IT-Sicherheit: Role Engineering fĂĽr rollenbasierte Zugriffskontrolle
Sicherheitskonzepte ohne Zugriffskontrolle stellen keine Vertraulichkeit, Integrität oder Verfügbarkeit sicher. Role Engineering kann RBAC-Modelle erstellen.
- Armin Berberovic
Eine durchdachte Zugriffskontrolle ist der Kern jedes Sicherheitskonzepts, aber keine leichte Aufgabe. Denn wo früher der Zugriff auf die Ressourcen einfach über IP-Adressen und die damit verbundene Zugehörigkeit zu einem Netzwerksegment gesteuert wurde, kommt jetzt in der Regel eine rollenbasierte Zugriffskontrolle (Role-based Access Control, RBAC) zum Einsatz.
Doch RBAC ist komplex und die Entwicklung eines zuverlässigen Konzepts schwierig. Am schnellsten und kostengünstigsten lässt es sich mithilfe eines präzisen Werkzeugkastens umsetzen. iX stellt eine Methode zur Entwicklung individueller RBAC-Modelle vor. Dieser Artikel legt die notwendigen Grundlagen, wobei zur Veranschaulichung Azure als großer Cloud-Anbieter herangezogen wird. Ein zweiter Artikel beschreibt schrittweise die praktische Umsetzung beim Role Engineering.
Ein RBAC-Modell hat drei Grundbestandteile: Gruppen von Ressourcen, Berechtigungen, bestimmte Operationen auf diesen Gruppen durchzufĂĽhren, und Prinzipale, die diese Berechtigungen innehaben. Eine Ressource ist ein Objekt, mit dem man interagieren kann. Ressourcen in Azure umfassen sowohl Dienste wie VMs als auch Strukturelemente wie Managementgruppen. Ein Prinzipal ist das Subjekt, das mit diesen Ressourcen interagiert. Das kann ein Nutzer, eine Gruppe von Nutzern oder ein Service-Account sein.
Das war die Leseprobe unseres heise-Plus-Artikels "IT-Sicherheit: Role Engineering für rollenbasierte Zugriffskontrolle". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.