Zugriffssteuerung
– wie nur Berechtigte auf zugelassene Ressourcen zugreifen.
Jede Anwendung, die Geschäftsvorgänge oder Geschäftsinformationen verarbeitet, braucht eine Art von Zugriffssteuerung. Diese ermöglicht autorisierten Benutzern den Zugang dazu. Zudem erteilt sie notwendige Berechtigungen. Nicht jedes Mitglied einer Organisation sollte in der Lage sein, eine Zahlung zu betätigen oder eine vertrauliche Information zu lesen.
Eine Zugriffssteuerung ist eng mit den Zielen der Anwendung selbst verbunden. Somit konzipiert man diese zusammen mit der Anwendung. Nur der Anwendungsdesigner weiß, welche Operationen oder Ressourcen kritisch sind. Und für welche Benutzer sie reserviert sind.
Wie wird eine Zugriffssteuerung implementiert?
Neben den vielen Paradigmen für die Zugriffsteuerung (MAC, DAC), ist der wohl bekannteste Ansatz RBAC (Role Based Access Control). 1992 beschrieben ihn D.F. Ferraiolo und D.R. Kuhn. Eine Übersicht über die verschiedenen Konzepte finden Sie hier.
Nach dem RBAC-Prinzip teilt man die Zugriffsrechte einer Anwendung in logische Gruppen (Anwendungsrollen). Diese Rollen weist man dann den Gruppen der jeweiligen Benutzer zu.
Der Anwendungsdesigner entscheidet, welche Anwendungsprivilegien er zusammenfasst. Schließlich entsteht das in der Branche sogenannte „Application Security Model“.
In früheren Zeiten von Client-Server-Anwendungen implementierte man das gesamte Security Model innerhalb der Anwendung mit Hilfe einer Datenbank. Die Datenbank listet die Benutzer in einer Tabelle auf; eine andere Tabelle definierte die Gruppen: eine einfache Auflistung der Benutzer. Oft ist es so, dass Gruppen denselben Namen wie eine Rolle tragen. Meist verwechselt man beide Begriffe miteinander.
Mit der Etablierung von „Identity und Access Management Systemen“ (kurz IAM-Systeme) erfolgt die Pflege der Benutzergruppen direkt in dem IAM-System. Dahingegen die Zuweisung der Anwendungsrollen an die Benutzergruppen und die Auflistung der „Privilegien“ in der Applikation.
Dieses einfache Konzept ist weit verbreitet. Denn heute arbeiten viele Organisationen damit: der Anwendungsdesigner definiert die Rollen und das IAM-System administriert die Mitgliedschaften der gleichnamigen Gruppe. Die Anwendung übernimmt den gesamten Rest.
Zugriffssteuerung – an die digitalen Anforderungen von heute anpassen
Heutzutage zeigt dieses Konzept an verschiedenen Stellen Schwierigkeiten: zuerst durch die Pflege der Gruppen. Was für einige Hunderte Mitarbeiter funktioniert, wird für Millionen von Benutzern im Internet problematisch. Zusätzlich sieht die Implementierung über Benutzerlisten vor, dass die Applikation auf die Datenbank zugreifen soll, die die Informationen gespeichert. Zudem ist das ein Hindernis in Zeiten, in dem die Benutzer bei einer Firma sitzen und ein Service Provider die Anwendung hostet.
Diese und andere Aspekte haben uns motiviert, eine Lösung zu finden. Nach zwei Jahren Arbeit sind wir stolz, diese präsentieren zu dürfen: SecuRole®.
Statt Anwendungsrollen durch die Mitgliedschaft in einer Gruppe darzustellen, nutzt SecuRole® dafür einen digitalen Token. Somit können wir Gruppen skalieren. Um die Sicherheit der Zuweisungen zu erhöhen, signieren wir den Token digital. Ein Token erlaubt es viele Informationen zu speichern: Deswegen gibt es neben dem Rollennamen auch das Gültigkeitsdatum, ein Extra-Feld, das der Anwendung zu Verfügung steht und andere Informationen die für die Revision nützlich sind. Last but not least: Man kann einen Token in einen SSO-Token einbetten. Bei der Sitzung eines Benutzers wird dieser ohne Sicherheitsprobleme an die Anwendung bei dem Service Provider gesendet. Damit sind wir „Cloud-bereit“.
Innovative Zugriffssteuerung – auch morgen noch sicher und up-to-date
Wollen Sie die Zugriffssteuerung Ihrer Anwendungen auf den neuesten Stand bringen? Zugleich Ihre Implementierungskosten reduzieren? Und bereit sein für die Cloud? Oder suchen Sie nach einfachen Lösungen für das Management von Zugriffsrechten, die mit den heutigen Compliance- und Sicherheitsanforderungen mithalten können? Dann sprechen Sie uns an!
Syntlogo bietet erstklassige Beratung. Dazu eine effiziente und innovative Lösung zur Zugriffssteuerung. Wir implementieren diese schnell und einfach in Ihre bestehenden Umgebungen. Sie erfüllt alle Erfordernisse – ganz nach der neuen Datenschutz-Grundverordnung. Simpel, sicher und compliant!