🥔 Ziemniak w Dresie

Bazy w dresie #2.13 |Model personifikacji / delegowania (Mechanizmy bezpieczeństwa systemu bazy danych (część 2.))

📂 MySQL

Model personifikacji/delegowania jest alternatywą dla zaufanego podsystemu, który przejmuje odpowiedzialność za działania użytkowników. W tym modelu żądania klientów są przekazywane do serwera bazy danych wraz z identyfikatorami użytkowników (kontekstem bezpieczeństwa), co pozwala na ostateczną autentyfikację i autoryzację użytkowników przez sam serwer bazy danych.

Zalety i wady modelu personifikacji/delegowania

  • Zaleta: Możliwość monitorowania działań użytkowników przez serwer bazy danych, co pozwala na lepsze zarządzanie bezpieczeństwem.
  • Wada: Ograniczona skalowalność, ponieważ serwer bazy danych może zostać przeciążony obsługą wielu połączeń użytkowników.
  • Wada: Większość technologii internetowych nie wspiera tego modelu.

Mechanizmy bezpieczeństwa w serwerach WWW i aplikacjach

Serwery WWW i aplikacji, często łączone w jedną całość, zwykle korzystają z narzędzi programowych, które udostępniają mechanizmy bezpieczeństwa. Omówimy je na przykładzie serwera Microsoft IIS w wersji 5.0.

Bezpieczeństwo w serwerze Microsoft IIS 5.0

Serwer IIS 5.0 oferuje wiele mechanizmów, które zwiększają bezpieczeństwo aplikacji. Usługi serwera internetowego zapewniają trzy poziomy ochrony procesu aplikacji:

  • Aplikacja może być uruchomiona w tym samym procesie co usługi sieci Web.
  • Aplikacja może działać w oddzielnym procesie (większe bezpieczeństwo, ale niższa wydajność).
  • Aplikacja może działać w procesie buforowanym, co zapewnia dodatkową izolację i bezpieczeństwo.

Kontrola uprawnień w serwerze IIS 5.0

Serwer IIS 5.0 pozwala na szczegółową kontrolę uprawnień aplikacji internetowych. Uprawnienia mogą obejmować:

  • Odczyt, zapis, przeglądanie katalogów oraz dostęp do skryptów.
  • Integrację z uprawnieniami systemu plików NTFS, które odnoszą się do kont uwierzytelnionych użytkowników.

Podczas wywołania strony serwer identyfikuje użytkownika, sprawdza ważność jego konta oraz uprawnienia serwera i NTFS związane z dostępem do skryptów.

Metody uwierzytelniania użytkowników w IIS 5.0

W serwerze IIS 5.0 dostępne są różne metody uwierzytelniania użytkowników:

  • Uwierzytelnianie anonimowe – publiczny dostęp dla wszystkich, z mapowaniem na konto anonimowego użytkownika.
  • Uwierzytelnianie podstawowe – logowanie na konto systemu Windows, hasło i użytkownik przesyłane w postaci niezaszyfrowanej.
  • Uwierzytelnianie skrócone – logowanie na konto systemu Windows, hasło i użytkownik przesyłane po wcześniejszym mieszaniu.
  • Zintegrowane uwierzytelnienie Windows – uwierzytelnianie Kerberos v5, oparte na logowaniu lokalnym.
  • Uwierzytelnienie certyfikatów – mapowanie certyfikatów klientów na konta systemu Windows, wykorzystywane w połączeniach SSL.

Zabezpieczenie kanału informacyjnego

Serwer IIS 5.0 wspiera protokół SSL, który zapewnia szyfrowanie transmisji danych, chroniąc w ten sposób wrażliwe informacje przed przechwyceniem podczas przesyłania.

Audyt i monitorowanie

Aby zapewnić pełną kontrolę nad bezpieczeństwem, serwer IIS 5.0 oferuje mechanizmy audytu i monitorowania działań. Dodatkowo, system operacyjny może być wykorzystany do przeprowadzania audytu systemu plików i serwera.