MAC

illustrations

Mandatory Access Control

Inom IT-säkerhet refererar MAC (Mandatory Access Control), påtvingad åtkomstkontroll, till en typ av åtkomstkontroll där operativsystemet begränsar möjligheten för ett subjekt att utföra en operation på ett objekt. Ett subjekt är vanligen en process eller en tråd. Bland objekt kan nämnas filer, bibliotek, TCP/UDP-portar, segment av delat minne, men också andra processer än subjektet själv.

DAC - Discretionary Access Control
Diskret åtkomstkontroll
MAC - Mandatory Access Control
Påtvingad åtkomstkontroll

Varje subjekt och varje objekt är försedda med ett antal säkerhetsattribut. Då ett subjekt försöker utföra en operation på ett objekt utvärderar operativsystemet utan undantag om denna operation är förenlig med det omfattande och detaljerade regelverk som utgör säkerhetspolicyn.

Vad kan MAC åstadkomma?

  • Stark separation av processer
  • Stark separation av data
    • Separerar data baserat på konfidentialitet/integritet/ändamål
  • System-, applikation- och datasäkerhet
    • Skydd mot icke auktoriserad modifiering
    • Skydd mot avsiktlig icke önskvärd modifiering
  • Begränsning av programs privilegier
    • Exekvera kod på ett säkert vis även om koden inte verifierats som säker
    • Säkerställa att programfel inte kan leda till ökade privilegier
    • Begränsa varje programs rättigheter enligt principen om minsta möjliga privilegier
  • Garanti för säker processering genom hela kedjan
    • Säkerställa att data processeras på så sätt som är föreskrivet
    • Dela upp processeringen i minimala säkra steg
  • Begränsningar vad gäller auktorisering
    • Dela upp administratörsrollen
    • Dela in användare i klasser baserat på position och clearance