Der definitive Leitfaden zur Attribute-Based Access Control (ABAC)
Attribute-Based Access Control (ABAC) hat sich als die Technologie der nächsten Generation für den sicheren Zugriff auf geschäftskritische Daten etabliert. Die Entwicklung der heutigen IT-Technologie, z.B. Cloud-Apps, Datensilos, Mobilgeräte, IoT und Big Data, hat Komplexität der heutigen IT-Landschaft erheblich angestiegen, die Grenzen der Role–Based Access Control (RBAC) aufgezeigt und lässt Unternehmen an der Datensicherheitsfront verwundbar zurück hat. Von vielen, einschließlich Gartner und NIST, wird ABAC nun als der dominierende Mechanismus für die Zukunft angesehen. Als Teil eines Konsortiums, das mit der Erstellung einer Referenzarchitektur für ABAC beauftragt wurde, wurde NextLabs vom National Institute of Standards and Technology (NIST) ausgewählt, um bei der Definition der Kernfunktionen und Vorteile von ABAC zu helfen.
Was ist ABAC?
Laut NIST ist ABAC definiert als “eine Zugriffskontrollmethode, bei der Anfragen von Subjekten zur Durchführung von Operationen an Objekten auf der Grundlage von zugewiesenen Attributen des Subjekts, zugewiesenen Attributen des Objekts, Umgebungsbedingungen und einem Satz von Richtlinien, die in Bezug auf diese Attribute und Bedingungen spezifiziert sind, gewährt oder verweigert werden”.
Die Attribute-Based Access Control (ABAC) ermöglicht den Zugriff auf Benutzer auf der Grundlage ihrer Person und nicht auf der Grundlage ihrer Tätigkeit, z. B. der Geschäftseinheit, in der sie arbeiten, und der Art ihrer Einstellung. Attribute ermöglichen eine einfachere Kontrollstruktur, da die Berechtigungen auf der Art des Benutzers, dem Standort, der Abteilung usw. basieren können, was die physischen Aspekte des Unternehmens widerspiegelt. Durch die Betrachtung der Attribute eines Benutzers – Informationen, die bereits bekannt und oft in einem HR-System gespeichert sind – ermöglicht ABAC eine einfachere Formulierung einer umfangreichen, komplexen Zugriffskontrollpolitik. Wenn beispielsweise eine Benutzerin namens Margret Smyth von der Marketingabteilung in die Geschäftsleitung befördert wird, werden ihre Zugriffsrechte aktualisiert, weil sich ihre geschäftlichen Attribute geändert haben, und nicht, weil sich jemand daran erinnert hat, dass sie Administratorrechte hatte und sich die Zeit genommen hat, irgendwo eine Konfigurationsdatei zu aktualisieren.
Die Vorteile von ABAC sind vielfältig und es gibt einige Anforderungen, die nur mit einem ABAC-Modell erfüllt werden können. Der wichtigste Vorteil ist die benutzerintuitive Natur von ABAC, die technische Berechtigungssätze hinter leicht verständlichen Benutzerprofilen verbirgt, die jeder mit der entsprechenden Berechtigung aktualisieren kann, in dem Wissen, dass der Benutzer den benötigten Zugriff hat, solange seine Attribute auf dem neuesten Stand sind. Ein weiterer Vorteil von ABAC ist die Flexibilität, die es bietet. Nahezu alles, was den Benutzer und das Unternehmen betrifft, kann dargestellt werden, so dass das Unternehmen aus der Sicht des Unternehmens und nicht aus der Sicht der IT denken kann. Welche Apps, auf welche Art von Daten die Benutzer zugreifen können, welche Transaktionen sie durchführen können und welche Operationen sie ausführen können, ändert sich automatisch auf der Grundlage dieser kontextbezogenen Faktoren. Der Nettoeffekt ist, dass Unternehmen, die ABAC nutzen, präzisere Entscheidungen auf der Grundlage von Echtzeit-Betriebsinformationen treffen können.
Mit ABAC kann beispielsweise der Zugriff auf geschäftskritische Daten anhand von Attributen oder Merkmalen des Benutzers, der Daten oder der Umgebung bestimmt werden, z.B. Gruppe, Abteilung, Mitarbeiterstatus, Staatsangehörigkeit, Position, Gerätetyp, IP-Adresse oder andere Faktoren, die sich auf das Ergebnis der Autorisierung auswirken könnten. Diese Attribute können aus Benutzeridentitäten, Apps und Systemressourcen, Umgebungsattributen, aber auch aus anderen Datenquellen wie IAM, ERP, PLM, Mitarbeiterinformationen aus einem internen HR-System oder Kundeninformationen aus Salesforce, Datenbanken, LDAP-Servern oder sogar von einem Geschäftspartner für föderierte Identitäten abgerufen werden.
ABAC kann in Verbindung mit der rollenbasierten Zugriffskontrolle (RBAC) verwendet werden, um die einfache Verwaltung von Richtlinien, für die RBAC bekannt ist, mit der flexiblen Spezifikation von Richtlinien und der dynamischen Entscheidungsfindung zu kombinieren, für die ABAC bekannt ist. Die Kombination von RBAC und ABAC in einer einzigen hybriden ABAC/RBAC (ARBAC)-Lösung kann eine zukunftssichere Identitäts- und Zugriffsmanagementlösung bieten, die in der Lage ist, Regeln auf der Grundlage von individuellen Profilen und Parametern der Geschäftsumgebung zu entwerfen und durchzusetzen. ARBAC kann beispielsweise eingesetzt werden, um eine obligatorische Zugriffskontrolle auf der Grundlage bestimmter Attribute durchzusetzen und gleichzeitig eine diskretionäre Zugriffskontrolle durch übergeordnete Rollen, die als “Arbeit-Funktionen” bekannt sind und auf der Grundlage der Beschäftigungsart des Benutzers profiliert werden, zu ermöglichen. Alternativ kann ARBAC auch zur Umsetzung des Konzepts der risikoadaptiven Zugangskontrolle eingesetzt werden, bei dem sich die Zugangsberechtigungen gegenseitig ausschließen, z. B. durch Regeln für die Aufgabentrennung.
Der hybride Ansatz von ARBAC ermöglicht es dem System, die IT- und die Unternehmensstruktur miteinander zu verbinden. Während der Basiszugriff automatisch gewährt wird, kann das Unternehmen bestimmten Benutzern über Rollen, die in die Unternehmensstruktur passen, zusätzlichen Zugriff gewähren. Indem Rollen attributabhängig gemacht werden, können für bestimmte Benutzer automatisch zusätzliche Beschränkungen eingerichtet werden, ohne dass zusätzliche Suchvorgänge oder Konfigurationen erforderlich sind, wodurch die Anzahl der zu verwaltenden Zugriffsprofile besser organisiert und reduziert wird. In einem größeren Unternehmen mit mehreren Geschäftsbereichen und multifunktionalen Mitarbeitern vereinfacht die Möglichkeit, den Zugriff durch Attribute zu steuern, den Prozess der Bestimmung des korrekten Zugriffs für Benutzer. Infolgedessen erleichtert eine hybride Struktur den Unternehmen die Entscheidungsfindung, wenn es darum geht, den Mitarbeitern Zugriff auf Benutzerkonten zu gewähren. Wenn dieser Ansatz mit einer passenden benutzerzentrierten Kontrollschnittstelle kombiniert wird, kann die IT-Abteilung endlich die Arbeit des Onboarding und Offboarding von Benutzern an die Entscheidungsträger im Unternehmen auslagern.
Es ist zu erwarten, dass sich ABAC im Laufe der Zeit als das Autorisierungsmodell der Wahl für Unternehmen durchsetzen wird. Eine Lösung, die die Lücke zwischen RBAC und ABAC schließen kann, ist daher wichtig – ein unverzichtbares, hochwertiges Software-Asset für intelligente Unternehmen!