Контроль доступа обеспечивает доступ к ресурсам только авторизованным и авторизованным пользователям. Иногда возникает некоторая путаница между контролем доступа и авторизацией или между аутентификацией и идентификацией. Давайте разъясним их все и приведем несколько примеров.
Идентификация происходит, когда пользователь запрашивает личность. В физическом мире мы могли бы назвать свое имя. Когда я впервые встречаюсь с кем-то, я представляю себя, говоря: «Я Андрей»: это я идентифицирую себя.
Вместо этого в цифровом мире я предоставляю свое имя пользователя или адрес электронной почты, например, для подтверждения личности моей учетной записи.
Идентификация – это первый шаг контроля доступа.
Если бы я поехал в аэропорт, чтобы сесть на самолет и сказал персоналу аэропорта: «Я – Андрей», они наверняка попросят у меня какое-нибудь подтверждение моей личности. Это процесс аутентификации: проверка заявленной личности.
В аэропорту я бы подтвердил свою личность через паспорт. При попытке войти в свою учетную запись электронной почты, я предоставляю свой пароль, чтобы доказать, что я являюсь тем, кем я себя называю, и что это действительно моя учетная запись. В случае, если я включил двухфакторную аутентификацию, я также предоставил бы второе подтверждение моей личности, например, код, сгенерированный USB-токеном или специальным приложением на моем смартфоне.
Проверка личности пользователя, то есть аутентификация его, является вторым этапом контроля доступа.
Как только сотрудники аэропорта подтвердили мою личность через мой паспорт, это означает, что они подтвердили мою личность, но это не значит, что я могу ехать куда угодно через аэропорт или успеть на любой рейс. Нет. Я могу делать только то, на что у меня есть разрешения, то есть то, на что у меня есть права. Покупка билета в Москву дает мне право лететь в Россию, если я идентифицирую себя как владельца билета и подтверждаю свою личность. (Я знаю, я значительно упростил процедуры безопасности в аэропортах, но это было ради примера.)
Если мы рассмотрим пример учетной записи электронной почты еще раз, после этапа проверки подлинности поставщик электронной почты проверит мои разрешения, чтобы выяснить, что я могу или не могу сделать после получения доступа к моей учетной записи электронной почты. Необходимое разрешение – это то, что дает мне доступ к моим и только моим электронным письмам, а не к другим учетным записям электронной почты. Допустим, в CMS WordPress у меня могут быть разрешения на добавление нового контента, но не на удаление его. Администратор будет иметь разрешение на выполнение большего количества операций, чем я.
Авторизация – третий шаг контроля доступа.
Системы контроля доступа предоставляют доступ к ресурсам только пользователям, личность которых подтверждена и которые имеют необходимые разрешения. Для этого нам нужно выполнить три шага:
Контроль доступа имеет первостепенное значение для безопасности и фатален для компаний, которые не спроектировали и не внедрили его правильно.
А что насчет вас? Какой процесс вы используете для обеспечения правильного и безопасного контроля доступа к вашим ресурсам и услугам?