Autorização, em segurança da informação, é o mecanismo responsável por garantir que apenas usuários autorizados consumam os recursos protegidos de um sistema computacional. Os recursos incluem arquivos, programas de computador, dispositivos de hardware e funcionalidades disponibilizadas por aplicações instaladas em um sistema. Podem ser considerados consumidores de recursos, as pessoas que utilizam um sistema através de uma interface, programas e outros dispositivos de um computador.
A autorização é a concessão de uso para determinados tipos de serviço, dada a um usuário previamente autenticado, com base na sua identidade, nos serviços que requisita e no estado atual do sistema. A autorização pode ser baseada em restrições, que são definidas por um horário de permissão de acesso ou localização física do usuário, por exemplo. A autorização determina a natureza do serviço cujo acesso é permitido a um usuário. Como exemplos de tipos de serviços temos: filtragem de endereço IP, atribuição de endereço, atribuição de rota, serviços diferenciados por QoS, controle de banda/gerenciamento de tráfego, tunelamento compulsório para determinado endpoint e criptografia.[1]
Ciência da computação
O processo de autorização decide se uma pessoa, programa ou dispositivo X tem permissão para acessar determinado dado, programa de computador ou serviço Y. A maioria dos sistemas operacionais modernos possuem processos de autorização. Após um usuário ser autenticado o sistema de autorização verifica se foi concedida permissão para o uso de determinado recurso. As permissões são normalmente definidas por um administrador do sistema na forma de "políticas de aplicação de segurança", como as ACLs (listas de controle de acesso) ou uma "capacidade", com base no "princípio do privilégio mínimo": os consumidores terão permissão apenas para acessar os recursos necessários para realizar a sua tarefa.
Os consumidores anônimos ou visitantes (guests) não precisam passar pelo processo de autenticação. Normalmente, este tipo de usuário possui poucas permissões. Em sistemas distribuídos é conveniente que o acesso seja dado sem a requisição de uma identidade única por parte do consumidor. Exemplos de "tokens de autorização" são as chaves e tickets: eles concedem acesso sem a necessidade de uma identidade.
Existe também o conceito de consumidores "confiáveis". Os consumidores previamente autenticados e que são indicados como confiáveis têm acesso irrestrito aos recursos. Os usuários "parcialmente confiáveis" e os visitantes estão sujeitos à autorização para uso de recursos protegidos. Alguns sistemas operacionais têm a política de segurança, por padrão, de dar acesso irrestrito a todos os usuários em todos os recursos. Outros sistemas, ao contrário, atribuem ao administrador do sistema a tarefa de habilitar o acesso aos usuários para cada um dos recursos.
Mesmo quanto a autorização é realizada através da combinação de autenticação e listas de controle de acesso (ACLs), o gerenciamento da política de segurança de dados não é trivial e frequentemente representa um grande esforço de administração.
Sistema bancário
No contexto de um banco ou operadora de cartões, a autorização pode ser uma referência à permissão dada ao cliente para realizar uma compra através de um cartão de débito ou crédito.
Como a autorização e a autenticação funcionam em conjunto
A Autenticação e autorização de segurança devem ser incorporadas a qualquer site ou aplicativo, embora seja especialmente vital para aqueles que processam transações online ou informações pessoais. Uma vez que qualquer pessoa com a “chave” pode obter acesso, é vital que as empresas implementem uma estratégia de autenticação forte para impedir que usuários não autorizados acessem contas sem permissão.
Ambas mantêm as contas internas internas organizadas e ajudam a detectar atividades não autorizadas antes que se tornem uma ameaça séria. Ë necessário que contas possuam apenas as permissões que realmente precisam, de modo a garantir e se proteger contra violações. Desta maneira, a pode ser detectado qualquer comportamento anormal desde o início e tomar as medidas necessárias para corrigi-lo ou fechá-lo.
Um protocolo de autenticação de segurança forte impede que os cibercriminosos acessem sua conta. Ter um método de autenticação seguro tornará mais difícil para os hackers quebrar a chave de um usuário e obter acesso às suas informações.
Em resumo, Autenticação e a autorização são cruciais, onde uma não substitui a outra, sendo utilizadas como complementares entre si, precisando de ambas para garantir que seus sistemas e sua rede estejam devidamente protegidos.
Referências
Ver também
Ligações externas
- RFC 2904 AAA Authorization Framework
- RFC 2905 AAA Authorization Application Examples
- RFC 2906 AAA Authorization Requirements