Home | Solutions | Regulatory Compliance | CMMC Requirements: Explained
The Definitive Guide to Attribute-Based Access Control (ABAC)
Stay ahead with digitization, collaboration, and innovation
Der definitive Leitfaden zur Attribute-Based Access Control (ABAC)
Attribute-Based Access Control (ABAC) hat sich als die Technologie der nächsten Generation für den sicheren Zugriff auf geschäftskritische Daten etabliert. Die Entwicklung der heutigen IT-Technologie, z.B. Cloud-Apps, Datensilos, Mobilgeräte, IoT und Big Data, hat Komplexität der heutigen IT-Landschaft erheblich angestiegen, die Grenzen der Role–Based Access Control (RBAC) aufgezeigt und lässt Unternehmen an der Datensicherheitsfront verwundbar zurück hat. Von vielen, einschließlich Gartner und NIST, wird ABAC nun als der dominierende Mechanismus für die Zukunft angesehen. Als Teil eines Konsortiums, das mit der Erstellung einer Referenzarchitektur für ABAC beauftragt wurde, wurde NextLabs vom National Institute of Standards and Technology (NIST) ausgewählt, um bei der Definition der Kernfunktionen und Vorteile von ABAC zu helfen.
Was ist ABAC?
Laut NIST ist ABAC definiert als “eine Zugriffskontrollmethode, bei der Anfragen von Subjekten zur Durchführung von Operationen an Objekten auf der Grundlage von zugewiesenen Attributen des Subjekts, zugewiesenen Attributen des Objekts, Umgebungsbedingungen und einem Satz von Richtlinien, die in Bezug auf diese Attribute und Bedingungen spezifiziert sind, gewährt oder verweigert werden”.
Die Attribute-Based Access Control (ABAC) ermöglicht den Zugriff auf Benutzer auf der Grundlage ihrer Person und nicht auf der Grundlage ihrer Tätigkeit, z. B. der Geschäftseinheit, in der sie arbeiten, und der Art ihrer Einstellung. Attribute ermöglichen eine einfachere Kontrollstruktur, da die Berechtigungen auf der Art des Benutzers, dem Standort, der Abteilung usw. basieren können, was die physischen Aspekte des Unternehmens widerspiegelt. Durch die Betrachtung der Attribute eines Benutzers – Informationen, die bereits bekannt und oft in einem HR-System gespeichert sind – ermöglicht ABAC eine einfachere Formulierung einer umfangreichen, komplexen Zugriffskontrollpolitik. Wenn beispielsweise eine Benutzerin namens Margret Smyth von der Marketingabteilung in die Geschäftsleitung befördert wird, werden ihre Zugriffsrechte aktualisiert, weil sich ihre geschäftlichen Attribute geändert haben, und nicht, weil sich jemand daran erinnert hat, dass sie Administratorrechte hatte und sich die Zeit genommen hat, irgendwo eine Konfigurationsdatei zu aktualisieren.
Die Vorteile von ABAC sind vielfältig und es gibt einige Anforderungen, die nur mit einem ABAC-Modell erfüllt werden können. Der wichtigste Vorteil ist die benutzerintuitive Natur von ABAC, die technische Berechtigungssätze hinter leicht verständlichen Benutzerprofilen verbirgt, die jeder mit der entsprechenden Berechtigung aktualisieren kann, in dem Wissen, dass der Benutzer den benötigten Zugriff hat, solange seine Attribute auf dem neuesten Stand sind. Ein weiterer Vorteil von ABAC ist die Flexibilität, die es bietet. Nahezu alles, was den Benutzer und das Unternehmen betrifft, kann dargestellt werden, so dass das Unternehmen aus der Sicht des Unternehmens und nicht aus der Sicht der IT denken kann. Welche Apps, auf welche Art von Daten die Benutzer zugreifen können, welche Transaktionen sie durchführen können und welche Operationen sie ausführen können, ändert sich automatisch auf der Grundlage dieser kontextbezogenen Faktoren. Der Nettoeffekt ist, dass Unternehmen, die ABAC nutzen, präzisere Entscheidungen auf der Grundlage von Echtzeit-Betriebsinformationen treffen können.
Mit ABAC kann beispielsweise der Zugriff auf geschäftskritische Daten anhand von Attributen oder Merkmalen des Benutzers, der Daten oder der Umgebung bestimmt werden, z.B. Gruppe, Abteilung, Mitarbeiterstatus, Staatsangehörigkeit, Position, Gerätetyp, IP-Adresse oder andere Faktoren, die sich auf das Ergebnis der Autorisierung auswirken könnten. Diese Attribute können aus Benutzeridentitäten, Apps und Systemressourcen, Umgebungsattributen, aber auch aus anderen Datenquellen wie IAM, ERP, PLM, Mitarbeiterinformationen aus einem internen HR-System oder Kundeninformationen aus Salesforce, Datenbanken, LDAP-Servern oder sogar von einem Geschäftspartner für föderierte Identitäten abgerufen werden.
ABAC kann in Verbindung mit der rollenbasierten Zugriffskontrolle (RBAC) verwendet werden, um die einfache Verwaltung von Richtlinien, für die RBAC bekannt ist, mit der flexiblen Spezifikation von Richtlinien und der dynamischen Entscheidungsfindung zu kombinieren, für die ABAC bekannt ist. Die Kombination von RBAC und ABAC in einer einzigen hybriden ABAC/RBAC (ARBAC)-Lösung kann eine zukunftssichere Identitäts- und Zugriffsmanagementlösung bieten, die in der Lage ist, Regeln auf der Grundlage von individuellen Profilen und Parametern der Geschäftsumgebung zu entwerfen und durchzusetzen. ARBAC kann beispielsweise eingesetzt werden, um eine obligatorische Zugriffskontrolle auf der Grundlage bestimmter Attribute durchzusetzen und gleichzeitig eine diskretionäre Zugriffskontrolle durch übergeordnete Rollen, die als “Arbeit-Funktionen” bekannt sind und auf der Grundlage der Beschäftigungsart des Benutzers profiliert werden, zu ermöglichen. Alternativ kann ARBAC auch zur Umsetzung des Konzepts der risikoadaptiven Zugangskontrolle eingesetzt werden, bei dem sich die Zugangsberechtigungen gegenseitig ausschließen, z. B. durch Regeln für die Aufgabentrennung.
Der hybride Ansatz von ARBAC ermöglicht es dem System, die IT- und die Unternehmensstruktur miteinander zu verbinden. Während der Basiszugriff automatisch gewährt wird, kann das Unternehmen bestimmten Benutzern über Rollen, die in die Unternehmensstruktur passen, zusätzlichen Zugriff gewähren. Indem Rollen attributabhängig gemacht werden, können für bestimmte Benutzer automatisch zusätzliche Beschränkungen eingerichtet werden, ohne dass zusätzliche Suchvorgänge oder Konfigurationen erforderlich sind, wodurch die Anzahl der zu verwaltenden Zugriffsprofile besser organisiert und reduziert wird. In einem größeren Unternehmen mit mehreren Geschäftsbereichen und multifunktionalen Mitarbeitern vereinfacht die Möglichkeit, den Zugriff durch Attribute zu steuern, den Prozess der Bestimmung des korrekten Zugriffs für Benutzer. Infolgedessen erleichtert eine hybride Struktur den Unternehmen die Entscheidungsfindung, wenn es darum geht, den Mitarbeitern Zugriff auf Benutzerkonten zu gewähren. Wenn dieser Ansatz mit einer passenden benutzerzentrierten Kontrollschnittstelle kombiniert wird, kann die IT-Abteilung endlich die Arbeit des Onboarding und Offboarding von Benutzern an die Entscheidungsträger im Unternehmen auslagern.
Es ist zu erwarten, dass sich ABAC im Laufe der Zeit als das Autorisierungsmodell der Wahl für Unternehmen durchsetzen wird. Eine Lösung, die die Lücke zwischen RBAC und ABAC schließen kann, ist daher wichtig – ein unverzichtbares, hochwertiges Software-Asset für intelligente Unternehmen! Lesen Sie diese Zusammenfassung, um zu erfahren, wie Sie eine erfolgreiche ABAC-Implementierung sicherstellen können.
ABAC- Anwendungsfälle
- Ein Ingenieur, der einem neuen Projekt zugewiesen wird, kann automatisch auf die Informationen des neuen Projekts zugreifen, nicht aber auf die des vorherigen Projekts.
- Ein Kundenbetreuer, der einem neuen Gebiet zugewiesen wird, kann automatisch Vorgänge zu Kunden und Produkten im neuen Gebiet anzeigen und durchführen, hat aber keinen Zugriff mehr auf Informationen aus dem alten Gebiet.
- Ein Finanzmanagerin kann nur dann Dokumente herunterladen, wenn sie sich in den USA befindet.
- Ein Personalleiter, der einer Ländergesellschaft oder einem Geschäftsbereich zugewiesen ist, kann nur auf die personenbezogenen Daten der Mitarbeiter der zugewiesenen Ländergesellschaft oder des Geschäftsbereichs zugreifen.
Die Macht der Attribute
Das Herzstück der ABAC-Technologie ist Dynamic Authorization. Bei der Dynamic Authorization handelt es sich um eine Technologie, bei der die Autorisierung und die Zugriffsrechte auf das Netzwerk, die Anwendungen, die Daten oder andere sensible Ressourcen eines Unternehmens dynamisch und in Echtzeit anhand von attributbasierten Regeln und Richtlinien erteilt werden.
Die Attribute, die zur Definition dieser Regeln und Richtlinien verwendet werden, können sich auf das Thema, die Umgebung oder sogar die Ressourcen beziehen, auf die zugegriffen wird. Sobald die spezifischen Regeln und Anforderungen erfüllt sind, kann der Benutzer auf die entsprechenden Daten zugreifen.
Unter ABAC können Zugriffsentscheidungen zwischen Anfragen durch einfache Änderung von Attributwerten geändert werden, ohne dass das Subjekt/Objekt-Beziehungen, die die zugrunde liegenden Regelsätze definieren, geändert werden müssen.
Wenn Sie mehr darüber erfahren möchten, wie Sie dynamischen Datenschutz mit ABAC ermöglichen, lesen Sie dieses Whitepaper.
Der Übergang von RBAC zu ABAC
Die Role-Based Access Control (RBAC) wurde für eine einfachere Welt entwickelt. RBAC wurde 1992 vom NIST formalisiert und entwickelte sich schnell zum Standard für Unternehmen, die mehr als 500 Mitarbeiter verwalten. RBAC übertraf frühere Modelle und wurde größtenteils in Benutzerbereitstellungssystemen implementiert, um den Joiner/Mover/Leaver-Prozess zu rationalisieren, wodurch Unternehmen die Möglichkeit erhielten, die Zugriffskontrolle anhand der Rolle und nicht anhand der individuellen Benutzer-ID eines Mitarbeiters zu verwalten. RBAC gruppiert Benutzer und Berechtigungen und kann auf Geschäftsfunktionen oder Aktivitäten basieren (z. B. “Kreditorenbuchhalter” vs. “Daten in Finanzsystemen anzeigen”). Rollen können flach oder hierarchisch sein und sogar Vererbung beinhalten. Sie stellen im Wesentlichen eine zusätzliche Abstraktionsebene dar und fungieren als Sammlung von Berechtigungen oder Ansprüchen. Und jede Rolle kann einem oder Hunderten von Benutzern zugewiesen werden, was die Verwaltung erheblich vereinfacht.
Erweiterung von RBAC mit ABAC
ABAC ermöglicht es einem Unternehmen, bestehende Rollen durch Attribute und Richtlinien zu erweitern. Durch die Hinzufügung von Kontext können Autorisierungsentscheidungen nicht nur auf der Grundlage der Rolle eines Benutzers getroffen werden, sondern auch unter Berücksichtigung dessen, mit wem oder was dieser Benutzer in Beziehung steht, worauf dieser Benutzer Zugriff benötigt, woher dieser Benutzer Zugriff benötigt, wann dieser Benutzer Zugriff benötigt und wie dieser Benutzer auf die angeforderten Informationen zugreift. ABAC tut dies, indem es Richtlinien verwendet, die auf den einzelnen Attributen aufbauen und natürliche Sprache verwenden. Eine Richtlinie kann zum Beispiel wie folgt formuliert werden: “Ärzte können während der Arbeitszeit und von einem zugelassenen Gerät aus die Krankenakten aller Patienten in ihrer Abteilung einsehen und alle ihnen direkt zugewiesenen Patientendaten aktualisieren.” Durch die Erstellung einer leicht verständlichen Richtlinie mit dem Kontext eines Benutzers und dem, worauf er Zugriff haben soll, wird die Zugriffskontrolle wesentlich robuster. Durch diese Funktionalität wird der Anwendungsbereich von RBAC erheblich ausgeweitet. Wir brauchen nicht mehr Hunderte von überladenen Rollen, und die Administratoren können Abteilungen und andere Attribute hinzufügen, entfernen oder umorganisieren, ohne die Richtlinie neu schreiben zu müssen. Letztendlich bedeuten weniger Rollen eine einfachere Rollenverwaltung und ein leichteres Identitätsmanagement. Darüber hinaus ermöglicht ABAC die Durchführung von Geschäftsinitiativen, die zuvor mit RBAC allein nicht möglich waren.
Die Zukunft der Zugriffskontrolle ist ABAC
Traditionell basiert die Zugriffskontrolle auf der Identität eines Benutzers, der die Ausführung einer Fähigkeit zur Durchführung einer Operation (z. B. Lesen) an einem Objekt (z. B. einer Datei) beantragt, entweder direkt oder über vordefinierte Attributtypen wie Rollen oder Gruppen, die diesem Benutzer zugewiesen sind.
Unternehmen implementieren die Attribute-Based Access Control (ABAC), weil sie erkannt haben, dass herkömmliche Zugriffskontrollmethoden für die Herausforderungen des erweiterten Unternehmens nicht ausreichen, z. B. für die sichere Freigabe vertraulicher Informationen und die Einhaltung gesetzlicher Datenanforderungen. ABAC ermöglicht es Ihnen, die Kontrollen auf die Merkmale der Daten abzustimmen, die den Schutz rechtfertigen, z. B. die Art des Inhalts, das Projekt, die Sicherheitsfreigabe usw. Bei der ABAC werden auch Informationen über den Benutzer und die Umgebung berücksichtigt, einschließlich Standort, Position, Gerät und Netzwerk. Die Kontrollen können als einfache Versionen von Richtlinien für die gemeinsame Nutzung von Informationen erstellt werden. Einmal erstellt, kann eine einzige Richtlinie auf mehreren Systemen und Hunderten von Geräten eingesetzt werden. Im Gegensatz zu herkömmlichen Kontrollen, bei denen Berechtigungen statisch definiert werden müssen, bevor ein Zugriffsversuch erfolgt, werden ABAC-Regeln dynamisch anhand von Attributen bewertet, die zur Laufzeit bereitgestellt werden. Die Attribute können aus verschiedenen Quellen stammen – sogar aus Quellen außerhalb eines Unternehmens. Außerdem passt sich die Durchsetzung automatisch an die Risikostufen an. Wenn sich beispielsweise die Klassifizierung eines Dokuments oder die Teamzugehörigkeit eines Benutzers ändert, werden die Zugriffsrechte automatisch angepasst. Es ist nicht erforderlich, neue Rollen anzufordern oder Berechtigungen zu aktualisieren. neue Rollen anzufordern oder Berechtigungen zu aktualisieren.
Ein Beispiel für einen Zugriffskontrollrahmen, der die ABAC-Grundsätze anwendet, ist der XACML-Standard.
Was ist XACML?
XACML ist ein OASIS OPEN-Standard. XACML steht für “eXtensible Access Control Markup Language”. Es handelt sich um eine XML-basierte Sprache, die speziell für die Attribute-Based Access Control (ABAC) entwickelt wurde. Der Standard definiert eine deklarative, feinkörnige, attributbasierte Sprache für Zugriffskontrollrichtlinien, eine Architektur und ein Verarbeitungsmodell, das beschreibt, wie Zugriffsanfragen gemäß den in den Richtlinien definierten Regeln zu bewerten sind.
Der NextLabs Ansatz
Das Herzstück des NextLabs-Portfolios ist die Control Center Policy Management-Plattform, die auf unserer patentierten attributgesteuerten 4GL-Richtlinien-Engine, der Dynamic Authorization, und der ABAC-Technologie basiert.
Bei der Dynamic Authorization handelt es sich um eine Technologie, bei der die Autorisierung und die Zugriffsrechte auf das Netzwerk, die Apps, die Daten oder andere sensible Ressourcen eines Unternehmens dynamisch und in Echtzeit mithilfe von attributbasierten Regeln und Richtlinien erteilt werden. Die Richtlinie wird durch eine kontextbezogene 4GL-Richtliniensprache unterstützt, die es Geschäftsanwendern ermöglicht, domänenspezifische Richtlinien in einfachem Englisch zu erstellen.
Das Control Center von NextLabs bietet Richtlinienmanagement, dynamische Richtlinienbewertung, Durchsetzungsdienste, Attributmanagement, Integrationspunkte, Prüfberichte und Automatisierungstools, mit denen Unternehmen identitätsbewusste, datenzentrierte ABAC- und Informationskontrollrichtlinien zentral verwalten, bereitstellen und durchsetzen können. Richtlinien werden zentral verwaltet und von der geschützten App entkoppelt/externalisiert, d. h. sie können ohne Codeänderungen oder Anwendungsausfallzeiten geändert werden. Dies erhöht die organisatorische Flexibilität und versetzt das Unternehmen in eine bessere Position, um auf sich ständig ändernde Geschäftsbedingungen und gesetzliche Vorschriften zu reagieren.
Die Lösung kann in die folgenden Control Center-Komponenten unterteilt werden:
- Verwaltung digitaler Richtlinien – Webbasierte GUI zur Digitalisierung von Anforderungen an die Informationskontrolle, die Einhaltung von Vorschriften und die Datensicherheit in Form von Richtlinien mit der Möglichkeit, den Lebenszyklus von Richtlinien zu verwalten und zu steuern.
- Zentrale Verwaltung mit delegierter Administration – Webbasierte zentrale Verwaltungskonsole zur Durchführung der meisten alltäglichen Verwaltungsaufgaben, einschließlich Benutzerverwaltung, Konfigurationsverwaltung, Serververwaltung und Richtlinienverwaltung. Das integrierte Modell der delegierten Verwaltung ermöglicht die Delegation von Eigentumsrechten und Verwaltungsaufgaben an einzelne Geschäftseinheiten, um die Zusammenarbeit und eine skalierbarere Richtliniendefinition und -verwaltung zu ermöglichen.
- Attributverwaltung – Fähigkeit zur Registrierung und Verwaltung von Attributen, zur regelmäßigen Synchronisierung vorhandener Attribute aus verschiedenen internen und externen Attributquellen mit dem Attributspeicher des Control Centers und zum dynamischen Abruf von Attributwerten aus beliebigen Quellen in Echtzeit über integrierte Konnektoren und APIs.
- Dynamische und Echtzeit-Policy-Evaluierung – Distributed Policy Engine zur dynamischen Evaluierung von Richtlinien zur Bestimmung des Datenzugriffs und der Berechtigung, unabhängig davon, wo sich die Daten befinden, unter Verwendung von Laufzeitattributen, die zur Laufzeit präsentiert werden. Die Policy Engine arbeitet im Offline-Modus und ist in verschiedenen Formfaktoren verfügbar: Server, Kunde, und Cloud.
- Identitäts– und datenzentrierte Durchsetzung – Automatisieren Sie identitäts- und datenzentrierte Informationskontrollen – unabhängig davon, ob sie benutzergesteuert, von Programm zu Programm, von Maschine zu Maschine oder API-gesteuert sind.
- Berichterstattung und Überwachung – Report Server und die webbasierte Reporter-Anwendung fassen Audit-Protokolle zusammen und bieten zentralisierte Berichte, Warnungen und Überwachung für risikoreiche Zugriffsaktivitäten über Anwendungen hinweg; dadurch wird ein einheitlicher Einblick in den Informationszugriff, die Nutzung und die Compliance-Risiken ermöglicht.
- ICENET fehlertolerante & sichere Kommunikation – Sichere und asynchrone Kommunikation zwischen Policy Server und Policy Engine für die Verteilung von Richtlinien und die Aggregation von Protokollen mit Offline-Unterstützung
- Software Development Kit (SDK) – Das SDK von NextLabs ermöglicht die Integration von benutzerdefinierten Anwendungen in die NextLabs-Plattform. Mit diesem SDK können Unternehmen Sicherheits-, Governance- und Compliance-Richtlinien für ihre benutzerdefinierten Anwendungen genauso durchsetzen wie für ihre Standardanwendungen, indem sie Control Center als zentrale Plattform zur Durchsetzung von Richtlinien nutzen.
NextLabs Control Center ist sowohl als SaaS- als auch als Unternehmenssoftware-Lizenz erhältlich. Control Center basiert auf einer Cloud-nativen Architektur und bietet alle Vorteile von Container-Infrastrukturen wie automatische Skalierung, Elastizität, Ausfallsicherheit, automatische Bereitstellung und nahtloses Upgrade.
Hochgradig skalierbare 4GL-basiert Policy Engine
NextLabs Policy Engine ist ein verteilter Policy Decision Point (PDP), der in einer privaten, öffentlichen oder hybriden Cloud-Architektur eingesetzt werden kann. Die hoch skalierbare Policy-Evaluierungs-Engine unterstützt die Offline-Evaluierung, den dynamischen Abruf von Attributen und die Zwischenspeicherung von Policy-Ergebnissen und -Attributen im Speicher für eine superschnelle Policy-Evaluierung.
NextLabs Policy Engine basiert auf einer XACML-basierten 4GL-Richtliniensprache namens ACPL mit einer webbasierten grafischen Benutzeroberfläche für die Entwicklung und Verwaltung von Richtlinien, die es auch technisch nicht versierten Anwendern leicht macht, Richtlinien in einer dem Englischen ähnlichen Syntax zu definieren, zu testen, einzusetzen und zu überprüfen. Damit entfällt ein großer Teil der Komplexität, die mit der Erstellung von Richtlinien in XML verbunden ist, die ein beträchtliches Maß an Programmierkenntnissen erfordert. In ACPL geschriebene Richtlinien sind einfach zu erlernen, zu verstehen, zu schreiben und zu pflegen. Das bedeutet, dass Geschäftsanwender selbständig Richtlinien erstellen und pflegen können, ohne einen technischen Experten hinzuziehen zu müssen.
Die Policy Engine von Control Center bietet ein flexibles Richtlinienkomponentenmodell, mit dem Richtlinienadministratoren wiederverwendbare Richtlinien und Richtlinienkomponenten definieren können, die von Geschäftsanwendern genutzt werden können, um Datensicherheits-, gesetzliche und geschäftliche Anforderungen in digitale Richtlinien umzusetzen. Jede Richtlinie besteht aus einer Reihe von vordefinierten Bausteinen, den so genannten Richtlinienkomponenten, die mit Operatoren und anderen logischen Einschränkungen verknüpft und dann durch kontextbezogene Bedingungen weiter verfeinert werden. Die Implementierung von Richtlinien beinhaltet:
- Erstellung eines Richtlinienmodells für Subjekte (Benutzer, Hosts, Anwendungen und beliebige), Ressourcen und Vorgänge
- Erstellen von wiederverwendbaren Richtlinienkomponenten
- Verwendung von Richtlinienkomponenten zur Erstellung von Richtlinien mit Policy UI
Das Richtlinienmodell bestimmt die Subjekttypen (Benutzer, Host und App) und Ressourcentypen (Transaktionen, Datensätze, Dokumente und andere Ressourcen), die von Richtlinien abgedeckt werden können. Richtlinienkomponenten stellen Kategorien oder Klassen von Entitäten dar, wie z. B. Benutzer, Ressourcen und Aktionen. Richtlinien verwenden Komponenten als Bausteine zur Darstellung von Regeln, die den Zugriff auf und die Nutzung von Informationen steuern.
Die webbasierte GUI für die Richtlinienerstellung – Policy Studio – bietet eine benutzerfreundliche Drag-and-Drop-Oberfläche, mit der sich wiederverwendbare Richtlinienkomponenten und komplexe Richtlinien schnell und einfach erstellen lassen. Es ermöglicht einem Richtlinienautor, wiederverwendbare Richtlinienkomponenten für die Verwendung in Richtlinien zu erstellen. Policy Studio bietet außerdem detaillierte Funktionen für die Richtlinienprüfung, den Versionsverlauf und die Berichterstellung, mit denen sich Änderungen an Richtlinien einfach überprüfen lassen.
Alle Richtlinien und Komponenten werden über ihren gesamten Lebenszyklus hinweg verwaltet – vom Entwurf über die Bereitstellung bis hin zur Deaktivierung oder Löschung. Die auf Attributen basierenden Funktionen zur Verwaltung des Lebenszyklus der Zugriffskontrolle stellen sicher, dass jede Richtlinie vor der Bereitstellung in Produktionssystemen validiert und genehmigt wird. Zu den weiteren Funktionen der Lebenszyklusverwaltung gehören delegierte Verwaltung, Versionierung, Genehmigungsworkflow und vollständige Prüfprotokolle.
Umfassende Unterstützung von COTS-Apps Out-Of-The-Box
NextLabs bietet die umfangreichste Unterstützung von Out-Of-The-Box (OOTB) Policy Enforcer (PEP) für COTS-Anwendungen, die sowohl strukturierte als auch unstrukturierte Datenumgebungen abdecken, um die Markteinführung zu beschleunigen und es Unternehmen zu ermöglichen, ihre Sicherheits- und Compliance-Ziele schnell zu erreichen.
Die OOTB Enforcer Suite von NextLabs schützt geschäftskritische Appsdaten sowohl auf der Anwendungs- als auch auf der Datenbankebene. Wenn Daten eine App in unstrukturierter Form (z. B. als Dateien) verlassen, klassifiziert und schützt NextLabs’ Rights Manager diese Dateien automatisch mit Digital Rights Management (SkyDRM).
Attribute-based access control (ABAC) has emerged as the next-gen technology for secure access to business-critical data. The complexities of today’s IT landscape – think cloud apps, data silos, mobile, IoT, Big Data – has exposed the limitations of role-based access control (RBAC) solutions, leaving organizations vulnerable on the data security front. By many, including Gartner and NIST, ABAC is now being considered as the dominant mechanism for the future. As part of a consortium tasked with creating a reference architecture for ABAC, NextLabs was selected by the National Institute of Standards and Technology (NIST) to help define the core capabilities and benefits of ABAC.
What is ABAC?
According to NIST, ABAC is defined as “an access control method where subject requests to perform operations on objects are granted or denied based on assigned attributes of the subject, assigned attributes of the object, environment conditions, and a set of policies that are specified in terms of those attributes and conditions.”
Attribute Based Access Control (ABAC) provides access to users based on who they are rather than what they do: for example, the business unit they work in and how they were hired. Attributes allow for an easier control structure because permissions can be based on the user’s type, location, department and so on, mirroring the physical aspects of the business. By looking at a user’s attributes—information that is already known and often stored in an HR system—ABAC permits you to express a rich, complex access control policy more simply. For example, if a user named Margret Smyth is promoted from the Marketing to management, her access permissions will be updated because her business attributes changed, not because someone remembered that she had admin permissions and took the time to update a configuration file somewhere.
The benefits of ABAC are many and there are some requirements that can only be achieved using an ABAC model. The most significant benefit is ABAC’s user-intuitive nature that hides technical permission sets behind easy-to-understand user profiles that anyone with authority can update, knowing that the user will have the access they need as long as their attributes are up to date. The other benefit of ABAC is the flexibility it gives; almost anything about the user and the business can be represented, allowing the business to think the business way, not the IT way. Which applications, what type of data users can access, what transactions they can submit, and the operations they can perform automatically change based on these contextual factors. The net effect is that organizations utilizing ABAC can make more concise decisions based on real-time operation information.
For example, using ABAC, access to business-critical data can be determined by attributes or characteristics of the user, the data, or the environment, such as group, department, employee status, citizenship, position, device type, IP address, or any other factors which could affect the authorization outcome. These attributes can be sourced from user identities, applications, and system resources, environmental attributes, they can also be retrieved from any other data source, such as IAM, ERP, PLM, employee information from an internal HR system or customer information from Salesforce, databases, LDAP servers, or even from a business partner for federated identities.
ABAC can be used in conjunction with Role Based Access Control (RBAC) to combine the ease of policy administration which is what RBAC is well-known, with flexible policy specification and dynamic decision making capability that ABAC is renowned for. Combining RBAC and ABAC into a single hybrid ABAC / RBAC (ARBAC) solution can provide a future-ready identity and access management solution capable of designing and enforcing rules based on individual profiles and business environment parameters. For example, ARBAC can be applied to enforce mandatory access control based on certain attributes while still providing discretionary access control through supercharged roles known as ‘job functions’ that are profiled based on user employment types. Alternatively, ARBAC can also be applied to implement the risk-adaptable access control concept, where access permissions can be made mutually exclusive through rules pertaining to segregation of duties for example.
The ARBAC hybrid approach allows the system to combine the IT and Business structures together. While basic access is provided automatically, the business can still provide additional access to specific users through roles that fit into the business structure. By making roles attribute-dependent, additional limitations can be put in place for certain users automatically without any additional searching or configurations, better organizing and reducing the number of access profiles that need to be kept track of. In a larger company with several business units and multifunctional employees, allowing access to be driven by attributes simplifies the process of determining correct access for users. As the result, a hybrid structure makes decision-making easier for enterprises when it comes to assigning user account access to workers. When the approach is combined with a matching user-centric control interface, IT is finally able to outsource the workload of onboarding and offboarding users to the decision makers in the business.
It is expected that, as time goes on, ABAC will become widely accepted as the authorization model of choice for businesses. A solution which can bridge the gap between RBAC and ABAC is therefore important — an indispensable, high-value software asset for the intelligent enterprise!
ABAC Use Cases
- An engineer that is reassigned to a new project can automatically access information related to the new project but not the previous one
- An account executive that is reassigned to a new territory is automatically able to view and perform operations on accounts and products in the new territory but can no longer access anything from the old territory
- A finance manager can only download docs when he or she is physically in the US
- An HR manager assigned to a country operation or business unit can only access PII data of the employees of the assigned country operation or business unit
The Power of Attributes
At the core of ABAC technology is Dynamic Authorization, dynamic authorization is a technology in which authorization and access rights to an organization’s network, applications, data, or other sensitive assets are granted dynamically in real-time using attribute-based rules and policies.
The attributes used to define these rules and policies can range from attributes based on the subject, environment, or even the resources that are being accessed. Once the specific set of rules and requirements are met, the specific data will be accessible to the user.
Under ABAC, access decisions can change between requests by simply changing attribute values, without the need to change the subject/object relationships defining underlying rule sets.
The Transition from RBAC to ABAC
Role-Based Access Control (RBAC) was designed for a simpler world. Formalized by NIST in 1992, RBAC quickly became the standard for enterprises managing upwards of 500 employees. Outpacing previous models, RBAC was largely implemented within user provisioning systems, attempting to streamline the Joiner/Mover/Leaver process which gave enterprises the ability to manage access control by role, rather than an employee’s individual user ID. RBAC groups users and entitlements and can be based on business function or activity (e.g., “Accounts Payable Clerk” vs. “View data in financial systems”). Roles can be flat or hierarchical and can even include inheritance. They essentially provide an extra level of abstraction, acting as a collection of permissions or entitlements. And each role can be assigned to one or hundreds of users, greatly simplifying management.
Enhancing RBAC with ABAC
ABAC allows an enterprise to extend existing roles using attributes and policies. By adding context, authorization decisions can be made based not only on a user’s role, but also by taking into account who or what that user is related to, what that user needs access to, where that user needs access from, when that user needs access, and how that user is accessing the requested information. ABAC does this by using policies built upon the individual attributes using natural language. For example, a policy may be written as follows: “Doctors can view medical records of any patient in their department and update any patient record that is directly assigned to them, during working hours, and from an approved device.”
By creating a policy that is easy to understand, with context around a user and what s/he should have access to, access control becomes far more robust. This functionality expands the scope of RBAC significantly. We no longer need hundreds of overloaded roles, and administrators can add, remove, or reorganize departments and other attributes without having to rewrite the policy. At the end of the day, fewer roles mean simpler role management and easier identity management. Moreover, ABAC enables the execution of business initiatives not previously possible via RBAC alone.
The Future of Access Control is ABAC
Traditionally, access control has been based on the identity of a user requesting execution of a capability to perform an operation (e.g., read) on an object (e.g., a file), either directly, or through predefined attribute types such as roles or groups assigned to that user.
Organizations implement Attribute-Based Access Control (ABAC) because they acknowledge traditional access control methods are not adequate for the challenges of the extended enterprise, including how to safely share confidential information and adhere to regulatory data requirements. ABAC allows you to design controls around the characteristics of data that warrant protection in the first place; this could be the type of content, project, security clearance, and so on. Attribute-Based Access Control also takes into account information about the user and the environment, including location, position, device, and network. Controls can be written as simple versions of information-sharing policies. Once written, a single policy can be deployed across multiple systems and hundreds of devices.
Unlike traditional controls, which require permissions to be defined statically before an access attempt occurs, ABAC rules are evaluated dynamically with attributes presented at run-time. The attributes can come from multiple sources – even sources external to an organization. Plus, enforcement adapts to risk levels automatically. For example, if the classification of a document changes, or a user’s team membership changes, access rights are automatically adjusted. No need to request new roles or update permissions. request new roles or update permissions.
What is XACML?
XACML is an OASIS OPEN standard. XACML stands for “eXtensible Access Control Markup Language”. It is an XML-based language designed specifically for Attribute-Based Access Control (ABAC). The standard defines a declarative fine-grained, attribute-based access control policy language, an architecture, and a processing model describing how to evaluate access requests according to the rules defined in policies.
The NextLabs Approach
At the heart of the NextLabs portfolio is the Control Center Policy Management platform powered by our patented attribute-driven 4GL policy engine, dynamic authorization, and Attribute-Based Access Control (ABAC) technology.
Dynamic authorization is a technology in which authorization and access rights to an organization’s network, applications, data, or other sensitive assets are granted dynamically in real-time using attribute-based rules and policies. The policy is powered by a contextual 4GL policy language that enables business users to create domain-specific policies in plain English.
NextLabs’ CloudAz provides policy management, dynamic policy evaluation, enforcement services, attribute management, integration points, audit reports, and automation tools to allow organizations to centrally administer, deploy, and enforce identity-aware data-centric ABAC and information control policies. Policies are centrally managed and decoupled/externalized from the protected application, which means they can be modified without requiring code changes or application downtime. This enhances organizational agility and leaves the company in a much better position to respond to always-changing business conditions and regulatory environments.
The solution can be grouped into the following CloudAz components:
- Digital Policy Management – Web-based GUI to digitize information control, compliance, and data security requirements into policy with facility for policy lifecycle management and governance.
- Central Management with Delegated Administration – Web-based central management console to perform most day-to-day administrative tasks, including user management, configuration management, server management, and policy governance. The built-in delegated administration model allows ownership and administrative tasks to be delegated to individual business units to enable collaboration and more scalable policy definition and management.
- Attribute Management – Capability to enroll and manage attribute, sync existing attributes from various internal and external attribute sources into the Control Center attribute store periodically, and dynamically retrieve attribute values from any sources in real time using built-in connectors and APIs.
- Dynamic and Real-Time Policy Evaluation – Distributed Policy Engine to dynamically evaluate policy to determine data access and entitlement no matter where data resides, using runtime attributes presented at run-time. Policy Engine works in offline mode and is available in multiple form-factor: server, client, and cloud.
- Identity and Data-Centric Enforcement – Automate identity and data-centric information controls – whether its user-driven, program to program, machine to machine, or API-driven.
- Reporting and Monitoring – Report Server and web-based Reporter application aggregates audit log, provides centralized reporting, alert, and monitoring for risky access activities across applications; thereby enabling single-pane visibility into information access, usage, and compliance risks.
- ICENET fault-tolerant & secure communication – Secure and async communication between Policy Server and Policy Engine for policy distribution and logs aggregation with offline support
- Software Development Kit (SDK) – NextLabs’ SDK enables the integration of custom applications with the NextLabs platform. Through this SDK, organizations can enforce security, governance, and compliance policies for their custom applications, just as they can for their “off the shelf” applications, using Control Center as a centralized policy enforcement platform.
NextLabs CloudAz is available both as a SaaS as well as an enterprise software license. CloudAz is built-on a cloud-native architecture and provides the full benefit of container infrastructures such as auto-scaling, elasticity, resiliency, auto-deployment, and seamless upgrade.
Highly Scalable 4GL Based Policy Engine
NextLabs Policy Engine is a distributed policy decision point (PDP) that can be deployed in a private, public, or hybrid cloud architecture. Its high scalability policy evaluation engine supports offline evaluation, dynamic attribute fetching, and in-memory policy result and attributes caching for super-fast policy evaluation.
NextLabs Policy Engine is built on a XACML-based 4GL policy language called ACPL with web-based policy development and management GUI that makes it easy for non-technical users to define, test, deploy, and review policies in an English like natural language syntax. It eliminates much of the complexities associated with authoring policies in XML, which requires a considerable amount of programming knowledge. Policies written in ACPL are simple to learn, understand, write, and maintain. That means business users can create and maintain policies on their own without needing a technical expert.
CloudAz’s Policy Engine provides a flexible Policy Component Model that allows policy administrators to define reusable policy and policy components that can be leveraged by business users to translate data security, regulatory and business requirements into digital policies. Each policy comprises a set of predefined building blocks called policy components that are linked with operators and other logical constraints, and then further refined by contextual conditions. Implementing policies involves:
- Creating a policy model for subjects (user, hosts application, and any), resources, and operations,
- Creating reusable policy components, and
- Using policy components to construct policies using Policy UI.
The policy model determines the subject types (user, host, and application) and resource types (transactions, data sets, documents, and other resources) that can be covered by policies. Policy components represent categories or classes of entities, such as users, resources, and actions. Policies use components as building blocks to represent rules that control information access and use.
The web-based policy authoring GUI – Policy Studio provide an easy to use and drag-and-drop UI to make authoring reusable policy components and complex policy quick and easy. It allows a policy author to create reusable policy components to be used in policies. Policy Studio also provides detailed policy audit, version history, and reporting features making it simple to audit or review policy changes.
All policies and components are managed across their lifecycle-from draft to deployment to deactivation or deletion. The attribute-based access control lifecycle management features ensure that each policy is validated and approved before deployment to production systems. Additional lifecycle management features include delegated administration, versioning, approval workflow, and full audit trails.
Extensive Support of COTS Applications Out-of-the-Box
NextLabs provides the most extensive support of Out-Of-The-Box (OOTB) Policy Enforcer (PEP) for COTS application covering both structured and unstructured data environment to accelerate time to market and allow organizations to rapidly meet their security and compliance objectives.
NextLabs’ suite of the OOTB Enforcers protects business-critical application data at both the application layer and the database layer. Moreover, when data leaves an application in an unstructured form (such as files), NextLabs’ Rights Manager automatically classifies and protects these data files with Enterprise Digital Rights Management (EDRM).
To learn more about ABAC, read our White Paper, “Dynamic Data Protection using Attribute-Based Access Control
(ABAC).”
To comment on this post
Login to NextLabs Community
NextLabs seeks to provide helpful resources and easy to digest information on data-centric security related topics. To discuss and share insights on this resource with peers in the data security field, join the NextLabs community.
Don't have a NextLabs ID? Create an account.