IT Security März/April
Die Industrie sicherer machen – Sicherheit in Echtzeit für zeitkritische Produktionsverfahren Gravierende Folgen des neuen SAP-Lizenzmodells – Ungeprüfte Berechtigungen: Gefährlich – und nun auch teuer! KI-basierte Angriffserkennung – Möglichkeiten und Grenzen RBAC ist tot – lang lebe PBAC? Warum RBAC nicht stirbt
Die Industrie sicherer machen – Sicherheit in Echtzeit für zeitkritische Produktionsverfahren
Gravierende Folgen des neuen SAP-Lizenzmodells – Ungeprüfte Berechtigungen: Gefährlich – und nun auch teuer!
KI-basierte Angriffserkennung – Möglichkeiten und Grenzen
RBAC ist tot – lang lebe PBAC? Warum RBAC nicht stirbt
- Keine Tags gefunden...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>IT</strong> SECUR<strong>IT</strong>Y | 35<br />
Das PBAC-Modell fragt aus Sicht<br />
der Ressourcen:<br />
„Intranet-Einträge können von Entitäten<br />
editiert werden, die »Editor« als Attributwert<br />
in ihrer Jobbeschreibung haben,…“<br />
und diese können auch noch<br />
um Bedingungen ergänzt werden:<br />
„wenn sie von Firmengeräten aus zugreifen.“<br />
Hier wird die Frage gestellt,<br />
welche Ressourcen ich habe, und<br />
durch wen oder wie diese genutzt und<br />
verwaltet werden.<br />
Damit steht der Anwendungsentwickler<br />
in viel engerer Beziehung mit den Objekten,<br />
die in seiner Applikation zugreifbar<br />
und veränderbar angeboten werden.<br />
Der Entwickler kann – ganz den<br />
Anforderungen der Spezifikation entsprechend<br />
– einen Satz an Zugriffspolicies<br />
für „seine Objekte“ anlegen und<br />
stetig anpassen. Kommen neue Objekte<br />
hinzu, werden neue Policies ergänzt.<br />
Das kann sowohl einmal im Jahr passieren,<br />
als auch jeden Sprint oder nahezu<br />
im Minutentakt, falls erforderlich. In diesen<br />
Policies kann natürlich auch der<br />
etablierte Rollenbegriff und das bestehende<br />
Rollenmodell weiter genutzt werden:<br />
„Das Objekt kann gelesen werden,<br />
wenn das Subjekt den Mitarbeiter-Typ<br />
´Angestellter´ hat. Das Objekt<br />
kann aktualisiert werden, wenn das<br />
Subjekt die Rolle ´Editor´ hat.“<br />
Dies führt zur angenehmen Situation,<br />
dass RBAC mit PBAC-Ansätzen kombiniert<br />
werden kann, und eine Koexistenz<br />
mittelfristig sinnvoll erscheint.<br />
Wo eignet sich PBAC?<br />
Die Nutzung von PBAC erfordert eine<br />
Anpassung der Berechtigungsverwaltung<br />
in den Zielsystemen – folglich ist<br />
PBAC nur dann sinnvoll umsetzbar,<br />
wenn eigene neue Software-Entwicklungsvorhaben<br />
anstehen, oder eine<br />
existierende (Webanwendungs-)Software<br />
einem Refactoring unterzogen<br />
werden soll. Überall dort, wo eher dynamische<br />
Entwicklung mit sich schnell<br />
ändernden Anforderungen zu finden<br />
sind, oder sehr große Mengen an Objekten<br />
sich im wechselnden Zugriff<br />
durch viele Subjekte finden, kann ein<br />
PBAC-Ansatz hilfreich sein. PBAC kann<br />
aber auch in eher statischen Umgebungen<br />
eine sinnvolle Ergänzung zu<br />
RBAC-Modellen sein, wenn moderne<br />
Neuentwicklungen parallel zu Altsystemen<br />
betrieben und geschützt werden<br />
müssen. Hierbei kann der Pflegeaufwand<br />
für die Administration der etablierten<br />
Rollen erheblich reduziert werden,<br />
und die Anwendungslandschaft<br />
erhält eine zukunftsweisende, dynamische<br />
Autorisierungsplattform.<br />
Was ist für eine Umsetzung<br />
notwendig?<br />
Eine ganze Anwendungslandschaft auf<br />
PBAC zu transformieren wäre ein Mammutaufgabe<br />
– viele Entwickler haben<br />
die Ideen rund um Zanzibar und PBAC<br />
jedoch in Form von Open Source Bausteinen<br />
adaptiert und stellen diese für<br />
andere Entwickler frei zur Verfügung.<br />
Genannt seien hier die Projekte „KETO“<br />
und die überaus erfolgreiche Policy Engine<br />
„Open Policy Agent“ (OPA) Software,<br />
die mit Fördermitteln entstanden<br />
ist und sich im Umfeld der hoch-dynamischen<br />
Zugriffsverwaltung auf Kubernetes<br />
Container einen Namen machen<br />
konnte. Zur Umsetzung kommen sogenannte<br />
Application Side Cars zum Einsatz,<br />
die eingehende Zugriffsanfragen<br />
an die zentrale Policy Decision Points<br />
leiten, über die zentral verwaltete Policies<br />
abgefragt werden können. Hierbei<br />
finden sich weitgehend Analogien zu<br />
abstrakten Web Access Management<br />
Komponenten (PAP, PIP, PDP), die wiederum<br />
über moderne Protokolle wie<br />
OAuth 2.0 mit den entsprechenden<br />
Flows eingebunden werden können.<br />
Fazit<br />
Komplexe Modelle wie im „Zanzibar“<br />
Papier beschrieben sind nur für wenige<br />
Unternehmen und Anwendungsfälle interessant.<br />
Die Kernideen rund um dynamischere<br />
Verwaltung von Zugriffsrechten<br />
können jedoch in nahezu jedem auf<br />
DevOps ausgelegten <strong>IT</strong>-Betrieb sinnvolle<br />
Anwendung finden und lassen sich<br />
mit modernen Open Source Komponenten<br />
auch verhältnismäßig einfach in den<br />
Entwicklungsprozess und die Werkzeuglandschaft<br />
des <strong>IT</strong>-Betriebs einbinden.<br />
Die etwas angestaubten RBAC-Ansätze<br />
werden nicht obsolet, sondern<br />
finden mit PBAC eine dynamische und<br />
flexible Ergänzung, mit der moderne<br />
Autorisierungsmodelle behutsam Einzug<br />
in die <strong>IT</strong> finden können.<br />
Sebastian Rohr<br />
1) Zu finden unter https://research.google/pubs/pub48190/<br />
2) Zu finden unter https://github.com/ory/keto<br />
3) Zu finden unter https://www.openpolicyagent.org/<br />
www.it-daily.net | <strong>März</strong>/<strong>April</strong> 2023