Suchen

Identitäts- und Zugriffs-Management Schritt für Schritt - Teil 1

Robustes Identity Management schützt das Geschäft

Seite: 3/3

Firma zum Thema

Authentifizierungs- und Autorisierungsstrategien in verteilten IT-Infrastrukturen

Das Entwerfen der zugehörigen Authentifizierungs- und Autorisierungsstrategie zählt in verteilten IT-Infrastrukturen allerdings zu den anspruchsvollsten Tätigkeiten, die im IT-Management anfallen. Dies gilt umso mehr, da der reinen Lehre in der Praxis nicht immer gefolgt werden kann. Der Zuschnitt der Sicherheitsdomänen lässt sich noch verhältnismäßig einfach bewältigen. Im Groben werden drei Sicherheits-Hauptdomänen öffentliches Internet, DMZ (Firewall-Konfiguration für LANs) und Firmennetz als logische und organisatorisch zusammengehörige Bereiche betrachtet, die durch Firewalls, Filtersysteme u.ä. getrennt sind. Innerhalb des Firmennetzes werden wiederum IT-Ressourcen in unterschiedliche Sicherheitsdomänen zusammengefasst. Der Zugriff auf die Daten oder Services einer Sicherheitsdomäne verlangt eine Autorisierung, die in der Regel über Benutzerkonten bzw. Zugriffslisten gesteuert wird. Zur Anmeldung am Benutzerkonto muss der Benutzer authentifiziert werden.

Die Autorisierung und Authentifizierung soll nun innerhalb des IAM das Rollenkonzept übernehmen. Mit ihnen ist wie oben beschrieben die Erwartung verbunden, dass die Anzahl der Rollen deutlich geringer ausfällt als die Anzahl der Nutzer und Zugriffsrechte. Die jeweilige Rollenbildung hat folglich einen maßgeblichen Einfluss auf die zum Teil widersprüchlichen Ziele Effizienz und Sicherheit/Compliance. Überspitzt ausgedrückt wäre es aus Effizienzgründen das Einfachste, jedem Benutzer alles zu erlauben, während aus Compliance-Sicht die rollenbasierende Aufgabentrennung gar nicht fein genug erfolgen kann. Die tägliche Praxis wird an dieser Stelle manchen Kompromiss, aber auch die eine oder andere Vorbereitungsarbeit notwendig machen. Einer IAM-Lösung darf es deshalb nicht allein um die Provisionierung von Identitäten und Rollen gehen. Sie muss gleichzeitig Werkzeuge zur Rollenbildung („Role Mining“) aus der existierenden Infrastruktur als auch zur Analyse und Auflösung von Interessenkonflikten (Segregation of Duties, SoD) bieten. Und ebenso muss sie eine Rechte-Separation und Server-Härtung im Zugriffs-Management unterstützen, um über ein differenziertes Management von „Superuser“-Berechtigungen eine größere Sicherheit zu realisieren.

Bildergalerie

Der Lohn dieser konzeptionellen Arbeiten und Überlegungen: Es wird die Grundlage für ein hocheffizientes automatisiertes Management für die Rollenmodellierung und Benutzer-Provisionierung, für den Genehmigungs-Workflow sowie die Zertifizierung von Zugriffsberechtigungen gelegt. Benutzer sind ohne Zeitverzug produktiv und Administratoren können sich auf ihre Hauptaufgaben konzentrieren, statt sich mit banalen, arbeitsintensiven Tätigkeiten aufzuhalten. Gleichzeitig mindern sich Sicherheits- und Compliance-Risiken, da Benutzer keine Zugriffsrechte erhalten, die im Widerspruch zueinander stehen. Zur Erinnerung sei an dieser Stelle noch einmal der Hinweis auf die Barings Bank erlaubt. Nick Leeson leitete seinerzeit nicht nur den Handel mit Finanzderivaten in Singapur, er war zugleich für die Back-Office-Funktionen verantwortlich, wo die Trades kontrolliert wurden.

Über den Autor

Kurt Denk ist Senior Customer Solutions Architect bei der CA Deutschland GmbH.

Teil 2 der Serie erscheint in Kürze und befasst sich mit den technischen Möglichkeiten (und Grenzen) rollenbasierter Autorisierungsverfahren im Kontext von Organisationsstrukturen.

(ID:2043457)