Políticas, Modelos e Mecanismos de

Segurança

O papel do controle de acessoO papel do controle de acesso O papel do controle de acessoO papel do controle de acesso Matriz de controle de acesso Resultados fundamentais Políticas de segurança Modelos de segurança Mecanismos e implementação

1

O papel do controle de acesso (1) Controle de acesso (1)

É um mecanismomecanismo usado para limitarlimitar asas açõesações que um usuáriousuário

legítimolegítimo de um sistema de computação pode realizar, com base nas

autorizaçõesautorizações aplicáveisaplicáveis ao mesmo no momento do acesso

Uma autorização estabelece o que é permitidopermitido ou o que é proibidoproibido

realizar, com a determinação dos direitosdireitos dede acessoacesso de um sujeitosujeito a um

objetoobjeto computacional específico

Tem por objetivo prevenirprevenir que um sistema entre em um estadoestado

inseguroinseguro, de modo que ele continue a satisfazersatisfazer umauma políticapolítica dede

segurançasegurança

2

O papel do controle de acesso (2)

Controle de acesso (2)

A execução de uma ação nãonão autorizadaautorizada pode resultar na violaçãoviolação

dada confidencialidadeconfidencialidade ou da integridadeintegridade das informações ou dos

recursosrecursos

Embora menos central para preservar a disponibilidade, o controle de

acesso claramente tem um importante papel: supõe-se que um atacante que

consiga acesso não autorizado a um sistema tenha pouca dificuldade torná-

lo indisponível

A conseqüência final é a violação da segurança

3

O papel do controle de acesso (3) Controle de acesso – entidades básicas

UsuárioUsuário: refere-se às pessoas que interfaceiam com um sistema decomputação

SujeitoSujeito: é uma entidade de um sistema de computação que pode iniciarrequisições para realizar uma operação ou séries de operações sobreobjetosobjetos

Usuários, processos e domínios podem ser sujeitos

Sujeitos atuam em benefício de um usuário num sistema de computação

ObjetoObjeto: é uma entidade de sistema na qual uma operação pode seriniciada

Recursos: objetos de interesse geral para os usuários

Sistema: objetos que servem ao sistema e que são necessários a sua operação

OperaçãoOperação: é um processo ativo invocado por um sujeito

4

GM1

Slide 4

GM1 Um domínio é uma ambiente de proteção no qual um processo executaGustavo Motta; 25/02/2005

O papel do controle de acesso (4) Monitor de referência (1)

Definição

Um monitor de referência é um conceito de controle de acesso de uma máquina

virtual abstrata que intermedeiaintermedeia todastodas as tentativas de um sujeitosujeito acessaracessar

um objetoobjeto para executar uma operaçãooperação (ANDERSON, 1972)

O monitor consulta um banco de dados de autorização para decidir se o sujeito

tem permissão para executar a operação no objeto ou não

Modelo abstrato das propriedadespropriedades necessáriasnecessárias para se alcançar um

mecanismo de controle de acesso com alta garantia

Usado como guia para o projeto, o desenvolvimento, a implementação e

a análise subseqüente da segurança de sistemas de informação

5

O papel do controle de acesso (5) Monitor de referência (2)

Conceitualmente, o monitor de referência representa a porção de hardware e

de software de um sistema operacional que é responsável pela imposição da

política de segurança armazenada no banco de dados de autorização

O monitor de referência deve controlar o acesso ao banco de dados de autorização,

segundo uma dada política de segurançasegundo uma dada política de segurança

O monitor de referência nãonão prescreveprescreve umauma políticapolítica emem particularparticular para

ser imposta pelo sistema, nemnem determinadetermina umauma implementaçãoimplementação

específicaespecífica

Define um frameworkframework abstratoabstrato dede garantiagarantia usado nas últimas 3 décadas no

projeto, desenvolvimento e implementação de sistemas de informação altamente

seguros

Também usado como base para avaliação do nível relativo de confiança que pode

ser atribuído a um sistema de computação multiusuário

6

O papel do controle de acesso (6)

Banco de Dados

de AutorizaçõesAutenticação Controle de acesso

Administrador

de Segurança

Política de segurança

Esquema do monitor de referência7

Monitor de

Referência

Usuário Objetos

Auditoria

O papel do controle de acesso (7) Monitor de referência (3)

Assume-se que o usuário tenha sido devidamentedevidamente autenticadoautenticado antesde se impor o controle de acesso através do monitor de referência O efetividade do monitor de referência depende na identificação correta do

usuário (integridade de origem - autenticação) e na correção das autorizações

Autenticação × autorização (1) Autenticação × autorização (1) AutenticaçãoAutenticação: verifica a legitimidade da identidade de um usuário para o

sistema de segurança – processo de determinar quem você é

Login e senhasenha estáticaestática, com política de senhas – forma mais comum evulnerável, especialmente em ambientes distribuídos

Login e senhassenhas dinâmicasdinâmicas; identificaçãoidentificação biométricabiométrica; certificadoscertificadosdigitaisdigitais e cartõescartões inteligentesinteligentes são exemplos de métodos autenticação maisrobustos, baseadosbaseados emem pelospelos menosmenos doisdois dosdos seguintesseguintes fatoresfatores

Alguma coisa que o usuário sabesabe + alguma coisa que ele temtem + algumacoisa que ele éé

8

O papel do controle de acesso (8) Monitor de referência (4)

Autenticação × autorização (2) AutorizaçãoAutorização: determina o que você pode fazer, usualmente através de uma

decisão (sim ou não) para liberar (ou proibir) o acesso a um objeto paraexecutar uma operação

Autorização necessariamentenecessariamente dependedepende de uma autenticaçãoautenticação apropriadaapropriadaAutorização necessariamentenecessariamente dependedepende de uma autenticaçãoautenticação apropriadaapropriada

Se um sistema não está certo da identidade de um usuário, não existe umaforma válida de determinar se o usuário deve ter o acesso requerido

Auditoria RegistraRegistra cronologicamentecronologicamente dados sobre a atividadeatividade nono sistemasistema e os analisaanalisa

para descobrir violações de segurança e diagnosticar suas causas

Atua como forteforte inibidorinibidor parapara abusosabusos e também é importante nasinvestigações após incidentes

ÉÉ inócuainócua se não houver a aplicaçãoaplicação rigorosarigorosa dasdas sançõessanções previstas em casode abusos

9

O papel do controle de acesso (9) Monitor de referência (5)

Princípios fundamentais para implementação de monitores de referência

CompletudeCompletude: um sujeito somente pode referenciar um objeto pela invocação domonitor de referencia, que não pode ser desviado

Requer que todos os objetos sejam protegidos, mesmo os menos óbvios

Dados transientes na memória – física ou virtual Dados transientes na memória – física ou virtual

Prevenção de acesso a objetos através de métodos diferentes daqueles do monitor

E. g.. o quanto um SGBD previne que seus objetos sejam acessados diretamente porfunções de e/s de um sistema operacional de forma não autorizada

IsolamentoIsolamento: as funções de intermediação do monitor devem ser à prova de violação

A implementação de um núcleonúcleo dede segurançasegurança é um meio de se buscar o isolamento

VerificabilidadeVerificabilidade: deve-se mostrar que o monitor está apropriadamenteimplementado

Tornar o núcleo de segurança pequenopequeno ee simplessimples o suficiente para facilitar ademonstraçãodemonstração dede suasua correçãocorreção – boas práticas de engenharia de software

10

O papel do controle de acesso (10) Monitor de referência (6)

Núcleo de segurança

Implementação mínimamínima das característicasrelevantes de segurança de um sistema

Função primitiva de sistema operacional responsável pela

Hardware

Núcleo de segurança

Sistema Função primitiva de sistema operacional responsável pela

imposição de uma política de segurança

Oferece facilidades básicas para funções não relacionadas a segurança

Funciona na camada de maior privilégio do sistema operacional,isolando-a das demais camadas contra violações potenciais

O código do núcleo deve ser verificado, pois também está sujeito a errose a programação maliciosa

(C) 2005 Gustavo Motta 11

Sistema operacional

O papel do controle de acesso (11) Monitor de referência (7)

Necessário,Necessário, masmas nãonão suficientesuficiente O monitor de referência não obriga um sistema a impor uma política específica

Cabe às organizações definir qual é a política mais adequada para os seuspropósitos

Políticas estritas, como as usadas em organizações militares, podem não Políticas estritas, como as usadas em organizações militares, podem nãoser adequadas para aplicação em organizações empresariais e vice versa

Princípios adicionais (FERRAIOLO et al., 2003)

FlexibilidadeFlexibilidade: o sistema deve ser capaz de impor as políticas de controle deacesso da organização hospedeira

AdministraçãoAdministração viávelviável: o sistema deve ser intuitivo e fácil de gerenciar

EscalabilidadeEscalabilidade: as funções de administração e de sistema devem serescaláveis com o número de usuários e de objetos dispersos nas plataformasde computação de uma organização hospedeira

InteroperabilidadeInteroperabilidade: o sistema deve ser capaz de interoperar com outrossistemas de segurança

12