Dieser Artikel wurde maschinell übersetzt.
Zugriffskontrolllisten (ACLs) enthalten eine Reihe von Regeln, die festlegen, was Benutzer in einer bestimmten digitalen Umgebung tun dürfen und was nicht. Die ACL ist eine Liste von Berechtigungen, die vorschreiben, worauf ein Benutzer Zugriff hat und welche Arten von Vorgängen er mit diesem Zugriff durchführen darf.
Es gibt verschiedene Arten von ACLs. Sie können den Zugriff auf das gesamte Netzwerk oder auf bestimmte Dateien und/oder Verzeichnisse innerhalb des Netzwerks filtern. ACLs werden häufig zusammen mit anderen Sicherheitstechnologien verwendet, die den Ablauf des Datenverkehrs innerhalb eines Netzwerks bestimmen.
Eine ACL ist oft ein wichtiger Bestandteil von IT Sicherheitsverfahren, Richtlinien und Technologien.
Zugriffskontrollliste (ACL) definiert
Die Zugriffskontrollliste (ACL) enthält Zugriffskontrolleinträge (ACE), die einem System mitteilen, wie der Datenverkehr innerhalb eines digitalen Netzwerks gefiltert werden soll. Die ACL kann dem System mitteilen, welche Benutzer welche Dinge sehen können, und vorgeben, wer oder was Änderungen innerhalb eines Netzwerks vornehmen kann.
ACLs können den Zugriff auf Dateien und Verzeichnisse oder sogar auf die Netzwerk-IT bestimmen. Die ACL kann auch Lese- und Schreibrechte für Benutzer angeben.
Zu einem bestimmten Zeitpunkt war eine ACL die primäre Methode zum Firewall-Schutz. Heute gibt es Alternativen und zusätzliche Formen der Firewall.
Eine ACL kann in Verbindung mit anderen Sicherheitstechnologien verwendet werden, einschließlich virtuelles privates Netzwerk (VPNs), das bestimmen kann, welcher Datenverkehr verschlüsselt und wohin die IT geleitet werden soll.
Arten von Zugriffskontrolllisten
- Dateisystem-ACL und Netzwerk-ACLs: Die Zugriffskontrolle listet entweder den Filterzugriff auf Netzwerke als Ganzes (Netzwerk-ACLs) oder auf Dateien und/oder Verzeichnisse (Dateisystem-ACLs) auf. Eine Netzwerk-ACL teilt den Routern und Switches mit, welcher Datenverkehr auf das Netzwerk zugreifen darf und welche Art von Aktivität zulässig ist. Eine Dateisystem-ACL teilt dem Betriebssystem mit, welche Benutzer auf das System zugreifen können und welche Berechtigungen sie erhalten.
- ACLs unter Linux oder Windows: ACLs können über Linux oder Windows konfiguriert werden. Linux kann mehr Flexibilität bieten, aber die IT erfordert oft ein hohes Maß an Fachwissen, um sie zu warten. Windows bietet eine stabilere Plattform, die einfacher zu bedienen ist, aber Sie sind nicht in der Lage, Kernel-Änderungen vorzunehmen, wie dies unter Linux möglich ist.
- Standard im Vergleich zu erweiterten ACLs: Es gibt zwei Hauptkategorien von ACLs: Standard-ACL und erweiterte ACL. Die Standard-ACL unterscheidet nicht zwischen IP-Datenverkehr. Stattdessen lässt die IT-Abteilung den Datenverkehr basierend auf der Quell-IP-Adresse zu oder blockiert sie. Die erweiterte ACL verwendet sowohl die Quell- als auch die Ziel-IP-Adresse, und die IT-Abteilung kann den IP-Datenverkehr unterscheiden, um zu bestimmen, welcher Zugriff zulässig oder verweigert wird.
- System Zugriffskontrolle list (SACL) und discretionary Zugriffskontrolle list (DACL): Das SACL-Protokoll versucht, auf ein bestimmtes Objekt zuzugreifen. Die IT kann verwendet werden, um Überwachungsdatensätze zu generieren, um zu bestimmen, wann der Zugriff gewährt wird, wann der Zugriff verweigert wird oder beides. Die DACL gibt an, wer und was Zugriff auf ein sicherungsfähiges Objekt hat. Das System überprüft die ACEs systematisch, um festzustellen, ob der Zugriff gewährt oder verweigert werden soll.
Warum eine ACL verwenden?
Eine ACL kann die Netzwerksicherheit gewährleisten, indem sie bestimmt, welche Benutzer was innerhalb eines Systems tun können und wer Zugriff hat. Dies kann dazu beitragen, das System sicherer zu halten und den reibungslosen Betrieb des Netzwerks zu gewährleisten, da der Datenverkehr um ein gesichertes Objekt herum eingeschränkt ist. Weniger Datenverkehr kann eine bessere Netzwerkleistung bedeuten.
Ein ACL lenkt den Verkehrsablauf, hält fern, was nicht da sein sollte, und lässt herein, was da sein sollte. Die IT kann auch dabei helfen, den ein- und ausgehenden Datenverkehr zu überwachen.
ACLs können spezifisch oder breit angelegt werden. Die ACL kann so gestaltet werden, dass nur bestimmte Benutzer in das System eingelassen werden und die Berechtigungen bestimmt werden, die der Benutzer innerhalb des Systems hat. Eine ACL kann dazu beitragen, das Risiko einer Sicherheitsverletzung zu minimieren, indem sie bestimmt, wer über Rechte innerhalb des Systems verfügt.
Funktionsweise von Zugriffskontrolllisten
Eine ACL verwendet ACEs, um den Ablauf des Datenverkehrs zu diktieren, zu leiten und zu überwachen. Eine Netzwerk-ACL ist ein Datenverkehrsfilter, der in einem Router oder Switch installiert wird, und IT enthält eine Reihe vordefinierter Regeln, um den Zugriff von Paketen oder Routing-Updates auf das Netzwerk entweder zuzulassen oder zu verweigern. Für Router und Switches, die eine ACL verwenden, sind Filterkriterien so eingerichtet, dass sie als Paketfilter fungieren, der Pakete entweder ablehnen oder übertragen kann.
Eine Dateisystem-ACL teilt dem Betriebssystem mit, welche Zugriffsrechte ein Benutzer auf bestimmte Systemobjekte, wie z.B. bestimmte Dateien oder Verzeichnisse, hat. Jedes dieser Objekte ist als Sicherheitseigenschaft mit einer ACL verbunden, und jeder Benutzer, der Zugriffsrecht auf das System hat, hat einen Eintrag in der ACL.
Zu den Benutzerberechtigungen, die eine ACL vorgeben kann, gehört das Erteilen des Lesezugriffs auf bestimmte oder alle Dateien in einem Verzeichnis. Die ACL kann auch bestimmen, ob der Benutzer die Berechtigung zum Ausführen oder Schreiben in die Datei(en) hat. Wenn ein Benutzer eine Anfrage zum Zugriff auf ein Objekt sendet, verwendet das Betriebssystem die ACL, um einen relevanten Eintrag zu finden, der dem Benutzer die angeforderte Berechtigung gewährt. Wird kein passender Eintrag gefunden, wird der Zugriff verweigert oder gesperrt.
Best Practices für die Verwendung von ACLs
Zugriffskontrolllisten sind hilfreiche Sicherheitstools, die einem System und einem Netzwerk eine schnelle und sichere Leistung ermöglichen. Für die IT ist es jedoch wichtig, sie richtig einzurichten, damit Ihr Netzwerk sicher bleibt und reibungslos läuft. Hierzu gehört die Befolgung dieser Best Practices beim Einrichten von ACLs:
- Verwenden Sie ACLs auf jeder Schnittstelle. ACLs sind auf öffentlich zugänglichen Netzwerkschnittstellen erforderlich, um den Zugriff in und aus dem geschützten Netzwerk zu steuern. Eine ACL muss für alle Sicherheits- und Routing-Geräte erzwungen werden, da jeder Standort unterschiedliche Regeln benötigt.
Die nach außen gerichteten Schnittstellen müssen den zulässigen Zugriff angeben, während das interne Netzwerk und die Schnittstellen die Benutzerrechte und Berechtigungen innerhalb des Systems bestimmen müssen. Eine ACL innerhalb des geschützten Netzwerks kann Ihrem System zusätzliche Sicherheit verleihen.
Die von den ACLs festgelegten Regeln können unterschiedlich sein, je nachdem, wo die ACL platziert wird. Diese Regeln können Sicherheitsverletzungen und deren Auswirkungen minimieren, sensible Ressourcen schützen und die Netzwerkleistung verbessern.
- Stellen Sie sicher, dass Sie Ihre ACLs in der richtigen Reihenfolge platzieren. Eine ACL führt die erste Regel aus, auf die die IT-Abteilung stößt, daher ist es wichtig, dass Ihre Regeln in der richtigen Reihenfolge eingegeben werden, damit Ihr Netzwerk reibungslos funktioniert und die Berechtigung so funktioniert, wie Sie es beabsichtigt haben. Eine falsche Regelreihenfolge kann dazu führen, dass die richtigen Personen keinen Zugriff erhalten, Ihr Netzwerk verlangsamt oder geschützte und vertrauliche Ressourcen für die falschen Benutzer anfällig gemacht werden.
Beginnen Sie beim Erstellen einer ACL zuerst mit den allgemeineren Regeln und verjüngen Sie sich dann auf die spezifischeren. Dies kann die Zeit, die ein Paket in Ihrem System verbleibt, begrenzen, wodurch das System mit der erforderlichen Geschwindigkeit arbeiten kann.
Beim Hinzufügen von Regeln zu einer ACL muss die IT-Abteilung unbedingt berücksichtigen, wie die Ereigniskette ablaufen soll und wann die Regeln ausgelöst werden sollen.
- Erwägen Sie, Regeln für eine bestimmte Gruppe von Personen und nicht für einzelne Benutzer festzulegen. Benutzerbasierte ACLs können bedeuten, dass jedes Mal, wenn ein neuer Benutzer eingeführt wird, die ACL aktualisiert werden muss. Das bedeutet, dass Sie bei jeder neuen Einstellung, Neuzuweisung oder Kündigung die ACL aktualisieren und verwalten müssen.
Anstatt Regeln für einzelne Benutzer zu schreiben, können Sie Regeln für Gruppe of Benutzer festlegen. Auf diese Weise hat jeder einer bestimmten Gruppe die gleiche Berechtigung und den gleichen Zugang.
Die Benutzerpopulation innerhalb eines Unternehmens ist in der Regel sehr dynamisch und ändert sich ständig. Die Verwendung von gruppenbasierten ACL-Regeln anstelle von einzelnen, kann daher Zeit und Aufwand sparen.
- Dokumentieren Sie Ihre gesamte Arbeit. Behalten Sie den Überblick über alle Ihre ACL-Regeln. Wenn Sie eine neue Regel hinzufügen, dokumentieren Sie, wann IT hinzugefügt wird, warum IT hinzugefügt wird, wer IT hinzugefügt hat und was die Regel tun soll. ACL-Systeme ermöglichen die Eingabe detaillierter Informationen, was die Verwaltung der ACL erheblich erleichtern kann.
Kommentare können auch für eine Gruppe von Regeln hinzugefügt werden und müssen nicht für jede Regel speziell geschrieben werden. In der IT ist es oft am besten, einen Kombinationsansatz zu verwenden. Einige Regeln erfordern spezifischere Details, während andere gruppiert werden können.
- Verwenden Sie Tools zur ACL-Verwaltung. Je mehr ACLs dem Netzwerk hinzugefügt werden, desto komplexer können sie werden. ACLs können auch recht lang sein, wenn sie aktualisiert werden. Ein ACL-Verwaltungstool kann sicherstellen, dass Regeln in der richtigen Reihenfolge sind, Aktualisierungen bei Bedarf bereitgestellt werden und die ACL so effizient wie möglich ausgeführt wird.
ACL-Management-Tools können Änderungsprotokolle, Benachrichtigungen und Audit-Trail bereitstellen, um das System und das Netzwerk sicher zu halten und die gewünschte Leistung zu erbringen.
RBAC vs. ACL
Eine Alternative zur ACL ist das Modell der rollenbasierten Zugriffskontrolle (RBAC). Die RBAC schränkt den Netzwerkzugriff basierend auf der Rolle eines Benutzers innerhalb des Unternehmens ein oder gewährt ihn und nicht wie die ACL auf der Ebene des einzelnen Benutzers. Die RBAC bestimmt die Zugriffsebene, die bestimmte Rollen haben können.
Nicht jeder im Unternehmen benötigt Zugriff auf das gesamte System. Administratoren auf niedrigerer Ebene sollten beispielsweise keinen Zugriff auf hochsensible Daten haben, die nicht zu ihren beruflichen Aufgaben gehören. Der RBAC kann die Sicherheit innerhalb eines Netzwerks basierend auf der Rolle des Benutzers innerhalb des Unternehmens verwalten.
Für noch mehr Sicherheit und Flexibilität kann eine RBAC mit einer ACL kombiniert werden. Wenn Sie z.B. der Gruppe of Benutzer über die ACL Zugriff gewährt haben und einen Mitarbeiter in einem anderen Projekt innerhalb des Unternehmens haben, können Sie eine RBAC verwenden, um den Zugriff auf die erforderlichen Ressourcen zu ermöglichen, ohne den Abteilungen, die nicht relevant sind, vollen Zugriff zu gewähren.
Zusätzliche Ressourcen
Wenn Sie ein Windows-Betriebssystem verwenden, beschreibt Microsoft, wie Sie eine Zugriffskontrollliste erstellen und ändern. Darüber hinaus bietet Cisco ein Tutorial zum Konfigurieren von IP-Zugriffslisten an.
Sie können auch ein Zugriffsmanagementsystem verwenden, wie es beispielsweise von SolarWinds angeboten wird. Sie können eine kostenlose 30-Tage-Testversion erhalten, um zu sehen, ob sie für Ihr Netzwerk und Ihr Unternehmen geeignet ist. Tools zur Zugriffskontrolllistenverwaltung können zusätzliche Sicherheit bieten und zur Optimierung der Netzwerkleistung beitragen.
Referenzen
Domain 1. (2021). CISSP Studien-Leitfaden (zweite Auflage).
Verbessern der Netzwerksicherheit und -leistung mithilfe optimierter ACLs. (November 2014). Internationale Zeitschrift für Grundlagen der Informatik und Technologie (IJFCST).
Erstellen oder Ändern einer ACL. (Januar 2021). Microsoft.
Zugriffsmanagement System. (2021). SolarWinds Worldwide, LLC.
