Alt und Neu unter einem Hut

Ordnungsmerkmale

erschienen in: <kes> 2003^#1, Seite 82

Rubrik: Systeme und ihr Umfeld

Schlagwort: Zugriffsschutz

Autor: Von Norbert Drecker, Köln

Zusammenfassung: Standardbasierten Web-Applikationen gehört die Zukunft, doch PC-spezifische Legacy-Applikationen machen im Schnitt noch über 80 Prozent aller Unternehmenssoftware aus. Beide Welten müssen zu IT-Infrastruktur inklusive gemeinsamer Zugriffskontrolle zusammenwachsen, damit eine investitionserhaltende Migration zu durchgehenden E-Business-Geschäftsprozessen möglich wird.

Eine aktuelle Zugriffskontrolle muss Alt und Neu, die PC/Legacy- und die Web-Welt, nahtlos einbeziehen. Nur so kann ein umfassender Zugriffskontrollschirm über alle eingesetzten Applikationen gespannt, können Informationen und Web-Services schnell und gezielt für die Intranet-, Extranet- und Internet-Teilnehmer bereitgestellt werden. Um umfassenden Zugriffsschutz und schnelle, gezielte Informations- und Servicegabe realisieren zu können, sollte eine Sicherheitslösung fünf Säulen bereitstellen:

eine gemeinsame Benutzeradministration für Web Services und Legacy-Applikationen,
Einstellung der verschiedenen Authentifizierungs- und Autorisierungsregeln (Passwörter, Einmal-Passwörter, Zertifikate usw.) aus den unterschiedlichen Applikationsarten in ein zentrales Verzeichnis,
Single Sign-on (SSO) sowohl für Web- als auch Legacy-Applikationen,
Authentifizierung und Autorisierung mittels SSO über Zertifikate im Rahmen einer Public-Key-Infrastruktur (PKI),
die Perspektive, eine gemeinsame Benutzeradministration für Web- und Legacy-Applikationen auch über ein Meta Directory zu absolvieren.

Diese fünf Säulen lassen sich schrittweise aufstellen, um unnötigen Projektrisiken aus dem Weg zu gehen und die Projektkosten budgetverträglich über einen längeren Zeitraum zu verteilen. Umso dringlicher ist es für Unternehmen und öffentliche Verwaltungen aber, diese Vorhaben bald zu starten, damit sie rechtzeitig und angemessen innerhalb des sich ausbreitenden Beziehungsgeflechts – intern, zwischen Partnern und gegenüber der Internet-Teilnehmerschaft – aufgestellt sind.

Gemeinsame Benutzeradministration

Eine wichtige Weichenstellung wird bereits über die Benutzeradministration getroffen. Sie schließt auch die Verwaltung der Systeme, Systemressourcen und Services ein, auf die Teilnehmer aus Intranet, Extranet und Internet Zugriff erhalten sollen. Sie sollte sowohl für die Web- als auch die Legacy-Welt greifen, um eine separate und damit umständliche und undurchsichtige Verwaltung zu vermeiden. Kein leichtes Unterfangen, zumal etliche Anbieter solcher Sicherheitslösungen genau diese geteilte Schiene fahren. Um beides verwaltungstechnisch unter einen Hut zu bringen, muss ein Hersteller mit seiner Sicherheitslösung

ein breites Spektrum an Integrationsagenten für die Legacy-Welt offerieren: Nur dann können die Teilnehmer-, System- und Systemressourceneinträge aus allen installierten Zielsystemen (Betriebssysteme, Netzdienste, Anwendungen, Datenbanken usw.) ins zentrale Benutzerverzeichnis einfließen.
so genannte generische Agenten bieten: Über sie lassen sich die Einträge aus Light-Weight-Directory-Access-Protocol- (LDAP)-Verzeichnissen der Web-Server und -Applikationen ins zentrale Benutzerverzeichnis überführen.

Derart unter einen Hut gebracht, muss ein Administrator alle Verzeichniseinträge nur einmal erfassen, pflegen und bei Bedarf löschen. Dadurch sind alle Einträge auch immer konsistent, was Löcher im Sicherheitssystem durch Eintragsleichen ausschließt. Und: Der Administrator hat eine einheitliche Sicht auf alle Teilnehmer, Systeme, Systemressourcen und Services des gesamten Beziehungsgeflechts, unabhängig davon, ob sie der Web- oder Legacy-Sphäre angehören. Die Verwaltung der IT wird insgesamt transparenter und besser beherrschbar.

----------Anfang Textkasten----------

Kasten überspringen

Rollenbasierte Zugriffskontrolle

Noch effektiver arbeitet die Zugriffskontrolle, wenn man sie rollenbasiert managt (vgl. <kes>2001^#4, S. 64). Rollen mit ihren spezifischen Zugriffsrechten können einzelnen Teilnehmern, Arbeitsgruppen, Abteilungen oder externen Teilnehmergruppen, Geschäftseinheiten, Organisationen zugewiesen werden. Der Lohn dieser Verfahrensweise: Die Rechtezuweisung wird vereinfacht, das Zugriffskontrollkonzept für den Administrator noch transparenter und der Zugriffsschutzschirm noch sicherer. Außerdem beschleunigt die rollenbasierte Zugriffskontrolle die Bereitstellung von Informationen und Services erheblich.

----------Ende Textkasten----------

Authentifizierung und Autorisierung

Auch die Regeln für die Authentifizierung (generelle Zugriffsberechtigung eines Teilnehmers) und Autorisierung (auf welche Zielsysteme darf er zugreifen?) sollte man für Web- wie Legacy-Applikationen gmeinsam im Benutzerverzeichnis hinterlegen und pflegen können. Dort können diese Regeln (User/Passwort, Schlüssel, Zertifikate usw.) dann mit denen des via Portal oder PC einwählenden Teilnehmers verglichen werden, um den generellen Zugang oder den speziellen Zugriff auf Anwendungen freizugeben oder aber zu sperren.

Mit Blick auf das Spannungsfeld zwischen Web- und Legacy-Applikationen muss die eingesetzte Sicherheitslösung dazu zweierlei beherrschen: Im ersten Fall muss sie bei berechtigtem Zugriff dazu in der Lage sein, die Applikation auf dem Sicherheits-Gateway selbst freizuschalten. Für die Legacy-Welt muss sie die Zugriffsregeln zur Freischaltung der Applikationen an den PC des Teilnehmers übertragen können – möglichst unabhängig davon, ob sich die Rechte auf Intranet-, Extranet- oder Internet-Teilnehmer beziehen. Erst so entsteht ein Single Point of Access, über den alle einwählenden Teilnehmer eindeutig identifiziert werden, um daraufhin via Portal oder PC ihre persönlichen Zugriffsrechte zugewiesen zu bekommen. Das wiederum beschleunigt die persönliche Informations- und Service-Bereitstellung – eine wesentliche Voraussetzung für florierendes E-Business und E-Commerce.

Single Sign-on

Mit der zentralen Führung aller Zugangs- und Zugriffsregeln sind gleichzeitig beste Voraussetzungen für die dritte Säule geschaffen: den Single Sign-on (SSO). Dieses Verfahren ordnet mit erfolgreicher Authentifizierung automatisch im Hintergrund die Autorisierungsrechte für die berechtigten Applikationen zu – im Fall von Web-Applikationen an die Sicherheits-Gateway, im Fall von Legacy-Applikationen an den PC des Teilnehmers. Dadurch müssen sich die Intranet-, Extranet- und bekannten Internet-Teilnehmer lediglich einmal authentifizieren und erhalten anschließend Zugriff auf alle ihnen erlaubten Applikationen. Ein solcher SSO bringt viele Vorteile mit sich:

Da via Portal nur die berechtigten Web-Applikationen angezeigt werden, geraten andere erst gar nicht in "Zugriffsgefahr". Legacy-Applikationen für die PC-Umgebung werden wie zuvor eingesteuert, zum Beispiel über Windows-Profile.
Weil der komplette Zugriff über die Authentifizierungsregel gesteuert wird (beispielsweise User/Password), bleibt den Teilnehmern der Umgang mit unzähligen Autorisierungs-Passwörtern erspart.
Das schließt zudem die Gefahr aus, dass Autorisierungspasswörter aus Unachtsamkeit oder Nachlässigkeit in falsche Hände geraten.
Zusätzlich erspart es der SSO dem Help-Desk immer wieder aufs Neue Passwörter zu vergeben und dem Teilnehmer sicher zuzuweisen, wenn dieser seine Zugangsinformationen vergisst. Bis zu 60 Prozent ihrer Unterstützungszeit widmet vielerorts der Help-Desk diesem umständlichen und immer wiederkehrenden Prozedere.

Besonders sicher ist ein SSO gegenüber Web-Applikationen, weil in diesem Fall das hermetisch abgeschirmte Sicherheits-Gateway die berechtigten Web-Server oder -Applikationen freischaltet. Beim klassischen SSO bleibt immer noch die Übertragung der Autorisierungsregeln an den Teilnehmer-PC als potenzielle Angriffsstrecke. Deshalb sollten diese sicherheitsrelevanten Informationen von der Sicherheitslösung nur stark verschlüsselt übertragen werden. Da die komplette Zugriffskontrolle beim SSO an die Authentifizierung gekoppelt ist, sollte diese allerdings entsprechend stark ausgelegt werden, beispielsweise durch den Einsatz von Smartcards oder Einmalpasswort-Token wie Vascos Digipass oder SecurID von RSA.

Ablauf der SSO-Anmeldung am Web-Portal (am Beispiel von Evidian Access Master)

Public Key Infrastructure

Noch sicherer sind Authentifizierung und Autorisierung mittels Public-Key-Infrastruktur (PKI), üblicherweise über X.509-Zertifikate. Sie ermöglichen Sicherheit gleich in vierfacher Hinsicht, egal ob die Einwahl aus dem Intranet, Extranet oder Internet erfolgt:

praktisch nicht-kompromittierbare Zertifikate,
Authentizität durch eindeutig identifizierte Teilnehmer,
Integrität sowie
Verbindlichkeit der Daten durch eine garantierte Urheberschaft per elektronischer Signatur.

Mit gemeinsamer Benutzeradministration für Web und Legacy, zentral eingestellten Authentifizierungs- und Autorisierungsregeln sowie SSO ist die Basis für eine PKI bereits gelegt. Was noch fehlt, ist eine Sicherheitslösung, die für die PKI die notwendige Registration Authority (RA) zur Verteilung der Zertifikate integriert und mit den Certification Authorities (CAs) unterschiedlicher Hersteller zur Zertifikatsausstellung harmoniert. Auf diese Weise ist ein Unternehmen frei in der Auswahl ihrer PKI-Lösung und auch künftig nicht an die Software eines bestimmten Herstellers gebunden.

Integrationsperspektive "Meta Directory"

Als fünfte Säule einer leistungsfähigen Sicherheitslösung für Legacy und Web bleibt die Perspektive "Meta Directory". Sie ermöglicht eine Benutzeradministration auf Corporate-Level. Ein Meta Directory ist damit genau das Medium, um angesichts des sich ausweitenden Beziehungsgeflechts die stark wachsende Teilnehmerschar aus Intranet, Extranet und Internet in den Verwaltungsgriff zu bekommen. Die Authentifizierungs- und Autorisierungsregeln sollten hingegen, trotz Meta Directory, weiterhin aufgrund ihrer spezifischen Aufgabe in einem X.521-Sicherheitsverzeichnis geführt werden.

Mit dem Ausblick auf Mobile-Business einschließlich M-Commerce kündigt sich bereits eine zusätzliche Flut an Benutzereinträgen an, die den Druck hin zum Einsatz eines Meta Directory weiter erhöhen dürfte. Darüber hinaus rufen kollaborative Web-Services, auf den Weg gebracht über Frameworks wie Microsofts .net, IBMs Web Sphere oder Sun One, förmlich nach der Instanz eines Über-Verzeichnisses. Nur sie wird es solchen Web-Services, die gegenseitig Funktionen aufrufen und selbsttätig Informationen austauschen, ermöglichen, sich automatisch zu authentifizieren und zu autorisieren. Die dazu notwendigen Schnittstellen wie Web Services Mark-up Language (WSML) und Simple Object Access Protocol (SOAP) für sichere automatisierte Anwendungsketten bereiten Meta-Directory-Hersteller wie Sun, Siemens, Critical Path und Novell gerade vor. All diese Perspektiven bieten sich aber nur dann, wenn der Hersteller der eingesetzten Sicherheitslösung die Integration in ein Meta Directory auch unterstützt.

Resümee

Bei der Produktauswahl sollte man zusätzlich darauf achten, dass die Installation der kompletten Legacy/Web-Sicherheitslösung keine Veränderungen an den bestehenden Servern und PCs nach sich zieht. Nur dann kann ein Anwender "Säule für Säule" auf eine rasche, reibungslose und kostensparende Integration der Software ins Portal zählen. Nur wenn Unternehmen und öffentliche Verwaltungen ihren Zugriffsschutz über alle eingesetzten Applikationen – Web wie Legacy – spannen, werden sie auf eine wirtschaftliche Benutzeradministration, durchgehend sichere Daten und Prozesse, eine schnelle und gezielte Informations- und Servicebereitstellung sowie Investitionssicherung und verheißungsvolle Zukunftsperspektiven bauen können.

Norbert Drecker ist Leiter Beratung und Support bei der Evidian GmbH in Köln.