Globalisierungstrends und eine größere Vielfalt in der Geschäftswelt führen dazu, dass die Anforderungen an das Zugriffsmanagement von Unternehmen einen dynamischeren Ansatz erfordern. Dieses NextLabs Whitepaper Managing Role and Group Explosion with Dynamic Authorization beschreibt die aktuellen Herausforderungen, denen sich Unternehmen gegenübersehen, warum die traditionelle Role-Based Access Control (RBAC) durch eine Attribute-Based Access Control (ABAC) ergänzt werden sollte, einige Best Practices zur Implementierung von ABAC und den NextLabs-Ansatz zur Bewältigung der Herausforderungen. Hier ist ein Überblick:

Aktuelle Trends bei den Anforderungen an das Zugangsmanagement

Der Trend zu einem stärker datenzentrierten Ansatz bei der Zugangsverwaltung wird sowohl durch Vorschriften als auch durch die Unternehmenslandschaft ausgelöst.

  • Einführung von Zero Trust: Das National Institute of Standards and Technology (NIST) hat die Empfehlung ausgesprochen (NIST 800-207), dass Organisationen einen Zero-Trust-Ansatz für ihre Sicherheit umsetzen sollten. Nach dem Prinzip Never Trust, Always Verify (Niemals vertrauen, immer überprüfen) wird nicht mehr davon ausgegangen, dass ein Benutzer vertrauenswürdig ist und Zugang zu einem Netzwerk oder System hat. Stattdessen wird jeder Zugriffsversuch unabhängig vom vorherigen Kontext bewertet, und die Benutzer erhalten den am wenigsten privilegierten Zugriff auf die Daten und Applikationen. Mit diesem Ansatz können Unternehmen ihre Sicherheitsmaßnahmen in ein feinkörniges System umwandeln, bei dem der Schutz sensibler und wertvoller Daten im Mittelpunkt steht und nicht der Schutz des Netzwerks. Lesen Sie mehr über Zero-Trust datenzentrierte Sicherheit.
  • Globalisierung und diversifizierte Belegschaft: Die Globalisierung der Handelsbeziehungen, der Geschäftsprozesse und der Belegschaft erfordert von den Unternehmen ein empfindliches Gleichgewicht zwischen effektiven Geschäftspraktiken und Datensicherheit. Kommunikation und Informationsaustausch sind zwar der Schlüssel zu einer erfolgreichen internationalen Zusammenarbeit, stellen aber auch eine Herausforderung für die Sicherung sensibler Daten bei regionen– und organisationsübergreifenden Praktiken dar. Die Diversifizierung der Belegschaft erhöht die Herausforderungen für die Datensicherheit noch weiter, da Mitarbeiter an verschiedenen geografischen Standorten von unterschiedlichen Umgebungen aus auf die Daten und Ressourcen des Unternehmens zugreifen müssen, einschließlich einer Vielzahl von Gerätetypen, verschiedenen Standorten und zu vielen Tageszeiten. Aufgrund dieser Globalisierungstendenzen müssen Unternehmen daher unbedingt ein flexibles und zuverlässiges Zugangsverwaltungssystem entwickeln, um diese Herausforderungen zu bewältigen. 
  • Konsolidierung der Branche: Angesichts des unsicheren Geschäftsumfelds führen Unternehmen verschiedene Konsolidierungen durch, z. B. Fusionen, Übernahmen und die Gründung von Joint Ventures, um ihre Einnahmen zu steigern oder Risiken zu bewältigen. Bei diesen organisatorischen Veränderungen wird der Daten- und Personalfluss in den alten und neuen Organisationen immer komplizierter, so dass es von entscheidender Bedeutung ist, sicherzustellen, dass nur autorisierte Benutzer Zugriff auf sensible, geschäftskritische Daten haben. 
  • IT-Konsolidierung: Um die Arbeitseffizienz zu steigern und den Verwaltungsaufwand zu verringern, neigen Unternehmen mit weltweit verteilten Standorten dazu, weitreichende Systeme anstelle kleinerer Einzelsysteme einzusetzen. Da die Nutzungszeit über den Tag verteilt ist, kann die Nutzung von Zertifizierungen und Systemkapazitäten voll ausgeschöpft werden. Bei der Optimierung des IT-Systems ist es für Unternehmen von entscheidender Bedeutung, dass eine Zugangsverwaltung vorhanden ist. 

Rollen- und Gruppenexplosion: Wie man sie löst 

Beim traditionellen RBAC würde jede Zugriffskombination durch eine bestimmte Rolle spezifiziert, und die Benutzer eines Systems wären Mitglieder aller Rollen, die den von ihnen benötigten Zugriff abdecken. RBAC-Ansätze erfordern daher eine exponentielle Anzahl von Rollen oder Benutzergruppen, die definiert werden müssen, was zu einer Rollen- und Gruppenexplosion führt. RBAC erhöht die Komplexität der Zugriffsverwaltung, insbesondere wenn die Zugriffskontrolle auf einer detaillierteren Ebene implementiert wird. 

Die Integration der Attribute-Based Access Control (ABAC) in RBAC kann den Zugriffsverwaltungsprozess erheblich vereinfachen und die bestehenden RBAC-Funktionen verbessern. ABAC ist definiert als an access control method where subject requests to perform operations on objects are granted or denied based on assigned attributes of the subject, object, and environment conditions, and a set of policies that are specified in terms of those attributes and conditions. [eine Zugriffskontrollmethode, bei der Anfragen von Subjekten zur Durchführung von Operationen an Objekten auf der Grundlage von zugewiesenen Attributen des Subjekts, des Objekts und der Umgebungsbedingungen sowie einer Reihe von Richtlinien, die in Bezug auf diese Attribute und Bedingungen spezifiziert sind, gewährt oder verweigert werden.] Die Kombination von Attributen und Umgebungsfaktoren wie Standort und Tageszeit ermöglicht eine einfache und fein abgestufte Zugriffskontrolle, die sich an verschiedene Geschäftskontexte und -anforderungen anpassen lässt und die Anzahl der Rollenzuweisungen erheblich reduziert. Die Kombination von ABAC mit RBAC ist sowohl vor Ort als auch in hybriden Cloud-Umgebungen anwendbar und bietet eine zukunftssichere Lösung für das Identitäts- und Zugriffsmanagement.

RBAC vs ABAC

Verwendung der Dynamic Authorization zur Implementierung von ABAC

Eine Schlüsselkomponente bei der Implementierung von Zero-Trust-Sicherheit ist die Bewertung jedes Zugriffs zum Zeitpunkt der Anfrage. Die Integration der Dynamic Authorization mit ABAC stellt nicht nur sicher, dass die Richtlinien bei jedem Zugriffsversuch dynamisch bewertet werden, sondern integriert auch automatisch die neuesten Änderungen in die Bewertung und Durchsetzung der Richtlinien. Dies reduziert sowohl den Aufwand für die Aktualisierung der Richtlinien als auch die Wartezeit bis zum Inkrafttreten der Änderungen. 

NextLabs Zero-Trust Policy Plattformen

Die Zero-Trust-Richtlinienplattformen von NextLabs nutzen Dynamic Authorization bei der Definition und Durchsetzung von ABAC-Richtlinien, die es Unternehmen ermöglichen, fein abgestuften Zugriff und Berechtigungen auf Ressourcen zu gewähren, so dass Benutzer nur auf das zugreifen können, was sie benötigen, und nur die Berechtigungen erhalten, um das zu tun, wozu sie berechtigt sein sollten, sobald sie diesen Zugriff haben.  

Darüber hinaus nutzt die NextLabs-Suite eine zentralisierte Verwaltung von Richtlinien, die es ermöglicht, dass einige wenige Richtlinien eine exponentielle Anzahl von Rollen ersetzen und die Zugriffsverwaltung über alle Applikationen und Systeme hinweg rationalisieren. Die zentrale Verwaltung macht es den Richtlinienadministratoren leicht, Richtlinien hinzuzufügen oder zu aktualisieren und sie schnell im gesamten Unternehmen einzusetzen. Die NextLabs Zero Trust Data-Centric Security Suite umfasst:

  • CloudAz, eine einheitliche Richtlinienplattform, die die Verwaltung zentralisiert und das Prinzip never trust, always verify anwendet, um sicherzustellen, dass die Daten an jedem Zugriffspunkt geschützt sind.   
  • Data Access Enforcer (DAE) hilft Unternehmen, den Datenzugriff von jedem Ort aus zu schützen, indem es den Zugriff auf kritische Daten, die in Datenbanken und Data Lakes gespeichert sind, sichert und schützt.   
  • SkyDRM gewährleistet den dauerhaften Schutz wichtiger Dateien und Dokumente, um Daten unterwegs und im Ruhezustand zu schützen.   
  • Application Enforcer kann zur Sicherung von Applikationen, zur Durchsetzung von Datensicherheitskontrollen und zur Vereinfachung der Rollenverwaltung eingesetzt werden.

Laden Sie das Whitepaper herunter, um mehr darüber zu erfahren, wie ABAC und Dynamic Authorization eine Rollenexplosion verhindern, die Zugriffsverwaltung verbessern und Zero-Trust-Prinzipien erfüllen.