Network Access Control und IDM
Mit Sicherheit eine gute Verbindung
Standen in puncto IT-Sicherheit früher hauptsächlich technische Aspekte im Vordergrund, so soll sie heute primär geschäftliche Risiken eindämmen. Diese beginnen bereits beim Zugriff auf das Netzwerk. Kann der Besucher sein Notebook an das Firmennetz anschließen? Und auf welche Netz-Services darf die neue Mitarbeiterin zugreifen? Solche und viele weitere Fragen regeln NAC-Lösungen (Network Access Control).
Lediglich festzustellen, welche Geräte an das Netzwerk angeschlossen werden, reicht nicht aus.
Ebenso gilt es, die Personen zu identifizieren, die sich ins Netzwerk einloggen, und diese
Identitäten zu verwalten. Hier greift das Identity-Management: Es regelt und überprüft, wer mit
welchen Rechten zu welchem Zeitpunkt auf bestimmte Ressourcen zugreift. Was zunächst einfach
klingen mag, ist alles andere als trivial: Denn heutzutage wird das unternehmenseigene Netzwerk
nicht nur von den Mitarbeitern frequentiert, sondern auch externe Partner, Kunden und Lieferanten
können darauf zugreifen – alle mit unterschiedlichen und sich im Lauf der Zeit auch ändernden
Rechten.
Diese zu kontrollieren und effizient zu verwalten, ist Aufgabe des Identity-Managements. Doch
erst in ihrem Zusammenspiel bieten Network Access Control und Identity-Management einem Unternehmen
das ganze Maß an Zugangssicherheit.
Veränderte Arbeitswelt, mehr Risiken
Ein Firmennetzwerk ist heute wesentlich größeren Belastungen ausgesetzt als noch vor einigen
Jahren. Nicht nur, dass Sprach- und Datendienste zusammengewachsen sind und über ein und dasselbe
IP-Netz laufen. Hinzu kommt die extensive Verbreitung so genannter Rich Media, zum Beispiel
umfangreiche Bilddateien oder Videos, das das Netz verstärkt beanspruchen.
Eine flexible Arbeitsweise stellt eine weitere Herausforderung dar. Denn jene führt dazu,
dass Mitarbeiter sich nicht nur über ihren Arbeitsplatzrechner ins Firmennetz einloggen, sondern
mit mobilen Geräten auch von unterwegs oder vom Home Office aus. Zusätzlich erhalten immer mehr
Externe wie etwa Partner, Lieferanten und Dienstleister Zugang zum Netzwerk. Entsprechend erfolgt
der Zugriff nicht mehr ausschließlich über das LAN, sondern auch über WLAN sowie remote über ein
VPN (Virtual Private Network) oder über Web-Portale. Gang und gäbe ist es außerdem, auch
Fremdgeräte, zum Beispiel das private Notebook eines Mitarbeiters oder das Netbook eines Besuchers,
an das Firmennetz anzuschließen. Damit wachsen die Risiken deutlich.
Aufgrund dieser neuen Rahmenbedingungen greift der herkömmliche Ansatz der Zugangskontrolle
nicht mehr. Früher genügte es, für den Zugang zu kontrollieren, welches Gerät ein Anwender nutzt
oder von wo und wie er sich Zugang verschafft. Heute gilt es, einen weiteren Parameter mit
einzubeziehen: Wer greift überhaupt auf das Netzwerk zu?
Wo geht es hier zum Netzwerk?
Eine umfassende Methode, um den Zugriff zu kontrollieren und zu überwachen, ermöglichen
NAC-Lösungen. Diese stellen auf der Basis von Richtlinien (Policies) sicher, dass nur solche
Personen Applikationen und Services im Netz nutzen können, die sich vorher als berechtigte User
authentifiziert haben beziehungsweise ein dafür autorisiertes Gerät nutzen. Auf diese Weise lässt
sich etwa auch ein limitierter Zugang für Gäste einrichten.
Was genau sollte eine NAC-Lösung leisten, welche Funktionen sollte sie unbedingt aufweisen?
Hier unterscheiden sich die Vorstellungen der Anbieter oft sehr stark. Während einige Lösungen eher
auf offene Standards setzen, arbeiten andere besonders gut mit Netzwerk-Infrastruktur-Komponenten
spezifischer Hersteller zusammen. So unterschiedlich die Ansätze auch sein mögen, so gibt es doch
bestimmte Funktionen, die Bestandteil aller gängigen NAC-Lösungen sind – von der
Zugriffsberechtigung über die Zugangs- und Applikationskontrolle bis zum Schutz vor Angriffen von
außen. Diese Kontrollmechanismen lassen sich nicht nur für verschiedene Segmente des LANs, sondern
auch für Remote-Verbindungen, Anschlüsse von Geschäftspartnern und WLANs etablieren.
In vielen Unternehmen gewinnt Unified Communication (UC) an Bedeutung. Deshalb empfiehlt es
sich, einen ganzheitlichen Ansatz zu fahren und die entsprechenden Kommunikationsdienste wie etwa
IP-Telefonie in NAC-Konzepte mit einzubeziehen.
Wer verbirgt sich hinter dem Gerät?
Ein Problem können NAC-Lösungen allerdings nicht lösen: Wie lässt sich sicherstellen, dass
individuelle Anwender nur dort Zugriff erhalten, wo sie autorisiert sind? Hier setzen so genannte
IDM-Systeme (Identity-Management) an. Sie sorgen für eine sichere Verwaltung von Identitäten und
ermöglichen es, eine Einheit – dies kann eine Person, ein Objekt, eine Gruppe oder eine
Organisation sein – sicher zu identifizieren. Zudem liefern sie Informationen, die mit der
Identifikation einer Einheit verbunden sind. Per Identity-Management beantworten Unternehmen
zuverlässig folgende Fragen: Wer greift auf unsere Ressourcen zu? Über welche Rechte verfügt diese
Person? Wann erhält sie Zugang zum System und welche Ressourcen nutzt sie?
Um also das komplette Bild zu erhalten – das heißt, auch die Identität der Personen zu
berücksichtigen, die sich in das Netz einloggen – benötigen Unternehmen einen kombinierten Ansatz:
Idealerweise lassen sich deshalb NAC-Systeme mit IDM-Lösungen verknüpfen.
Das Zusammenspiel von NAC-Lösungen mit Identity-Management-Systemen birgt eine Reihe von
Vorteilen: Das IDM-System verwaltet die Anwender des Netzwerks und aller darauf laufenden
Applikationen an zentraler Stelle. Auf diese Weise kann ein automatischer Informationsaustausch und
Abgleich zwischen IDM-System und anderen Anwendungen erfolgen. Ein Beispiel: Verlässt ein
Mitarbeiter das Unternehmen, übernimmt das IDM-System diese Information automatisch aus dem
Personalsystem. Der Anwender wird aus dem IDM-System gelöscht, was sicherstellt, dass er sich nicht
länger Zugang zu Unternehmensinterna verschaffen kann.
Der Einsatz einer IDM-Software als zentrale Verwaltungsstelle für Anwenderidentitäten und
-rechte erleichtert zudem die Integration in andere User-basierte Systeme wie etwa Directories,
Server-Applikationen, File- und Print-Services, Datenbanken und die Telefonanlage. Dies vereinfacht
Aktualisierungen und Upgrades existierender Anwendungen erheblich. Ergeben sich bei einem Nutzer
Veränderungen, lässt sich der damit einhergehende Prozess beschleunigen: Das IDM-System liefert
automatisch Informationen über die veränderte Rolle und die daraus resultierenden veränderten
Rechte an das NAC-System – ohne den Umweg über den Helpdesk.
Ein weiterer Vorteil der Kombination von NAC und IDM: Der Zugang zu spezifischen Ressourcen
lässt sich einfach rollen- oder rechtebasiert steuern. Außerdem können Benutzer über
Self-Service-Funktionen zusätzliche Rechte anfordern, der Genehmigungsprozess hierfür läuft
ebenfalls automatisch ab.
An welchem Zugangspunkt wird nun ein Nutzer authentifiziert? Diese Frage lässt sich nicht
pauschal beantworten. Sie hängt vielmehr davon ab, welche Lösung im Unternehmen installiert ist.
Häufig sieht das Szenario so aus, dass ein Gerät auf das Netzwerk zugreifen darf und sich im
nächsten Schritt der Anwender authentifizieren muss. Nutzt ein Unternehmen neben dem NAC- auch ein
IDM-System, erfolgt die Authentifizierung in vielen Fällen in Verbindung mit dem Einloggen ins
Betriebssystem. Zugang zu weiteren Services und Applikationen erhält der Anwender dann gemäß den
Richtlinien, Rollen und Rechten, die ihm zugeteilt wurden.
Rollenbasierter Zugriff schafft -Sicherheit
Jeder Anwender oder jede Gruppe von Anwendern wird individuell verwaltet: So sahen
Zugangskontrollen für Netzwerk und Server bislang aus. Der Ansatz hat jedoch einen entscheidenden
Nachteil, der sich dann bemerkbar macht, wenn sich die Job-Funktion eines Nutzers ändert. Eine neue
Aufgabe ist oft auch mit anderen Zugriffsrechten verbunden, die der IT-Administrator einfach
freischaltet. Allerdings kümmert sich der Administrator in den seltensten Fällen darum, dass dem
Anwender Rechte entzogen werden, die er für seine neue Position nicht mehr benötigt.
Das Beispiel zeigt: Je mehr Applikationen und je mehr Mitarbeiter ein Unternehmen hat, desto
aufwändiger und vor allem unübersichtlicher wird die gruppen- oder gar personenbezogene Verwaltung
von Zugriffsrechten. Die Lösung für eine effizientere Administration der Anwender lautet hier "
rollenbasierte Zugangskontrolle". Mit dieser Methode lässt sich der Zugriff eines Anwenders auf das
Netzwerk oder bestimmte Anwendungen und Services auf der Basis spezifisch zugeordneter Rollen
kontrollieren.
Die Rollen werden dabei häufig mit der Jobfunktion gleichgesetzt und mit Anwendern oder
Anwendergruppen in Beziehung gesetzt. Jede Rolle ist mit bestimmten Zugangsrechten verknüpft. Mit
diesem Prinzip lässt sich der Prozess der Rechtevergabe weitaus besser in den Begriff bekommen.
Denn Basis ist nicht die Zugehörigkeit zu bestimmten, von der IT vorgegebenen Gruppen, sondern die
Business-Terminologie und die geschäftlichen Anforderungen.
Um das effiziente Zusammenspiel von NAC- und IDM-Lösungen zu gewährleisten, gilt es eine
ganze Reihe von Fragen zu klären, zum Beispiel die Integration des unternehmensweiten
IDM-Rollenmodells mit einem netzwerkzentrierten Rollenmodell, wie es in NAC-Lösungen genutzt wird.
Weitere Fragen betreffen die Automatisierung: Welcher Grad ist hier angemessen? Eignet sich ein
bestimmtes Attribut im IDM-System, um als Basis für eine sicherheitsrelevante NAC-Entscheidung
herangezogen zu werden? Eine weitere Herausforderung: Unternehmen müssen sicherstellen, dass die
einzelnen Richtlinien, die in den jeweils unabhängigen NAC- und IDM-Umgebungen definiert wurden,
mit der Corporate Governance sowie den Unternehmens-Policies und -Regularien in Einklang stehen.
Die Überlegungen sollten auch den Workflow und die Prozesse mit einbeziehen. Eine wichtige Frage
lautet hier: Lassen sich IDM-basierte Self-Services für die Workflows von Genehmigungsprozessen
nutzen, sodass sich die Anwender über eine Genehmigung im Selbstbedienungsverfahren Zugang ins
Netzwerk verschaffen können?
Auch um die Schnittstellen müssen sich die IT-Verantwortlichen Gedanken machen, etwa darüber,
wie sich eine NAC-Lösung mit einem vorhandenen IDM-System über LDAPv3 verbinden lässt. Oder welche
Themen es bereits im Voraus zu planen gilt, beispielsweise das Schema und LDAP-spezifische
Variationen. Überlegungen sollten außerdem in die Richtung gehen, welche Aufgaben gegebenenfalls
Web-Services übernehmen können.
Mit Network Access Control haben Unternehmen eine Technik in der Hand, die ihnen die volle
Kontrolle über die Authentifizierung und Autorisierung sowie die Umsetzung von
Sicherheitsrichtlinien im Netzwerk verschafft. Allerdings ist die Nutzerverwaltung in herkömmlichen
NAC-Umgebungen sehr kompliziert und entsprechend kostenintensiv. Ein wesentlicher Grund: Das
Netzwerk-Management ist in der Regel nicht involviert, wenn sich Veränderungen bei Anwendern oder
auch Gastnutzern ergeben. Relativ harmlos mag es noch sein, wenn Anwender Zugriffsrechte besitzen,
die sie qua aktueller Funktion gar nicht mehr benötigen. Gefährlich wird es aber dann, wenn sie
noch auch interne Informationen zugreifen können, wenn sie das Unternehmen schon längst verlassen
haben.
Markus Nispel ist Director Solution Architecture bei Enterasys.
Lesen Sie mehr zum Thema
