políticas, modelos e mecanismos de segurança · 2019. 12. 10. · mecanismos de segurança ... 4...
Post on 29-Aug-2020
1 Views
Preview:
TRANSCRIPT
Políticas, Modelos e Mecanismos de
Segurança
O papel do controle de acessoO papel do controle de acesso O papel do controle de acessoO papel do controle de acesso Matriz de controle de acesso Resultados fundamentais Políticas de segurança Modelos de segurança Mecanismos e implementação
1
O papel do controle de acesso (1) Controle de acesso (1)
É um mecanismomecanismo usado para limitarlimitar asas açõesações que um usuáriousuário
legítimolegítimo de um sistema de computação pode realizar, com base nas
autorizaçõesautorizações aplicáveisaplicáveis ao mesmo no momento do acesso
Uma autorização estabelece o que é permitidopermitido ou o que é proibidoproibido
realizar, com a determinação dos direitosdireitos dede acessoacesso de um sujeitosujeito a um
objetoobjeto computacional específico
Tem por objetivo prevenirprevenir que um sistema entre em um estadoestado
inseguroinseguro, de modo que ele continue a satisfazersatisfazer umauma políticapolítica dede
segurançasegurança
2
O papel do controle de acesso (2)
Controle de acesso (2)
A execução de uma ação nãonão autorizadaautorizada pode resultar na violaçãoviolação
dada confidencialidadeconfidencialidade ou da integridadeintegridade das informações ou dos
recursosrecursos
Embora menos central para preservar a disponibilidade, o controle de
acesso claramente tem um importante papel: supõe-se que um atacante que
consiga acesso não autorizado a um sistema tenha pouca dificuldade torná-
lo indisponível
A conseqüência final é a violação da segurança
3
O papel do controle de acesso (3) Controle de acesso – entidades básicas
UsuárioUsuário: refere-se às pessoas que interfaceiam com um sistema decomputação
SujeitoSujeito: é uma entidade de um sistema de computação que pode iniciarrequisições para realizar uma operação ou séries de operações sobreobjetosobjetos
Usuários, processos e domínios podem ser sujeitos
Sujeitos atuam em benefício de um usuário num sistema de computação
ObjetoObjeto: é uma entidade de sistema na qual uma operação pode seriniciada
Recursos: objetos de interesse geral para os usuários
Sistema: objetos que servem ao sistema e que são necessários a sua operação
OperaçãoOperação: é um processo ativo invocado por um sujeito
4
GM1
Slide 4
GM1 Um domínio é uma ambiente de proteção no qual um processo executaGustavo Motta; 25/02/2005
O papel do controle de acesso (4) Monitor de referência (1)
Definição
Um monitor de referência é um conceito de controle de acesso de uma máquina
virtual abstrata que intermedeiaintermedeia todastodas as tentativas de um sujeitosujeito acessaracessar
um objetoobjeto para executar uma operaçãooperação (ANDERSON, 1972)
O monitor consulta um banco de dados de autorização para decidir se o sujeito
tem permissão para executar a operação no objeto ou não
Modelo abstrato das propriedadespropriedades necessáriasnecessárias para se alcançar um
mecanismo de controle de acesso com alta garantia
Usado como guia para o projeto, o desenvolvimento, a implementação e
a análise subseqüente da segurança de sistemas de informação
5
O papel do controle de acesso (5) Monitor de referência (2)
Conceitualmente, o monitor de referência representa a porção de hardware e
de software de um sistema operacional que é responsável pela imposição da
política de segurança armazenada no banco de dados de autorização
O monitor de referência deve controlar o acesso ao banco de dados de autorização,
segundo uma dada política de segurançasegundo uma dada política de segurança
O monitor de referência nãonão prescreveprescreve umauma políticapolítica emem particularparticular para
ser imposta pelo sistema, nemnem determinadetermina umauma implementaçãoimplementação
específicaespecífica
Define um frameworkframework abstratoabstrato dede garantiagarantia usado nas últimas 3 décadas no
projeto, desenvolvimento e implementação de sistemas de informação altamente
seguros
Também usado como base para avaliação do nível relativo de confiança que pode
ser atribuído a um sistema de computação multiusuário
6
O papel do controle de acesso (6)
Banco de Dados
de AutorizaçõesAutenticação Controle de acesso
Administrador
de Segurança
Política de segurança
Esquema do monitor de referência7
Monitor de
Referência
Usuário Objetos
Auditoria
O papel do controle de acesso (7) Monitor de referência (3)
Assume-se que o usuário tenha sido devidamentedevidamente autenticadoautenticado antesde se impor o controle de acesso através do monitor de referência O efetividade do monitor de referência depende na identificação correta do
usuário (integridade de origem - autenticação) e na correção das autorizações
Autenticação × autorização (1) Autenticação × autorização (1) AutenticaçãoAutenticação: verifica a legitimidade da identidade de um usuário para o
sistema de segurança – processo de determinar quem você é
Login e senhasenha estáticaestática, com política de senhas – forma mais comum evulnerável, especialmente em ambientes distribuídos
Login e senhassenhas dinâmicasdinâmicas; identificaçãoidentificação biométricabiométrica; certificadoscertificadosdigitaisdigitais e cartõescartões inteligentesinteligentes são exemplos de métodos autenticação maisrobustos, baseadosbaseados emem pelospelos menosmenos doisdois dosdos seguintesseguintes fatoresfatores
Alguma coisa que o usuário sabesabe + alguma coisa que ele temtem + algumacoisa que ele éé
8
O papel do controle de acesso (8) Monitor de referência (4)
Autenticação × autorização (2) AutorizaçãoAutorização: determina o que você pode fazer, usualmente através de uma
decisão (sim ou não) para liberar (ou proibir) o acesso a um objeto paraexecutar uma operação
Autorização necessariamentenecessariamente dependedepende de uma autenticaçãoautenticação apropriadaapropriadaAutorização necessariamentenecessariamente dependedepende de uma autenticaçãoautenticação apropriadaapropriada
Se um sistema não está certo da identidade de um usuário, não existe umaforma válida de determinar se o usuário deve ter o acesso requerido
Auditoria RegistraRegistra cronologicamentecronologicamente dados sobre a atividadeatividade nono sistemasistema e os analisaanalisa
para descobrir violações de segurança e diagnosticar suas causas
Atua como forteforte inibidorinibidor parapara abusosabusos e também é importante nasinvestigações após incidentes
ÉÉ inócuainócua se não houver a aplicaçãoaplicação rigorosarigorosa dasdas sançõessanções previstas em casode abusos
9
O papel do controle de acesso (9) Monitor de referência (5)
Princípios fundamentais para implementação de monitores de referência
CompletudeCompletude: um sujeito somente pode referenciar um objeto pela invocação domonitor de referencia, que não pode ser desviado
Requer que todos os objetos sejam protegidos, mesmo os menos óbvios
Dados transientes na memória – física ou virtual Dados transientes na memória – física ou virtual
Prevenção de acesso a objetos através de métodos diferentes daqueles do monitor
E. g.. o quanto um SGBD previne que seus objetos sejam acessados diretamente porfunções de e/s de um sistema operacional de forma não autorizada
IsolamentoIsolamento: as funções de intermediação do monitor devem ser à prova de violação
A implementação de um núcleonúcleo dede segurançasegurança é um meio de se buscar o isolamento
VerificabilidadeVerificabilidade: deve-se mostrar que o monitor está apropriadamenteimplementado
Tornar o núcleo de segurança pequenopequeno ee simplessimples o suficiente para facilitar ademonstraçãodemonstração dede suasua correçãocorreção – boas práticas de engenharia de software
10
O papel do controle de acesso (10) Monitor de referência (6)
Núcleo de segurança
Implementação mínimamínima das característicasrelevantes de segurança de um sistema
Função primitiva de sistema operacional responsável pela
Hardware
Núcleo de segurança
Sistema Função primitiva de sistema operacional responsável pela
imposição de uma política de segurança
Oferece facilidades básicas para funções não relacionadas a segurança
Funciona na camada de maior privilégio do sistema operacional,isolando-a das demais camadas contra violações potenciais
O código do núcleo deve ser verificado, pois também está sujeito a errose a programação maliciosa
(C) 2005 Gustavo Motta 11
Sistema operacional
O papel do controle de acesso (11) Monitor de referência (7)
Necessário,Necessário, masmas nãonão suficientesuficiente O monitor de referência não obriga um sistema a impor uma política específica
Cabe às organizações definir qual é a política mais adequada para os seuspropósitos
Políticas estritas, como as usadas em organizações militares, podem não Políticas estritas, como as usadas em organizações militares, podem nãoser adequadas para aplicação em organizações empresariais e vice versa
Princípios adicionais (FERRAIOLO et al., 2003)
FlexibilidadeFlexibilidade: o sistema deve ser capaz de impor as políticas de controle deacesso da organização hospedeira
AdministraçãoAdministração viávelviável: o sistema deve ser intuitivo e fácil de gerenciar
EscalabilidadeEscalabilidade: as funções de administração e de sistema devem serescaláveis com o número de usuários e de objetos dispersos nas plataformasde computação de uma organização hospedeira
InteroperabilidadeInteroperabilidade: o sistema deve ser capaz de interoperar com outrossistemas de segurança
12
top related