12.10.2020 | Thomas Bühler
Zentrales Authentisierungs- und Autorisierungsmanagement - Eine Chance für die Zukunft
IT-Architekten stehen heutzutage vor der Herausforderung, vielseitige Anforderungen des Fachbereichs, der Sicherheit un der Regulatoren erfüllen zu müssen. Die Themen reichen von der Cloud-Integration über die Multi-Faktor-Anmeldung bis hi zur App-Integration und das unter dem Aspekt des stetig steigenden Schutzbedarfs, welcher wiederum neue Ansätz erfordert.
Nehmen wir einmal das Beispiel der risikobasierten Authentifizierung, bei der die Absicherung einer Anmeldung unte Einbezug weiterer Parameter wie Gerätekonfiguration, Umgebungsinformationen, Räume, Geräusche, Nearby WiFis, IP-Adresse WLAN-SSIDs, Geolocation und biometrischer Eigenschaften des Nutzers mit einbezogen werden. Damit kann zwar di Sicherheit insgesamt wesentlich gesteigert werden, jedoch erhöhen sich die Anforderung an Infrastruktur deutlich. Di Vorstellung, dass sich jede Fachanwendung eigenständig um die Prüfung der Kriterien einer risikobasierten Anmeldun kümmern muss, zeigt die Grenzen dezentraler Lösungen auf.
Allgemein werden durch eine Steigerung des Zentralisierungsgrads der Komponenten einer Authentifizierungs- un Autorisierungsinfrastruktur Redundanzen vermieden, die Effizienz gesteigert und die Benutzerfreundlichkeit erhöht. Di Temet verfügt über eine umfangreiche Fachkompetenz in diesem Bereich. Gern unterstützen wir Kunden im Aufbau und in de Optimierung ihrer Authentifizierungs- und Autorisierungsinfrastruktur.
Lange Historie
Im Jahre 1965 beschreibt P. A. Crisman in seinem Buch «The Compatible Time-Sharing System – A Programmer’s Guide (2n edition)» am M. I. T. erstmals die Anforderung an eine Benutzerauthentifizierung und Lance J. Hoffman macht sich i Jahre 1970 Gedanken darüber, wie Zugriffssysteme zentral organisiert werden können. Diese beiden Meilensteine gelten al Geburtsstunde des Authentisierungs- und Autorisierungsmanagements in der IT. Im Jahre 1976 führte IBM die damals erst kommerzielle Anwendung auf Basis des Mainframe System/370 mit einem Anmelde- und Berechtigungssystem ein, allgemei bekannt als «Resource Access Control Facility (RACF)». Microsoft zog mit Windows NT 3.51 im Jahre 1995 nach. Ab diese Zeitpunkt war es üblich, dass Benutzer eindeutig identifiziert und Rechte zentral verwaltet wurden.
Allgemeine Themenübersicht
In der heutigen Zeit bauen die meisten Unternehmen auf eine zentrale Verwaltung ihrer Identitäten, Rollen, Rechte un Workflows in Form eines Identity Access Management System (IAM). Zu einem klassischen IAM-System gehören auch di Bereitstellung von Informationen sowie Prozesse zur Authentifizierung und Autorisierung. So bieten die meisten Lösunge Möglichkeiten zum Zurücksetzen eines Passworts an, das für die technische Sicherstellung einer Authentifizierung a einzelnen Zielsystem benötigt wird. Die eigentliche Durchführung der Benutzerauthentifizierung und die Umsetzung de Rechte im Zielsystem wird durch die jeweilige Fachapplikation gesteuert. Die klassischen Modelle weisen Schwachstelle auf, die primär in der Ausgestaltung nicht-funktionaler Anforderungen begründet sind. So muss ein IAM-System hoc vertrauliche und gegen Integritätsverletzungen anfällige Credentials verwalten und den Zielsystemen in eine angemessenen Form zugänglich machen. Kommen Replikationsmechanismen zum Einsatz, müssen beispielsweise die Passwörter i Klartext vorliegen oder private Schlüssel dezentral verteilt werden. Führt das IAM-System die Authentifizierung und di Autorisierung selbst durch, erhöhen sich die Verfügbarkeitsanforderungen des Verwaltungs-systems wesentlich. Komme wiederum Verzeichnisdienste als Authentisierungs- und Autorisierungsproxys zum Einsatz, werden die Prinzipien de Reconciliation verletzt und ein Kontrollverlust der tatsächlichen Umsetzungsstände in den Anwendungen ist die Folge Weitere Nachteile entstehen im Bereich des Single Sign-on und hinsichtlich des Umstands, dass jede Anwendung di Durchführung der Anmeldung selbst steuern muss. Daher empfiehlt sich eine Trennung der Verwaltung von Identitäten un den operativen relevanten Authentifizierungs- und Autorisierungsinfrastrukturen.
Zentralisierung als Schlüssel zum Erfolg
IT-Architekten stehen heutzutage vor der Herausforderung, vielseitige Anforderungen des Fachbereichs, der Sicherheit un der Regulatoren erfüllen zu müssen. Die Themen reichen von der Cloud-Integration über die Multi-Faktor-Anmeldung bis hi zur App-Integration unter Beachtung des stetig steigenden Schutzbedarfs, der wiederum neue Ansätze erfordert. Nehmen wi einmal das Beispiel der risikobasierten Authentifizierung, die die Absicherung einer Anmeldung unter Einbezug weitere Parameter ausserhalb des eigentlichen Basis-Credential gewährleistet. Beispiele hierfür sind Gerätekonfiguration sowi Umgebungsinformationen wie Räume, Geräusche, Nearby WiFis, IP-Adresse, WLAN-SSIDs, Geolocation, biometrisch Eigenschaften des Nutzers oder Uhrzeit. Damit kann die Sicherheit insgesamt wesentlich gesteigert werden. Von besondere Bedeutung bezüglich der oben aufgeführten Aspekte sind dabei die Gerätekonfigurationen und die Umgebungsinformationen Bei der Gerätekonfiguration ist oft ausschlaggebend, ob das Gerät von der Trägerschaft selbst verwaltet wird oder e sich dabei um ein Gerät der Kategorie Bring your own device (BYOD) handelt. Im Falle von BYOD gelten üblicherweis höhere Authentisierungsanforderungen als bei internen Geräten. Allgemein können die eingesetzte Softwareversion, de Patch-Stand, ein aktueller Virenschutz, eine Root- bzw. Jailbreak-Erkennung bei mobilen Endgeräten, der verwendet Browser und dessen Einstellungen sowie die Auflösung des Geräts Auskunft darüber geben, ob eine Authentisierun anerkannt werden soll oder nicht. Bei den Umgebungsinformationen geht es vor allem darum, mittels eines weitere Prüfkriteriums die anderen Parameter abzusichern. So können die Geolocation-Informationen durch eine Analyse de Umgebungsgeräusche abgesichert werden, wie das Beispiel des Abgleichs einer GPS-Koordinate in den Schweizer Bergen mi der einer indischen Grossstadt verdeutlicht. Weiter kann die MAC-Adresse eines WLAN-Routers dazu verwendet werden, de Aufenthaltsort auf die Umgebung eines Raums zu beschränken. Mittels GPS-Abgleich lässt sich die Konsistenz de Information prüfen und unerwünschte VPN-Tunnel können umgangen werden. Eine Profilierung von Nearby WiFis schaff wiederum die Möglichkeit, in Kombination mit der Zeit den gewohnten Aufenthaltsort zu bestimmen. Hierbei muss beachte werden, dass jede Fachanwendung eigenständig die Prüfung der Kriterien der risikobasierten Anmeldung steuern muss. Da Beispiel verdeutlicht eindrücklich, warum eine Zentralisierung des Authentisierungs- und Autorisierungsmanagements fü die Abbildung derartiger Anforderungen unumgänglich ist.
Schlussfolgerung und Ausblick
Flexibilität bezüglich Authentifizierungs- und Autorisierungsinfrastrukturen bildet eine wesentliche Grundvoraussetzun für den Betrieb zeitgemässer IT-Umgebungen. Diesbezüglich gilt es zu klären, inwieweit ein architektonische Gesamtkonzept unter Berücksichtigung aktueller Anforderungen und hinsichtlich Sicherheit, Effizienz un Benutzerfreundlichkeit optimal zu einer Einheit zusammengefügt werden kann. In Bezug auf Authentifizierungs- un Autorisierungsinfrastrukturen sollte daher ein Mittelweg im Spannungsfeld von Anforderungen, Abwärtskompatibilität Flexibilität und Vermeidung bekannter Probleme bei bestehenden Lösungen gefunden werden. Moderne Architekturansätz ermöglichen es zudem, von technologischen Errungenschaften wie der risikobasierten Anmeldung zu profitieren. Dies Lösungskonzepte lassen sich nur durch eine Zentralisierung erreichen. Allgemein werden durch eine Steigerung de Zentralisierungsgrads der Komponenten einer Authentifizierungs- und Autorisierungsinfrastruktur Redundanzen vermieden die Effizienz gesteigert und die Benutzerfreundlichkeit erhöht. Zudem ermöglicht die Wiederverwendbarkeit diese Komponenten Synergieeffekte über die Grenzen der Institution hinaus und trägt zur Vereinfachung der Architektur bei.
Temet-Kernkompetenz im Authentisierungs- und Autorisierungsmanagement
Die Temet verfügt über zahlreiche Spezialisten, die ihre Kompetenz und langjährige Erfahrung im Aufbau und in de Weiterentwicklung von Authentifizierungs- und Autorisierungsinfrastruktur mehrfach bewiesen haben und in den vergangene Jahren massgeblich Kundenprojekte geprägt haben. Dazu zählen wesentliche Beiträge im Bereich des elektronische Patientendossiers (EPD), im Umfeld des Bundesgesetzes über elektronische Identifizierungsdienste (eID-Gesetz) und i Bereich des Bildungswesens. Die Temet war zudem massgeblich am Aufbau und am Betrieb einer der wichtigste Identitätsplattformen im schweizerischen Versicherungsumfeld beteiligt. Als Mitglied de OpenID Foundation sowie der FIDO Alliance verfolgen wir zudem unmittelbar die Entwicklungen am Markt.
Identity Federation Security Architecure Strong Authentication