Aus Linux-Magazin 08/2013

Unternehmenslösungen für die Zugriffskontrolle

© sarella, 123RF.com

Den Zugriff der Mitarbeiter auf Daten zu regulieren gehört zu den üblichen Bedürfnissen eines Unternehmens. Spezielle Produkte bieten umfassende Konfigurationsmöglichkeiten, in manchen Fällen tut es aber auch schon eine Linux-Enterprise-Distribution.

In vielen Unternehmen soll jeder Mitarbeiter Zugriff nur auf jene Daten haben, die er für seine Arbeit braucht. Für bestimmte Branchen ist das sogar durch Gesetze oder Regeln von Aufsichtsbehörden vorgeschrieben, etwa durch den Sarbanes-Oxley Act für den Finanzsektor.

Mit den Unix-Permissions für Benutzer und Gruppen sowie erweiterten Dateiattributen stellt Linux allerdings nur ein grobes Raster für solche Regelungen zur Verfügung. Durch Access Control Lists (ACL) lässt sich das verbessern, doch insbesondere in heterogenen Umgebungen mit verschiedenen Betriebssystemen muss eine umfassende Lösung her.

Identity and Access Management

Für eine solche Zugriffssteuerung (Access Control Management) muss das System erst einmal wissen, wer der Benutzer ist (Authentisierung), um ihm das Lesen oder Bearbeiten von Daten zu erlauben oder zu verweigern (Autorisierung). Deshalb pflegen einschlägige Lösungen eine enge Beziehung zum Identity Management, man spricht auch von Identity and Access Management (IAM)

Zu den Anbietern eines solchen IAM gehört das Unternehmen Net IQ, wie Suse und der Rest von Novell Teil der Attachmate Group [1]. Das Softwareunternehmen hat gleich eine ganze Palette von Produkten im Angebot.

Für das Identity Management kommt bei Net IQ der Verzeichnisdienst E-Directory aus dem Hause Novell zum Einsatz. Als Metadirectory vereint der Dienst Verzeichnisinformationen aus den unterschiedlichen Systemen im Unternehmen.

Damit ist der “Rundumschlag im firmenweiten Identitätsmanagement möglich”, drückt es Jörn Dierks aus, Net IQ Chief Security Strategist EMEA. Daneben, betont er, seien die Net-IQ-Produkte für das Access Management [2] auch einzeln einsetzbar, direkte Abhängigkeiten zwischen ihnen gäbe es nicht. Die Access Management Suite (Abbildung 1) beispielsweise kümmert sich um Autorisierung, Zugriffserlaubnis und protokolliert die tatsächliche Zugriffe (Abbildung 2). Eine Weboberfläche gibt Zugang auf die diversen Einstellungsmöglichkeiten und Berichte.

Abbildung 1: Net IQs Access-Governance-Produkte dienen zum feinkörnigen Einstellen von Zugriffsberechtigungen.

Abbildung 1: Net IQs Access-Governance-Produkte dienen zum feinkörnigen Einstellen von Zugriffsberechtigungen.

Abbildung 2: Die Monitoring-Komponente des Access Management zeichnet Zugriffe und Verstöße gegen die Policies auf.

Abbildung 2: Die Monitoring-Komponente des Access Management zeichnet Zugriffe und Verstöße gegen die Policies auf.

Compliance-Check

Setzt der Kunde zudem den Secure Configuration Manager ein, kann er seine Konfiguration automatisiert auf Compliance prüfen: Net IQ hat Normen wie die PCI Data Security Standards (Payment Card Industry), den Sarbanes-Oxley Act (SOX) und die Normenserie ISO/IEC 27000 in maschinenlesbare Templates übersetzt.

Optional ist das IAM an die Provisioning-Tools koppelbar, mit denen die Administratoren die Konfigurationen in der Firma verteilen. Daneben gibt es Schnittstellen zu Sentinel, dem Net-IQ-Produkt für Security Information and Event Management (SIEM). Es verwaltet die Logging-Informationen, spürt Anomalien im Betrieb auf und kann laut Dierks auch verschiedene User-Accounts auf unterschiedlichen Systemen verknüpfen, die zur selben Person gehören.

Eine weitere Komponente heißt Change Guardian, überwacht Änderungen an Dateien und kann diese als Diff anzeigen. Wer zudem seinen Admins auf die Finger schauen will oder ihre Berechtigungen feiner konfigurieren, greift zum Net IQ Privileged User Manager.

Sowohl Unternehmen als auch einzelne Angestellte nutzen in ihrer Arbeit zunehmend Software-as-a-Service (SaaS) und Cloud-Dienste externer Anbieter. Diese Angebote gelten derzeit als Leck, durch das sensible Informationen nach außen dringen können. Damit der Mitarbeiter wenigstens nicht sein Unternehmenspasswort für ein Social Network einsetzt, hat Net IQ das Produkt Cloud Access geschaffen. Die Appliance übernimmt für den Anwender die Anmeldung bei den Cloud- und SaaS-Diensten und ist in das Identity-Management eingebunden. Der Mitarbeiter meldet sich nur einmal im Unternehmen an (Single-Sign-on), um den Rest kümmert sich diskret die Appliance. So erhält der Angestellte gar keinen direkten Zugriff auf die Passwörter. Cloud Access befindet sich in der Hand der IT-Abteilung, die bei Bedarf sogar die Zugänge sperren kann.

Linux und Windows

Die Produkte laufen serverseitig auf Windows Server 2003 oder 2008 R2 Enterprise, auf Red Hat Enterprise Server 6 oder auf Suse Linux Enterprise 11. Viele sind auch als virtuelle Appliance erhältlich, die als Betriebssystembasis ein gehärtetes Suse Linux verwendet. Die Lizenzmodelle von Net IQ unterscheiden sich nach Produktgruppen: Die IAM-Produkte rechnet der Anbieter nach Benutzern ab, Sentinel nach Events pro Sekunde, das Konfigurationsmanagemnt nach Endpunkten und den Change Guardian nach Servern.

Das Softwareunternehmen Red Hat dagegen hat kein spezielles Produkt für das Identity Management im Angebot. Gleichwohl hat die Firma 2007 das Open-Source-Projekt Free IPA initiiert [3], das ein Framework für zentralisiertes Identity Management entwickelt und regelmäßig veröffentlicht. Die Tools des Free-IPA-Frameworks stehen den Anwendern von Red Hat Enterprise Linux 6 (RHEL) im Rahmen ihrer Subskription inklusive Support zur Verfügung.

Ursprünglich stand das Akronym für Identity (Identität für Benutzer, Gruppen und Rechner), Policy (hostbasierte Zugriffskontrolle) und Audit. Die Umsetzung des letzten Bestandteils ist jedoch für unbestimmte Zeit aufgeschoben.

Open-Source-Framework

Free IPA umfasst die freien Komponenten 389 Directory Server, MIT-Kerberos, das Zertifikatssystem Dogtag sowie SSSD, den System Security Services Daemon für die Client-Seite. Über Kommandozeile und Web-GUI kann der Administrator damit umfassend Zugriffsberechtigungen setzen sowie per Sudo-Mechanismus Administrationsvorgänge delegieren (Abbildung 3). Auch Red Hats Mandatory Access Control (MAC) SE Linux, standardmäßig im Enterprise Linux aktiviert, ist in die Administration eingebunden.

Abbildung 3: Auf der Weboberfläche von Free IPA vergibt der Admin auch Sudo-Berechtigungen.

Abbildung 3: Auf der Weboberfläche von Free IPA vergibt der Admin auch Sudo-Berechtigungen.

Matthias Kranz, Manager Solution Architect EMEA bei Red Hat, berichtet von Kunden, die damit das Identity Management für ihre Linux- und Unix-Landschaft abwickeln. Daneben lassen sich Windows-Hosts integrieren, wenn der Admin die LDAP-Felder entsprechend anpasst.

Wer besondere Ansprüche in Sachen Verzeichnisdienst oder Zertifikatsserver habe, könne darüber hinaus zu Red Hats eigenständigen Produkten Directory Server und Certificate System greifen, die auf den Open-Source-Servern in Free IPA basieren, sagt Kranz. Als Einstiegslektüre für das Identitäts- und Zugriffsmanagement empfiehlt er den Identity Management Guide aus seinem Hause [4].

DIESEN ARTIKEL ALS PDF KAUFEN
EXPRESS-KAUF ALS PDFUmfang: 2 HeftseitenPreis €0,99
(inkl. 19% MwSt.)
LINUX-MAGAZIN KAUFEN
EINZELNE AUSGABE Print-Ausgaben Digitale Ausgaben
ABONNEMENTS Print-Abos Digitales Abo
TABLET & SMARTPHONE APPS Readly Logo
E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben