Security
Identity- und Access-Management in Rechenzentren
Das Zutrittsmanagement in Rechenzentren muss, genauso wie der Zugriff auf verschiedene Services, unterschiedliche Anforderungen und Notwendigkeiten berücksichtigen und ist ein zentraler Bestandteil der gelebten Sicherheit – wie auch der Serviceleistungen für die Rechenzentrums-Nutzer.
inerseits soll der Zutritt für die IT-Techniker auf die dem Kunden zugeordneten IT-Flächen begrenzt werden, andererseits brauchen zum Beispiel Rechenzentrums-eigene Techniker Zugriff auf Infrastrukturbereiche, auf die der IT-Techniker keinen Zugriff haben soll. Rechenzentrumsbetreiber wie auch die RZ-Nutzer sollten sich bei der Gestaltung des Zutrittsmanagements stets bewusst sein, dass das IT-bezogene und physikalische Zutrittsmanagement im Grunde den gleichen Regeln folgt. Nur dann lassen sich beim Rechenzentrumsbetreiber überprüfbare und transparente Zutrittsprozesse etablieren.
Transparenz von Zutrittsrechten
Betriebsnotwendigkeit sollte der Schlüssel bei der Zuweisung der Zugriffs- und Zutrittsrechte sein. So ist zu gewährleisten, dass jeder Mitarbeiter alle zur Aufgabenerfüllung notwendigen Zutritts- und Zugriffsrechte erhält. Demgegenüber müssen die Privilegien so beschränkt sein, dass sowohl absichtliche als auch unabsichtliche Manipulationen in kunden- und fachfremden Arbeitsgebieten ausgeschlossen werden. Die vergebenen Rechte sollten sich aus dem Unternehmenszweck und den sich daraus ergebenden Betriebsprozessen ableiten lassen. Ein elementarer Erfolgsfaktor ist dabei die rollenbasierte Rechteverwaltung, deren Basis die funktionsbezogene Aufgabenbeschreibung ist.
Nahezu zwangsläufig wird über den funktionsbezogenen Ansatz deutlich, wer auf welche Anwendungen, Services und Dateien mit welchen Rechten zugreifen darf. Das gilt im selben Maße für die geschützten Bereiche, für die der Zutritt für ausgewählte Personen gewährt werden muss.
Vereinfacht wird die Administrierbarkeit durch das Zuweisen von Rollen zu intelligent zusammengefassten Zutrittsprofilen. Funktionsbezogene Sicherheitsbereiche werden auf Basis eines Sicherheitszonenkonzepts definiert. Dies sind beispielsweise die Büro-, die IT-Bereiche, oder die Räume, in denen die zum Betrieb des Rechenzentrums erforderlichen Versorgungssysteme für Energie und Kühlung installiert sind. Im Idealfall wird jeder Zutrittsmöglichkeit nur eine Zutrittsrolle zugeordnet. Dieser modulare Aufbau verschiedener Zutrittsrollen schafft Transparenz und ermöglicht eine überschneidungsfreie Zuordnung der Rollen zu einer Funktion. Das Privilegienprofil „Administrator Netzwerk“ enthält dann sowohl die Zutrittsrolle „Allgemeine Verwaltung“ als auch die Rolle „Netzwerkräume-Räume“. Auch zugriffsseitig sind Rollen definiert, im genannten Beispiel die Kombination aus den Zugriffsrollen „Anwender Office“ und „Admin Zutrittskontrollanlage“, Mit dieser Matrix wird eine einfache und nachvollziehbare Zuordnung eines Mitarbeiters in eine oder mehrere Rollen möglich. Die Zugriffsverwaltung und die Zutrittskontrollanlagen greifen dann auf diese Matrix zurück. Die Matrix-Zuordnung erspart ein zeitraubendes und teilweise intransparentes Zuweisen von Einzelrechten. Werden zum Beispiel durch Hinzufügen eines zutrittskontrollierten Zugangs Veränderungen an den Zutrittsbereichen vorgenommen, werden diese Änderungen automatisch an sämtliche Nutzer der entsprechenden Rolle verteilt.
- Identity- und Access-Management in Rechenzentren
- Bausteine des Zutrittsmanagements
Lesen Sie mehr zum Thema
