Managed IdM Services. auf Basis des bi-cube IPM Systems. Technologien Lösungen Trends Erfahrung

Transkript

1 Technologien Lösungen Trends Erfahrung

2 Inhalt 1 ZIELE UND NUTZEN VON MANAGED SERVICES GRUNDSATZ SICHERHEITSKONZEPT FÜR IDM MANAGED SERVICES Mehrstufiges Sicherheitskonzept Betrieb als gesichertes Betriebskonzept Personelle Trennung der Funktionen (Segregation of Duties) Aufgabenbezogenes Berechtigungsmanagement in bi-cube Gesicherte Authentifizierung der Administratoren Weitgehende Automatisierung über geregelte Prozesse Zugriffskontrolle in den 4 technischen Ebenen Schutz des Zugangs zur produktiven Datenbank Reporting und Internes Kontrollsystem Security Richtlinien Datenschutz und Schutz vor Datendiebstahl Summary info@secu-sys.de Web: Seite 2 von 11

3 1 Ziele und Nutzen von Managed Services Managed Services für Identity Management (IdM) auf Basis von bi-cube bietet dem Kunden die Möglichkeit, sich auf seine eigenen Unternehmensziele und Kernprozesse zu konzentrieren und dies bei vorhersehbaren Kosten. Im Detail ergeben sich die Vorteile in folgenden Bereichen: Kürzere Implementierungszeiten in der Projektphase Verringerter Einarbeitungsaufwand und Beteiligung des Personals im Projekt, da wesentliche Aufgaben vom erfahrenen Partner übernommen werden Daraus ergibt sich auch eine geringere Fehlerrate in der Modellierung. Deutlich geringerer eigener personeller Aufwand für den Betrieb von bi-cube Der Kunde stellt nur die IT-Infrastruktur und die erforderliche Systemsoftware (z.b. Server- Betriebssystem, Datenbank-Server) zur Verfügung. Der Betrieb dieser Plattform inkl. des Systems bi-cube liegt beim Dienstleister. Der Kunde hat keinen Aufwand z.b. bei Versionswechseln oder Upgrades, geringeren internen Aufwand bei organisatorischen Umstellungen im Unternehmen und deutlich reduzierten internen Aufwand bei der Behandlung von Störungen. Kostenvorteile ergeben sich durch: o geringeren internen Personalaufwand o kürzere Reaktionszeiten bei Störungen und damit geringere Opportunity Costs o Umwandlung von Investitionskosten in Betriebskosten o Zeitnahe und kontinuierliche Bereitstellung neuer Komponenten und Funktionen ohne aufwendige Verhandlungen und Vertragsgestaltungen Der Dienstleister hat ein massives Interesse an der Einhaltung eines hohen Sicherheitsniveaus und bietet mit dem IdM auch professionelle Security Services an, z.b.: o standardisierte und intensive Überwachung des Systems zur Verhinderung von Security Verstößen o o Einhaltung der abgestimmten Compliance - Vorgaben strikte Einhaltung der Betriebs Policy durch den Dienstleister zur Verhinderung von nicht erlaubten Aktionen (z.b. keine Admin Aktionen auf Zuruf) Die Mitarbeiter des Dienstleisters sind im Betrieb von bi-cube erfahren und machen deutlich weniger Fehler mit Security - Auswirkungen als die internen Mitarbeiter. Sie haben in den Zielsystemen des Kunden auch keine Berechtigungen und können sich diese über bi-cube auch nicht geben. Das gesicherte Betriebskonzept schottet das Produktivsystem weitgehend von direkten Eingriffen ab. Grundsätzlich unterscheiden sich die Managed IdM Services vom üblichen Outsourcing dadurch, dass vom Dienstleister eine Fachanwendung mit weitgehender Integration in die Organisation und die Prozesse im Unternehmen bereitgestellt und betrieben wird. Dies erfordert vom Dienstleister eine gute Kenntnis der Prozesse des Unternehmens. info@secu-sys.de Web: Seite 3 von 11

4 2 Grundsatz Der Kunde hat bei Managed Services die Gewissheit, dass immer eine proaktive Überwachungsleistung (Monitoring) sowie eine automatische Fehlerbeseitigung Grundlage der Vereinbarung mit dem bi-cube Managed Service Provider (MSP) ist. Ein weiterer Vorteil dabei ist, dass das Monitoring als eine Art Frühwarnsystem dabei hilft, die rechtliche Verpflichtung des Unternehmens zum IT-Risikomanagement umzusetzen. Zudem soll durch kontinuierliches proaktives Management des IdM-Systems die Effizienz der IT des Kunden unterstützt und gesteigert werden. Die Kontrolle über die kundeneigene IT-Infrastruktur verbleibt allein beim Kunden. Das gilt sowohl für das Dienstleistungsverhältnis als auch für datenschutzrechtliche Rechtsverhältnisse. Folgerichtig stehen dem Kunden Weisungsrechte gegenüber dem Anbieter zu und der Anbieter hat eine Reportingpflicht gegenüber dem Kunden. Das ism fungiert gegenüber dem Kunden als IdM - Managed Service Provider (MSP). 3 Sicherheitskonzept für Managed IdM Services Potentielle Interessenten führen gegen den Betrieb eines IdM als Managed Services oder gar als SaaS folgende Sicherheitsbedenken ins Feld: Die Mitarbeiter des Service Anbieters haben direkten Zugriff auf die Systeme des Kunden Diese können sich evtl. selbst sogar kritische Berechtigungen zuordnen Wie sicher sind die Personaldaten bei Betrieb des Systems durch einen externen Dienstleister? Aus diesen Argumenten heraus ergeben sich besonders hohe Sicherheitsanforderungen für ein Identity Management im Betrieb als Managed Services. Obgleich die wirtschaftlichen Vorteile und die bessere Flexibilität von Managed IdM Services inzwischen unter Analysten, Anbietern und IT-Entscheidern weitgehend unbestritten sind, halten sich Unternehmen dennoch mit dem Einsatz eines IdM in dieser Betriebsform zurück und nennen als wichtigsten Grund fast immer die Sorge um die Sicherheit ihrer Daten und Anwendungen. Diese Bedenken sind berechtigt und können nur durch ein umfassendes Sicherheitskonzept inkl. der entsprechenden Kontrollstrukturen ausgeräumt werden. Unter strenger Beachtung des folgenden Sicherheitskonzeptes für IMS kann das Security Niveau gegenüber einem Eigenbetrieb sogar verbessert werden. 3.1 Mehrstufiges Sicherheitskonzept Das bi-cube Sicherheitskonzept unter Beachtung des Betriebs als Managed Services teilt sich in folgende Bereiche auf, die alle in ihrer Ausprägung aufeinander abgestimmt sein müssen: 1. Betrieb als gesichertes Betriebskonzept 2. Personelle Trennung der Funktionen (Segregation of Duties) 3. Weitgehende Automatisierung über geregelte Prozesse 4. Zugriffskontrolle in den 4 technischen Ebenen 5. Reporting und Internes Kontrollsystem 6. Security Richtlinien 7. Datenschutz und Schutz vor Datendiebstahl info@secu-sys.de Web: Seite 4 von 11

5 Diese einzelnen Maßnahmen zur Reduzierung der Risiken werden im Folgenden beschrieben. Sie beziehen sich konkret auf bi-cube ab der Version Betrieb als gesichertes Betriebskonzept Beim Managed IdM Service für bi-cube erfolgt der Betrieb des Systems durch den Dienstleister beim Kunden in gesicherter Umgebung und in Kommunikation mit den Administratoren bzw. den Zielsystemen des Nutzers. Eine Lösung, die zwischen zwei Partnern sowohl technisch als auch organisatorisch geteilt ist, erfordert eine saubere Trennung der Aufgabenbereiche und damit auch der Verantwortlichkeiten. Die Trennungslinie ist funktional zu definieren und möglichst durch geregelte Prozesse zu unterstützen und zu kontrollieren. Die organisatorische und technische Absicherung der geteilten Verantwortung zwischen Dienstleister und Kunden erfolgt nach den Regeln des sog. Gesicherten Betriebskonzeptes. Im Grundsatz gilt hierfür folgende Regel: Der Dienstleister sichert den Betrieb von bi-cube und nimmt im Auftrag des Kunden Modellierungsänderungen vor. Der Kunde nutzt die Möglichkeiten der Userverwaltung und der Verwaltung der Berechtigungen der User aus bi-cube heraus bi-cube wird deshalb nach den Vorgaben des Gesicherten Betriebskonzeptes installiert. Es gelten dabei folgende Regeln: Der Dienstleister hat nur auf dem Entwicklungssystem weitgehende Rechte. Alle Modellierungen und Änderungen bzw. Anträge der Mitarbeiter durchlaufen Freigabeprozesse: Antrag für neue Rollen (über dokumentenbasierten Antrag) Antrag für Rollen-Änderung Eigenschaften der Rolle technische Attribute Berechtigungsattribute Web: Seite 5 von 11

6 Antrag für Änderungen in Bezug auf die Zielsysteme Antrag für allg. Modellierungsänderungen (über dokumentenbasierten Antrag) Der Freigabeprozess kann durch den Kunden individuell angepasst werden. Die Freigabe erfolgt z.b. nicht durch die IR sondern durch das Security Team oder den Compliance Manager oder eine Rolle, die fachlich für bi-cube verantwortlich ist. Modellierungsänderungen des Kunden werden also nach dem gesicherten Betriebskonzept durch den Kunden beantragt, im Testsystem realisiert, vom Kunden freigegeben und dann entweder automatisch oder durch den Dienstleister im produktiven System scharf geschaltet. 3.3 Personelle Trennung der Funktionen (Segregation of Duties) Der wichtigste Grundsatz eines Managed IdM Services besteht darin, dass die Administratoren des Dienstleisters keinerlei Möglichkeit haben, sich via bi-cube in irgendeinem Zielsystem des Kunden zu berechtigen. Dazu gibt es in bi-cube 2 Grundeinstellungen: 1. Ein bi-cube Admin kann sich nicht selbst bearbeiten, d.h. er kann sich selbst auch keinerlei Berechtigungen zuordnen 2. Ein bi-cube Admin kann keinerlei Rechte an jeglichem anderen System haben Diese Einstellungen gelten, wenn die Betriebsumgebung von bi-cube als Produktion festgelegt ist. Hiermit ist innerhalb von bi-cube zwingend festgelegt, dass ein Mitarbeiter des Dienstleisters nur die Funktionen von bi-cube nutzt und diese derart eingeschränkt sind, dass er von dieser Systemebene heraus keinerlei Rechte in den produktiven Systemen des Kunden haben kann. (Sicherung auf DB-Ebene siehe 2.8) Es gibt diverse andere Sicherheitseinstellungen in bi-cube, deren Nutzung durch entsprechende Policies zwingend vorgeschrieben ist und auch partiell für die User des Kunden gelten. z.b. Bestimmte Modellierungsänderungen sind über ein Antragsverfahren durch den Kunden frei zu geben: o Antrag für neue Rollen (über dokumentenbasierten Antrag) o Antrag für Rollen-Änderung Antrag für allg. Modellierungsänderungen (über dokumentenbasierten Antrag) Die Funktion der sog. Doppelrolle im Antragsprozess (Antragsteller = Genehmiger) wird entsprechend einer Policy geregelt Für Abweichungen, die sich im Differenz-Check ergeben, gelten eindeutige Regeln der Auflösung dieser Abweichungen Verstöße gegen die Regeln der Segregation of Duties (SoD), die sich u.u. durch nachträgliche Definition von SoD-Regeln im Bestand ergeben, müssen aufgelöst werden. Für die duale Authentifikation von Usern des Kunden mit einer hohen Security Classification steht in bi-cube das Secu-Token des ism zur Verfügung. info@secu-sys.de Web: Seite 6 von 11

7 3.4 Aufgabenbezogenes Berechtigungsmanagement in bi-cube Das aufgabenbezogene Berechtigungsmanagement ist vornehmlich über ein Fachrollenmodell in Verbindung mit den erforderlichen Prozessmodellen zu organisieren. Hierzu gibt es in bi-cube die entsprechenden vordefinierten Rollen inkl. der SoD-Regeln. Bei einem Managed IdM Service für bi-cube sollten grundsätzlich die Berechtigungen in bi-cube über dieses Rollenmodell vergeben werden, d.h. eine direkte Vergabe von bi-cube Rechten ist zu unterbinden. Segregation of Duties in der Admin Tätigkeit Die SoD-Regeln bei den Administrator-Rollen folgen dem Grundsatz: Wer modelliert, darf keine User- Berechtigungen verwalten und umgekehrt. Diese Regel ist in Unternehmen, die bi-cube mit eigenen Leuten betreiben, aus Sicht der personellen Möglichkeiten schwerlich durchzuhalten. Nur am ism mit seinen umfassenden Personal- Ressourcen für bi-cube können die hier erforderlichen SoD Regeln auch abgebildet werden, d.h. mit einem IMS ist in dieser Hinsicht ein grundsätzlich geringeres Risiko zu erreichen als beim Eigenbetrieb. 3.5 Gesicherte Authentifizierung der Administratoren Innerer Kern von bi-cube ist die gesicherte Authentifizierung der Person des Administrators. Dies geschieht beim Eigenbetrieb durch den Kunden in der überwiegenden Anzahl der Fälle immer noch mit der Kombination User-ID und Passwort. Dies, obwohl seit langem bekannt ist, dass dieses Verfahren in den meisten Fällen den Anforderungen an Zuverlässigkeit der Identifikation der Person nicht ausreichend entspricht. Deshalb haben die Administratoren des ism zu den Kundensystemen ausschließlich nur mittels Biometrie einen Zugang zu bi-cube. Im Zusammenhang mit der Dokumentation der Aktivitäten ist eine umfassende personenbezogene Nachvollziehbarkeit garantiert. Web: Seite 7 von 11

8 3.6 Weitgehende Automatisierung über geregelte Prozesse A process is better than no process A good process is better than a bad process Even a good process can still be improved Jeder automatisierte Prozess ist deshalb auch ein Beitrag zur Sicherheit, da jeglicher manueller Eingriff mit gewollten oder ungewollten Verstößen gegen die Security Richtlinien vermieden wird. Doch dies gilt nur, wenn die Managed IdM Services - Lösung ausnahmslos alle Prozesse rund um das Erstellen, Validieren und Überwachen digitaler Identitäten zu zentralisieren und zu automatisieren vermag. Dabei müssen alle denkbaren Kombinationen interner und externer Systeme sowie Benutzergruppen abdeckt werden. Sind diese Voraussetzungen gegeben, dann leistet das Managed IdM Services - Konzept als Ganzes einen wesentlichen Beitrag zur Verringerung der Risiken und Einhaltung der Compliance Vorgaben. 3.7 Zugriffskontrolle in den 4 technischen Ebenen bi-cube ist vor einem unautorisierten Zugriff auf verschiedenen Ebenen zu schützen: 1. Remote Zugang über den Web-Client 2. Zugang zu den Fat-Clients der Administration 3. Zugang zu technischen Tools 4. Direkter Zugang zu gespeicherten Daten Der normale IT-Anwender bewegt sich in der Ebene 1. Ihm werden dafür selektiv Funktionen bereitgestellt, die er zur Erfüllung seiner Aufgaben in den unternehmensspezifischen Geschäftsprozessen benötigt. Diese selektive und aufgabenbezogene Bereitstellung von bi-cube Funktionen wird durch das Rollenmodell in bi-cube direkt und aufgabenbezogen erledigt. bi-cube zwingt zu einem deutlichen Automatisierungseffekt in der Berechtigungsverwaltung und sichert damit die hohen Anforderungen an Sicherheit und Compliance durch seine eigene Funktionalität. Beim Betrieb als Managed IdM Service haben die Administratoren des Dienstleisters unter Einhaltung der genannten Restriktionen Zugriff auf die Fat-Clients und die Steuerung der bi-cube Services der Kundeninstallation. Die Mitarbeiter des Kunden sollten grundsätzlich nur Zugang zum Web-Client haben. In organisatorisch bedingten Ausnahmefällen können Administratoren der Kunden auch dedizierte Rechte in den Admin-Clients bereitgestellt werden. Dies ist aber in der Betriebsvereinbarung eindeutig und aufgabenbezogen festzulegen. Bsp.: Diese Administratoren können im Object Manager (in der Entwicklungs-Umgebung) neue Zielsysteme definieren oder auf Basis des Differenz-Checks ein Clearing der Accounts und Berechtigungen in Zielsystemen vornehmen. 3.8 Schutz des Zugangs zur produktiven Datenbank Im Grundsatz sollte keine Person schreibende Rechte auf der bi-cube DB haben. Dies gilt sowohl für die Administratoren des Kunden als auch für die des ism. info@secu-sys.de Web: Seite 8 von 11

9 Der aktive Zugang zur bi-cube DB erfolgt nur über die bi-cube Tools in zweierlei Weise: 1. Im regulären Betrieb zur Verwaltung der Objekte in bi-cube 2. Im Störungsfall durch das ism mit regulären externen Funktionen und nicht durch direkte Manipulation auf der DB. Wenn die Störungssuche und -behebung den Zugang zur DB erforderlich macht, stehen dabei zwei Wege offen: Lesende Abfragen sind über die Möglichkeiten im SQL-Report im Web vorzunehmen: Für schreibende Aktionen zur Behebung von Störungen per SQL auf der DB ist ein eindeutiger Weg vorgeschrieben. Der bi-cube Administrator des ism kann ein SQL-Statement in einem definierten Verzeichnis zur Prüfung und Freigabe durch einen Mitarbeiter des Kunden ablegen und danach dieses Script durch den bi-cube SQL-Service ausführen lassen. Web: Seite 9 von 11

10 Der bi-cube Admin des ism kennt den Systemaccount der DB durch dieses Vorgehen nicht Damit ist ein deutlich höheres Niveau an Sicherheit vor unerlaubten DB-Abzügen (s. CD der Steuersünder) gegeben, als es üblicherweise bei Banken Realität ist. 3.9 Reporting und Internes Kontrollsystem Über die Report-Funktionen kann der Kunde jederzeit prüfen, ob die im Sicherheitskonzept beschriebenen Vorgaben auch eingehalten werden. bi-cube bietet damit geeignete Werkzeuge und Funktionen, mit deren Hilfe sich Arbeitsschritte zum Beispiel im Rahmen einer Betriebsprüfung schnell nachvollziehen und nachprüfen lassen. Das Regelwerk des IKS wird ständig erweitert und ermöglicht eine Online Überwachung insbesondere der direkten Administratoren-Tätigkeiten und deckt auch sog. auffällige Vorgänge (nicht nur in Bezug auf die Administratoren-Tätigkeit) auf Security Richtlinien Besonders beim Managed IdM Service ist es notwendig, die Definition der Sicherheitsrichtlinien für digitale Identitäten zu zentralisieren und über alle Anwendungen hinweg für eine automatisierte Durchsetzung der Richtlinien in Echtzeit zu sorgen. Die zentral erstellten und verwalteten Sicherheitsrichtlinien müssen immer (in Echtzeit) und überall (lokal und beim Partner) Geltung haben. Gleichzeitig unterstützt die Managed IdM Service - Lösung den Administrator mit automatisierten Workflows beim Management digitaler Identitäten. info@secu-sys.de Web: Seite 10 von 11

11 3.11 Datenschutz und Schutz vor Datendiebstahl Für den Schutz persönlicher Daten bietet bi-cube die Möglichkeit der Klassifikation der Attribute von Usern nach X 509 (SC = Security Classification). Damit werden in der GUI nur solche Daten im Klartext angezeigt, die der SC des angemeldeten Users entsprechen. Dem Schutz vor Verlust von Kunden- oder auch Personaldaten kommt aus aktuellem Anlass eine hohe Bedeutung zu. Mögliche Maßnahmen zur Verhinderung sind: Verschlüsselung relevanter String-Daten (z.b. Passworte) Trennung der Personen-Identifikationsdaten von den Business-Daten (spezifische ism- Verfahren) Tokengeschützter Zugang zu den bi-cube Tools abhängig von der SC des Users Weiterhin bietet bi-cube ab 7.5 die Komponente zur Verwaltung und verdeckter Nutzung privilegierter Accounts (System- und Admin-Accounts) an. Hierzu ist der Einsatz des bi-cube SSO Vorraussetzung Summary Ein IdM hat prinzipiell Zugang zu der Berechtigungsverwaltung aller Systeme, die ein IdM kennt. Daraus ergibt sich ein real hohes Risiko-Potential, das auch als ein gefühltes Risiko deutlich artikuliert wird. Zur Sicherstellung der Anforderungen an Compliance bietet bi-cube bereits ein überdurchschnittliches hohes Niveau an Sicherungsmaßnahmen, die u.a. auch den Schutz vor Auswirkungen einer (ungewollten) Fehlbedienung durch die Administratoren beinhalten. Wenn diese Einstellungen und Maßnahmen in einem Managed IdM Service - Betrieb strikt durchgesetzt und von beiden Parteien auch eingehalten werden, ermöglicht der Managed IdM Service - Betrieb von bi-cube sogar ein höheres Security-Niveau als der Eigenbetrieb. info@secu-sys.de Web: Seite 11 von 11