Che cos'è un elenco di controllo di accesso?
Un elenco di controllo di accesso (ACL) è un allegato a un file, una directory o un altro oggetto che fornisce informazioni sulle autorizzazioni associate all'oggetto. Se non esiste un elenco di controllo di accesso, chiunque può interagire con l'oggetto e fare qualsiasi cosa con esso. Se è presente un elenco, tuttavia, l'accesso e le attività sono limitati alle persone nell'elenco e le capacità dei singoli utenti possono essere limitate a livelli diversi.
L'elenco può specificare utenti, ruoli o gruppi. Gli utenti sono singoli utenti registrati nel sistema, ad esempio una rete di ufficio. I ruoli sono titoli assegnati alle persone. Ad esempio, un utente potrebbe avere il ruolo di "Amministratore di sistema". Quando un elenco di controllo di accesso limita l'accesso a determinati ruoli, solo le persone in tali ruoli saranno in grado di manipolare l'oggetto. I gruppi sono raccolte di utenti registrati insieme, ad esempio "Pool di segreteria".
Gli elenchi di controllo di accesso possono determinare chi è autorizzato a visualizzare, modificare, eliminare o spostare un oggetto. Questo può essere utile a livello di sicurezza e può anche prevenire errori. Ad esempio, gli amministratori di sistema possono limitare l'accesso ai file di sistema chiave in modo che le persone non esperte non possano modificare, eliminare o spostare accidentalmente tali file e causare un problema. Allo stesso modo, un file potrebbe essere letto solo ad eccezione di un utente per garantire che se altre persone sulla rete accedono al file, non possono modificarlo.
L'uso di un elenco di controllo degli accessi per la sicurezza fa parte della sicurezza basata sulle capacità, in cui i livelli di sicurezza sono forniti attraverso l'uso di token forniti dagli utenti del sistema. Un token fornisce informazioni sull'autorità di un utente ed è associato a autorizzazioni che determinano se l'utente è autorizzato o meno a eseguire una determinata opzione. Questo metodo di sicurezza consente la sicurezza a un livello altamente flessibile poiché singoli file e directory possono avere autorizzazioni diverse.
L'elenco di controllo degli accessi è valido solo quanto la sicurezza delle singole identità su una rete. Se le persone non usano password o usano password deboli, è possibile dirottare le loro identità e usarle nel sistema. Se un sistema viene penetrato con un registratore di tasti o un malware simile, può anche essere compromesso e consentire a una persona non autorizzata di accedere al sistema. Questo è il motivo per cui la sicurezza è organizzata in strati, in modo tale che una debolezza in un'area non possa far crollare l'intero sistema.