Prozessuale User- und Berechtigungsverwaltung Rollen, Prozesse und Regeln als Voraussetzung für IT-Grundschutz 4. IT-Grundschutz-Tag 2014, Nürnberg Bundesamt für Sicherheit in der Informationstechnik ism Secu-Sys AG Gerd Rossa CEO ism Secu-Sys AG ism GmbH 2012
Was ist aktuell ein IAM? Im engeren Sinne: zentrale Benutzer- und Berechtigungsverwaltung (Provisionierung) Deutliche Unterschiede in:» Funktionalität» Breite der Zielsysteme und Plattformen» Eindringtiefe der Provisionierung» Philosophie der Implementierung 2
IAM Funktionalität Architektur und damit die Funktionalität entspricht einem Schalenmodell Kern: Benutzer, Organisation, Zielsysteme Layer 1: Connectoren, Reporting Layer 2: Rollen, Prozesse und Regelwerk Layer 3: Compliance-Monitoring, IKS Layer 4: Nebengelagerte Prozesse 3
IAM und sein Business Layer (Layer2) Role & Process Management User Management Authentication Management Provisioning Authorization Management Monitoring Audit & IKS Business IT Resources, Systems, Applications & Devices 4
IAM-Service-Architektur 5
Aktuelle Situation Diverse Produkte sind unter diesem Begriff auf dem Markt Starke Differenzierung in den Schichten Prozess- und Rollen-Modelle bedingen das Leistungspotential Sehr unterschiedliche Implementierungsaufwände Koexistenz unterschiedlicher IAM Veränderung in der Motivation, ein IAM einzusetzen 6
Rollen und Prozesse in kooperativer IAM-Umgebung Rollen- und Prozess-Management / Compliance Monitor bi-cube Rollen-Interface Systemrollen-Ebene Rollen-Interface Fachrollen-Ebene Provisioning-System mit Rollensystem z. B. SAP IAM-System in partiellem Einsatz und mit eigenem Rollenmanagement Provisioning-System bi-cube Provisioning-System mit Gruppenkonzept Provisioning in Zielsystemen von XY Zielsystem 1 Zielsystem 2 Zielsystem 3 Zielsystem 4 Zielsystem 5 7
Rollen, Prozesse und Regeln sind eine Einheit Regeln Referenzen Indizierungen Prolog-Regeln Rollen Prozess-Controls Secu-Class Vererbungen Integritätssicherung Prozesse Interpretation der Regeln Prozess-Controls Secu-Class Prozess-Parameter 8
Das Rollenmodell bedingt die IAM- Leistungsfähigkeit Rollenreferenzmodell mit Trennung in Organisationsrollen, Fachrollen, Teamrollen und Systemrollen Parametrisierung von Rollen Referenzierung von Rollen Attributindizierung Role Life Cycle Rolemining 9
Warum Generische IAM-Prozess-Modelle? Paradigmen-Wechsel:» Nicht die Ursachen der Risiken alter Abläufe werden primär beeinflusst» Es werden neue Prozesse mit verringerten Risiken modelliert Prozesse Risiken Ursachen SCHADEN KOSTEN Maßnahmen Kontrollen 10
User Self Services + Prozessautomatisierung IT-Automatisierung durch das Zusammenwirken von: IAM-Prozessmanager und regelbasiertem Rollenmodell» automatisch ablaufende Provisioning-Prozesse ohne Mitwirkung von Personen» automatisch initiierte Provisioning-Prozesse unter Mitwirkung von Personen» Durch User oder definierte Berechtigte initiierte Provisioning-Prozesse (Self Service)» direktes Provisioning durch Admins oder UHD via IAM» Automatische System-Verkettung 11
User Self Services + Prozessautomatisierung 12
Generische IAM-Prozess-Modelle Vordefinierte IAM-Prozesse Die IAM-Prozesse setzen sich aus» maschinellen Transaktionen» und manuellen Aktionen zusammen. Jeder automatische Prozess ist ein Beitrag zu Security und Compliance 14
Generische IAM-Prozess-Modelle Wechselprozesse des Users Mitarbeitereintritt Mitarbeiteraustritt Sofortiges User-Sperren Wechselprozesse der User im Unternehmen Wiedereintritt in Konzernstrukturen User in weiterer Organisationseinheit (Shadow-User) Live-Demo: Start des Eintritts eines neuen Users mit automatischer Zuordnung einer Basisrolle und Antrag einer weiteren Fachrolle 16
Generische IAM-Prozess-Modelle Antrags- und Provisioning- Verfahren 1 Automatische regelbasierte Rollenzuteilung Antragsverfahren Rollen» Erhalt / Zuteilung einer Rolle» Entzug einer Rolle Antragsverfahren System Allgemeiner parametrisierter Antragsprozess Antrag für allgemeine Applikationen Richtlinienabhängiges Provisioning 17
Generische IAM-Prozess-Modelle Antrags- und Provisioning- Verfahren 2 Dokumentenbasierter Antrags-Prozess Antragsverfahren Vertretung / Vertreterrollen Antragsverfahren Team/Projektrollen Antragsverfahren Pool-Ressourcen Signatur-Management in Verbindung mit PKI Allgemeiner Berechtigungs-Antrag 18
Generische IAM-Prozess-Modelle Wiederholungsfreigaben / Compliance-Prozesse Re-Validierung Re-Zertifizierung Re-Confirmation Re-Concilation Re-Lizensierung 19
Generische IAM-Prozess-Modelle Interne Prozesse Antrag für allg. Modellierungsänderungen Antrag zur Änderung der System-Modellierung Antrag zur Änderung von Prozessmodellen Prozess zum Role Life Cycle inklusive Role-Mining» Antrag für neue Rollen» Antrag für Rollen-Änderung 20
Generische IAM-Prozess-Modelle Serviceprozesse Password Self-Service Allgemeine Supportanfrage an NBV (Nutzer- u. Berechtigungsverwaltung) App für Secu-Token App für Freigaben 21
Generische IAM-Prozess-Modelle Nebengelagerte Prozesse Antrag auf einen Arbeitsplatz bzw. Änderung der Arbeitsplatzausstattung Rollenbasierter Antrag auf eine Zutrittsberechtigung Antrag zur Abwesenheit bzw. Urlaub (Notwendig für Task-Manager) - Ergebnis des automatischen Usereintritts / Basisrolle - Genehmigung der automatischen Rolle des neuen Users - Antragsprozess einer Rolle - Rezertifizierungs-Task 22
intelligentes SECURITY MANAGEMENT MADE IN GERMANY Anschrift: ism Secu-Sys AG Oldendorfer Str. 12 18147 Rostock Tel: +49 381 37 57 30 Fax: +49 381 37 57 3-29 E-Mail: ism@secu-sys.de Web: www.secu-sys.com www.iam-cloud.de 23