Komplexe Zugriffsschutzkonzepte
Artikel erschienen in Swiss IT Reseller 2007/15
Artikel erschienen in Swiss IT Reseller 2007/15
Viele Daten sind sensitiv und ihr Schutz immer schwieriger zu realisieren, da immer mehr unterschiedliche Applikationen eingesetzt werden. Wertvolle Informationen sind meistens auch in Office-Dokumenten enthalten, die an unterschiedlichsten Orten abgelegt sind. Jede professionelle Applikation und jeder Speicherort von Office-Dokumenten erlaubt es, den Zugriff auf die Informationen einzuschränken, so dass nur berechtigte Personen darauf zugreifen können. Heute werden dazu vorwiegend statische Zugriffsschutzkonzepte verwendet, das heisst, der Zugriff ist von denen einer Person zugeordneten Berechtigungsgruppen abhängig. Erfahrungsgemäss ist oft ein statischer Zugriffsschutz nicht ausreichend, denn es treten folgende Probleme auf:
Die meisten Applikationen implementieren ein eigenes Berechtigungskonzept, die Berechtigungen werden innerhalb der Applikationen verwaltet. In grösseren Organisationen mit häufigen personellen Veränderungen kann es sehr schwierig sein, die Berechtigungen aktuell zu halten, und die Berechtigungskonzepte der verschiedenen Applikationen sind zueinander nicht kompatibel.
Oft werden viele Daten und viele Benutzer gleich klassifiziert. Damit erhalten viele Personen Zugriff auf viele Daten. Aber es ist beispielsweise vom Datenschutz her nicht zulässig, dass in einem Spital alle Pflegepersonen auf alle Patientendaten zugreifen dürfen.
Viele Applikationen unterstützen einen dynamischen Zugriffsschutz, bei dem erst unmittelbar vor dem Zugriff auf die Daten untersucht wird, ob der Zugriff zulässig ist. Die Entscheidung kann abhängig sein von Daten selbst, von einem Workflowstatus, vom Arbeitsplatz, von der Zeit und weiteren Kriterien. Diese komplexen Zugriffsschutzmechanismen werden in der Regel mit Programmcode innerhalb der Applikation implementiert, was dazu führt, dass Änderungen am Zugriffsschutzkonzept nicht oder nur mühsam durchgeführt werden können. Zudem kann es sehr schwierig sein, den Zugriffsschutz zu verifizieren und ein konsistenter applikationsübergreifender Zugriffsschutz kann kaum gewährleistet werden.
Es werden zunehmend Single-Sign-On-Lösungen angestrebt, das heisst, die Benutzer werden in einer zentralen Datenbank verwaltet. Solche SSO-Lösungen unterstützen auch einfache Autorisierungsaufgaben, Benutzer können also verschiedenen Berechtigungsgruppen zugeordnet werden. Moderne Applikationen haben vielfach keine eigene Benutzerverwaltung. Eine Erweiterung des SSO- auf ein komplexes Zugriffsschutzkonzept kann in grösseren Umgebungen Vorteile bringen. Es gibt verschiedene Lösungsansätze.
Die meisten Applikationen implementieren ein eigenes Berechtigungskonzept, die Berechtigungen werden innerhalb der Applikationen verwaltet. In grösseren Organisationen mit häufigen personellen Veränderungen kann es sehr schwierig sein, die Berechtigungen aktuell zu halten, und die Berechtigungskonzepte der verschiedenen Applikationen sind zueinander nicht kompatibel.
Oft werden viele Daten und viele Benutzer gleich klassifiziert. Damit erhalten viele Personen Zugriff auf viele Daten. Aber es ist beispielsweise vom Datenschutz her nicht zulässig, dass in einem Spital alle Pflegepersonen auf alle Patientendaten zugreifen dürfen.
Viele Applikationen unterstützen einen dynamischen Zugriffsschutz, bei dem erst unmittelbar vor dem Zugriff auf die Daten untersucht wird, ob der Zugriff zulässig ist. Die Entscheidung kann abhängig sein von Daten selbst, von einem Workflowstatus, vom Arbeitsplatz, von der Zeit und weiteren Kriterien. Diese komplexen Zugriffsschutzmechanismen werden in der Regel mit Programmcode innerhalb der Applikation implementiert, was dazu führt, dass Änderungen am Zugriffsschutzkonzept nicht oder nur mühsam durchgeführt werden können. Zudem kann es sehr schwierig sein, den Zugriffsschutz zu verifizieren und ein konsistenter applikationsübergreifender Zugriffsschutz kann kaum gewährleistet werden.
Es werden zunehmend Single-Sign-On-Lösungen angestrebt, das heisst, die Benutzer werden in einer zentralen Datenbank verwaltet. Solche SSO-Lösungen unterstützen auch einfache Autorisierungsaufgaben, Benutzer können also verschiedenen Berechtigungsgruppen zugeordnet werden. Moderne Applikationen haben vielfach keine eigene Benutzerverwaltung. Eine Erweiterung des SSO- auf ein komplexes Zugriffsschutzkonzept kann in grösseren Umgebungen Vorteile bringen. Es gibt verschiedene Lösungsansätze.
In der .NET-Welt
In reinen Microsoft-Umgebungen kann mit Hilfe des Autorisierungsmanagers eine zentrale Verwaltung der Berechtigungen in einer einzigen Ver-waltungskonsole applikationsübergreifend durchgeführt werden. Der Autorisierungsmanager generiert eine XML-Datei, die über den Verzeichnisdienst den verschiedenen Applikationen zur Verfügung gestellt wird. Eine in die Applikation eingebundene Library führt die Zugriffsschutzentscheide durch. Der Autorisierungsmanager ist Bestandteil von Windows Server 2003.In der Java-Welt
In Web-Umgebungen ist der Sun Java System Access Manager interessant, denn er kann gleichzeitig auf mehrere Authentisierungsdienste zugreifen, er unterstützt Active Directory und andere LDAP-Dienste, Zertifikate, Secure-ID u.v.m. Gängige Webserver können mit Agents erweitert werden, Änderungen an Web-Applikationen sind oft nicht notwendig und organisationsübergreifendes Identity Management wird unterstützt. CA, IBM, Oracle Corporation, Sun Microsystems und weitere Firmen arbeiten am OASIS-Standard XACML, einer auf XML basierenden Beschreibungssprache, mit der applikationsunabhängige Regeln aufgestellt werden können. Definitionen werden von einem Autorisierungsdienst interpretiert, Applikationen fragen vor jeder Operation an, ob sie zulässig ist. XACML-basierte Autorisierungsdienste befinden sich noch in einer experimentellen Phase.Zentrale Autorisierungsdienste werden in Zukunft in grösseren IT-Umgebungen eine wichtige Rolle spielen. Hersteller können damit Applikationen schlanker gestalten. Die Auslagerung von komplexen Autorisierungsmechanismen erleichtert zudem die Erstellung von Standard-Software, da die kundenspezifischen Zugriffsschutzanforderungen erst im Rahmen der Einführung festgelegt und implementiert werden können.
Der Autor
Roland Portmann, dipl. Ing ETH, Leiter des Kompetenzzentrums Informations- und Softwaresicherheit, Hochschule für Technik und Architektur, Luzern, Dozent für IT-Sicherheit.Artikel kommentieren
