IT Security März/April

Weitere Magazine

Empfehlungen

Info

34 | IT SECURITY wenders definiert – und hier liegt auch einer der Problempunkte der vielen Berechtigungsmodelle. Während die Rollen eines RBAC Modells im Identity Management eher dem statischen Verwaltungsteil zuzuordnen sind, und etwa die Rollen, ihr Zuschnitt und die Zuordnung zu Personen zyklisch geprüft werden sollten, sind andere Akronyme wie ABAC, CBAC und auch PBAC (Attribute-, Context- und Policy Based Access Control) mehr der Runtime zuzuordnen, denn sie werden verwendet um bei tatsächlichem Zugriff(-sversuch) zu klären, ob das handelnde Subjekt tatsächlich autorisiert ist, auf das betreffende Objekt zuzugreifen. Fast alle Access Management Werkzeuge prüfen dabei die Mitgliedschaft eines Subjektes in einer LDAP-Gruppe oder ob bestimmte definierte Attribute die erforderlichen Werte enthalten (etwa: „ist Mitglied der Gruppe Marketing“ oder „Angestelltentyp ist gleich Manager“). Dies wird bei modernen Web- oder SaaS Applikationen nicht mehr über Kerberos abgebildet, sondern verwendet die Security Assertion Markup Language, kurz SAML in der Version 2.0. Diese Mitgliedschaften oder Attribute werden üblicherweise durch das rollenbasiert arbeitende Identity Governance Werkzeug im Vorweg gesetzt – aber diese Zuweisungen sind eher statisch und werden nur bei Positionswechseln (Mover) oder Entlassungen (Leaver) angepasst. Bei Anpassungen an den Zuständigkeiten einer Funktion, etwa durch eine Re-Organisation, muss der Zuschnitt der Rollen angepasst werden – dies wird über eine Rezertifizierung der Rolle selbst, oder des Rollenmodells realisiert, jedoch selten öfters als einmal pro Jahr oder eben „bei Bedarf“. An dieser Stelle kommt die Historie der Softwareentwicklung ins Spiel! Wurden noch bis in die 2000er Jahre größere Software Projekte nach Wasserfalls Modell in Auftrag gegeben und bis über mehrere Jahre dauernd entwickelt, so dominiert heute eine agile Entwicklung, mit kurzen Sprints in denen funktionale Software in wenigen Wochen bereitgestellt werden kann (Minimum Viable Product, MVP). Hatten die IAM Fachleute also nach GoLive einer nach Wasserfall entwickelten Software etliche Jahre Zeit, das darin enthaltene Berechtigungsmodell in ihr eher statisches Rollenmodell zu integrieren, so werden heute nahezu wöchentlich neue Software Produkte mit sich teilweise dramatisch unterscheidenden Funktionsumfängen in Betrieb genommen. Es fällt schwer sich vorzustellen, wie ein auf jährliche Überarbeitung ausgelegtes Rollen-Management diese sich stets im Wandel befindlichen Zielsysteme abdecken können soll – ganz zu schweigen von den Ansätzen eines Continous Integration / Continous Delivery (CI/CD), in dem zu jeder Zeit kleine Änderungen an Microservices direkt in die Produktion übernommen werden. Wie PBAC bei DevOps helfen kann Das RBAC-Modell betrachtet Berechtigungen vornehmlich aus Sicht des Anwenders: „Tina als Auditorin darf die Finanz-Daten sehen“. Die Frage ist also eher, welche Arten Anwender man hat, und was diese in meiner Umgebung tun dürfen. Access Management SC Access Management regelt grob-granularen JA/NEIN Zugriff. Der Authorization Service ermöglicht die Auslagerung fein-granularer Entscheidungen AuthZ Serv. Authorization Service SC März/April 2023 | www.it-daily.net
IT SECURITY | 35 Das PBAC-Modell fragt aus Sicht der Ressourcen: „Intranet-Einträge können von Entitäten editiert werden, die »Editor« als Attributwert in ihrer Jobbeschreibung haben,…“ und diese können auch noch um Bedingungen ergänzt werden: „wenn sie von Firmengeräten aus zugreifen.“ Hier wird die Frage gestellt, welche Ressourcen ich habe, und durch wen oder wie diese genutzt und verwaltet werden. Damit steht der Anwendungsentwickler in viel engerer Beziehung mit den Objekten, die in seiner Applikation zugreifbar und veränderbar angeboten werden. Der Entwickler kann – ganz den Anforderungen der Spezifikation entsprechend – einen Satz an Zugriffspolicies für „seine Objekte“ anlegen und stetig anpassen. Kommen neue Objekte hinzu, werden neue Policies ergänzt. Das kann sowohl einmal im Jahr passieren, als auch jeden Sprint oder nahezu im Minutentakt, falls erforderlich. In diesen Policies kann natürlich auch der etablierte Rollenbegriff und das bestehende Rollenmodell weiter genutzt werden: „Das Objekt kann gelesen werden, wenn das Subjekt den Mitarbeiter-Typ ´Angestellter´ hat. Das Objekt kann aktualisiert werden, wenn das Subjekt die Rolle ´Editor´ hat.“ Dies führt zur angenehmen Situation, dass RBAC mit PBAC-Ansätzen kombiniert werden kann, und eine Koexistenz mittelfristig sinnvoll erscheint. Wo eignet sich PBAC? Die Nutzung von PBAC erfordert eine Anpassung der Berechtigungsverwaltung in den Zielsystemen – folglich ist PBAC nur dann sinnvoll umsetzbar, wenn eigene neue Software-Entwicklungsvorhaben anstehen, oder eine existierende (Webanwendungs-)Software einem Refactoring unterzogen werden soll. Überall dort, wo eher dynamische Entwicklung mit sich schnell ändernden Anforderungen zu finden sind, oder sehr große Mengen an Objekten sich im wechselnden Zugriff durch viele Subjekte finden, kann ein PBAC-Ansatz hilfreich sein. PBAC kann aber auch in eher statischen Umgebungen eine sinnvolle Ergänzung zu RBAC-Modellen sein, wenn moderne Neuentwicklungen parallel zu Altsystemen betrieben und geschützt werden müssen. Hierbei kann der Pflegeaufwand für die Administration der etablierten Rollen erheblich reduziert werden, und die Anwendungslandschaft erhält eine zukunftsweisende, dynamische Autorisierungsplattform. Was ist für eine Umsetzung notwendig? Eine ganze Anwendungslandschaft auf PBAC zu transformieren wäre ein Mammutaufgabe – viele Entwickler haben die Ideen rund um Zanzibar und PBAC jedoch in Form von Open Source Bausteinen adaptiert und stellen diese für andere Entwickler frei zur Verfügung. Genannt seien hier die Projekte „KETO“ und die überaus erfolgreiche Policy Engine „Open Policy Agent“ (OPA) Software, die mit Fördermitteln entstanden ist und sich im Umfeld der hoch-dynamischen Zugriffsverwaltung auf Kubernetes Container einen Namen machen konnte. Zur Umsetzung kommen sogenannte Application Side Cars zum Einsatz, die eingehende Zugriffsanfragen an die zentrale Policy Decision Points leiten, über die zentral verwaltete Policies abgefragt werden können. Hierbei finden sich weitgehend Analogien zu abstrakten Web Access Management Komponenten (PAP, PIP, PDP), die wiederum über moderne Protokolle wie OAuth 2.0 mit den entsprechenden Flows eingebunden werden können. Fazit Komplexe Modelle wie im „Zanzibar“ Papier beschrieben sind nur für wenige Unternehmen und Anwendungsfälle interessant. Die Kernideen rund um dynamischere Verwaltung von Zugriffsrechten können jedoch in nahezu jedem auf DevOps ausgelegten IT-Betrieb sinnvolle Anwendung finden und lassen sich mit modernen Open Source Komponenten auch verhältnismäßig einfach in den Entwicklungsprozess und die Werkzeuglandschaft des IT-Betriebs einbinden. Die etwas angestaubten RBAC-Ansätze werden nicht obsolet, sondern finden mit PBAC eine dynamische und flexible Ergänzung, mit der moderne Autorisierungsmodelle behutsam Einzug in die IT finden können. Sebastian Rohr 1) Zu finden unter https://research.google/pubs/pub48190/ 2) Zu finden unter https://github.com/ory/keto 3) Zu finden unter https://www.openpolicyagent.org/ www.it-daily.net | März/April 2023
Seite 1 und 2: Detect. Protect. Respond. März/Apr
Seite 3 und 4: INHALT | 3 COVERSTORY 04 40 Inhalt
Seite 5 und 6: COVERSTORY | 5 Uwe Gries, Country-M
Seite 7 und 8: IT SECURITY | 7 SAP ? Selbst wenn m
Seite 9 und 10: IT SECURITY | 9 Fälschung oder Rea
Seite 11 und 12: IT SECURITY | 11 Infrastrukturen so
Seite 13 und 14: IT SECURITY | 13 endpunktsicherheit
Seite 15 und 16: IT SECURITY | 15 mentierung des Dat
Seite 17 und 18: IT SECURITY | 17 sich dabei um ein
Seite 19 und 20: IT SECURITY | 19 bungen eindringen
Seite 21 und 22: IT SECURITY | 21 sich damit kaum ne
Seite 23 und 24: mehr als nur tägliche IT-News! SCA
Seite 25 und 26: IT SECURITY | 25 Bild 2: Die Umwand
Seite 27 und 28: IT SECURITY | 27 zum Betrieb ganzer
Seite 29 und 30: IT SECURITY | 29 Unabhängig davon
Seite 31 und 32: 04.08.21 09:49 is IT IT NEWS Der t
Seite 33: IT SECURITY | 33 direkt erstellt un
Seite 37 und 38: IT SECURITY | 37 beruht vor allem a
Seite 39 und 40: Data Lake: Die etwas ANDERE ART des
Seite 41 und 42: IT SECURITY | 41 hin zur Entdeckung
Seite 43 und 44: IT SECURITY | 43 Passwortmanager wi
Seite 45 und 46: IT SECURITY | 45 blematisch werden,
Seite 47 und 48: IT SECURITY | 47 DIE GRÖSSTEN RISI

IT Security März/April

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?