[Policy Management] Grundlage einer Security Governance



Ähnliche Dokumente
Autorisierung. Sicherheit und Zugriffskontrolle & Erstellen einer Berechtigungskomponente

SharePoint Demonstration

Automatisches Beantworten von - Nachrichten mit einem Exchange Server-Konto

Konfiguration VLAN's. Konfiguration VLAN's IACBOX.COM. Version Deutsch

Proxy. Krishna Tateneni Übersetzer: Stefan Winter

-Verschlüsselung mit Geschäftspartnern

Multicast Security Group Key Management Architecture (MSEC GKMArch)

Urlaubsregel in David

2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele:

Installationsanleitung für CashPro im Mehrbenutzerzugriff/Netzwerkbetrieb

How-to: Webserver NAT. Securepoint Security System Version 2007nx

Umstieg auf Microsoft Exchange in der Fakultät 02

Adressen und Kontaktinformationen

Step by Step Webserver unter Windows Server von Christian Bartl

Windows 8 Lizenzierung in Szenarien

Lizenzierung von SharePoint Server 2013

Grundlagen für den erfolgreichen Einstieg in das Business Process Management SHD Professional Service

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

GEZIELT MEHR SICHERHEIT MIT 4I ACCESS SERVER & 4I CONNECT CLIENT

Benutzerverwaltung Business- & Company-Paket

How to do? Projekte - Zeiterfassung

Lizenzen auschecken. Was ist zu tun?

Abamsoft Finos im Zusammenspiel mit shop to date von DATA BECKER

IEEE 802.1x Authentifizierung. IEEE 802.1x Authentifizierung IACBOX.COM. Version Deutsch

AZK 1- Freistil. Der Dialog "Arbeitszeitkonten" Grundsätzliches zum Dialog "Arbeitszeitkonten"

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:

SharePoint - Security

Einbindung des Web Map Service für Gemeinden Anleitung

1 Einleitung. Lernziele. Symbolleiste für den Schnellzugriff anpassen. Notizenseiten drucken. eine Präsentation abwärtskompatibel speichern

Content Management System mit INTREXX 2002.

Eigenen WSUS Server mit dem UNI WSUS Server Synchronisieren

Anmeldung, Registrierung und Elternkontrolle des MEEP!-Tablet-PC

IT-Governance und Social, Mobile und Cloud Computing: Ein Management Framework... Bachelorarbeit

Lizenzierung von SharePoint Server 2013

Speicher in der Cloud

NEWSLETTER // AUGUST 2015

MSDE 2000 mit Service Pack 3a

OP-LOG

In diesem Tutorial lernen Sie, wie Sie einen Termin erfassen und verschiedene Einstellungen zu einem Termin vornehmen können.

EasyWk DAS Schwimmwettkampfprogramm

Novell Client. Anleitung. zur Verfügung gestellt durch: ZID Dezentrale Systeme. Februar ZID Dezentrale Systeme

Fachbericht zum Thema: Anforderungen an ein Datenbanksystem

Verwendung des IDS Backup Systems unter Windows 2000

Kurzanleitung zur Softwareverteilung von BitDefender Produkten...2

Einrichten eines Postfachs mit Outlook Express / Outlook bis Version 2000

Ist Excel das richtige Tool für FMEA? Steve Murphy, Marc Schaeffers

Zugriff auf Unternehmensdaten über Mobilgeräte

AUTOMATISCHE -ARCHIVIERUNG. 10/07/28 BMD Systemhaus GmbH, Steyr Vervielfältigung bedarf der ausdrücklichen Genehmigung durch BMD!

Thema: Microsoft Project online Welche Version benötigen Sie?

I N F O R M A T I O N V I R T U A L I S I E R U N G. Wir schützen Ihre Unternehmenswerte

ANYWHERE Zugriff von externen Arbeitsplätzen

teamsync Kurzanleitung

Anleitung mtan (SMS-Authentisierung) mit SSLVPN.TG.CH

Neues Modul für individuelle Anlagen. Änderung bei den Postleitzahl-Mutationen

Über die Internetseite Hier werden unter Download/aktuelle Versionen die verschiedenen Module als zip-dateien bereitgestellt.

Avira Server Security Produktupdates. Best Practice

Organisation des Qualitätsmanagements

GeFüGe Instrument I07 Mitarbeiterbefragung Arbeitsfähigkeit Stand:

INDEX. Öffentliche Ordner erstellen Seite 2. Offline verfügbar einrichten Seite 3. Berechtigungen setzen Seite 7. Öffentliche Ordner Offline

Infinigate (Schweiz) AG. Secure Guest Access. - Handout -

Sie erhalten einen kurzen Überblick über die verschiedenen Domänenkonzepte.

Inkrementelles Backup

Albert HAYR Linux, IT and Open Source Expert and Solution Architect. Open Source professionell einsetzen

2. Einrichtung der ODBC-Schnittstelle aus orgamax (für 32-bit-Anwendungen)

Nachricht der Kundenbetreuung

Seite 1 von 14. Cookie-Einstellungen verschiedener Browser

Anmeldeverfahren. Inhalt. 1. Einleitung und Hinweise

Tevalo Handbuch v 1.1 vom

proles-login. Inhalt [Dokument: L / v1.0 vom ]

Anhang zum Handbuch. Netzwerk

Anleitung zur Mailumstellung Entourage

Funktion rsync mit den actinas Cube Systemen.

Nutzung und Erweiterung von IT-Standards zur Realisierung von Authentifizierung und Zugriffsschutz für Geo Web Services

Archiv - Berechtigungen

Stundenerfassung Version 1.8 Anleitung Arbeiten mit Replikaten

Handbuch. timecard Connector Version: REINER SCT Kartengeräte GmbH & Co. KG Goethestr Furtwangen

Nicht über uns ohne uns

Windows Server 2008 (R2): Anwendungsplattform

Virtual Roundtable: Business Intelligence - Trends

Überprüfung der digital signierten E-Rechnung

Second Steps in eport 2.0 So ordern Sie Credits und Berichte

WLAN und VPN im b.i.b. mit Windows (Vista Home Premium SP1) oder Windows 7

kreativgeschoss.de Webhosting Accounts verwalten

Möglichkeiten der verschlüsselten -Kommunikation mit der AUDI AG Stand: 11/2015

TeamViewer App für Outlook Dokumentation

Um zu prüfen welche Version auf dem betroffenen Client enthalten ist, gehen Sie bitte wie folgt vor:

Die integrierte Zeiterfassung. Das innovative Softwarekonzept

Dieser Ablauf soll eine Hilfe für die tägliche Arbeit mit der SMS Bestätigung im Millennium darstellen.

GEVITAS Farben-Reaktionstest

Virtual Private Network

Anleitung Thunderbird Verschlu sselung

Binäre Bäume. 1. Allgemeines. 2. Funktionsweise. 2.1 Eintragen

Wo finde ich die Software? - Jedem ProLiant Server liegt eine Management CD bei. - Über die Internetseite

Installation Wawi SQL in Verbindung mit Microsoft SQL Server 2008 R2 Express with management Tools

Anleitung BFV-Widget-Generator

Transkript:

[Policy Management] Grundlage einer Security Governance White Paper / Detlef Sturm / Oktober 2010

Unter Policy versteht man im geschäftlichen Bereich eine interne Richtlinie, die allgemein eine Handlungsvorschrift mit verbindlichem Charakter bedeutet. Davon können sowohl organisatorische als auch technische Vorgänge betroffen sein. Betrachtet man die technischen Richtlinien, resultieren in der Regel daraus verschiedene Anforderungen im Security-Bereich. So lassen sich in einem allgemeinen Interaktionsmodell (siehe Abbildung 1) die technischen Richtlinien hinsichtlich Authentifizierung, Autorisierung und Absicherung der Nachricht unterscheiden. Das dargestellte Interaktionsmodell ist für Service-orientierte wie auch für Applikations-orientierte Szenarien gültig. Client Service / Application Requestor Login, Request Initiator Message Recipient Action Resource Authentication Message Protection Access Control Abb. 1: Policy-Szenario Das Policy-Management umfasst die Gesamtheit der vorrangig geschäftsorientierten Maßnahmen zur Verwaltung und Einhaltung der Richtlinien im Unternehmen und untergliedert sich in die drei wichtigen Handlungsebenen Policy-Definition, Policy-Enforcement und Policy-Monitoring (siehe Abbildung 2). Die Policy-Definition umfasst die Erstellung der Richtlinien entsprechend der geschäftlichen Anforderungen sowie deren Aufbereitung für die Übergabe an die Handlungsebene des Policy-Enforcements. Das Policy-Enforcement ist dagegen eine reine IT-getriebene Phase, in der die Richtlinien in den Applikationen, Zwischenstationen oder Diensten durchgesetzt werden. Damit liegen die entscheidenden Mechanismen für einen Brückenschlag zwischen den geschäftlichen Anforderungen und einer flexiblen Umsetzung in der IT überwiegend in diesen zwei Handlungsebenen. Das Policy-Monitoring liefert zusätzlich die Möglichkeit, die Durchsetzung und die Wirksamkeit der Schutzmaßnahmen auf Basis der Richtlinien zu überprüfen. Die Ergebnisse dieser Phase können und sollten in der Erstellung bzw. Anpassung der Richtlinien einfließen. Für eine erfolgreiche Unternehmensführung ist ein integrierter Ansatz bzgl. Governance, Risk und Compliance (GRC) notwendig. Governance beinhaltet u.a. die Vorgabe von unternehmensweiten, strategischen Richtlinien. Im Risiko-Management können auf Basis von speziellen Methoden frühzeitig Bedrohungsszenarien identifiziert und entsprechende Maßnahmen in Form von Richtlinien abgeleitet werden. Compliance umfasst die Überwachung der Richtlinien in Bezug auf ihre Einhaltung im operativen Betrieb. Das Policy-Management entspricht den Grundsätzen des GRC-Modells. Dabei werden die Themen Governance und Risikomanagement vorwiegend in der Handlungsebene der Policy-Definition behandelt, das Thema Compliance dagegen in den Ebenen von Policy-Enforcement und Policy- Monitoring. 10559 Berlin Fax +49 - (0)30-72 61 18 800 2

Governance & Risk Compliance Policy Definition Policy Enforcement Policy Monitoring Abb. 2: Handlungsebenen von Policy-Management Policy-Definition Die Erstellung von Richtlinien basiert auf einem inkrementellen Ansatz, der üblicherweise mit der Definition von allgemeinen unternehmensrelevanten Richtlinien (Corporate ) startet. Davon werden nach einem geeigneten Klassifizierungsschema weitere Richtlinien (z.b. Richtlinien untergliedert nach Prozessklassen) abgeleitet und mit zusätzlichen Informationen verfeinert. Im Rahmen der schrittweisen Verfeinerung sollten die Richtlinien dann in Gruppen vorliegen, die den Sicherheitsverfahren Nachrichtenschutz (Message Protection), Authentifizierung und Autorisierung (Access Control) zuordenbar sind. Diese Gruppierungen sind in den unterschiedlichen Technologien und Standards begründet, die für die jeweiligen Sicherheitsverfahren bezüglich Policy Management anwendbar sind: WS-SecurityPolicy für den Nachrichtenschutz, SAML für die Authentifizierung und Rollen-basierte Modelle oder auch XACML für die Autorisierung. Am Ende der Hierarchie müssen Richtlinien zur Verfügung stehen, die von den jeweiligen IT-Systemen interpretiert und angewendet werden können. Siehe dazu Abbildung 3 und Abbildung 4. Business Aspects Corporate Human readable Process-specific Security-specific Policy IT Aspects Application-specific Policy Machine readable Abb. 3: Policy-Hierarchie 10559 Berlin Fax +49 - (0)30-72 61 18 800 3

Abgesehen von der inkrementellen Verfeinerung durchlaufen die Richtlinien in der Hierarchie von Ebene zu Ebene einen Transformationsprozess. Liegen die Richtlinien auf der oberen Ebene noch in einer frei gestalteten, allgemeinen und menschenlesbaren Form vor (z.b. Richtlinien-Dokument), so müssen die Richtlinien spätestens auf der untersten Ebene in einer standardisierten, konkreten und maschinenlesbaren Form (z.b. XML) den IT-Systemen übergeben werden. Die Kernfrage hierbei ist, ob und in welcher Ebene man den Transformationsprozess automatisieren bzw. durch den Einsatz von Workflow- Systemen kontrolliert ablaufen lassen kann. Die Kluft zwischen der geschäftlichen und der IT-Sicht wird vor allem da besonders spürbar, wo noch manuelle Übersetzungen notwendig sind. Besonders auf der Ebene der Zugriffskontrolle haben sich als Brücke zwischen Business und IT die Rollen basierten Ansätze als sehr effektiv und leistungsfähig erwiesen. Sie bieten einerseits eine ausreichende Abstraktion der verschiedenartigen Zugriffsberechtigungen in der heterogenen Systemlandschaft und liefern andererseits eine Reihe von Metainformationen, die eine ausreichende Business-Semantik bereitstellen. Damit wird der Gefahr begegnet, dass die Geschäftsebene aufgrund von fehlendem IT-Security-Verständnis die Kontrolle über die eigentlich zu realisierenden Richtlinien verliert. Transformation & Refinement Corporate Process-specific Security-specific Application-specific Role Degree of Details Message Protection Authentication Access Control Abb. 4: Policy-Transformation und -Refinement Policy-Administration Die Policy-Administration setzt in der Policy-Hierarchie in der Ebene auf, der eine automatische Transformation bis zu den IT-interpretierbaren Richtlinien gegeben ist. Da durch die Veränderung von Richtlinien die Möglichkeit einer direkten Beeinflussung der IT-Systeme besteht, müssen die Administrationsaktivitäten mit gesonderten Maßnahmen vor unerlaubter Benutzung geschützt werden. Insbesondere ist festzulegen sowie auch durchzusetzen, wer welche Richtlinien ändern darf. Die Verteilung der Administrationsaufgaben auf verschiedene Personen erscheint hier sinnvoll zu sein. Zudem sollten über geeignete Auditing-Mittel alle Aktivitäten protokolliert werden. Es ist ratsam, dass neue bzw. geänderte Richtlinienbestände nur durch gesonderte Freigabeprozessen mit qualitätssichernden Maßnahmen scharf geschaltet werden können, da die Richtlinien einen Einfluss auf die Verfügbarkeit der IT-Systeme haben werden. An dieser Stelle ermöglicht der Einsatz von Workflow- Systemen die Implementierung von gut abgestimmten Auftrags- und Genehmigungsverfahren. Zudem kann eine Versionierung von Richtlinien die Wiederherstellung im Fehlerfall unterstützen. 10559 Berlin Fax +49 - (0)30-72 61 18 800 4

Top-Down vs. Bottom-up Der Top-down-Ansatz ist die bevorzugte Art und Weise Richtlinien zu entwickeln, um diese entsprechend den geschäftlichen Anforderungen auszurichten. Um aber die Fähigkeiten der jeweiligen IT-Systeme in Bezug auf die Sicherheitsverfahren berücksichtigen sowie bereits aktivierte Richtlinien übernehmen zu können, wird man um eine Bottom-up-Betrachtung nicht herumkommen. Schließlich gilt auch für die Policy-Definition der Grundsatz, dass die Richtlinien sich an den Fähigkeiten der IT-Systeme orientieren müssen. Dabei sollte die Realisierung mit vertretbarem Aufwand erfolgen. Entsprechend ist eine Lösung von Konflikten zwischen den geschäftlichen Anforderungen und der möglichen Umsetzung in der IT ein wichtiger Bestandteil des Definitionsprozesses. Die Diskussion Top-Down vs. Bottom-up in der Entwicklung von Richtlinien zeigt Parallelen zum Thema Entwicklung von Web Services. Hier stehen die top-down-entwickelten Services mit geschäftlicher Orientierung den bottom-up-entwickelten Services mit der applikationsspezifischen Sicht entgegen. Als ein akzeptabeler Weg hat sich auch in dieser Hinsicht die Kombination der beiden Ansätze erwiesen. Policy Enforcement Das Policy-Enforcement ist für die Durchsetzung der Richtlinien auf der Service- bzw. Applikationsseite verantwortlich. Das bedeutet, dass die Request-Nachrichten oder die eigentlichen Aktionen abgewiesen werden, wenn diese nicht den Regeln entsprechen. Die dafür verantwortliche Komponente wird als Policy Enforcement Point bezeichnet (). Für die Auswahl der relevanten Richtlinien sowie deren Analyse bzgl. ihrer Auswirkung werden diverse Kontextinformationen (Identifikation des Nachrichtensenders, Aktions- und Ressourcekennung) benötigt, die vom bereitgestellt werden. Es gibt grundsätzlich zwei verschiedene Varianten, wie der mit dem Policy-Repository interagieren kann: (1) Der hat einen direkten Zugriff auf die gespeicherten Richtlinien. Die Auswertung dieser Richtlinien bzgl. Relevanz und deren Auswirkung erfolgt innerhalb des s. Diese Variante eignet sich für Richtlinien, deren Informationen direkt für die Durchsetzung verwendet werden können, ohne dass sie eine komplexe Analysemethodik erfordern. Ein Beispiel hierfür sind Richtlinien für den Nachrichtenschutz. Diese geben Anforderungen (Algorithmus, Reihenfolge, Schlüsseltyp, ) bzgl. der Verschlüsselung und Signierung vor, die dann direkt mit der Nachricht verglichen werden. Entspricht die Nachricht diesen Anforderungen, so wird sie weitergeleitet. Anderenfalls wird die Nachricht abgelehnt. (2) Alternativ kann die Entscheidungsfindung, ob die Request-Nachricht bzw. die auszuführende Aktion aufgrund der vorgegebenen Richtlinien bewilligt oder abgelehnt werden muss, in eine externe Komponente / Service (auch bezeichnet als Poliy Decision Point - PDP) ausgelagert werden. Bei dieser Variante übergibt der spezielle Informationen an den PDP. Dies entspricht dem Architekturprinzip Security as a Service und bietet die Möglichkeit der Entkopplung der Policy-Validierung von den eigentlichen Service bzw. Applikation. Damit erfordert nur der PDP einen Zugriff auf die Richtlinien. Allerdings liefert der PDP als Ergebnis der Entscheidungsfindung nur ein Urteil. Für die Ausführung des Urteils ist dagegen der verantwortlich. 10559 Berlin Fax +49 - (0)30-72 61 18 800 5

Client Service / Application Request Policy Enforcement Point Action Resource Internal Validation OR External Validation [read] Protocol Policy Decision Point [read] Policy Repository [read] [write] Policy Administration Point Policy Management System Abb. 5: Policy Enforcement Policy Deployment Bei der Verteilung der Richtlinien in Bezug auf die s können verschiedene Varianten unterschieden werden, die wiederum die Möglichkeiten der Administration beeinflussen. Ob die s auf die Richtlinien direkt zugreifen oder deren Überprüfung an einen PDP ausgelagert wurde, spielt bei dieser Betrachtung keine Rolle. Folgende Varianten können unterschieden werden: (1) Die applikationsspezifischen befinden sich lokal auf der gleichen Maschine bzw. Auf dem gleichen Container wie die Applikation. Die Administration ist für jede Applikation () lokal und separat durchzuführen. Es ist allerdings ein erheblicher Aufwand notwendig, um bspw. einen Business-Prozess, der sich über eine Vielzahl von Applikationen spannt, auf eine einheitliche Zugriffskontrolle einzustellen. Diese Variante kann als Ausgangslage betrachtet werden, bevor ein zentrales Policy-Management-System zum Einsatz kommt. 10559 Berlin Fax +49 - (0)30-72 61 18 800 6

(2) In der zweiten Variante liegen die ebenfalls lokal, aber es ist eine zentrale Administration der verschiedenen Policy-Repositories möglich (Single Point of Administration). Die Administration hat u.a. die Aufgabe, die Applikations-übergreifenden Richtlinien in allen Repositories zu synchronisieren. Dieser Single-Point-of-Administration -Ansatz wird überlichweise von Identity-Management-Systemen unterstützt, die aufgrund ihres Konnektor- Frameworks einen direkten Zugriff auf die einzelnen Applikationen ermöglichen. (3) Die dritte Variante bietet die Möglichkeit, alle Richtlinien in ein gemeinsames und zentrales Repository zu speichern. Dadurch ist es ohne großen Aufwand möglich, applikationsübergreifende Einstellungen zu verwalten. Nachteilig ist aber, dass die s für jeden Enforcement-Vorgang einen Netzwerkzugriff benötigen. Abgesehen davon, dass Performance-Probleme entstehen können, ist dadurch auch kein Offline-Modus möglich. Der Zugriff auf die zentralen erfolgt nach dem Pull-Prinzip, d.h. die jeweiligen s übernehmen einen aktiven Part. Ein wichtiger zusätzlicher Security-Aspekt ist hierbei die Absicherung der Zugriffe zwischen und dem zentralen Policy-Repository (Last-Mile Security). (4) Die vierte Variante hat ebenfalls ein gemeinsames und zentrales Policy-Repository, auf dem die Administration aufsetzt. Dagegen benutzen die s der jeweiligen Applikationen nur eine lokale Kopie und sind somit nicht ständig vom Netzwerk abhängig. Damit ist der Offline-Modus realisierbar. Die Verteilung der Richtlinien erfolgt dabei nach dem Push-Prinzip. Dies bedeutet, dass geänderte Richtlinien automatisch von einer zentralen Instanz auf die lokalen Repositories verteilt werden. Um jedoch das unerlaubte Ändern von Richtlinien in den lokalen Kopien zu verhindern, erfordern lokale Repositories zusätzliche Sicherheitsmaßnahmen. Vertreter dieses Ansatzes sind die klassischen Identity-Management-Systeme, die Identitäten (Accounts) aber auch Berechtigungen (Entitlements) zentral in einem Repository verwalten und über ihre leistungsfähigen Konnektoren zu den verschiedenen Applikationen verteilen. 10559 Berlin Fax +49 - (0)30-72 61 18 800 7

Unabhängig davon, welche Technologien in den jeweiligen Applikationen für die Durchsetzung von Richtlinien verwendet werden, gewinnt der business-orientierte Bezug zunehmend an Bedeutung und rangiert mittlerweile als Hauptkriterium für den Einsatz von entsprechenden Security-Anwendungen wie beispielsweise Identity-Management-Systeme. Dabei sind Abstraktionsformen erforderlich, die die technische Implementierung ausreichend verstecken und stattdessen das Business-Verständnis stärken. Als einen sehr leistungsfähigen Ansatz hat sich hier das Rollenmanagement etabliert. 10559 Berlin Fax +49 - (0)30-72 61 18 800 8

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback