IT Security Januar / Februar 2024

Weitere Magazine

Empfehlungen

Info

40 | IT SECURITY Fein-granulare Autorisierung WARUM DER HYPE? Fein-granulare Autorisierung ist ein aktuelles Thema im Identity Management, neben „Self-Sovereign Identity“ und der EU-Verordnung eIDAS 2.0. Besonders das 2019 von Google präsentierte „Zanzibar“-Konzept für ein globales Autorisierungssystem hat Aufmerksamkeit erregt. Die Idee, nicht nur Identifikation und Authentisierung, sondern auch Autorisierung zu zentralisieren, ist nicht neu, wie der XACML-Standard der OA- SIS aus den frühen 2000er Jahren zeigt. Dennoch hat sich das Konzept der feingranularen Autorisierung bisher nicht vollständig durchgesetzt. IGA: Identity Governance & Administration IdP: Identity Provider Authentication user user directory Single Sign-On SAML OICDC/OAuth Altlasten und Beweggründe Zwar waren die Gründe für den ausbleibenden Erfolg vielfältig - dennoch gilt XACML nicht als „vollkommen gescheitert“. Die komplexe Umsetzung in reale Produkte und die mangelnde Agilität der Software-Entwicklung haben die Adaption erschwert. Viele Unternehmen scheuten den Aufwand des Refactorings, um ihre Bestands-Software auf das neue Paradigma umzustellen. Im Jahr 2023 existieren daher immer noch Anwendungen mit interner Benutzerverwaltung, während Microsoft mittlerweile veraltete Technologien wie NTLM aus seinen Produkten entfernt. Die Migration etablierter On-Premises Anwendungen in die Cloud zwingt Unternehmen, alte Strukturen zu überdenken und den Mehrwert moderner Sicherheitsverfahren zu bewerten, wobei die Benutzer- und Rechteverwaltung eine entscheidende Rolle spielt. Bisherige Entwicklung In den 2000er Jahren führte der Aufstieg von Web-Anwendungen und der Rückgang der Three-Tier-Applikationsarchitektur zu einem Wildwuchs von Benutzerkonten und Passwörtern in Web- Apps. Unternehmen setzten auf Web- SSO-Systeme, um dem entgegenzuwirken. Allerdings führten unschöne Begleiterscheinungen wie das Scraping von Credentials und die unverschlüsselte Übertragung per HTTP zu mittlerweile allseits bekannten Problemen. Die Nutzung von Tokens statt Credentials, bekannt aus dem AD mit Kerberos, wurde im späteren Verlauf bevorzugt. Doch viele Web-Applikationen befanden sich nicht im eigenen Rechenzentrum oder Application Identity Data Application Identity Data Bild 1: Auslagerung von Benutzerinformationen in einen IdP „line of sight“ zum AD-Controller, weshalb Kerberos keine Option war. Das weit unterstützte SAML-Protokoll etablierte sich als Lösung für die Föderation, besonders durch die Adaption von SAML 2.0 im Microsoft Active Directory Federation Server 2.0. Seither erfreute sich SAML 2.0 großer Beliebtheit für Web-Anwendungen, stößt jedoch mit dem Aufkommen mobiler Geräte und Apps an seine Grenzen: Die Verwendung von Cookies und die hohen Ressourcenanforderungen des Protokolls erschwerten die mobile Nutzung. Ja/Nein Entscheidung Das SAML-Protokoll ermöglicht zwar die Ersetzung lokaler Anmeldungen durch die Anmeldung an einem eigenen Identity Provider (IdP), wodurch nur Token, nicht jedoch Kennwörter, an die Anwendung übertragen werden. Jedoch fehlt SAML die Möglichkeit, fein abgestufte Berechtigungen jenseits des einfachen „Ja/Nein“ zum Zugriff zu verwalten. SAML-basierte Föderationen dienen heutzutage häufig als Gatekeeper, können jedoch komplexe Berechtigungsabfragen nur umständlich abbilden. Die Herausforderungen von Mobil- Apps wurden durch Protokolle wie OAuth 2.0 und Open ID Connect (OIDC) angegangen, die auch die lästige wiederholte Registrierung bei neuen Diensten entschärfen. Die flexiblere Nutzung über verschiedene Flows ist ein weiterer Vorteil dieser Protokolle. Identifikation – Authentisierung – Autorisierung? Die Zentralisierung von Benutzeridentifikation und Authentifizierung durch einen IdP gilt als gelöst, dank passender Januar/Februar 2024 | www.it-daily.net
IT SECURITY | 41 PAP 1. View record #123 2. Can Alice view record #123? 3. Evaluate policies Manage policies Bild 2: Policy Enforcement Komponenten (CREATIVE COMMONS Lizenz, Wikipedia) PEP PDP Lösungen wie OAuth und SAML – inklusive kommerzieller und kostengünstiger Open-Source-Lösungen am Markt. Für die zentrale Autorisierung stehen neue Technologien zur Verfügung, die nachfolgend behandelt werden. Vom bekannten Role Based Access Control (RBAC) haben sich im Laufe der Zeit Varianten wie Attribute-based (ABAC) und Context-based Access Control (CBAC) entwickelt, wie sie im „Conditional Access“ in Microsofts Azure Cloud zum Einsatz kommen. Hierbei sind nicht nur die Rollen, sondern auch Eigenschaften und der aktive Kontext relevant (mehr dazu später). Um diesen Kontext und die Eigenschaften dynamisch in Zugriffsentscheidungen einzubeziehen, benötigen wir eine angepasste Applikations-Architektur und Infrastruktur. Diese lassen sich am besten herleiten, wenn die Komponenten nach einer bekannten Nomenklatur benannt und deren Eigenschaften beschrieben werden. Hierfür haben sich die folgenden Begriffe etabliert: 6. View record #123 5. Permit, Alice can view record #123 PIP 4. Retrieve additional attributes PDP – Policy Decision Point: Fällt anhand von Regeln und Kontext-Informationen Zugriffsentscheidungen für den Enforcement Point PAP – Policy Administration Point: Zentrale Management-Komponente zur Verwaltung von Policies und Monitoring von Entscheidungen des PDPs PIP – Policy Information Point: Stellt bei Bedarf einem PDP zusätzliche (Meta-) Daten über Benutzer und Ressourcen zur Verfügung In klassischen monolithischen Anwendungen sind Benutzerkonten, Passwörter und Berechtigungen lokal in der Anwendung verankert, was zu Redundanzen und ineffizienter Berechtigungsverwaltung führt. Ein moderner Ansatz beginnt mit der Auslagerung der Benutzerverwaltung und der Einführung von Single Sign-On (SSO). Hierdurch wird der gesamte Login-Prozess an einen externen Identity-Provider ausgelagert. Der Anpassungsaufwand hierfür ist meist überschaubar und lässt sich durch externe Module im Webserver oder vorgelagerten Reverse-Proxy verhältnismäßig einfach umsetzen. In der zweiten Stufe kann die Berechtigungssteuerung derart angepasst werden, dass Zugriffsentscheidungen anhand benutzerbezogener Eigenschaften getroffen werden. Durch SSO liefert der Identity-Provider diese Benutzer-Attribute einheitlich beim Login gleich mit, wodurch die Zugriffssteuerung optimiert werden kann. Die wesentlichen Vorteile sind eine zentralisierte und einheitliche Verwaltung relevanter Benutzereigenschaften sowie eine effiziente Bereitstellung per SSO. Eine feingranulare Zugriffssteuerung ist trotz SAML und OpenID Connect (OIDC) damit nur eingeschränkt möglich, denn die Fähigkeiten beider Protokolle sind begrenzt: SSO kann nur begrenzte Benutzerdaten just-in-time übermitteln, da der Platz für SAML/OIDC-Tokens durch das HTTP-Protokoll limitiert ist und in der Praxis wenige kB nicht überschreiten sollte. In realen Umgebungen ist es hingegen üblich, dass ein Benutzer zum Beispiel in vielen Gruppen Mitglied ist. SSO behandelt nur Identitätsdaten; die Entscheidung über Benutzeraktionen und -berechtigungen liegt weiterhin in der Anwendung. Mit SSO wird nur die Authentisierung ausgelagert, nicht jedoch die Autorisierung, die oft durch Programmlogik innerhalb der Anwendung erfolgt (wie exemplarisch in Listing 1 dargestellt). PEP – Policy Enforcement Point: Die Komponente, welche eine Zugriffsentscheidung schlussendlich umsetzt. In der Regel ist dies eine Anwendung. LISTING 1 def perform_create(self, request, instance): group = request.user.group if group == ‟member” or group == ‟admin”: instance.save() else: return HttpResponse(‟Unauthorized”, status=401) www.it-daily.net | Januar/Februar 2024
Seite 1 und 2: Detect. Protect. Respond. Januar/Fe
Seite 3 und 4: INHALT | 3 Inhalt 04 COVERSTORY 4 E
Seite 5 und 6: COVERSTORY | 5 DIE VERMITTLUNG VON
Seite 7 und 8: IT SECURITY | 7 Was sind ihre Top-p
Seite 9 und 10: IT SECURITY | 9 Quelle: Gerd Altman
Seite 11 und 12: IT SECURITY | 11 Cyber sicherheitse
Seite 13 und 14: IT SECURITY | 13 zahl von Kontextin
Seite 15 und 16: IT SECURITY | 15 SO LANGE DAUERT ES
Seite 17 und 18: IT SECURITY | 17 einstieg in Kali L
Seite 19 und 20: IT SECURITY | 19 Die Krux also: Die
Seite 21 und 22: IT SECURITY | 21 lungen oder verein
Seite 23 und 24: IT SECURITY | 23 Fragmentierung und
Seite 25 und 26: IT SECURITY | 25 Die Verhaltenslüc
Seite 27 und 28: IT SECURITY | 27 gangsformat entspr
Seite 29 und 30: IT SECURITY | 29 sichere dateien in
Seite 31 und 32: IT SECURITY | 31 Zero Trust GANZHEI
Seite 33 und 34: IT SECURITY | 33 Ulrich Parthier: W
Seite 35 und 36: IT SECURITY | 35 geführt werden. D
Seite 37 und 38: IT SECURITY | 37 gehörten OWASP AP
Seite 39: IT SECURITY | 39 passwort managemen
Seite 43 und 44: IT SECURITY | 43 ➤ eine Ressource
Seite 45 und 46: IT SECURITY | 45 funktionsweise von
Seite 47 und 48: Cyberkriminelle überall da tut Hil

IT Security Januar / Februar 2024

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?