Apa itu Kontrol Akses?
Kontrol akses adalah sekumpulan mekanisme dan kebijakan keamanan yang mengatur pengguna, sistem, atau proses mana yang diizinkan mengakses sumber daya tertentu, serta tindakan apa yang berwenang mereka lakukan pada sumber daya tersebut.
Juga dikenal sebagai: authorization, access management
Kontrol akses beroperasi pada dua tingkatan: autentikasi (memverifikasi identitas — "siapa kamu?") dan otorisasi (memverifikasi izin — "apa yang boleh kamu lakukan?"). Autentikasi menetapkan identitas melalui kredensial seperti password, token, atau sertifikat. Otorisasi menentukan apa yang dapat diakses identitas tersebut berdasarkan kebijakan, peran, atau atribut.
Model kontrol akses bervariasi dalam kompleksitas dan fleksibilitas. Discretionary access control (DAC) membiarkan pemilik sumber daya menetapkan izin — seperti izin file Unix. Mandatory access control (MAC) menegakkan kebijakan seluruh sistem yang mengesampingkan preferensi pemilik — digunakan di lingkungan militer dan keamanan tinggi. Role-based access control (RBAC) menugaskan izin ke peran, dan pengguna mewarisi izin melalui keanggotaan peran. Attribute-based access control (ABAC) mengevaluasi beberapa atribut (departemen pengguna, waktu hari, sensitivitas sumber daya) untuk membuat keputusan otorisasi yang dinamis.
Kontrol akses yang efektif mengikuti prinsip hak istimewa minimum: berikan akses minimum yang diperlukan, untuk waktu minimum yang dibutuhkan. Ini berlaku untuk akun layanan, API key, dan komunikasi mesin ke mesin — bukan hanya pengguna manusia. Kontrol akses yang terlalu permisif adalah penyebab utama pelanggaran data, karena penyerang mengeksploitasi izin berlebih untuk bergerak secara lateral melalui sistem setelah kompromi awal.
Cara Vaulted menggunakan Kontrol Akses
Vaulted menerapkan kontrol akses melalui sarana kriptografi dan mekanis, bukan autentikasi berbasis identitas. Akses ke sebuah rahasia mengharuskan kepemilikan tautan unik yang berisi kunci enkripsi di URL fragment. Kontrol akses lebih lanjut diterapkan melalui batas tampilan (rahasia dihapus setelah sejumlah akses yang ditetapkan), kedaluwarsa berbasis waktu (penghapusan TTL otomatis di Redis), dan perlindungan passphrase opsional yang menambahkan faktor pengetahuan. Model ini memberikan kontrol akses yang kuat tanpa memerlukan akun pengguna atau sistem identitas.