Zugriffskontrolle und Filterung
Ein Sieb für Identitäten
Fortsetzung des Artikels von Teil 1
Mehr Sicherheit durch Tags
Kennzeichnungsbasierte Filterung kommt häufig in Cloud-Umgebungen zum Einsatz. Man kann alle Arten von Geräten mit sogenannten Tags (digitale Etiketten) versehen. Bei der Definition der Regeln für die Zugriffskontrolle und Filterung kann eine IT-Infrastruktur anhand dieser Tags bestimmte Datenströme zulassen oder ablehnen.
Die Regel könnte zum Beispiel so lauten: Datenverkehr, der von irgendeinem Ort mit dem Tag „Web-Server“ kommt, hat die Berechtigung, mit allem zu kommunizieren, was als Datenbank gekennzeichnet ist. Der Gedanke lautet, verschiedene Teile des Netzwerks zu klassifizieren und anhand dessen die Zugriffsrechte festzulegen. Diese müssen dann nicht von IP-Adressen abhängen, die sich durch die erforderliche Elastizität des Netzwerks von Zeit zu Zeit ändern können, was die Konnektivität unterbrechen würde. Es gibt bereits viele Cloud-Anbieter, die diese Art der Filterung nutzen.
Herausforderungen
Mit der Einführung einer identitäts- oder kennzeichnungsbasierten Filterung kommen manche Herausforderungen im Anwendungsbereich auf die Fachleute zu. Viele Cloud-Anbieter unterstützen zwar dieses Konzept, doch was passiert, wenn Beschäftigte auf Daten oder Anwendungen außerhalb der Cloud zugreifen müssen? Stellt man sich beispielsweise eine AWS- oder Google-Umgebung vor, in der einige Daten und Anwendungen enthalten sind, benötigt ein Beschäftigter nicht nur Daten aus internen Quellen, sondern möglicherweise auch von einer externen Datenbank.
Das Problem liegt darin, dass dieser Anwendungsbereich gleichermaßen über die Tags und die Erkennungsmerkmale der Identitäten informiert sein muss. Das ist er aber nicht. Man benötigt eine Art von Übersetzung dieser Informationen in die Sprache der Datenbank.
Sobald Datenverkehr also über mehrere Plattformen hinweg notwendig ist, entstehen bei dieser Art der Filterung gravierende Probleme in der Kommunikation. Man hat keine andere Wahl, als die notwendigen Zugriffsinformationen zu übersetzen. Im Prinzip ist der Tag in eine IP-Adresse zu übertragen, damit die Zugriffsberechtigungen auch außerhalb der Cloud funktionieren.
Allerdings ändern sich die IP-Adressen durch die besagte Elastizität. Man darf die Übersetzung daher nur als Momentaufnahme verstehen – wie einen Schnappschuss des Netzwerks. Um diese Hürde zu bewältigen, benötigen Unternehmen eine dynamische Übersetzungsmöglichkeit, die die Anordnung des Netzwerks berücksichtigt. Vor allem Automatisierungslösungen können das handhaben, gute Tools bringen dergleichen mit.
Fazit
Die beschriebenen Mechanismen zur Filterung werden weiter an Popularität gewinnen, weil sie gut mit der Elastizität moderner Netzwerke umgehen können. Sie funktionieren sehr gut in einer homogenen IT-Umgebung, denn hier kann man einfach und einheitlich seine Kennzeichnung betreiben. Daneben arbeiten jedoch viele Unternehmen mit hybriden oder Multi-Cloud-Netzwerken. Darum sollte man hier mit agentenbasierter Technik arbeiten, was allerdings aufgrund der Übersetzungsschwierigkeiten sehr aufwendig ist. An dieser Stelle besteht deshalb großes Interesse daran, auch diese Zugriffskontrollen sicher und einfach zu verwalten. Daher lässt sich feststellen, dass der Bedarf an modernen Filtermethoden und deren Verbesserungen vorhanden ist und in diesem Bereich viele sinnvolle Neuerungen zu erwarten sind.
Prof. Avishai Wool ist CTO und Mitgründer von AlgoSec.
- Ein Sieb für Identitäten
- Mehr Sicherheit durch Tags
Lesen Sie mehr zum Thema
