Cet article a été traduit automatiquement.
Les listes de contrôle des accès (ACL) comportent un ensemble de règles qui précisent ce que l'utilisateur peut ou ne peut pas faire dans un environnement numérique spécifique. L'ACL est une liste d'autorisations qui détermine ce à quoi un utilisateur a accès et les types d'opérations qu'il est autorisé à effectuer avec cet accès.
Il existe plusieurs types d'ACL. Ils peuvent filtrer l'accès à l'ensemble du réseau, ou à des fichiers et/ou annuaires spécifiques au sein du réseau. Les ACL sont souvent utilisées avec d'autres technologies de sécurité qui déterminent le flux de trafic au sein d'un réseau.
Un ACL est souvent un élément important des procédures, de la politique et des technologies de sécurité de IT.
liste de contrôle des accès (ACL) définie
La liste de contrôle des accès (ACL) contient des entrées de contrôle des accès (ACE), indiquant à un système comment filtrer le trafic au sein d'un réseau numérique. L'ACL peut indiquer au système quel utilisateur peut voir quelles choses et dicter qui ou quoi peut effectuer des changements au sein d'un réseau.
Les ACL peuvent déterminer l'accès aux fichiers et aux annuaires, voire au réseau informatique. L'ACL peut également spécifier les droits de lecture et d'écriture de l'utilisateur.
Il fut un temps où le LCA était la principale méthode de protection du pare-feu. Aujourd'hui, il existe des alternatives et des formulaires supplémentaires de pare-feu.
Une ACL peut être utilisée en conjonction avec d'autres technologies de sécurité, notamment les VPN (réseaux privés virtuels), qui peuvent déterminer quel trafic doit être crypté et où diriger l'informatique.
Types de listes de contrôle des accès
- Filesystem ACL et networking ACL : les listes de contrôle des accès filtrent l'accès aux réseaux dans leur ensemble (networking ACL) ou aux fichiers et/ou à l'annuaire (filesystem ACL). Une ACL networking indique aux routeurs et aux commutateurs quel trafic est autorisé à accéder au réseau et quel type d'activité est autorisé. Un ACL de système de fichiers indique au système d'exploitation quel utilisateur peut accéder au système et quels sont les privilèges qui lui sont accordés.
- ACL sous Linux ou Windows : Les listes de contrôle d'accès peuvent être configurées sous Linux ou Windows. Linux peut offrir plus de flexibilité, mais sa maintenance nécessite souvent un niveau d'expertise élevé. Windows offre une plate-forme plus stable et plus facile à utiliser, mais vous ne pouvez pas modifier le noyau comme vous pouvez le faire avec Linux.
- ACLs standard et ACLs étendues : Il existe deux catégories principales d'ACL : standard ACL et ACL étendues. L'ACL standard ne différencie pas le trafic IP ; il autorise ou bloque le trafic en fonction de l'adresse IP source. L'ACL étendue utilise à la fois les adresses IP de source et de destination, et les services informatiques peuvent différencier le trafic IP pour déterminer ce qui est autorisé ou refusé.
- La liste de contrôle des accès du système (SACL) et la liste de contrôle des accès discrétionnaire (DACL) : Le journal SACL enregistre les tentatives d'accès à un objet spécifique. L'informatique peut être utilisée pour générer des enregistrements sur audit afin de déterminer quand l'accès est accordé, quand l'accès est refusé, ou les deux. Le DACL identifie qui et quoi sont autorisés à accéder à un objet sécurisé. Le système vérifiera systématiquement les ECA pour déterminer si l'accès doit être accordé ou refusé.
Pourquoi utiliser une ACL ?
Un ACL peut assurer la sécurité du réseau en déterminant quel utilisateur peut faire quoi dans un système et qui y a accès. Cela peut contribuer à rendre le système plus sûr et à assurer le bon fonctionnement du réseau grâce à la restriction du trafic autour d'un objet sécurisé. Moins de trafic peut se traduire par une meilleure performance du réseau.
Une ACL dirige le flux de trafic, en excluant ce qui ne devrait pas être là et en laissant entrer ce qui devrait l'être. Les technologies de l'information peuvent également aider à surveiller le trafic entrant et sortant du système.
Les listes de contrôle d'accès peuvent être spécifiques ou générales. L'ACL peut être conçu pour n'autoriser que certains utilisateurs à entrer dans le système et déterminer les privilèges dont ils disposent dans le système. Un ACL peut aider à minimiser le risque d'une attaque en déterminant qui a des droits dans le système.
Fonctionnement des listes de contrôle des accès
Une ACL utilise des ACE pour dicter, diriger et surveiller les flux de trafic. Une ACL networking est un filtre de trafic installé dans un routeur ou un commutateur, qui contient un ensemble de règles prédéfinies permettant d'autoriser ou de refuser l'accès au réseau à des paquets ou à des mises à jour de routage. Les routeurs et les commutateurs qui utilisent un ACL ont des critères de filtrage configurés pour fonctionner comme un filtre de paquets qui peut soit refuser, soit transférer des paquets.
Une ACL de système de fichiers indique au système d'exploitation les privilèges d'accès d'un utilisateur à des objets spécifiques du système, tels que certains fichiers ou annuaires. Chacun de ces objets est relié à une ACL en tant que propriété de sécurité, et chaque utilisateur ayant un droit d'accès au système possède une entrée dans l'ACL.
Les privilèges utilisateurs qu'une ACL peut imposer comprennent l'autorisation de lire des fichiers spécifiques ou tous les fichiers d'un annuaire. L'ACL peut également déterminer si l'utilisateur a l'autorisation d'exécuter ou d'écrire dans le ou les fichiers. Lorsqu'un utilisateur envoie une demande d'accès à un objet, le système d'exploitation utilise l'ACL pour trouver une entrée pertinente qui permet à l'utilisateur d'obtenir l'autorisation demandée. Si aucune entrée correspondante n'est trouvée, l'accès est refusé ou bloqué.
Bonnes pratiques pour l'utilisation de l'ACL
Les listes de contrôle des accès sont des outils de sécurité utiles qui peuvent permettre à un système et à un réseau de fonctionner rapidement et en toute sécurité, mais il est important de les configurer correctement pour que votre réseau reste sûr et fonctionne sans heurts. Il s'agit notamment de suivre ces bonnes pratiques lors de la mise en place des ACL :
- Utilisez des listes de contrôle d'accès (ACL) sur chaque interface. Les listes de contrôle d'accès (ACL) sont nécessaires sur les interfaces de réseau orientées vers le public afin de contrôler l'accès à l'intérieur et à l'extérieur du réseau protégé. Une ACL devra être appliquée à tous les équipements de sécurité et de routage, car chaque site aura besoin de règles différentes.
Les interfaces tournées vers l'extérieur devront spécifier l'accès autorisé, tandis que le réseau et les interfaces internes devront déterminer les privilèges des utilisateurs et les autorisations au sein du système. Un ACL au sein du réseau protégé peut ajouter une sécurité supplémentaire à votre système.
Les règles définies par les ACL peuvent être différentes en fonction de l'endroit où l'ACL est placée. Ces règles permettent de minimiser les tbd et leur impact, de protéger les ressources sensibles et d'améliorer les performances du réseau.
- Veillez à placer vos ACL dans le bon ordre. Une ACL exécutera la première règle que le service informatique rencontrera. Il est donc important d'entrer vos règles dans le bon ordre pour assurer le bon fonctionnement de votre réseau et pour que l'autorisation fonctionne comme vous l'entendez. Un mauvais ordre des règles peut empêcher les bonnes personnes d'accéder à votre réseau, le ralentir ou laisser des ressources protégées et sensibles à la disposition du mauvais utilisateur.
Lorsque vous créez une LCA, commencez par les règles les plus générales, puis passez aux règles les plus spécifiques. Cela permet de limiter la durée pendant laquelle un paquet reste dans votre système, ce qui permet au système de fonctionner à la vitesse nécessaire.
Lorsque vous ajoutez des règles à une liste de contrôle d'accès, il est important de tenir compte de la manière dont vous souhaitez que la chaîne d'événements se déroule et du moment où vous souhaitez que les règles soient déclenchées.
- Envisagez de fixer des règles pour un groupe spécifique de personnes plutôt que pour un utilisateur individuel. Les ACL basées sur l'utilisateur peuvent signifier que chaque fois qu'un nouvel utilisateur est introduit, l'ACL doit être mise à jour. Cela signifie qu'à chaque nouvelle embauche, réaffectation ou licenciement, vous devrez mettre à jour et gérer l'ACL.
Au lieu de rédiger des règles pour chaque utilisateur, vous pouvez définir des règles pour un groupe d'utilisateurs. De cette manière, tous les membres d'un groupe spécifique auront la même autorisation et le même accès.
La population d'utilisateurs au sein d'une entreprise est généralement très dynamique et évolue en permanence. L'utilisation de règles ACL basées sur le groupe au lieu de règles individuelles permet donc d'économiser du temps et des efforts.
- Documentez tout votre travail. Gardez un œil sur toutes les règles de votre ACL. Lors de l'ajout d'une nouvelle règle, documentez le moment où la TI est ajoutée, la raison pour laquelle elle est ajoutée, la personne qui l'a ajoutée et l'objectif de la règle. Les systèmes de LCA permettent de saisir des informations détaillées, ce qui peut faciliter la gestion de la LCA.
Des commentaires peuvent également être ajoutés pour un groupe de règles et ne doivent pas être rédigés pour chaque règle en particulier. Il est souvent préférable d'utiliser une approche combinée. Certaines règles nécessitent des précisions plus spécifiques, tandis que d'autres peuvent être regroupées.
- Utilisez les outils de gestion de la LCA. Plus on ajoute de listes de contrôle d'accès au réseau, plus elles deviennent complexes. Les listes de contrôle d'accès peuvent également être assez longues lorsqu'elles sont mises à jour. Un outil de gestion d'ACL peut garantir que les règles sont dans le bon ordre, que les mises à jour sont déployées si nécessaire et que l'ACL continue à fonctionner aussi efficacement que possible.
Les outils de gestion de l'ACL peuvent fournir des journaux de modification, des notifications et des pistes d'audit pour que le système et le réseau restent sécurisés et fonctionnent comme prévu.
contrôle d'accès basé sur les rôles vs. ACL
Une alternative à l'ACL est le modèle de contrôle d'accès basé sur les rôles. Le contrôle d'accès basé sur les rôles restreint ou accorde l'accès au réseau en fonction du rôle de l'utilisateur au sein de l'entreprise et non au niveau de l'utilisateur individuel comme le fait l'ACL. Le contrôle d'accès basé sur les rôles détermine le niveau d'accès que certains rôles peuvent avoir.
Tout le monde au sein de l'entreprise n'a pas besoin d'accéder à l'ensemble du système. Par exemple, les administrateurs de niveau inférieur ne devraient pas avoir accès à des données très sensibles qui ne relèvent pas de leurs fonctions. Le contrôle d'accès basé sur les rôles permet de gérer la sécurité au sein d'un réseau en fonction du rôle de l'utilisateur au sein de l'organisation.
Un contrôle d'accès basé sur les rôles peut être combiné avec un ACL pour encore plus de sécurité et de flexibilité. Par exemple, si vous avez accordé l'accès au groupe d'utilisateurs via l'ACL et qu'un employé travaille sur un projet différent au sein de l'organisation, vous pouvez utiliser un contrôle d'accès basé sur les rôles pour permettre l'accès aux ressources nécessaires sans accorder un accès complet aux départements qui ne sont pas concernés.
Ressources supplémentaires
Lorsque vous utilisez un système d'exploitation Windows, Microsoft explique comment créer et modifier une liste de contrôle des accès. En outre, Cisco propose un tutoriel sur la configuration des listes d'accès IP.
Vous pouvez également utiliser un système de gestion des accès, tel que celui proposé par SolarWinds. Vous pouvez obtenir un essai gratuit de 30 jours pour voir si IT convient à votre réseau et à vos organisations. contrôle des accès les outils de gestion de liste peuvent fournir une sécurité supplémentaire et aider à optimiser les performances du réseau.
Références
tbd 1. (2021). CISSP guide de préparation à l'examen (deuxième édition).
Amélioration de la sécurité et de la performance des réseaux à l'aide d'ACL optimisées. (novembre 2014). International Journal in Foundations of Computer Science & Technologies (IJFCST).
Création ou modification d'une ACL. (janvier 2021). Microsoft.
gestion des accès System. (2021), SolarWinds Worldwide, LLC.
