Identity und Access Management (IAM) ist ein zentraler Bestandteil eines Sicherheitskonzepts. Hierbei werden Identitäten mit Berechtigungen versehen und so der Zutritt, Zugang und Zugriff im Unternehmen geregelt. Um die Berechtigungen und Rollen im Unternehmen zu verwalten und diese zuzuteilen existieren verschiedene Methoden, unter anderem RBAC und ABAC. Nachfolgend werden beide Zugriffsmodelle genauer betrachtet.
Der Inhalt im Überblick
Unterschiede zwischen RBAC vs. ABAC
Einer der Hauptunterschiede zwischen RBAC vs. ABAC ist die Methodik wie Autorisierungen gewährt und verteilt werden. Während man bei
- Role Based Access Control (RBAC) Autorisierungen basierend auf Rollen vergibt, werden diese bei
- Attribut Based Access Control (ABAC) unter Verwendung von Identitäts-Charakteristika, Objekt-Charakteristika etc. zugewiesen.
Role Based Access Control (RBAC)
Role Based Access Control Projekte werden meist unter Verwendung von Top-Down- oder der Bottom-Up-Ansätzen gesteuert. Top-Down beginnt mit den bereits vorhandenen Rollen während der Bottom-Up-Ansatz mit den Daten beginnt und hieraus Rollen definiert.
Beiden Ansätzen liegt der Glaube zugrunde, dass eine gewisse Anzahl an Usern zu viele Rollen besitzen, die sie für die Ausübung ihrer Arbeit nicht benötigen. Dies kann schnell zu einem Sicherheitsrisiko führen und sollte ebenfalls im Risikomanagement betrachtet werden.
Top-Down RBAC
Um dieses Risiko zu vermeiden, werden Identitäten mit verschiedenen Rollen und Berechtigungen ausgestattet. RBAC bündelt nun Einzelberechtigungen und fügt diese in Rollen zusammen. Um jedoch evaluieren zu können, welche Rollen die verschiedenen Identitäten wirklich zugewiesen bekommen sollten, werden Daten benötigt. Diese werden im RBAC-Ansatz unter anderem erhoben, in dem man sehr aussagekräftige Positionen betrachtet, die tatsächlich verwendeten Autorisierungen, während einem definierten Zeitraum loggt und in dem man verantwortliche Personen, wie Manager befragt.
Diese Daten können nun mit Informationen aus standortbezogenen Richtlinien etc. ergänzt und Ausnahmen definiert werden.
Ziel ist es, die normalerweise vorherrschenden Rollen und Berechtigungen für die bestimmten Stellen, Positionen, Standorte etc. zu identifizieren sowie die Autorisierungen dahingehend zu bereinigen, dass eine konsistente Vergabe der Rollen basierend auf den Abteilungen, Stellenbeschreibungen, Positionen etc. stattfindet und inkonsistente Autorisierungen entzogen werden können. Dies beinhaltet unter anderem das Aufstellen und Umsetzen von unter anderem Least Privilege und Separation of Duties Prinzipien.
Als Ergebnis erhält man einen bereinigten Satz an Rollen, welche auf Positionen, Abteilungen und Standorte hin definiert wurden und weiterentwickelt werden kann. Diese können im Anschluss verteilt werden.
Bottom-Up RBAC
Anders als beim Top-Down-Ansatz wird beim Bottom-Up-Ansatz, wie die Bezeichnung schon vermuten lässt, mit den Daten begonnen. Diese werden unter Verwendung eines Role-Mining-Tools auf interessante Verknüpfungen und Beziehungen untersucht.
Mit Hilfe des Role-Mining-Tools können so eventuelle Rollen entdeckt werden. Jedoch befindet sich in nicht zuvor bereinigten Datensätzen sehr viel „Rauschen“ was zu unpräzisen Rollendefinitionen führen kann. „Rauschen“ beschreibt die Verunreinigung des Datensatzes mit fälschlicherweise zugewiesenen Einzelberechtigungen – also Berechtigungen, welche nicht entzogen wurden, etc.
Hybrider Ansatz
So unterschiedlich die beiden RBAC-Ansätze auch sind, sie ergänzen sich sehr gut, um das bestmögliche Resultat zu erzielen. Hierbei wird der teilweise automatisierte Bottom-Up-Ansatz, welcher datenbasierte Resultate erzielt, mit den Top-Down definierten Rollen kombiniert umso Rollen zu konstruieren und die Autorisierung für die verschiedenen Positionen, Standorte etc. zu realisieren.
Dieser hybride Ansatz kann beispielsweise nach den folgenden Schemata aufgebaut werden.
Schema A:
- Identifizierung von Rollen
- Positionsbezogenes Aufräumen der Rollen bzw. Entfernung von „Rauschen“
- Verwendung eines Role-Mining-Tools, welches nun die Daten analysiert und Rollen mit den jeweiligen Positionen, Abteilungen etc. verbindet.
Schema B:
- Verwendung eines Role-Mining-Tools, um mögliche Rollen auf Basis der Daten zu identifizieren und diese Positionen, Standorten etc. zuzuweisen
- Diese Rollen können nun durch die Verantwortlichen verifiziert und gegebenenfalls angepasst werden.
Vor- und Nachteile von RBAC
Vorteile:
- Zusammenfassung von Einzelberechtigungen zu Rollen
- Reduzierung der Komplexität der Berechtigungsvergabe
- Es ist leicht vorübergehenden Zugriff zu erteilen
Nachteile:
- Sehr aufwändig, da die Rollen definiert und auf Aktualität hin überprüft werden müssen
- Temporäre Rollenzuweisungen werden oft nicht wieder entzogen.
Attribut Based Access Control (ABAC)
ABAC bietet im Vergleich zu RBAC ein flexibleres Berechtigungsmanagement. Hierbei werden Benutzer-, Ressourcen- und Kontextattribute verwendet, um die Autorisierungsvorgänge zu steuern. Dies ermöglicht es, durch die flexible Verwendung und Kombination der Attribute die Genauigkeit und Flexibilität der Vergabe von Berechtigungen zu erhöhen.
Diese Attribute umfassen:
- Benutzerattribute:
Sicherheitsfreigabe, Alter, Name, ID etc. - Ressourcenattribute:
Erstellungsdatum, Art der Ressource etc. - Kontextattribute:
Standort, Tageszeit etc.
Diese Attribute werden mit Hilfe eines Identity-Management-Tools und eines Attribute Mappers den verschiedenen Berechtigungen zugewiesen, verwaltet und angepasst. Somit entsteht ein flexibel anpassbares und granulares Modell.
Vor- und Nachteile von ABAC
Vorteile:
- ABAC verfügt über eine sehr große Anzahl möglicher Kontrollvariablen als RBAC und kann somit sehr granular eingestellt werden.
- Sicherheit und Flexibilität steigert sich
Nachteile:
- Komplexität
RBAC und ABAC haben beide ihre Vor- und Nachteile
Die Entscheidung, welche der Lösungen verwendet wird, hängt sehr von den jeweiligen Bedürfnissen der einzelnen Unternehmen ab und muss in den Policies und Richtlinien betrachtet werden.
Nun könnte man denken, dass RBAC sich vor allem für große Unternehmen mit statischen Prozessen gut eignet und ABAC für kleine agile Unternehmen, jedoch kann dies ein Trugschluss sein, da unter der Verwendung von KI die Möglichkeiten Attribut-basierten Zuweisung von Berechtigungen sich auch gut in großen Unternehmen integrieren lässt.