XACML může řídit přístup uživatelů k počítačové síti

DEFINICE XACML (eXtensible Access Control Markup Language) je jazyk založený na XML, který byl navržen speciálně pro ...


DEFINICE
XACML (eXtensible Access Control Markup Language) je jazyk založený na XML,
který byl navržen speciálně pro vytváření síťových politik. Jeho cílem je
možnost automatizovaného použití těchto politik tak, aby zajistily řízení
přístupu k řadě různých síťových zařízení a aplikací v síti.
Zajištění bezpečnosti ve vlastních počítačových sítích je jedním z kritických
úkolů IT oddělení ve všech organizacích. Primárním nástrojem, který každá síť
pro splnění tohoto cíle potřebuje, je správa přístupu schopnost jasně
definovat (a následně vynucovat), který uživatel má umožněn jaký typ přístupu
ke specifickým aplikacím, datům a zařízením.
Když je síť umístěna v jedné budově nebo v jednom areálu, je celý problém
relativně snadno řešitelný prostřednictvím softwaru, který je součástí
instalace operačního systému. Dnešní sítě se však často skládají z propojených
segmentů distribuovaných po celé zemi nebo po celé zeměkouli a mnohé z nich
jsou navíc připojeny k veřejnému internetu.
Rostoucí využití XML jako technologie přinášející obecný mechanismus výměny
dat zjednodušuje a usnadňuje hledání a využívání dat z externích zdrojů.
Aplikace mohou díky XML automatizovaně volat vzdálené webové služby, a tím
získávat nové schopnosti. To je na jedné straně velkým přínosem, na straně
druhé to však s sebou nese další rizika. Správa přístupu se stává obtížnější
právě v době, kdy je důležitější než kdy předtím.

XML jako řešení
Použití XML však nepředstavuje pouze potenciální zvýšení rizika. Je totiž
současně jednou z technologií, které mohou problémy řízení přístupu v
rozsáhlých prostředích pomoci řešit resp. je mohou pomoci řešit další
technologie z ní odvozené. Jedná se především o jazyky SAML (Security
Assertions Markup Language) a XACML (eXtensible Access Control Markup
Language).
Prostřednictvím jazyka SAML lze definovat, jakým způsobem si stroje mají
vyměňovat informace o identitách a přístupových právech v síti. To organizacím
umožňuje sdílet bezpečnostní informace bez toho, aby musely měnit své vlastní
interní bezpečnostní architektury. Jazyk SAML ale slouží pouze k definování
způsobu výměny potřebných informací. Pro to, aby se vědělo, jak získané
informace použít, je třeba ještě jazyka XACML. Ten používá stejné definice
subjektů a akcí jako SAML, současně však nabízí slovník pro vyjádření
pravidel potřebných pro definici bezpečnostních politik organizace a pro
činění autorizačních rozhodnutí.
Technologie XACML byla vyvinuta týmem lidí, který zahrnoval odborníky z firem
Entrust, IBM, OpenNetworks.org, Quadrasis, Sterling Commerce, Sun a BEA
Systems. Letos v únoru byl přijat organizací OASIS (Organization for the
Advancement of Structured Information Standards) za standard.

Uvnitř XACML
XACML má dvě základní komponenty. První z nich je jazyk pro řízení přístupové
politiky, který vývojářům umožňuje specifikovat pravidla, kdo, co a kdy může
dělat. Druhým je pak jazyk typu požadavek/odpověď, který definuje možné
požadavky na přístup k síťovým zdrojům a popisuje možné odpovědi na tyto
požadavky.
XACML umožňuje jemně odstupňované definování aktivit (jakými jsou čtení,
zápis, kopírování nebo mazání) založené na několika kritériích, mezi něž patří
např.:
atributy uživatele vyžadujícího přístup (např.: "Tento dokument mohou vidět
pouze lidé na úrovni manažera divize a vyšší.")
protokol, jímž je požadavek učiněn (např.: "Tato data mohou být prohlížena
pouze tehdy, když je k nim přistupováno prostřednictvím protokolu HTTPS.")
autentizační mechanismus (např.: "Žadatel musí být autentizován za použití
fyzického digitálního zařízení.")

Silné stránky
Jazyk XACML byl navržen proto, aby nahradil existující, obvykle na aplikaci
(a výrobci) závislé proprietární mechanismy sloužící k řízení přístupu.
Předtím, než se tento jazyk objevil, musel každý výrobce aplikací vytvořit
svou vlastní metodu pro specifikaci řízení přístupu a metody různých výrobců
pak typicky neuměly komunikovat jedna s druhou.
První implementace XACML byla realizována firmou Sun Microsystems v Javě a je
dostupná na adrese http://sunxacml.sourceforge.net. Podle představitelů Sunu
má XACML oproti jiným jazykům sloužícím k popisu politiky řízení přístupu ke
zdrojům množství výhod:
Bezpečnostní správci mohou popsat politiku pro řízení přístupu jednou, bez
toho, aby ji museli mnohokrát přepisovat do různých jazyků závislých na
použitých aplikacích. lVývojáři aplikací nemusejí vymýšlet své vlastní jazyky
pro popis přístupových politik a psát kód pro jejich podporu; mohou použít již
existující standardizovaný kód.
XACML je zamýšlen jako jazyk, který je generován strojem. Tvůrci XACML
předpokládají, že budou vyvinuty jednoduše použitelné automatizované nástroje
pro zápis a správu politik XCML motivací jejich tvůrců bude fakt, že tyto
nástroje budou používány mnoha aplikacemi.
XACML může pokrýt naprostou většinu potřeb souvisejících s politikami přístupu
a současně mu nechybí možnost doplňování podpory pro uspokojování dalších
potřeb, které mohou vyvstat.
Jedna politika XACML může být použita pro mnoho zdrojů. To pomáhá zabránit
nekonzistencím a eliminovat duplikaci práce při snaze o vytvoření politik pro
různé rozdílné zdroje.
S XACML je možné, aby se jedna politika odkazovala na jinou. Ve velké
organizaci tak může např. politika pro jeden specifický web odkazovat na
politiku používanou v rámci celé společnosti nebo v její národní pobočce.
Podle zastánců technologie XACML jí uvedené vlastnosti zajišťují světlou
budoucnost.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.