Mandatory access control (MAC): ¿cómo funciona?

La pro­te­c­ción de los datos es un tema cada vez más im­po­r­ta­n­te y om­ni­pre­se­n­te en los medios de co­mu­ni­ca­ción. Para las empresas en pa­r­ti­cu­lar, contar con una es­tra­te­gia de seguridad integral es un requisito im­pre­s­ci­n­di­ble para proteger los datos de los clientes y la in­fo­r­ma­ción interna contra el acceso no au­to­ri­za­do o el uso no deseado. Por ello, cada usuario obtiene derechos de acceso limitados, que se co­m­prue­ban cada vez que este intenta acceder a algún dato.

Existen varios modelos para im­ple­me­n­tar y mantener este control de acceso, y uno de ellos es el mandatory access control conocido también como control de acceso obli­ga­to­rio. Este modelo también se utiliza en ámbitos como el político o el militar, en los que proteger los datos y ponerlos a prueba de ma­ni­pu­la­cio­nes es es­pe­cia­l­me­n­te im­po­r­ta­n­te. Te ex­pli­ca­mos cómo funciona el control de acceso basado en reglas, así como las ventajas e in­co­n­ve­nie­n­tes de este método.

Para proteger los datos y la co­n­fi­gu­ra­ción del sistema frente a los accesos o cambios no au­to­ri­za­dos, las empresas suelen otorgar a los usuarios úni­ca­me­n­te los derechos que necesitan para llevar a cabo su trabajo. Sin embargo, definir y asignar au­to­ri­za­cio­nes de acceso puede resultar una tarea compleja hasta para las empresas de medio tamaño, ya que cada empresa se divide en di­fe­re­n­tes de­pa­r­ta­me­n­tos, que suelen incluir los de finanzas, marketing y recursos humanos, en los cuales los empleados necesitan de di­fe­re­n­tes derechos de acceso para realizar sus mansiones. Además, cada empleado necesita ex­te­n­sio­nes in­di­vi­dua­les de sus derechos, de­pe­n­die­n­do de su cargo. Para im­ple­me­n­tar y controlar efi­ca­z­me­n­te estas au­to­ri­za­cio­nes de acceso, se han de­sa­rro­lla­do varias es­tra­te­gias de seguridad, incluido el mandatory access control (MAC), o control de acceso obli­ga­to­rio. Con este método, cada usuario solo puede acceder a los recursos del sistema de archivos que necesita im­pe­ra­ti­va­me­n­te. El término “obli­ga­to­rio” ya implica que el control de acceso se basa en unas reglas que deben cumplirse.

Por lo general, asignar los derechos de acceso es co­m­pe­te­n­cia de la ad­mi­ni­s­tra­ción central de las empresas. De ello suele en­ca­r­gar­se una persona que conozca lo su­fi­cie­n­te las tareas de los empleados, lo que garantiza que todos ellos puedan llevar a cabo sus ac­ti­vi­da­des sin re­s­tri­c­cio­nes y que nunca se vean limitados por no disponer de una au­to­ri­za­ción concreta. En las empresas, se suelen encargar de este proceso los ad­mi­ni­s­tra­do­res de sistemas. No­r­ma­l­me­n­te, el uso y ac­tua­li­za­cio­nes continuas del sistema están au­to­ma­ti­za­das por el sistema operativo o un núcleo de seguridad. Cuando un usuario intenta acceder a los datos, el sistema evalúa la solicitud y la acepta o la deniega. La principal ventaja de la im­ple­me­n­ta­ción au­to­ma­ti­za­da es que impide que los datos se manipulen casi por completo.

Las de­ci­sio­nes sobre los derechos de acceso se toman sobre la base de los si­guie­n­tes factores:

• Usuarios y procesos
• Objetos: recursos a los que se accede
• Reglas y pro­pie­da­des: ca­te­go­ri­za­cio­nes, etiquetas y palabras de código

El control de acceso obli­ga­to­rio sigue un modelo je­rá­r­qui­co: se asigna un nivel de seguridad a cada objeto del sistema de archivos, de­pe­n­die­n­do de la co­n­fi­de­n­cia­li­dad de los datos. Por ejemplo, son típicos los niveles de seguridad “co­n­fi­de­n­cial” y “alto secreto”. Los usuarios y los di­s­po­si­ti­vos están sujetos a la misma ca­li­fi­ca­ción. Si un usuario intenta acceder a un recurso, se comprueba au­to­má­ti­ca­me­n­te si esta coincide para de­te­r­mi­nar si el acceso debe pe­r­mi­ti­r­se o denegarse. Además, a todos los datos y usuarios se les asigna una categoría, que el sistema también verifica au­to­má­ti­ca­me­n­te cuando se solicita el acceso. El usuario debe cumplir con ambos criterios (nivel de seguridad y categoría) para poder acceder a los datos.

Existen dos tipos de control de acceso obli­ga­to­rio:

Este modelo, que es la forma original y más sencilla del MAC, consiste en una es­tru­c­tu­ra vertical de pro­te­c­ción y niveles de seguridad. La in­fo­r­ma­ción solo fluye dentro de esta área. También se asigna un nivel de pro­te­c­ción a los usuarios, que, de esta manera, solo pueden acceder a su mismo nivel o a niveles in­fe­rio­res.

Estos sistemas son más complejos y asignan el acceso en función de segmentos que forman aso­cia­cio­nes y que, a su vez, consisten en niveles de pro­te­c­ción y palabras de código. Todo ello da como resultado un sistema de seguridad ho­ri­zo­n­tal que también incluye niveles de pro­te­c­ción ve­r­ti­ca­les.

El mandatory access control es uno de los sistemas de acceso más seguros, porque está a prueba de ma­ni­pu­la­cio­nes. A di­fe­re­n­cia del RBAC, los usuarios del MAC no tienen manera de realizar cambios. El control y el cu­m­pli­mie­n­to de los derechos de acceso están to­ta­l­me­n­te au­to­ma­ti­za­dos y son aplicados por el propio sistema. En co­n­se­cue­n­cia, el control de acceso obli­ga­to­rio es muy fiable. Además, el sistema se ca­ra­c­te­ri­za por su alto grado de in­te­gri­dad: los datos no pueden mo­di­fi­car­se sin la co­rre­s­po­n­die­n­te au­to­ri­za­ción y, por lo tanto, están pro­te­gi­dos contra la ma­ni­pu­la­ción.

Sin embargo, el MAC requiere una pla­ni­fi­ca­ción detallada y un gran esfuerzo de ma­n­te­ni­mie­n­to, incluso después de ser im­ple­me­n­ta­do. Cada asi­g­na­ción de derechos a objetos y usuarios necesita ser revisada y ac­tua­li­za­da co­n­ti­nua­me­n­te. Este trabajo de ma­n­te­ni­mie­n­to pe­r­ma­ne­n­te también incluye añadir nuevos datos o usuarios e im­ple­me­n­tar cambios en la ca­te­go­ri­za­ción o en la cla­si­fi­ca­ción. Por lo general, solo hay una persona au­to­ri­za­da para realizar estas tareas. Esto garantiza un alto nivel de seguridad, pero, ob­via­me­n­te, supone mucho trabajo para el ad­mi­ni­s­tra­dor.

El alto nivel de co­n­fi­de­n­cia­li­dad e in­te­gri­dad del control de acceso obli­ga­to­rio implica que este método se utilice al gestionar datos co­n­fi­de­n­cia­les y en ámbitos críticos en materia de seguridad, como el militar, gu­be­r­na­me­n­tal, político, sanitario, de comercio exterior o, incluso, pe­rio­dí­s­ti­co. No obstante, el MAC también se utiliza en los entornos em­pre­sa­ria­les ha­bi­tua­les. El sistema operativo Security-Enhanced Linux (SELinux) se basa, por ejemplo, en una im­ple­me­n­ta­ción de MAC en el nucleo de Linux.