info@yenlo.com
deu
Menu
Identity & Access Management 9 min

Volle Zugangskontrolle

Entdecken Sie die Grundlagen des Identity and Access Management im ersten Teil unserer neuen Serie. Dieser Blog behandelt wichtige IAM-Konzepte wie das Prinzip der minimalen Rechte, Benutzerauthentifizierung und effektives Zugangsmanagement. Erfahren Sie, wie Sie die Sicherheit Ihrer Organisation durch die Umsetzung von Best Practices im IAM verbessern können.

Hans Bot
Hans Bot
Senior Solution Architect
Volle Zugangskontrolle

Teil 1: Identitäts- und Zugangsmanagement richtig gemacht

Dies ist der erste Teil einer zweiteiligen Serie, in der eine innovative Methode zur Verwaltung und Durchsetzung von Berechtigungen diskutiert wird. In diesem Teil wird die Ambition eines unternehmensweiten Systems skizziert, um Benutzerrechte zu verwalten und ihren Zugang zu Informationen zu kontrollieren. Er bereitet den Boden für Teil zwei, in dem ich eine interessante Lösung zur Erfüllung dieser Ambition präsentiere.

Die Bühne bereiten

Identitäts- und Zugangsmanagement (Identity and Access Management) ist eine Kernfunktion der Informationssicherheit. Jede Organisation benötigt eine Methode, um die Benutzer ihrer Informationen zuerst zu identifizieren und dann zu authentifizieren – seien es Menschen, Computersysteme oder neuartige Formen künstlicher Intelligenz –, um ihre Berechtigungen festzulegen. Glücklicherweise sind ausgereifte Standards wie OpenID Connect entstanden, die bei der Implementierung von Single Sign-On helfen und eine gemeinsame Sprache für die Identifizierung dieser Benutzer bieten.

Eine Identität ist ein Mittel zur Identifizierung von etwas. Du hast einen Namen, eine Sozialversicherungsnummer, eine Mobilfunknummer, eine Vielzahl von E-Mail-Adressen, von denen jede als Identifikator verwendet werden kann. Nicht jeder Identifikator ist einzigartig. In IT-Systemen ist das oft problematisch, daher gehen wir große Anstrengungen ein, um eindeutige Identifikatoren zu erstellen. Ebenso versuchen wir zu verhindern, dass Menschen mehrere Identitäten haben. Denke an einen Patienten in einer Apotheke. Wenn er Rezepte von verschiedenen Ärzten unter verschiedenen Identitäten hat, wäre es einfach, eine schädliche Wechselwirkung von Medikamenten zu übersehen. Mit einer einzigen Identität kann automatisch eine Warnung generiert werden. Dies erfordert sowohl ein gemeinsames als auch ein gut verwaltetes Identitätssystem. All dies ist Teil des Identitätsmanagements. Natürlich gibt es auch Nachteile einer geteilten Identität, aber das liegt außerhalb des Umfangs dieses Blogs.

Authentifizierung geht darum, die Echtheit festzustellen. Du könntest behaupten, dass du die Person bist, die durch eves@dropping.it identifiziert wird, aber ich brauche einen Beweis, bevor ich das glaube. Du kannst den Beweis durch etwas teilen, das du und ich beide wissen – ein Passwort oder eine andere geheime Code –, etwas, von dem ich weiß, dass du es in deinem Besitz hast – eine registrierte App, eine Telefonnummer, ein E-Mail-Konto, einen privaten Schlüssel, ein registriertes Gerät, einen Reisepass –, und natürlich etwas, von dem ich weiß, dass es deine körperlichen Merkmale sind – Fingerabdruck, Gesicht, Iris, Handfläche. Natürlich muss dies auch verwaltet werden. Dinge können sich ändern (Telefonnummer), müssen sich ändern (Passwort) oder entwickeln sich langsam (Gesichtszüge).

Autorisierung ist der Umfang der Informationen, auf die du zugreifen darfst, dein Zugriffslevel und möglicherweise die Zugriffsbedingungen. Konzeptionell ist es das einfachste der drei. Allerdings ist es oft eine Herausforderung, es effektiv zu verwalten. Es gibt so viele Änderungen zu verfolgen, und es sind oft mehrere Systeme und Akteure beteiligt, was es schwierig macht, die Berechtigungen immer auf dem neuesten Stand zu halten. Das macht das Zugangsmanagement zu einer interessanten Fähigkeit.

In der IT wird typischerweise das Prinzip des geringsten Privilegs implementiert, wobei keinem Benutzer Berechtigungen gewährt werden, es sei denn, er benötigt sie wirklich. Zusätzlich muss der Zugriff auf digitale Ressourcen auf diejenigen beschränkt sein, für die der jeweilige Benutzer eine Berechtigung hat. Dies wird oft als selbstverständlich angesehen, aber Authentifizierung, Identifizierung und Autorisierung sind ziemlich nutzlos, es sei denn, deine Verzeichnisse sind vertrauenswürdig und dein Zugriff wird effektiv kontrolliert.

Digitale Ressourcen sind das Gewebe, aus dem das World Wide Web besteht. Es ist das ‚r‘ in URL, URI und URN. Es ist ein abstrakter Begriff, der anerkennt, dass ein Standort im Web auf jede Art von digitalem Ding verweisen kann – ein bisschen strukturierte Daten, ein Dokument, ein Dashboard, ein Sensor, ein Algorithmus, um einige konkrete Beispiele für Ressourcen zu geben.

Mit der Verbreitung des Cloud Computing, insbesondere mit stark verteilten cloudnativen Architekturen, ist dies herausfordernder geworden als je zuvor. Ja, Zero Trust gewinnt immer noch an Bedeutung, aber es ist auch wahr, dass es weit davon entfernt ist, einfach umzusetzen. Hier ist die pessimistische Sichtweise der Welt die allgemein akzeptierte Norm: Nichts als sicher annehmen, es sei denn, das Gegenteil ist bewiesen. In diesem Blog präsentiere ich einige frische Ideen, wie du deine Zugangskontrolle überdenken und somit dein Zero Trust richtig umsetzen kannst.

Prinzipien

Wenn du eine Referenzarchitektur für das Identitäts- und Zugangsmanagement entwirfst, ist es eine gute Praxis, zunächst mit deinen Stakeholdern die Ziele der Architektur abzustimmen. Obwohl sich die Details unterscheiden können, sehe ich viele Organisationen auf diese drei Hauptziele zusteuern:

  1. Die Berechtigungsvergabe entspricht dem Prinzip des geringsten Privilegs.
  2. Berechtigungen werden immer wie gewährt durchgesetzt.
  3. Die Durchsetzung der Berechtigungen kann nachgewiesen werden.

Mit anderen Worten, du gibst ein gewagtes Versprechen ab, du hältst das Versprechen und benannte Behörden können überprüfen, dass du dein Versprechen tatsächlich eingehalten hast. Ohne Ausnahmen.

Wenn du denkst, das klingt nach einer zu hohen Hürde, lies bitte weiter. Es gibt eine sehr pragmatische Implementierung, die ich gleich erklären werde. Aber zuerst musst du den richtigen Umfang verstehen.

Umfang

Es ist von entscheidender Bedeutung, einen klaren Umfang für jede Architektur festzulegen, und diese ist sicherlich keine Ausnahme. Traditionell, zumindest nach meiner Erfahrung, umfasste der Umfang des Identitäts- und Zugangsmanagements im Wesentlichen ‚Unternehmensanwendungen‘. Mit anderen Worten, es konzentrierte sich auf den Schutz des Zugriffs auf Unternehmensressourcen. Und mit isolierten Anwendungen funktionierte das ziemlich gut. Mit der Unternehmensintegration begannen die Dinge jedoch kompliziert zu werden – insbesondere, wenn Systeme für die Integration durch Dritte geöffnet wurden. Kürzlich kam die zusätzliche Komplexität verteilter und mobiler Netzwerke hinzu, wodurch die virtuellen Grenzen in deinem IT-Landschaft zunehmend durchlässig werden. Wie verwaltest du den Zugriff auf deine Dienste, Ressourcen, digitale Vermögenswerte, wenn du die Benutzer, die darauf zugreifen, nicht verwaltest? Noch schlimmer, wenn du nicht einmal die Client-Anwendungen verwaltest, die diese Leute verwenden?

Meistens wird das Verwalten des Zugriffs auf APIs ganz anders behandelt als das Verwalten des Zugriffs auf Anwendungen. Oft ist es ein völlig separater Prozess. Und manchmal wird es sogar in einem anderen Teil der Organisation verwaltet. Wenn du nun auf diese geschäftlichen Ziele zurückblickst, ist es weniger offensichtlich, wie man eine Grenze zwischen den Berechtigungen zum Zugriff auf eine Anwendung und den Berechtigungen zum Zugriff auf eine API-Ressource zieht. Es sind buchstäblich nur zwei verschiedene Arten von Schnittstellen – eine Benutzerschnittstelle und eine Anwendungsprogrammierschnittstelle. Darüber hinaus kann eine interne Client-Anwendung – vielleicht eine Single-Page-Webanwendung oder eine mobile App – sehr wohl dieselbe API nutzen wie die externe Client-Anwendung.

Denke daran, dass „Benutzer“ in diesem Zusammenhang alle Arten von Identitäten bedeuten können. Ich habe bereits Menschen, Computersysteme und Formen künstlicher Intelligenz erwähnt, die sich irgendwo auf dem Spektrum zwischen System und Mensch befinden. Mit unseren zunehmend verteilten Architekturen und neuen Arten des Computings – natürliche Sprachverarbeitung, selbstfahrende Autos, autonome Handelssysteme, Roboter, Drohnen – ist ein ganzheitlicherer Ansatz zur Informationssicherheit dringend erforderlich. Die Trennung der API-Zugangskontrolle von der Anwendungszugangskontrolle ist nicht mehr zweckmäßig. Diese Nuss zu knacken wird einen erheblichen Wert für dein Unternehmen freisetzen. Die vollständige Kontrolle über die Informationen, die du teilst, wird sowohl Schäden durch Informationslecks verhindern als auch eine tiefe Zusammenarbeit innerhalb der Organisation und mit Geschäftspartnern ermöglichen.

wp identity and access management
Whitepaper Die Identity Und Access Management Auswahlhilfe

Möchten Sie Ihr Identitäts- Und Zugangsmanagement Gleich Von Anfang An Richtig Regeln?

Jetzt herunterladen

Einer der größten und vielleicht peinlichsten Sicherheitsverletzungen aller Zeiten war der SolarWinds-Lieferkettenangriff. Die SolarWinds Corporation ist ein amerikanisches Unternehmen, das Software für Unternehmen entwickelt, um deren Netzwerke, Systeme und IT-Infrastruktur zu verwalten. Aus der Perspektive der Hacker war dieses Unternehmen ein begehrtes Beuteobjekt. Schließlich hat Software, die den Kern eines Computernetzwerks überwacht, weitreichenden Zugang zu allen wichtigen Systemen einer Organisation.

Vermutlich gelang es russischen Hackern, bösartigen Code zu injizieren, der eine Hintertür in ihren „Orion“-Monitor bot und so viele der 18.000 Kunden von SolarWinds gleichzeitig infizierte. Darunter einige sehr hochkarätige – das Pentagon, das FBI und die National Nuclear Security Administration. Obwohl Details zu den durchgesickerten Informationen rar sind, scheint es sicher anzunehmen, dass die Netzüberwachungssoftware Zugang zu mehr Ressourcen bot als nur zur Netzwerk- und Leistungsüberwachung. Wieder einmal erwies sich das Vertrauen in Lieferanten als riskant. Das Unternehmen wurde mit einer saftigen Geldstrafe von 26 Millionen Dollar belegt und leidet unter einem angeschlagenen Ruf. Die Marktkapitalisierung hat sich ungefähr halbiert und zeigt fast drei Jahre nach Bekanntwerden des Hacks keine Anzeichen einer Erholung.

Da wir nicht zu den geschlossenen Netzwerken der Vergangenheit zurückkehren können, ist der einzig vernünftige Umfang für das Zugangsmanagement all deine digitalen Vermögenswerte und alle Informationen, die in und aus diesen Vermögenswerten fließen, unabhängig von Standort, Technologie oder Benutzer.

Denke zum Beispiel an

  • Informationstechnologie, Betriebstechnologie und Ingenieurtechnologie.
  • Zugriff durch einen Bediener, Administrator, regulären Mitarbeiter, Kunden, Lieferanten, Geschäftspartner, Behörde, …
  • Zugriff über lokale Konsole, Intranet, Extranet, VPN, Citrix-Desktop, Cloud-Desktop oder reguläres Internet.
  • Daten, die in relationalen Datenbanken, in No-SQL-Datenbanken, in Dateien und Ordnern oder in Fallmanagement- oder Dokumentenmanagementsystemen gespeichert sind.
  • Daten, die durch Nachrichten, Warnungen, Ereignisse, E-Mails, Batchdateien, …
  • Systeme, die in der Cloud, in privaten Rechenzentren, auf lokalen Maschinen, auf mobilen Geräten und sogar IoT-Geräten am Rand verwaltet werden.
  • Websites, mobile Apps, APIs, Excel-Tabellen, Dashboards, Berichte, … Und dann denke noch einmal darüber nach.

Geschäftswert

Ich weiß, es klingt übertrieben optimistisch anzunehmen, dass ein so großer und vielfältiger Umfang jemals konsistent und effektiv kontrolliert werden kann. Es mag unmöglich erscheinen, zumindest ohne die Bank zu sprengen und all deine Flexibilität zu verlieren. Aber nicht vollständig zu wissen, was du offengelegt hast, nicht zu wissen, wer Zugang hat, und nicht die Risiken zu kennen, ist auch keine attraktive Vorstellung. Vielleicht denkst du, es kann nur in einer relativ kleinen Organisation mit einer strikten Hierarchie umgesetzt werden. Glaub mir, meine Lösung macht nicht nur aus Sicherheitsgründen Sinn, sondern skaliert auch gut für große und komplexe Organisationen.

Denke nun einmal an die potenziellen Vorteile, die es dir bringen würde. Ein einziger Verwaltungspunkt für Benutzer, Anwendungen und deren Berechtigungen. Wenn nötig, verwaltet als ein föderiertes Vertrauensnetz. Gut verwaltet, richtlinienkonform und konsequent durchgesetzt. Und das Beste von allem, immer auf dem neuesten Stand.

Ich denke, es kann getan werden. Tatsächlich war ich bereits an einer solchen Implementierung beteiligt. Darüber hinaus glaube ich fest daran, dass nur Organisationen, die einen starken unternehmerischen Blick auf die Kontrolle des Zugriffs auf ihre digitalen Vermögenswerte haben, im digitalen Zeitalter erfolgreich werden und bleiben. Behörden fordern es zunehmend, Kunden erwarten es, und es ist sicher anzunehmen, dass Hacker es weiterhin herausfordern werden. Also, ohne Frage, ist es wichtig. Aber ist es dringend genug, jetzt Maßnahmen zu ergreifen? Nun, ich kann dich nur daran erinnern, dass du nicht auf ein unglückliches Ereignis warten solltest, das es dringender macht, als du es dir wünschen würdest.

deu
Schließen
Was ist auf unserer Speisekarte