Active Directory

Access Control або контроль доступу — це набір процесів, правил і технічних механізмів, які визначають, хто може отримати доступ до певного ресурсу.

Ресурсом може бути:

• файл;
• папка;
• база даних;
• сервер;
• застосунок;
• API;
• хмарний сервіс;
• корпоративна мережа;
• кабінет у будівлі;
• банківський рахунок;
• медична картка;
• репозиторій коду;
• панель адміністратора;
• Kubernetes-кластер;
• ERP/CRM-система.

Контроль доступу відповідає на питання:

Хто?
До чого?
Коли?
Звідки?
На яких умовах?
Що саме може зробити?

Контроль доступу можна пояснити на прикладі школи.

Є різні люди:

• учень;
• учитель;
• директор;
• охоронець;
• бухгалтер;
• гість.

І є різні зони:

• клас;
• учительська;
• архів;
• серверна;
• кабінет директора;
• електронний журнал.

Не кожен має доступ всюди.

Учень може зайти в клас, але не повинен мати доступ до оцінок інших учнів або серверної.

Учитель може виставляти оцінки своїм класам, але не повинен змінювати фінансові документи.

Директор може мати ширший доступ, але навіть йому не завжди потрібен прямий доступ до всіх технічних секретів.

Access Control не зводиться до фрази:

“Введи пароль”.

Повна логіка виглядає так:

1. Хто ти?
2. Чи можеш ти довести, що це справді ти?
3. Що тобі дозволено робити?
4. Чи треба записати твої дії в журнал?
5. Чи не змінився контекст доступу?

Наприклад:

Користувач: Anna
Ресурс: financial_report.xlsx
Дія: read
Контекст: робочий ноутбук, корпоративна мережа, робочий час
Рішення: дозволити

Або:

Користувач: Anna
Ресурс: payroll_database
Дія: delete
Контекст: невідомий пристрій, інша країна, ніч
Рішення: заблокувати або вимагати додаткову перевірку

Identification — це процес заявлення особи.

Користувач каже системі:

Я — ось цей користувач.

Приклади ідентифікаторів:

• username;
• email;
• employee ID;
• номер телефону;
• login;
• user ID;
• smart card ID.

Приклад:

login: ivan.petrenko

Але сам логін ще нічого не доводить.

Authentication або автентифікація — це перевірка, що користувач справді той, за кого себе видає.

Приклади:

• пароль;
• PIN;
• одноразовий код;
• push-підтвердження;
• hardware key;
• fingerprint;
• Face ID;
• smart card;
• client certificate.

Проста схема:

Користувач назвав себе.
Система просить доказ.
Користувач надає доказ.
Система перевіряє доказ.

Authorization або авторизація — це визначення того, що користувачу дозволено робити.

Приклад:

Anna успішно увійшла в систему.
Але чи може Anna видалити базу даних?
Чи може Anna переглянути зарплати?
Чи може Anna змінити ролі інших користувачів?

Authentication відповідає на питання:

Хто ти?

Authorization відповідає на питання:

Що тобі дозволено?

Accountability — це можливість відстежити, хто що зробив.

Для цього використовують:

• audit logs;
• access logs;
• security events;
• timestamps;
• user IDs;
• IP addresses;
• device IDs;
• session IDs.

Приклад:

2026-05-09 14:32
user: manager01
action: exported customer list
resource: CRM
ip: 10.0.5.22
result: success

Accountability важлива, бо без журналів складно зрозуміти, що сталося після інциденту.

Багато людей думають:

Є пароль — значить є безпека.

Але насправді пароль може бути:

• слабким;
• вкраденим;
• повторно використаним;
• записаним у нотатках;
• переданим іншій людині;
• збереженим у небезпечному місці;
• перехопленим через phishing.

Тому сучасний контроль доступу часто включає:

• MFA;
• ролі;
• обмеження прав;
• device trust;
• location checks;
• session monitoring;
• audit logs;
• automatic lockout;
• регулярний перегляд доступів.

Discretionary Access Control або DAC — модель, у якій власник ресурсу може сам визначати, хто має доступ.

Приклад:

Користувач створив файл.
Він може дозволити іншому користувачу читати або змінювати цей файл.

DAC часто зустрічається в:

• файлових системах;
• desktop OS;
• простих shared folders;
• document sharing.

Перевага DAC:

• гнучкість;
• зручність для користувачів;
• легко ділитися ресурсами.

Недолік:

• користувач може випадково дати зайвий доступ;
• важче централізовано контролювати безпеку.

Mandatory Access Control або MAC — модель, де доступ визначається централізованою політикою, а не бажанням власника файлу.

Приклад:

Документ має рівень Secret.
Користувач має clearance Confidential.
Доступ заборонено.

MAC використовується там, де важлива сувора безпека:

• військові системи;
• державні системи;
• високозахищені середовища;
• SELinux;
• AppArmor у певних сценаріях;
• системи з класифікацією даних.

Role-Based Access Control або RBAC — одна з найпопулярніших моделей контролю доступу.

У RBAC права даються не кожній людині окремо, а ролям.

Приклад ролей:

• Administrator;
• Manager;
• Accountant;
• Sales;
• Support;
• Developer;
• Viewer.

Схема:

User → Role → Permissions

Наприклад:

Olena має роль Accountant.
Роль Accountant дозволяє створювати invoices.
Отже, Olena може створювати invoices.

Attribute-Based Access Control або ABAC — модель, де рішення про доступ залежить від атрибутів.

Атрибути можуть бути:

• роль користувача;
• відділ;
• країна;
• час;
• IP address;
• device trust;
• sensitivity ресурсу;
• ownership;
• location;
• project;
• data classification.

Приклад правила:

Дозволити доступ,
якщо користувач із відділу Finance,
ресурс має classification Internal,
пристрій корпоративний,
а запит іде з дозволеної країни.

ABAC гнучкіший за RBAC, але складніший.

Access Control List або ACL — список прав доступу до ресурсу.

Приклад:

ACL часто використовуються у:

• файлових системах;
• мережевих пристроях;
• firewall rules;
• cloud storage;
• databases;
• object storage.

Rule-Based Access Control використовує правила.

Приклади правил:

Доступ дозволений тільки з 09:00 до 18:00.

Доступ до admin panel дозволений тільки з корпоративної мережі.

Якщо login із нової країни — вимагати MFA.

Rule-based підхід часто комбінується з RBAC або ABAC.

У підручниках моделі виглядають окремо:

DAC
MAC
RBAC
ABAC
ACL

А в реальному житті вони змішуються.

Наприклад, у хмарній системі може бути:

• RBAC для ролей;
• ABAC для умов;
• ACL для конкретного bucket;
• MFA для login;
• audit logs для accountability;
• policy engine для правил;
• network restrictions для додаткового захисту.

Сучасний access control — це не одна кнопка, а шарова система.

Principle of Least Privilege або принцип найменших привілеїв означає:

Користувач або сервіс має отримувати тільки ті права,
які потрібні для виконання конкретної роботи.

Не більше.

Приклад погано:

Усі працівники мають admin access.

Приклад краще:

Бухгалтер має доступ до рахунків.
Менеджер має доступ до клієнтів.
Розробник має доступ до dev environment.
Адміністратор має окремий privileged account.

Need to Know — принцип, за яким доступ дають тільки тим, кому інформація реально потрібна.

Навіть якщо людина має високий рівень довіри, це не означає, що їй потрібні всі дані.

Приклад:

HR може бачити персональні дані працівників.
Sales не повинен бачити медичні документи.
Developer не повинен бачити зарплати.

Separation of Duties означає розділення критичних повноважень між різними людьми.

Приклад:

Одна людина створює платіж.
Інша людина його затверджує.

Це зменшує ризик:

• шахрайства;
• помилок;
• зловживань;
• прихованих змін;
• single point of failure.

У маленькій команді часто кажуть:

Дамо всім admin, щоб не заважало працювати.

Спочатку це зручно.

Але потім:

• хтось випадково видаляє дані;
• обліковий запис зламують;
• неможливо зрозуміти, хто що зробив;
• колишній працівник зберігає доступ;
• auditor ставить незручні питання;
• production змінюють без контролю.

Адмінські права мають бути винятком, а не стандартом.

Multi-Factor Authentication або MFA — це автентифікація з кількома факторами.

Фактори:

MFA значно зменшує ризик, що вкрадений пароль сам по собі дасть доступ.

Single Sign-On або SSO дозволяє входити в різні сервіси через один identity provider.

Приклад:

Користувач входить через корпоративний Microsoft Entra ID, Google Workspace, Okta або Keycloak.
Після цього отримує доступ до різних застосунків.

Переваги SSO:

• менше паролів;
• централізоване керування;
• легше вимикати доступ;
• MFA в одному місці;
• audit;
• зручність для користувачів.

Недолік:

• identity provider стає критично важливою системою.

Identity and Access Management або IAM — це ширша система керування користувачами, ролями, політиками й доступом.

IAM включає:

• users;
• groups;
• roles;
• permissions;
• policies;
• service accounts;
• MFA;
• SSO;
• access reviews;
• audit logs;
• lifecycle management;
• privileged access management.

IAM особливо важливий у cloud.

Privileged Access Management або PAM — це керування привілейованими доступами.

Привілейовані акаунти:

• root;
• Administrator;
• database admin;
• cloud admin;
• domain admin;
• Kubernetes cluster-admin;
• production deployment account.

PAM допомагає:

• контролювати admin-доступ;
• видавати тимчасові права;
• записувати сесії;
• вимагати approval;
• обмежувати доступ;
• зменшувати ризик зловживань.

Zero Trust — сучасний підхід до безпеки.

Його часто пояснюють так:

Never trust, always verify.

Тобто не можна автоматично довіряти користувачу лише тому, що він “у внутрішній мережі”.

Zero Trust враховує:

• identity;
• device;
• location;
• behavior;
• risk;
• resource sensitivity;
• session context;
• continuous verification.

Назва може звучати агресивно.

Але Zero Trust не означає, що всі підозрілі.

Він означає:

Не давати доступ автоматично.
Перевіряти контекст.
Давати мінімальні права.
Постійно переоцінювати ризик.

Це схоже на аеропорт: навіть якщо людина вже всередині, це не означає, що вона може зайти в кабіну пілота.

Access Control буває не тільки цифровим.

Physical Access Control керує доступом до фізичних місць.

Приклади:

• ключі;
• бейджі;
• турнікети;
• охорона;
• biometric readers;
• smart locks;
• дверні контролери;
• відеоспостереження;
• журнали відвідувачів.

Фізичний доступ важливий, бо якщо хтось має доступ до серверної, він може обійти багато цифрових захистів.

Logical Access Control — це доступ до цифрових систем.

Приклади:

• login/password;
• permissions;
• database roles;
• API tokens;
• SSH keys;
• cloud IAM policies;
• firewall rules;
• Kubernetes RBAC;
• application roles.

Фізичний і логічний контроль доступу часто мають працювати разом.

У Linux контроль доступу базується на:

• users;
• groups;
• file permissions;
• ownership;
• sudo;
• ACL;
• capabilities;
• SELinux;
• AppArmor.

Приклад прав:

-rw-r--r--

Це означає:

owner: read/write
group: read
others: read

Команди:

chmod
chown
chgrp
getfacl
setfacl
sudo

У Windows широко використовуються ACL.

Поняття:

• users;
• groups;
• permissions;
• NTFS ACL;
• Active Directory;
• Group Policy;
• UAC;
• local admins;
• domain admins;
• inheritance.

Типові права:

• Read;
• Write;
• Modify;
• Full Control;
• Execute;
• List folder contents.

У базах даних контроль доступу визначає, хто може:

• читати таблиці;
• змінювати дані;
• створювати таблиці;
• видаляти записи;
• виконувати procedures;
• робити backup;
• керувати користувачами.

Приклад SQL:

GRANT SELECT, INSERT
ON customers
TO sales_user;

Видалення права:

REVOKE INSERT
ON customers
FROM sales_user;

API має перевіряти доступ до кожної важливої дії.

Поганий приклад логіки:

Користувач увійшов — значить може все.

Правильніше:

Користувач увійшов.
Перевірити, чи може він бачити саме цей object.
Перевірити, чи може виконати саме цю action.
Записати дію в audit log.

API access control часто використовує:

• OAuth 2.0;
• OpenID Connect;
• JWT;
• API keys;
• scopes;
• claims;
• roles;
• policies.

У хмарі access control зазвичай реалізується через IAM.

Приклади:

• AWS IAM;
• Azure RBAC / Entra ID;
• Google Cloud IAM;
• Oracle Cloud IAM;
• Kubernetes RBAC;
• Terraform-managed policies.

Cloud IAM контролює:

• хто може створити VM;
• хто може прочитати storage bucket;
• хто може змінити firewall;
• хто може видалити database;
• який сервіс має доступ до secrets;
• які дії дозволені automation pipeline.

У Kubernetes контроль доступу часто базується на RBAC.

Об'єкти:

• Role;
• ClusterRole;
• RoleBinding;
• ClusterRoleBinding;
• ServiceAccount.

Приклад:

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: dev
  name: pod-reader
rules:
  - apiGroups: [""]
    resources: ["pods"]
    verbs: ["get", "list", "watch"]

Це дозволяє створити роль, яка може читати Pods у namespace `dev`.

Люди часто звертають увагу на користувачів:

Хто має admin?
Хто має пароль?

Але в сучасній інфраструктурі багато дій роблять service accounts:

• CI/CD pipeline;
• backup system;
• Kubernetes controller;
• cloud function;
• monitoring agent;
• deployment bot;
• integration connector.

Якщо service account має надмірні права, його компрометація може бути дуже небезпечною.

Broken Access Control — одна з найпоширеніших категорій вразливостей у вебзастосунках.

Суть:

Користувач може зробити те,
що йому не повинно бути дозволено.

Приклади:

• звичайний користувач відкриває admin page;
• користувач бачить чужий invoice;
• можна змінити `user_id` в URL і отримати чужі дані;
• API не перевіряє ownership object;
• роль перевіряється тільки на frontend;
• видалення ресурсу доступне без перевірки прав.

IDOR означає Insecure Direct Object Reference.

Приклад:

/invoice/1001

Користувач змінює URL:

/invoice/1002

І бачить чужий рахунок.

Проблема не в самому числі в URL, а в тому, що backend не перевірив:

Чи має цей користувач право бачити invoice 1002?

Якщо кнопка “Delete” прихована в інтерфейсі, це ще не безпека.

Користувач може:

• викликати API напряму;
• змінити request;
• використати dev tools;
• написати скрипт;
• повторити запит.

Тому access control має перевірятися на backend.

Frontend може покращити UX, але не повинен бути єдиним бар'єром.

Access Review — регулярна перевірка, хто має які права.

Питання:

• чи працівник досі працює в компанії?
• чи змінив він роль?
• чи потрібен йому старий доступ?
• чи є зайві admin-права?
• чи є неактивні акаунти?
• чи є service accounts без власника?
• чи є публічні ресурси?
• чи відповідає доступ принципу least privilege?

Access reviews особливо важливі після:

• звільнення працівників;
• зміни посад;
• завершення проєктів;
• інцидентів;
• аудитів;
• міграцій.

Joiner-Mover-Leaver — модель життєвого циклу доступу.

Найчастіша проблема:

Людина змінила роль або пішла,
а старі доступи залишилися.

Audit logs потрібні для розслідувань і контролю.

Вони мають показувати:

• хто виконав дію;
• коли;
• звідки;
• над яким ресурсом;
• який був результат;
• які права були використані.

Погано:

action completed

Краще:

user=olena
action=delete_invoice
invoice_id=9281
time=2026-05-09T10:44:12Z
ip=10.1.4.55
result=success

Простий приклад:

Охоронець перевірив паспорт — authentication.
Охоронець дозволив зайти тільки на 3 поверх — authorization.

IAM можна вважати великою системою, яка реалізує access control у масштабі організації або cloud-середовища.

Вони не замінюють одне одного.

Краще:

Access Control + Encryption + Audit Logs

Access Control критично важливий для:

• банків;
• лікарень;
• шкіл;
• державних систем;
• ERP;
• CRM;
• хмарної інфраструктури;
• баз даних;
• Git-репозиторіїв;
• production-серверів;
• Kubernetes;
• бухгалтерії;
• персональних даних;
• медичних даних;
• фінансових систем;
• admin panels.

1. Визначити ресурси.
2. Визначити ролі.
3. Визначити потрібні дії.
4. Дати мінімальні права.
5. Увімкнути MFA.
6. Розділити admin і звичайні акаунти.
7. Створити audit logs.
8. Регулярно переглядати доступи.
9. Видаляти старі акаунти.
10. Перевіряти service accounts.
11. Тестувати access control у застосунках.
12. Документувати політики.

Доступ до фінансових звітів дозволено, якщо:
- користувач належить до Finance або Management;
- увімкнено MFA;
- пристрій корпоративний;
- запит іде не з заблокованої країни;
- дія записується в audit log.

Access Control — це не про недовіру до людей.

Це про порядок.

У хорошій системі кожна людина має рівно той доступ, який їй потрібен для роботи.

Не менше — щоб не заважати.

Не більше — щоб не створювати ризик.

Поганий контроль доступу схожий на офіс, де всі мають ключі від усіх кімнат, сейфів і серверної.

Добрий контроль доступу схожий на продуману будівлю: кожен може потрапити туди, де має працювати, але критичні зони захищені, а важливі дії записуються.

Рекомендовані практики:

• використовувати MFA;
• застосовувати least privilege;
• не використовувати shared accounts;
• регулярно переглядати доступи;
• вимикати акаунти колишніх працівників;
• розділяти admin і звичайні акаунти;
• логувати критичні дії;
• перевіряти backend authorization;
• не покладатися тільки на frontend;
• обмежувати service accounts;
• використовувати SSO/IAM;
• шифрувати чутливі дані;
• налаштовувати alerts для підозрілих дій;
• документувати політики доступу.

Access Control — це фундаментальна частина безпеки, яка визначає, хто має доступ до ресурсів і що саме може робити.

Його головні елементи:

• identification;
• authentication;
• authorization;
• accountability;
• roles;
• policies;
• ACL;
• RBAC;
• ABAC;
• MFA;
• audit logs;
• least privilege;
• access reviews.

Головні переваги:

• захист даних;
• менше ризику зловживань;
• кращий контроль;
• простіший аудит;
• менша шкода від зламаних акаунтів;
• відповідність security-вимогам.

Головні ризики:

• надмірні права;
• старі акаунти;
• відсутність MFA;
• погані IAM policies;
• broken access control у застосунках;
• shared admin accounts;
• відсутність журналювання;
• поганий контроль service accounts.

Access Control найкраще працює не як одноразове налаштування, а як постійний процес: видавати доступ, перевіряти його, прибирати зайве, логувати важливе й адаптувати політики до змін у компанії.

• NIST: Access Control concepts
• OWASP: Broken Access Control
• OWASP: Authorization Cheat Sheet
• Microsoft Entra ID documentation
• AWS IAM documentation
• Google Cloud IAM documentation
• Kubernetes RBAC documentation
• Linux permissions documentation
• Windows access control documentation
• Zero Trust security model documentation

Access Control Контроль доступу Кібербезпека Інформаційна безпека Authentication Authorization Identification Accountability IAM RBAC ABAC ACL DAC MAC MFA SSO Zero Trust Least privilege Audit log Broken Access Control IDOR Linux permissions Windows ACL Kubernetes RBAC Безпека даних