Cours 4 : Contrôle d accès

Transcription

1 Cours 4 : Contrôle d accès ESIL Université de la méditerranée Odile.Papini@esil.univ-mrs.fr

2 Plan du cours 4 1 Introduction

3 Introduction Sécurité d un système d information : définir une politique de sécurité préserver la confidentialité, l intégrité et la disponibilité des données détecter les intrusions

4 Introduction Objectifs du contrôle d accès préserver la confidentialité, l intégrité et la disponibilité des données confidentialité : protection contre divulgation non autorisée intégrité des données : protection contre modification ou destruction non autorisées disponibilité : fournir les données aux utilisateurs autorisés quand ils en ont besoin

5 Fig.: source : W. Stallings & L. Brown

6 3 propriétés importantes : authentification : assure que l identité de l utilisateur est légitime autorisation : détermine les tâches qu un utilisateur est autorisé à faire non-répudiation : assure qu un utilisateur ne peut pas nier avoir effectué une tâche

7 capacité de contrôler l accès d un programme ou d un utilisateur aux ressources du système : vérification des requêtes d accès : accord ou refus contrôle d accès : imposé par des règlements de la politique de sécurité politique de sécurité : définit les propriétés désirées pour le système domaines d application : informatique, bancaire, militaire, médical,...

8 concepts de base d une politique de sécurité : sujets : entités actives du système demandent des droits d accès correspondant à l autorisation d exécuter des actions sur les objets incluent toujours les utilisateurs du système incluent souvent les processus en cours d exécution pour le compte des utilisateurs objets : entités passives du système contiennent les informations et ressources à protéger actions : moyens permettant aux sujets de manipuler les objets du système

9 concepts de base d une politique de sécurité : Principe du moindre privilège affecter des préférences aux utilisateurs de façon à ce qu ils aient pas plus de permissions que nécessaires pour effectuer leurs tâches application stricte de ce principe entraîne : différents niveaux de permissions différents niveaux de permissions à des moments différents permissions limitées dans le temps

10 exemple : sujets : Jean et Bob : médecins Tom et Paul : infirmiers Sarah : secrétaire médicale objets : patients dossier : médical ou administratif actions : consulter, modifier le dossier médical d un patient créer le dossier médical d un patient

11 forme des règles d une politique de sécurité : la permission un sujet s a l interdiction de réaliser l action a sur l objet o l obligation

12 plusieurs types de règles : règles indépendantes du contexte : les plus simples accés à un objet ou un ensemble d objets indépendamment du contexte règles dépendantes du contexte : accés aux objets à condition de vérifier le contexte donné règles de délégation et de transfert de droits : déléguer à un autre utilisateur : la possibilité de réaliser certaines opérations un de ses droits d accès

13 exemple de règles : règles indépendantes du contexte : une secrétaire médicale a la permission de créer le dossier médical d un patient un patient a la permission de consulter son dossier règles dépendantes du contexte : un médecin a la permission de consulter les dossiers médicaux de ses patients un médecin qui est en grève a l interdiction de consulter les dossiers médicaux de ses patients règles de délégation et de transfert de droits : un médecin a la permission d autoriser un infirmier à consulter le dossier médical d un patient

14 principe basé sur : l identité des utilisateurs règles explicites d accès les utilisateurs sont autorisés à définir leur propre règlement de sécurité sur les informations dont ils sont propriétaires, en attribuant et en retirant des droits aux autres membres de l organisation.

15 exemple de politique d accés discrétionnaire ou DAC gestion des droits d accés aux fichiers sous UNIX : trois types d accès : read write execute le propriétaire du fichier peut librement définir des droits pour : lui-même son groupe les autres utilisateurs limitations : pb de fuite d informations, pb de cheval de Troie

16 modèles basés sur les matrices de contrôle d accés (Lampson) structure : (S, O, A), S : sujets, O : objets, A : matrice de contrôle d accés O1 O2 Objets Oj On S1 Lire Ecrire Proprietaire Lire Ecrire Sujets Si Lire Droits d acces du sujet Si sur l objet Oj Lire Sn Executer

17 modèle Harrison, Ruzzo Ullman (HRU) description des droits sous forme de matrice de contrôle d accés commandes de modification de la matrice Commande nom-commande(arg 1, arg 2,, arg n ) droit 1 A(arg s1,arg o1 ) et op 1, Si droit 2 A(arg s2,arg o2 ) et droit p A(arg sp,arg op ) op 2, alors op n

18 modèle Harrison, Ruzzo Ullman (HRU) opérations élémentaires : op i opérations pour gérer les sujets : créer, détruire un sujet opérations pour gérer les objets : créer, détruire un objet opérations pour gérer la matrice : mettre, enlever un droit d dans A(s,o),

19 modèle Harrison, Ruzzo Ullman (HRU) Plusieurs modèles de contrôle d accés discrétionnaires modèle basé sur les matrices de contrôle d accés modèle basé sur des graphes

20 Les politiques d accés obligatoires (par mandats) ou MAC principe : affectation aux objets et aux sujets d attributs non modifiables par l utilisateur autorisation d accès établie par l examen de ces attributs de sécurité les objectifs de sécurité sont formulés vis à vis des règles obligatoires décrites par la politique de sécurité distinction entre utilisateurs et sujets

21 Les politiques multi-niveaux basées sur la notion de treillis objets et sujets classés selon différents niveaux de sécurité niveau de sécurité = (niveau de classification, ensemble de catégories) niveau de classification : ensemble totalement ordonné ensemble de catégories : représente le domaine de l information, relation entre les ensembles : inclusion ensembliste niveaux de sécurité : ensemble partiellement ordonné

22 Les politiques multi-niveaux niveaux de sécurité : ensemble partiellement ordonné relation de dominance : niveau n 1 = (c 1, C 1 ) niveau n 2 = (c 2, C 2 ) n 1 n 2 (n 1 domine n 2 ) ssi c 1 c 2 et C 2 C 1 exemple de politique multi-niveaux : le modèle de Bell et LaPadula

23 Le modèle de Bell et LaPadula objectif : assurer la confidentialité principe : interdire toute fuite d information d un objet d un certain niveau de classification vers un objet de niveau de classification inférieur interdire à tout sujet d une certaine habilitation d obtenir des informations d un objet de classification supérieur à cette habilitation

24 Le modèle de Bell et LaPadula règle simple (No Read up) : condidentialité Un sujet s ne peut accéder en lecture à un objet o seulement si le niveau de classification du sujet h(s) domine le niveau de classification de l objet c(o) (s,o, lire) h(s) c(o) règle étoile (No Write down) : confinement Un sujet s ne peut accéder en écriture à un objet o seulement si le niveau de classification du sujet h(s) est dominé par le niveau de classification de l objet c(o) (s, o, écrire) c(o) h(s)

25 objectif : assurer l intégrité principe : Le modèle de Biba interdire toute propagation d information d un objet situè à un certain niveau d intégrité vers un objet de niveau d intégrité inférieur interdire à tout sujet situé à un certain niveau d intégrité de modifier un objet possédant niveau d intégrité supérieur

26 Le modèle de Biba règle simple (No Read up) : (inverse de Bell-La Padula) Un sujet s ne peut accéder en lecture à un objet o seulement si le niveau de classification du sujet est dominé le niveau de classification de l objet c(o) règle étoile (No Write down) : (inverse de Bell-La Padula) Un sujet s ne peut accéder en écriture à un objet o seulement si le niveau de classification du sujet domine le niveau de classification de l objet c(o)

27 Le modèle de Clark et Wilson contrôle de l intégrité pour des applications commerciales 4 critères : authentification audit transactions bien formées séparation des pouvoirs

28 transactions bien formées : Données de type contraintes CDI données ou objets dont l intégrité doit être conservée Données de type non contraintes UDI données ou objets dont l intégrité n est pas garantie Procédures de vérification d intégrité IVP procédures qui vérifient que les CDI sont dans un ètat valide Procédures de transformation TP les seules procédures autorisées à modifier les CDI ou créer de nouveaux CDI

29 Le modèle de Muraille de Chine dédié à la confidentialité pour des applications commerciales but : empêcher le flux d informations qui mènent à des conflits modèle basé sur une hierarchie des données : les objets de base données auxquelles on demande l accès les objets concernant les données d une même classe les objets concernant les données d une classe en conflit

30 A chaque objet sont associés : sa classe ensemble de conflits qui contient ses données objectif : interdire l accès à 2 objets appartenant à des ensembles conflictuels

31 règle simple : Un sujet s ne peut accéder en lecture à un objet o si l objet o appartient à l ensemble de données de la même classe C dejá accessible (à l intérieur de la muraille) ou à un ensemble de conflit différent règle étoile : Un sujet s ne peut accéder en écriture à un objet o si cet accés est permis par la règle simple et aucun autre objet ne peut être lu s il appartient à une classe différente de celui-ci.

32 tâche : associée au contrôle d accès modèle actif : les permissions sont constamment contrôlées autorisations : contraintes strictes précisant leur utilisation, leur validité, leur expiration trace de l utilisation des permissions permissions contrôlées et gérées : activées et synchronisées pendant l exécution des autorisation

33 cycle de vie d une autorisation utiliser invalider dormante invoquée valide invalide invoquée valider révoquer suspendue révoquer cycle de vie d une autorisation dans le modèle TBAC

34 différentes extensions du modèle TBAC TBAC 3 modèle consolidé TBAC 1 TBAC 2 autorisations composites contraintes TBAC 0 modèle de base

35 idée : grouper les privilèges qui peuvent être accordés à un utilisateur politique basée sur le rôle : position de l utilisateur dans une structure d organisation spécification des privilèges associés à chaque tâche de l organisation affectation des utilisateurs aux rôles ajout et retrait d utilisateurs facilités

36 AU AP Utilisateur Rôle Permission Sessions Modèle de base : RBAC 0

37 Les politiques d accés basées sur la notion de rôle ou RBAC HR AU AP Utilisateur Rôle Permission Sessions Modèle : RBAC 1

38 AU AP Utilisateur Rôle Permission Sessions Contraintes Modèle : RBAC 2

39 HR AU AP Utilisateur Rôle Permission Sessions Contraintes Modèle : RBAC 3

40 basées sur la notion d équipe : plusieurs utilisateurs ayant des rôles différents mais qui collaborent dans l objectif d accomplir une tâche spécifique utilisateur : affecté à une équipe obtient l accés aux ressources de cette équipe niveau spécifique d accès déterminé par son rôle dans l équipe contexte de collaboration de l équipe : contexte utilisateur : utilisateur qui forment l équipe contexte objet : instances d objets nécessaires à l équipe pour accomplir sa tâche

41 Les politiques d accés basées sur la notion déquipe C-TMAC combiner les modèles TMAC et RBAC utiliser d autres contextes que le contexte utilisateur et le contexte objet

42 Les politiques basées sur la notion d organisation ou OrBAC Le modéle OrBAC repose sur 4 principes l organisation est l entité centrale du modèle Il y a deux niveaux d abstraction un niveau concret : sujet, action, objet un niveau abstrait : rôle, activité, vue possibilité d exprimer des permissions, des interdictions, des obligations et des recommandations possibilité d exprimer les contextes

43 Les politiques basées sur la notion d organisation ou OrBAC Fig.: source :

44 Les politiques basées sur la notion d organisation ou OrBAC Fig.: source :