Security
Identity- und Access-Management in Rechenzentren
Fortsetzung des Artikels von Teil 1
Bausteine des Zutrittsmanagements
Unter „Zutritt managen“ versteht man weit mehr als den Betrieb von Zutrittskontrollanlagen (ZKA). Zutrittskontrollanlagen sind streng genommen nur Erfüllungsgehilfen, schließlich kann beispielsweise eine Schließanlage ebenfalls ein Teil einer Prozesskette sein. Viel wichtiger ist das Zutrittsrecht, welches mit unterschiedlichen Schließmedien verbunden sein kann (z.B. Schlüssel, Ausweis).
Die Autorisierung definiert das Zuweisen abgestuft von Rechten. Dieser Bereich gliedert sich in die Teilbereiche
- „Administrationsrecht Zutrittskontrolle“, im Sinne eines abgestuften Zugriffskonzepts zur Administration der ZKA,
- „Recht zur Vergabe von Zutrittsrechten“ sowie
- „Zutrittsrecht“.
Wichtig für eine revisionssichere Dokumentation ist es, dass jeder dieser Bereiche schriftlich festgelegt und nur durch eine berechtigte Person freigegeben wird. Eine Einweisung in die Regeln des Zutrittsmanagements sollte generell mit der Autorisierung verbunden sein.
Die Authentifizierung existiert in zwei Ausprägungen: Zum einen wird die Identität des Privilegien-Inhabers bei der Zuordnung/Aktivierung der Rechte überprüft, beispielsweise bei der Übergabe des Zutrittsmediums (z.B. Chip-Karte). Zum anderen wird bei jeder Buchung am Ausweisleser kontrolliert, ob das Zutrittsrecht aktuell ist und Zutritt gewährt werden kann.
Die Autorisierung schafft die Grundlagen der Berechtigungszuordnung. Im täglichen Betrieb findet sie ihren Niederschlag in der Administration der Rechteverwaltung. Es gibt die vertrauten Rollen „Administration Zutrittskontrolle“, gegebenenfalls in unterschiedlichen Abstufungen, in der operativen Umsetzung „Parametrierung Zutrittsrechte“ durch den Sicherheitsmitarbeiter. Adminis-tration kann aber auch lediglich das Verwalten von Schlüsseln bedeuten.
Ein bedeutender Aspekt für ein funktionierendes und transparentes Zutrittsmanagement ist die Auditierung der Rechtezuordnung, die den Nachweis einer einwandfrei funktionierenden Prozesskette durch interne Prüfungen und externe Revisionen erbringt. In regelmäßigen Abständen wird intern im Vier-Augen-Prinzip geprüft, ob die Struktur der Berechtigungserteilung noch mit der Organisation des Unternehmens übereinstimmt. Ebenso sind alle Personen mit einem Zutrittsrecht dahingehend zu prüfen, ob das Recht noch gebraucht wird oder nicht. Der Prüfschwerpunkt liegt auf dem Abgleich der Vorgabedokumentation und der Umsetzung in der Zutrittskontrollanlage. Externe Auditoren ergänzen diese Betrachtung durch Prüfung des vorgelagerten Autorisierungsprozesses.
Diese Ausführungen beziehen sich nur auf den Regelprozess für permanent Zutrittsberechtigte. Grundsätzlich lassen sich die Ideen auch auf das Besuchermanagement, notfall- und störungsbedingte Zutritte, eingeschränkt auch auf Sonderzutritte (Polizei oder Feuerwehr) übertragen. Das reibungslose Zusammenwirken der Elemente des Identity- and Access-Managements (IAM) im Zutrittsmanagement bei den RZ-Betreibern selbst, wie auch im Zusammenwirken mit den RZ-Mietern ist als Baustein für Informations-sicherheit eine unabdingbare Voraussetzung für ein funktionierendes Zutritts- und Zugriffsmanagement in Rechenzentren.
- Identity- und Access-Management in Rechenzentren
- Bausteine des Zutrittsmanagements
Lesen Sie mehr zum Thema
