Mandatory access control: come funziona?

La pro­te­zio­ne dati ac­qui­si­sce sempre maggiore im­por­tan­za e riguarda ormai tutti gli ambiti della società. Sono però so­prat­tut­to le aziende a non poter fare a meno di avvalersi di una strategia di sicurezza dati accurata, che permetta loro di pro­teg­ge­re i dati interni all’azienda e quelli dei propri clienti da accessi in­de­si­de­ra­ti o usi impropri. Im­pre­scin­di­bi­le in queste strategie è l’at­tri­bu­zio­ne di permessi d’accesso limitati, ve­ri­fi­ca­ti ogni­qual­vol­ta un utente tenti di accedere a de­ter­mi­na­te in­for­ma­zio­ni. I modelli tra cui scegliere per l’im­ple­men­ta­zio­ne e la gestione dei permessi di accesso sono vari, tra questi vi è il controllo d’accesso vincolato o mandatory access control.

Il MAC, acronimo di mandatory access control, è un modello di sicurezza impiegato in settori par­ti­co­lar­men­te delicati come quello politico e militare, nei quali la pro­te­zio­ne dei dati da tentativi di ma­ni­po­la­zio­ne è di par­ti­co­la­re im­por­tan­za. In questo articolo vi spie­ghia­mo il fun­zio­na­men­to dei controlli di accesso basati su regole e vi mostriamo i vantaggi e gli svantaggi di questo modello.

Al fine di pro­teg­ge­re i dati e le im­po­sta­zio­ni di sistema da accessi e modifiche non au­to­riz­za­te, le aziende sono solite assegnare solamente quei permessi d’accesso che ciascun utente, in base alla propria mansione, necessita per svolgere il proprio lavoro. La de­fi­ni­zio­ne e l’as­se­gna­zio­ne dei diritti d’accesso risultano compiti complessi già nelle aziende di medie di­men­sio­ni.

Ogni azienda si divide infatti in più reparti: am­mi­ni­stra­ti­vo, fi­nan­zia­rio, marketing, vendite, risorse umane, e così via. Gli impiegati di ciascuno di questi reparti hanno bisogno di permessi d’accesso dif­fe­ren­ti per il corretto svol­gi­men­to delle proprie mansioni. Dopodiché il singolo la­vo­ra­to­re può ne­ces­si­ta­re di permessi ag­giun­ti­vi specifici, in base al proprio ruolo in azienda o all’interno di un progetto.

Per una gestione e un controllo efficaci dei permessi d’accesso sono state svi­lup­pa­te diverse strategie di sicurezza, tra le quali si annovera il mandatory access control, ab­bre­via­to in MAC, tradotto come “controllo di accesso vincolato”. Con questa strategia ogni utente ottiene accesso solamente a quelle risorse del file system delle quali non può as­so­lu­ta­men­te fare a meno. Il termine “vincolato” implica già che il controllo d’accesso si basi su de­ter­mi­na­te regole che devono essere ri­spet­ta­te e che vengono ve­ri­fi­ca­te in au­to­ma­ti­co.

L’as­se­gna­zio­ne dei permessi d’accesso è regolata da un’am­mi­ni­stra­zio­ne centrale. Di solito questa è affidata a una singola persona che dispone di adeguate co­no­scen­ze riguardo i compiti e le necessità degli utenti. Questo permette che tutti i la­vo­ra­to­ri possano operare avendo accesso garantito a tutti i dati di loro com­pe­ten­za. Nelle aziende questo ruolo è spesso ricoperto dagli am­mi­ni­stra­to­ri di sistema.

Il controllo effettivo e l’ag­gior­na­men­to sono so­li­ta­men­te au­to­ma­tiz­za­ti e avvengono at­tra­ver­so l’utilizzo di un sistema operativo o di un security kernel: se un utente tenta di ottenere accesso a de­ter­mi­na­ti dati, il sistema verifica se concedere o negare il permesso. Il vantaggio dell’au­to­ma­tiz­za­zio­ne è che esclude nel miglior modo possibile eventuali ma­ni­po­la­zio­ni.

Le scelte relative ai permessi di accesso dipendono dai seguenti fattori:

• Utenti e processi
• Oggetti: le risorse alle quali si intende accedere
• Regole e proprietà: ca­te­go­riz­za­zio­ne, etichette, parole chiave

Il mandatory access control segue un approccio ge­rar­chi­co in cui a ogni oggetto di un file system viene assegnato un livello di sicurezza basato sulla sen­si­bi­li­tà dei dati. I livelli di sicurezza tipici sono “con­fi­den­zia­le” o “stret­ta­men­te con­fi­den­zia­le”. La stessa clas­si­fi­ca­zio­ne è applicata sia agli utenti che ai di­spo­si­ti­vi. Ogni­qual­vol­ta un utente tenta di accedere a una qualsiasi risorsa si avvia in au­to­ma­ti­co una verifica atta a con­va­li­da­re o a negare l’accesso.

Inoltre, il sistema controlla la con­for­mi­tà di tutte le in­for­ma­zio­ni e degli utenti assegnati a una data categoria. Questo significa che per ogni tentativo di accesso devono essere sod­di­sfat­ti non uno ma ben due criteri per accedere ai dati: quello di sicurezza e quello di categoria.

Ci sono due modelli di mandatory access control:

Questo modello è la forma originale e più semplice di MAC, composta di una struttura verticale dei livelli di sicurezza. Le in­for­ma­zio­ni fluiscono solo all’interno di questi com­par­ti­men­ti. Anche agli utenti viene assegnato un livello di sicurezza che permette loro di accedere a quel de­ter­mi­na­to livello o a uno qualsiasi di quelli inferiori.

Questi sistemi sono più complessi e con­sen­to­no l’accesso sulla base di segmenti che, riuniti, co­sti­tui­sco­no dei blocchi. Questi si com­pon­go­no a loro volta di gradi di sicurezza e parole chiave. Grazie a questa struttura si compone un sistema di sicurezza oriz­zon­ta­le, con­te­nen­te livelli di sicurezza verticali ag­giun­ti­vi.

Il mandatory access control è uno dei sistemi di sicurezza più sicuri in cir­co­la­zio­ne, in quanto esclude quasi com­ple­ta­men­te il rischio di ma­ni­po­la­zio­ni. Di­ver­sa­men­te da quanto avviene con il RBAC, nei sistemi MAC gli utenti non hanno alcuna pos­si­bi­li­tà di apportare modifiche. Il controllo e l’os­ser­van­za dei permessi di accesso sono del tutto au­to­ma­tiz­za­ti e imposti dal sistema. Per questo motivo il mandatory access control offre un elevato grado di ri­ser­va­tez­za. Inoltre, il sistema si con­trad­di­stin­gue per l’al­tret­tan­to elevata integrità: senza suf­fi­cien­te au­to­riz­za­zio­ne i dati non possono essere mo­di­fi­ca­ti, pre­ve­nen­do eventuali ma­ni­po­la­zio­ni.

I sistemi MAC prevedeno però una pia­ni­fi­ca­zio­ne det­ta­glia­ta. Anche dopo l’im­ple­men­ta­zio­ne, l’impegno per una corretta am­mi­ni­stra­zio­ne rimane elevato. Ogni as­se­gna­zio­ne di permessi d’accesso a oggetti e utenti obbliga a una verifica e a un ag­gior­na­men­to del sistema costanti. Da con­si­de­ra­re tra i lavori di ma­nu­ten­zio­ne continui, richiesti per una corretta gestione del sistema, vi sono anche le modifiche da apportare a ca­te­go­riz­za­zio­ne o a clas­si­fi­ca­zio­ne. I permessi necessari per svolgere tali mansioni spettano so­li­ta­men­te a una singola persona. Se questo ga­ran­ti­sce un elevato grado di sicurezza, rap­pre­sen­ta però anche un grande dispendio di tempo e energie per l’am­mi­ni­stra­to­re.

L’elevato grado di af­fi­da­bi­li­tà e integrità fa sì che il mandatory access control risulti par­ti­co­lar­men­te indicato laddove si lavori con dati sensibili e in ambienti par­ti­co­lar­men­te critici in materia di sicurezza. Questi sono so­li­ta­men­te gli ambiti militare, politico, delle autorità, del commercio con l’estero, della sanità e dei mezzi d’in­for­ma­zio­ne. Tuttavia, ciò non significa che il MAC non venga uti­liz­za­to anche in contesti aziendali. Il sistema di sicurezza Security-Enhanced Linux (SELinux) si basa ad esempio su un’im­ple­men­ta­zio­ne del MAC nel kernel di Linux.