IT ENCYKLOPEDIE

Uživatelské nástroje

Nástroje pro tento web

Umístění: start » acl
Historie: rbac acl
acl

Obsah

ACL – Access Control List

ACL (Seznam řízení přístupu) je tabulka nebo seznam pravidel, který určuje, jaká práva mají konkrétní uživatelé, systémy nebo síťové entity k určitému objektu či službě. Je to základní stavební kámen kybernetické bezpečnosti a správy identit.

1. Typy ACL podle oblasti využití

ACL se implementují v různých vrstvách IT infrastruktury, přičemž každá má svá specifika:

A. Síťové ACL (Network ACLs)

Používají se na routerech, switchích a firewallech k filtrování příchozího a odchozího provozu.

  • Standardní ACL: Filtrují provoz pouze na základě zdrojové IP adresy.
  • Rozšířené ACL (Extended): Dokáží filtrovat podle zdroje, cíle, čísla portu (např. 80 pro HTTP) a typu protokolu (TCP/UDP).
  • Význam: Jsou klíčové pro segmentaci sítě a ochranu před neautorizovaným přístupem.

B. Souborové ACL (Filesystem ACLs)

Rozšiřují základní model oprávnění (jako je např. Linuxové rwx – read, write, execute).

  • Umožňují přiřadit různá práva více uživatelům nebo skupinám k jednomu souboru či složce.
  • Příklad: V systému Windows (NTFS) nebo v Linuxu (přes příkaz setfacl) můžete nastavit, že uživatel „Honza“ může soubor číst, ale uživatelka „Jana“ jej může i upravovat.

2. Struktura pravidla ACL

Každý záznam v ACL (označovaný jako ACE – Access Control Entry) obvykle obsahuje tyto složky:

  • Identifikátor (Subject): Kdo chce přistupovat (uživatelské jméno, IP adresa, ID skupiny).
  • Objekt: K čemu se přistupuje (soubor, síťové rozhraní, databázová tabulka).
  • Operace: Co chce subjekt dělat (čtení, zápis, mazání, spuštění).
  • Povolení/Zákaz: Výsledek pravidla (Allow / Deny).

3. Princip "Implicit Deny"

Jedním z nejdůležitějších bezpečnostních pravidel v ACL je Implicit Deny (Implicitní zákaz). To znamená, že pokud požadavek neodpovídá žádnému pravidlu v seznamu, je automaticky zamítnut.

V konfiguraci síťových prvků se toto pravidlo často nachází na konci seznamu jako neviditelné „deny all“.

4. ACL vs. RBAC

Je důležité nezaměňovat ACL s RBAC (Role-Based Access Control):

  • ACL se zaměřuje na objekt (seznam u souboru říká, kdo k němu může).
  • RBAC se zaměřuje na subjekt (uživatel má roli „Manažer“, která mu dává přístup k celé sadě prostředků).
  • V moderních systémech se oba přístupy často kombinují.

5. Výhody a správa

Výhody Výzvy
Granularita: Velmi detailní nastavení práv pro jednotlivce. Složitost: U velkých systémů může být seznam nepřehledný.
Bezpečnost: Rychlá implementace blokování útočníků (např. podle IP). Výkon: Příliš dlouhé síťové ACL mohou zpomalit směrování paketů.
Audit: Snadnější sledování toho, kdo má kam přístup. Chyby v konfiguraci: Stačí jedno špatné pravidlo a služba je nedostupná.

Související články:

Tagy: security network acl access-control permissions administration

acl.txt · Poslední úprava: autor: admin