Feingranularer Zugriffsschutz dank Attribute based Access Control
Quelle: AXA Winterthur

Feingranularer Zugriffsschutz dank Attribute based Access Control

Von Ronny Bernold und Jakob Steingruber

Die Digitalisierung macht auch vor der AXA Winterthur nicht halt. Mit der zunehmenden Digitalisierung der Kundeninteraktion haben sich auch die Anforderungen an den Zugriffsschutz erhöht. Diese Anforderungen können nur durch ein hochautomatisiertes Verfahren erfüllt werden. Ein Erfahrungsbericht.

Artikel erschienen in Swiss IT Magazine 2016/09

     

In der «alten Welt» haben primär Mitarbeitende die Informationen und Daten des Unternehmens bearbeitet. Heute können Kunden online Statusabfragen, Adressmutationen bis hin zu Schadensmeldungen selbständig erledigen. Diese digitalen Services bringen dem Kunden mehr Flexibilität und Freiraum, erfordern aber erweiterte Sicherheitsmechanismen. So dürfen entsprechende Mutationen natürlich nur auf die eigenen Angaben gemacht und sicherlich nur eigene Daten eingesehen werden. Gleichzeitig erfordern solch offene Interaktionsmodelle stärkere Transparenz über die einzelnen Schritte der Zugriffsberechtigten. Diese und ähnliche Anforderungen standen zu Beginn der Evaluation für ein neues Autorisierungskonzept im Vordergrund. Ein klassisches, rollenbasiertes Berechtigungssystem (RBAC), bei welchem entsprechende Rechte zugewiesen werden, würde hier offensichtlich an seine Grenzen stossen. Vielmehr müssen die Sicht- und Mutationsberechtigungen aus bestehenden Informationen abgeleitet werden: Wer beispielsweise Vertragspartner ist, darf auch das Auszahlungskonto ändern.

Sicherheit und mehr Transparenz bei Zugriffsrechten als Anforderungen

Der Aufbau des Kundenportals stand am Startpunkt der Evaluation. Wie bereits beschrieben, galt es die feingranularen Berechtigungen von Kunden möglichst automatisiert zu verwalten. Dazu sollten wann immer möglich bestehende Geschäftsdaten (sogenannte Business Attribute) wiederverwendet werden, anstatt eine zusätzliche Berechtigungsadministration mit eigenen Daten aufzubauen.

Dieses neuartige Berechtigungsverfahren sollte gleichzeitig auch für feingranulare Berechtigungs-Usecases bei den Mitarbeitenden genutzt werden. Denn bis dato musste pro Berechtigungsset eine Rolle gepflegt werden. Mit dem neuen Autorisierungsparadigma sollte die Anzahl der Rollen klar sinken.


Ein zweiter wichtiger Grundsatz war die Wiederverwendung der Autorisierungsregeln über mehrere Applikationen hinweg. So sollten Kunden selbst sowohl Schadendaten als auch Vertragsdaten auf Basis der gleichen Berechtigungsregeln (er / sie ist Versicherungsnehmer/-in) einsehen können. Die Zugriffe auf Businessdaten sollten über alle Applikationen gleichartig berechtigt werden. Die Anforderung ging sogar noch einen Schritt weiter: Um die Transparenz über effektive Zugriffe zu erhöhen, sollten die Zugriffsentscheide zentralisiert werden. Will heissen, der eigentliche Zugriffsentscheid wird aus der Applikation an eine dedizierte Komponente delegiert.

Der XACML-Standard als zentraler Lösungsbaustein

Neben den fachlichen Anforderungen war schnell klar, dass die AXA Winterthur auf keine proprietäre Entwicklung setzen wollte. Es galt eine Lösung zu finden, die möglichst standardisiert, offen und flexibel einsetzbar, gleichzeitig aber auch erweiterbar ist. Mit dem vom nonprofit Konsortium OASIS definierten Standard eXtensible Access Control Markup Language (XACML) fand sich ein geeignetes Mittel.
Das Konzept von XACML trennt dabei vier wesentliche Bausteine:

  • Der Policy Decision Point (PDP) fungiert als zentraler Entscheidungspunkt und liefert einer angeschlossenen Applikation die Entscheidung, ob ein Zugriff gewährt werden kann oder abgelehnt werden muss.
  • Im Policy Administration Point (PAP) werden die Berechtigungsregeln definiert und verwaltet (z. Bsp. Zugriff sofern Benutzer=Versicherungsnehmer)
  • Über den Policy Information Point (PIP) werden die zur Entscheidung notwendigen Attribute beschafft.
  • Der Policy Enforcement Point (PEP) wird mit einer Applikation verteilt und stellt die Verbindung zur zentralen Entscheidungsinstanz PDP

Für die AXA Winterthur war schnell klar, dass auf dem Markt verfügbare XACML Produkte einer Eigenentwicklung vorzuziehen sind. Durch die Verwendung des auf dem XACML Standard aufbauenden Produkts «NextLabs» konnten die wesentlichen Anforderungen wie dynamische feingranulare Autorisierungsregeln, Wiederverwendung der Regeln und zentrale Transparenz über die Entscheidungen erfüllt werden.

Attributbestände als Herausforderung

Mit der Einführung der entsprechenden Suite war die Arbeit jedoch noch nicht getan. So stellte sich schnell die Frage, welche Attribute für Autorisierungsentscheidungen relevant sind und ob diese in der entsprechenden Qualität digital zur Verfügung stehen.

So zeigten sich z.B. generell klare Attributbestände wie «organisatorische Zugehörigkeiten, Unter-Überstellung, Stelle eines Mitarbeiters, Betreuungsverhältnisse zu Kunden, Branchenzugehörigkeit, Datenklassifikationen» als interpretationsbedürftig.


Gleichzeitig stellte die Zentralisierung der Autorisierungsentscheidung eine zusätzliche Herausforderung dar: So gilt es im Umfeld von agilen Entwicklungsmethoden schnell auf neue Anforderungen reagieren zu können und doch zentrale Grundsätze beizubehalten.

Positives Zwischenfazit

Zu Beginn des Projekts herrschte die Ansicht vor, dass mit Attribute based Access Control (ABAC) die Rollen-basierte Autorisierung abgelöst werden kann. Doch solange bei eingekauften Systemen mehrheitlich ein Rollen-basierter Ansatz vorherrscht und die Autorisierung nicht delegiert werden kann, bleibt dies utopisch.

Heute sind wir der Ansicht, ABAC macht überall dort Sinn, wo feingranulare Autorisierungsanforderungen eine Rollenexplosion bewirken würden – oder bei neuen Eigenentwicklungen. Die AXA Winterthur stellt sich also auf eine Koexistenz der beiden Autorisierungsparadigmen ein und strebt das optimale Zusammenwirken beider Paradigmen an.


Auf dem Weg zur Attribut-basierten Autorisierung sind erhebliche Herausforderungen und Hindernisse zu meistern. Die AXA Winterthur befindet sich noch auf diesem Weg. Dennoch können schon verschiedene Erfolge verbucht werden:
• Mit ABAC lassen sich Daten für grosse Benutzer-Communities effizient und automatisiert autorisieren.
• Auf ABAC umgestellte Applikationen müssen sich nur noch fachlich um die Autorisierungslogik kümmern und diese verschwindet aus dem Applikationscode.
• Die Transparenz, wie Zugriffe zustandekommen ist wesentlich besser, weil klar ist, wo die Autorisierungslogik neu beheimatet ist.
• Anpassungen an Autorisierungs-Regeln können rasch, unkompliziert und unabhängig von Applikations-Releases vollzogen werden.

Der beschrittene Weg ist lang und nicht immer einfach, aber bisher sehr erfolgsversprechend und sicherlich ein wichtiger Baustein, um die Sicherheit für unsere Kunden in einer zunehmend digitalisierten Welt gewährleisten zu können.

Ronny Bernold ist IAM-Consultant, Jakob Steingruber ist Head CC IAM (beide im Competence Center Identity & Access Management der AXA Winterthur)


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Wie hiess im Märchen die Schwester von Hänsel?
GOLD SPONSOREN
SPONSOREN & PARTNER