlemi yalnızca öznenin aktif rolü için yetkilendirilmişse gerçekleştirebilir. Kural 1 ve 2 ile bu kural, kullanıcıların yalnızca yetkilendirildikleri işlemleri yürütebilmelerini sağlar.

Ek kısıtlamalar da uygulanabilir, ayrıca roller; üst düzey rollerin, alt düzey alt rollerin sahip olduğu izinleri aldığı bir hiyerarşide birleştirilebilir.

Çoğu BT sağlayıcısı bir veya daha fazla üründe RBAC sunar.

Özellik Tabanlı Erişim Denetimi[değiştir | kaynağı değiştir]

Özniteliğe dayalı erişim denetiminde (ABAC);^[4]^[5] erişim, kimlik doğrulamasından sonra bir kullanıcıyla ilişkilendirilen öznenin haklarına değil, kullanıcının özniteliklerine dayanarak verilir. Kullanıcı, erişim kontrol motoruna ilişkin özellikleriyle ilgili iddiaları kanıtlamak zorundadır. Nitelik tabanlı erişim denetimi politikası, bir nesneye erişim vermek için hangi taleplerin yerine getirilmesi gerektiğini belirtir. Örneğin iddia "18 yaşından büyük" olabilir. Bu hak talebini kanıtlayabilen herhangi bir kullanıcıya erişim izni verilir. Kimlik doğrulama ve tanımlama kesinlikle gerekli olmadığında kullanıcılar anonim olabilir. Bununla birlikte, iddiaların isimsiz olarak kanıtlanması için araçlar gerekir. Bu yapının kurulması anonim kimlik bilgileri kullanılarak gerçekleştirilebilir. XACML (genişletilebilir erişim kontrolü biçimlendirme dili), özniteliğe dayalı erişim kontrolü için kullanılan bir standarttır. XACML 3.0, Ocak 2013'te standart hale getirilmiştir.^[6]

Cam Kırma Erişim Denetimi Modelleri[değiştir | kaynağı değiştir]

Geleneksel olarak; erişim, erişimi kısıtlama amacına sahiptir. Bu nedenle çoğu erişim denetim modeli "varsayılan reddetme ilkesini" takip eder, yani belirli bir erişim isteğine net olarak izin verilmezse reddedilir. Bu davranış, bir sistemin normal işlemleriyle çakışabilir. Belirli durumlarda, elde edilebilecek potansiyel fayda bu riske ağır basarsa, insanlar bir erişim denetim politikasını ihlal etmekle ilgili olabilecek riski almaya isteklidir. Bu ihtiyaç özellikle hasta kayıtlarına erişimin reddedildiği bir hastanın ölümüne neden olabileceği sağlık alanında görülebilir. Cam Kırma, kullanıcıların erişim denetimi kararını geçersiz kılmalarına izin vererek bunu hafifletmeye çalışır. Cam Kırma, ya erişim denetimine özgü bir şekilde (örneğin RBAC), ya da kapsamlı (yani, altta yatan erişim denetim modelinden bağımsız olarak) uygulanabilir.

Sorumluluğa Dayalı Erişim Denetimi[değiştir | kaynağı değiştir]

Kurumsal Mimari Çerçevesinde Erişim Haklarının Yönetişim İhtiyaçlarına Sorumluluk MetaModel (ReMMo) ile Uyumlaştırılması Anlamlı bir sorumluluk metamodeli tanımlanmıştır ve iş katmanındaki mevcut sorumlulukları temsil etmeyi sağlar ve böylece uygulama katmanında bu sorumlulukları yerine getirmek için gereken erişim haklarının mühendisliğine izin verir. Sorumluluk ve RBAC uyumunu göz önünde bulundurarak erişim haklarını daha doğru bir şekilde tanımlamak için bir yöntem önerilmiştir.

Ana Bilgisayar Tabanlı Erişim Denetimi (HBAC)[değiştir | kaynağı değiştir]

HBAC kısaltması "ana bilgisayar tabanlı erişim denetimi" anlamına gelir.^[7]

Ayrıca bakınız[değiştir | kaynağı değiştir]

Kaynak Erişim Denetim Tesisi
Özellik Tabanlı Erişim Denetimi

Kaynakça[değiştir | kaynağı değiştir]

^ ^a ^b "Unifying identity management and access control". sourcesecurity.com. 17 Haziran 2013 tarihinde kaynağından arşivlendi. Erişim tarihi: 15 Temmuz 2013.
^ Dieter Gollmann. Computer Security, 3rd ed. Wiley Publishing, 2011, p. 387, bottom
^ Marcon, A. L.; Olivo Santin, A.; Stihler, M.; Bachtold, J., "A UCONabc Resilient Authorization Evaluation for Cloud Computing," Parallel and Distributed Systems, IEEE Transactions on, vol. 25, no. 2, pp. 457–467, Feb. 2014 DOI:10.1109/TPDS.2013.113, bottom
^ Jin, Xin, Ram Krishnan, and Ravi Sandhu. "A unified attribute-based access control model covering dac, mac and rbac." Data and Applications Security and Privacy XXVI. Springer Berlin Heidelberg, 2012. 41–55.
^ Hu. "Guide to Attribute Based Access Control (ABAC) Definition and Considerations" (PDF). 13 Kasım 2013 tarihinde kaynağından (PDF) arşivlendi. Erişim tarihi: 6 Nisan 2020.
^ eXtensible Access Control Markup Language ( 4 Aralık 2019 tarihinde Wayback Machine sitesinde arşivlendi.XACML) V3.0 approved as an OASIS Standard, eXtensible Access Control Markup Language (XACML) V3.0 approved as an OASIS Standard.
^ "Identity Management Guide: Managing Identity and Authorization Policies for Linux-Based Infrastructures". Red Hat. 2013. 7 Ocak 2014 tarihinde kaynağından arşivlendi. Erişim tarihi: 6 Ocak 2014. Any PAM service can be identified as to the host-based access control (HBAC) system in IdM.

[:0-1] "Unifying identity management and access control". sourcesecurity.com. 17 Haziran 2013 tarihinde kaynağından arşivlendi. Erişim tarihi: 15 Temmuz 2013.

[Gollmann-2011-2] Dieter Gollmann. Computer Security, 3rd ed. Wiley Publishing, 2011, p. 387, bottom

[Arlindo-2014-3] Marcon, A. L.; Olivo Santin, A.; Stihler, M.; Bachtold, J., "A UCONabc Resilient Authorization Evaluation for Cloud Computing," Parallel and Distributed Systems, IEEE Transactions on, vol. 25, no. 2, pp. 457–467, Feb. 2014 DOI:10.1109/TPDS.2013.113, bottom

[4] Jin, Xin, Ram Krishnan, and Ravi Sandhu. "A unified attribute-based access control model covering dac, mac and rbac." Data and Applications Security and Privacy XXVI. Springer Berlin Heidelberg, 2012. 41–55.

[5] Hu. "Guide to Attribute Based Access Control (ABAC) Definition and Considerations" (PDF). 13 Kasım 2013 tarihinde kaynağından (PDF) arşivlendi. Erişim tarihi: 6 Nisan 2020.

[xacml30standard-6] Xtensible Access Control Markup Language ( 4 Aralık 2019 tarihinde Wayback Machine sitesinde arşivlendi.XACML) V3.0 approved as an OASIS Standard, eXtensible Access Control Markup Language (XACML) V3.0 approved as an OASIS Standard.

[7] "Identity Management Guide: Managing Identity and Authorization Policies for Linux-Based Infrastructures". Red Hat. 2013. 7 Ocak 2014 tarihinde kaynağından arşivlendi. Erişim tarihi: 6 Ocak 2014. Any PAM service can be identified as to the host-based access control (HBAC) system in IdM.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

Bilgisayar Erişim Denetimi

Servisler[değiştir | kaynağı değiştir]

[1] Yetkilendirme[değiştir | kaynağı değiştir]