DAC چیست؟ Dynamic Access Control

پارسیس امنیت » اخبار و مقالات » DAC چیست؟ Dynamic Access Control

در این آموزش Dynamiv Access Contorol را مرور می کنیم با استفاده از این آموزش شما قادر خواهید بود با تعریف کردن یک Access Control Policy در سازمان ساختار DAC را پیاده سازی کنید برای پیاده سازی این ساختار نیاز است که مفاهیم AD و Permission ها آشنایی داشته باشید.

DAC چیست؟

مکانیزم جدید ماکروسافت برای کنترل دسترسی به اسناد سازمان است. کنترل دسترسی پویا، فناوری است که ماژول‌های امنیتی الزم برای نظارت بر فایل‌ها و محافظت از داده‌های حساس سازمانی را در اختیارتان قرار می‌دهد. تا اجازه ندهید افراد غیرمجاز به داده‌ها دسترسی پیدا کرده یا آن‌ها را ویرایش کنند. DAC به شما این امکان می‌دهد تا به برچسب‌گذاری فایل‌ها پرداخته و بر مبنای برچسب‌ها به طبقه‌بندی فایل‌ها بپردازید.

مزایای DAC چیست؟

مدیریت مرکزی تمامی فایل سرورها و فایل سرویس ها به طور واحد و متمرکز استفاده از Access Rule و اعمال آنها از طریق Group Policyبه صورت متمرکز کاهش چشم گیر در ساخت گروه های کاربری و سیستمی و همینطور سطوح مختلف عضویت جهت اعمال سیاست های دسترسی و کنترلی ساخت Access Rule ها بر اساس مدیریت مرکزی و بسیار طبقه بندی شده برای کنترل دسترسی ها آن هم به طور متمرکز و بسیار منعطف میباشد.

تفاوت‌ DAC با ‌AC

در‌ مکانیزم‌ ACL از‌گروه‌ها‌ برای‌ تعریف‌ دسترسی‌ استفاده‌ می‌ کردیم ، در‌مکانیزم‌ ACL طبقه‌ بندی‌اسناد‌ توسط‌ یوزر‌گروه‌ها‌ است . در سازمان های بزرگ که تعداد یوزرها زیاد است برای پیاده سازی سیاست دسترسی سازمان به منابع مجبور بودیم گروهای زیادی را تولید کنیم که یوزرها عضو این گروها می شوند و این امر باعث پیچیدگی و گرفتن زمان می شود. این‌ قضیه‌ در‌ DAC بر‌اساس‌ Role هاست‌‌ و‌ همین‌سبب‌ dynamic بودن‌آن‌شده‌است در‌ DAC طبقه‌بندی‌ به‌ خود‌ اسناد‌ و‌منابع‌ سازمان‌ مربوط‌ است. به‌دلیل‌ تغییر‌ در‌نگرش‌ پیاده‌سازی‌ این‌ امر‌توسط‌ DAC این‌ قضیه‌ بسیار‌ سریع‌ و‌ حتی‌ آنی‌ است. در‌ واقع‌ شما‌ بجای‌ استفاده‌ منحصری‌ از‌ ACL بر‌مبنای‌ کاربران‌ و‌گروه‌ها‌،‌می‌توانید‌ از‌ انواع‌ Rule ها‌ براساس‌ Number Telephone,region, Country,Office , Loaction و‌یا‌خیلی‌موارد‌دیگر‌در‌کنار‌ ACLها‌ استفاده‌کنید و‌ یک‌ مجوعه‌ بسیار‌ دقیق‌ و‌ البته‌ منعطف‌ از‌ سطوح‌ دسترسی‌ را‌بدست‌ آوردید‌،‌ البته‌ این‌ امکان‌ به‌ معنای‌ رد‌کردن و‌یا‌ استفاده‌ نکردن‌ از‌ ACL ها‌ نیست‌ بلکه‌ در‌ کنا ر‌آنها‌ تکمیل‌کننده‌ سطوح‌ دسترسی‌ خواهند‌ بود.

DAC چه‌ کاری‌ را‌ انجام‌ می‌دهد؟

سناریویی را تصور کنید که ادمین یک شرکت هستید که یک فایل سروری را دارید که بیش از 30 شعبه در اقصی نقاط کشور دارید به همین دلیل یک فولدر به ازای هر شعبه متناطر با نام شهر ایجاد کرده اید. روی فایل سرور یک پوشه درست کرده اید و داکیومنت های Administration را درون آن قرار دادید که فقط کاربران دپارتمان IT به آن دسترسی دارند. یک گروه می سازید و تمام اعضای دپارتمان IT را عضو آن می کنید و Permision را فقط برای اعضای آن گروه قرار می دهید. این حالت را می توانستیم با مکانیزم ACL پیاده سازی کنیم. اما زمانی که 30شعبه دارید و به ازای هر شهر یک فولدر درست کرده اید تا فقط کاربران آن
شهر به آن دسترسی داشته باشند کار کمی دشوار می شود و استفاده از مکانیزم ACL کمی پیچیده می شود. هر چه تعداد شهر بیشتر می شود این کار نیز سخت تر می شود. اگر بخواهیم این موضوع را با جزئیات بیشتری بیان کنیم این است که ..

DAC و شرطی‌ شدن‌ دسترسی‌ بر‌ اساس‌ متغیر

City از‌خصوصیات‌یوزر‌یک‌ Claim است. همچنین‌برای‌Resource یک‌Property است. Property Resource با‌Claim یوزر‌ مقایسه‌ می‌شود‌ و‌ در‌صورت‌ یکسان‌ بودن‌ دسترسی‌ داده‌ می‌شود. به‌ این‌ معنی‌ که‌ یوزر‌ فقط‌ در‌ صورتی‌ می‌تواند‌ به‌ فولدر‌ دسترسی‌ داشته‌ باشد‌ که‌ شهرش‌ با‌ شه ر‌فولدر‌ یکسان‌ باشد اکنون‌ به‌ کمک‌ ساختارهای‌ Dynaim Access Control یا‌ همان‌ DAC می‌توان‌ به‌ کمک‌ استفاده‌ از‌انواع‌ Claim ها‌‌، Property و‌ همینطور‌ Classification ها‌ شرایطی‌ بسیار‌ جالبی‌ به‌ وجود‌ آوریم .