IT Security März/April
Die Industrie sicherer machen – Sicherheit in Echtzeit für zeitkritische Produktionsverfahren Gravierende Folgen des neuen SAP-Lizenzmodells – Ungeprüfte Berechtigungen: Gefährlich – und nun auch teuer! KI-basierte Angriffserkennung – Möglichkeiten und Grenzen RBAC ist tot – lang lebe PBAC? Warum RBAC nicht stirbt
Die Industrie sicherer machen – Sicherheit in Echtzeit für zeitkritische Produktionsverfahren
Gravierende Folgen des neuen SAP-Lizenzmodells – Ungeprüfte Berechtigungen: Gefährlich – und nun auch teuer!
KI-basierte Angriffserkennung – Möglichkeiten und Grenzen
RBAC ist tot – lang lebe PBAC? Warum RBAC nicht stirbt
- Keine Tags gefunden...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
34 | <strong>IT</strong> SECUR<strong>IT</strong>Y<br />
wenders definiert – und hier liegt auch<br />
einer der Problempunkte der vielen Berechtigungsmodelle.<br />
Während die Rollen<br />
eines RBAC Modells im Identity<br />
Management eher dem statischen Verwaltungsteil<br />
zuzuordnen sind, und etwa<br />
die Rollen, ihr Zuschnitt und die Zuordnung<br />
zu Personen zyklisch geprüft werden<br />
sollten, sind andere Akronyme wie<br />
ABAC, CBAC und auch PBAC (Attribute-,<br />
Context- und Policy Based Access<br />
Control) mehr der Runtime zuzuordnen,<br />
denn sie werden verwendet um bei tatsächlichem<br />
Zugriff(-sversuch) zu klären,<br />
ob das handelnde Subjekt tatsächlich<br />
autorisiert ist, auf das betreffende Objekt<br />
zuzugreifen. Fast alle Access Management<br />
Werkzeuge prüfen dabei die<br />
Mitgliedschaft eines Subjektes in einer<br />
LDAP-Gruppe oder ob bestimmte definierte<br />
Attribute die erforderlichen Werte<br />
enthalten (etwa: „ist Mitglied der<br />
Gruppe Marketing“ oder „Angestelltentyp<br />
ist gleich Manager“). Dies wird<br />
bei modernen Web- oder SaaS Applikationen<br />
nicht mehr über Kerberos abgebildet,<br />
sondern verwendet die <strong>Security</strong><br />
Assertion Markup Language, kurz<br />
SAML in der Version 2.0. Diese Mitgliedschaften<br />
oder Attribute werden<br />
üblicherweise durch das rollenbasiert<br />
arbeitende Identity Governance Werkzeug<br />
im Vorweg gesetzt – aber diese<br />
Zuweisungen sind eher statisch und werden<br />
nur bei Positionswechseln (Mover)<br />
oder Entlassungen (Leaver) angepasst.<br />
Bei Anpassungen an den Zuständigkeiten<br />
einer Funktion, etwa durch eine<br />
Re-Organisation, muss der Zuschnitt der<br />
Rollen angepasst werden – dies wird<br />
über eine Rezertifizierung der Rolle<br />
selbst, oder des Rollenmodells realisiert,<br />
jedoch selten öfters als einmal pro<br />
Jahr oder eben „bei Bedarf“.<br />
An dieser Stelle kommt die Historie der<br />
Softwareentwicklung ins Spiel! Wurden<br />
noch bis in die 2000er Jahre größere<br />
Software Projekte nach Wasserfalls<br />
Modell in Auftrag gegeben und bis<br />
über mehrere Jahre dauernd entwickelt,<br />
so dominiert heute eine agile Entwicklung,<br />
mit kurzen Sprints in denen funktionale<br />
Software in wenigen Wochen<br />
bereitgestellt werden kann (Minimum<br />
Viable Product, MVP). Hatten die IAM<br />
Fachleute also nach GoLive einer nach<br />
Wasserfall entwickelten Software etliche<br />
Jahre Zeit, das darin enthaltene Berechtigungsmodell<br />
in ihr eher statisches<br />
Rollenmodell zu integrieren, so werden<br />
heute nahezu wöchentlich neue Software<br />
Produkte mit sich teilweise dramatisch<br />
unterscheidenden Funktionsumfängen<br />
in Betrieb genommen. Es fällt<br />
schwer sich vorzustellen, wie ein auf<br />
jährliche Überarbeitung ausgelegtes<br />
Rollen-Management diese sich stets im<br />
Wandel befindlichen Zielsysteme abdecken<br />
können soll – ganz zu schweigen<br />
von den Ansätzen eines Continous Integration<br />
/ Continous Delivery (CI/CD),<br />
in dem zu jeder Zeit kleine Änderungen<br />
an Microservices direkt in die Produktion<br />
übernommen werden.<br />
Wie PBAC bei DevOps helfen kann<br />
Das RBAC-Modell betrachtet Berechtigungen<br />
vornehmlich aus Sicht des Anwenders:<br />
„Tina als Auditorin darf die Finanz-Daten<br />
sehen“. Die Frage ist also eher, welche<br />
Arten Anwender man hat, und was<br />
diese in meiner Umgebung tun dürfen.<br />
Access<br />
Management<br />
SC<br />
Access Management<br />
regelt grob-granularen<br />
JA/NEIN Zugriff.<br />
Der Authorization<br />
Service ermöglicht<br />
die Auslagerung<br />
fein-granularer<br />
Entscheidungen<br />
AuthZ<br />
Serv.<br />
Authorization<br />
Service<br />
SC<br />
<strong>März</strong>/<strong>April</strong> 2023 | www.it-daily.net