Qu'est-ce que Contrôle d'accès ?
Le contrôle d'accès est l'ensemble des mécanismes et politiques de sécurité qui régissent quels utilisateurs, systèmes ou processus peuvent accéder à des ressources données, et quelles actions ils sont autorisés à effectuer sur ces ressources.
Aussi connu sous le nom de : authorization, access management
Le contrôle d'accès opère à deux niveaux : l'authentification (vérification d'identité : « Qui es-tu ? ») et l'autorisation (vérification des permissions : « Que peux-tu faire ? »). L'authentification établit l'identité au moyen d'identifiants tels que mots de passe, jetons ou certificats. L'autorisation détermine à quoi cette identité peut accéder en fonction de politiques, de rôles ou d'attributs.
Les modèles de contrôle d'accès varient en complexité et en flexibilité. Le contrôle d'accès discrétionnaire (DAC) permet aux propriétaires de ressources de définir les permissions — comme les permissions de fichiers Unix. Le contrôle d'accès obligatoire (MAC) impose des politiques à l'échelle du système qui priment sur les préférences du propriétaire ; on l'utilise dans les environnements militaires et de haute sécurité. Le contrôle d'accès fondé sur les rôles (RBAC) attribue des permissions à des rôles, et les utilisateurs héritent des permissions par leur appartenance à un rôle. Le contrôle d'accès fondé sur les attributs (ABAC) évalue plusieurs attributs (service de l'utilisateur, heure de la journée, sensibilité de la ressource) pour prendre des décisions d'autorisation dynamiques.
Un contrôle d'accès efficace suit le principe du moindre privilège : accorder l'accès minimal nécessaire, pour la durée minimale nécessaire. Cela vaut pour les comptes de service, les clés d'API et la communication de machine à machine — pas seulement pour les utilisateurs humains. Des contrôles d'accès trop permissifs sont l'une des principales causes de fuites de données, car les attaquants exploitent les permissions excédentaires pour se déplacer latéralement à travers les systèmes après une compromission initiale.
Comment Vaulted utilise Contrôle d'accès
Vaulted met en œuvre le contrôle d'accès par des moyens cryptographiques et mécaniques plutôt que par une authentification fondée sur l'identité. L'accès à un secret exige la possession du lien unique, qui contient la clé de chiffrement dans le fragment de l'URL. Un contrôle d'accès supplémentaire est assuré par les limites de consultations (le secret est supprimé après un certain nombre d'accès), l'expiration temporelle (suppression automatique par TTL dans Redis) et la protection optionnelle par phrase secrète, qui ajoute un facteur de connaissance. Ce modèle offre un contrôle d'accès robuste sans comptes d'utilisateur ni système d'identité.