Was ist die Autorisierung?
- IAM-Glossar
- Was ist die Autorisierung?
Unter Autorisierung versteht man den Prozess, bei dem festgelegt wird, ob Benutzern das Recht zum Zugriff auf Ressourcen gewährt oder verweigert wird. Die Autorisierung erfolgt nach einer Reihe von vordefinierten Regeln und Richtlinien. Diese Regeln werden in der Regel von einem Zugriffskontrollsystem verwaltet, das die Berechtigungen auf der Grundlage der Compliance-Anforderungen des Unternehmens festlegt. Wenn ein Benutzer versucht, auf eine Ressource zuzugreifen, prüft das Autorisierungssystem seine Berechtigungen und die vordefinierten Richtlinien der Organisation, bevor es dem Benutzer den Zugriff auf die Ressource gestattet.
Autorisierung vs. Authentifizierung: Was ist der Unterschied?
Bei der Authentifizierung wird überprüft, ob ein Benutzer derjenige ist, der er vorgibt zu sein. Bei der Autorisierung hingegen geht es um die Gewährung des Zugriffs auf Ressourcen und darum, welche Aktionen der Benutzer mit diesen Ressourcen durchführen darf. Nachdem ein Benutzer mit seinen Anmeldeinformationen authentifiziert wurde, durchläuft das System den Autorisierungsprozess.
Autorisierung und Authentifizierung arbeiten zusammen, um sicherzustellen, dass die Benutzer Zugriff auf die benötigten Ressourcen haben und gleichzeitig die Sicherheit und Integrität des Unternehmens gewahrt bleibt.
Die Bedeutung der Autorisierung
Ohne starke Autorisierungsprozesse haben Unternehmen eine mangelhafte Governance, was zu einem Mangel an Visibilität und Kontrolle über die Aktivitäten der Mitarbeitenden und zu einem erhöhten Risiko des unbefugten Benutzerzugriffs führt. Im Folgenden wird erläutert, wie die Autorisierung diese Probleme löst.
- Folgt dem Prinzip der geringsten Privilegien (PoLP): Das Prinzip der geringsten Privilegien ist ein Cybersicherheitskonzept, bei dem Benutzer nur Zugriff auf die Ressourcen erhalten, die für die Ausführung ihrer Aufgaben erforderlich sind. Die Einhaltung dieses Prinzips gewährleistet eine erhöhte Sicherheit und Kontrolle über Privilegien, da die Angriffsfläche des Unternehmens reduziert wird. Die Autorisierung hält sich an dieses Prinzip, da sie strikt das Mindestmaß an Zugriffsrechten gewährt und damit den nicht autorisierten Zugriff einschränkt.
- Bietet eine zentralisierte Zugriffskontrolle: Die Autorisierung ermöglicht es Unternehmen, die Zugriffsrechte von Benutzern an einem zentralen Ort zu definieren, zu verwalten und zu aktualisieren. Mit dieser effizienten Funktionalität wird sichergestellt, dass für jeden Benutzer und jede Rolle spezifische Zugriffsberechtigungen angewendet werden.
Arten von Autorisierungsmodellen
Hier sind fünf Arten von Autorisierungsmodellen, die Organisationen zum Sichern des Zugriffs auf Ressourcen verwenden.
Rollenbasierte Zugriffskontrolle (RBAC)
Rollenbasierte Zugriffskontrolle ist eine Art von Zugriffskontrolle, die Berechtigungen basierend auf der Rolle und den Funktionen des Benutzers innerhalb der Organisation definiert. So haben beispielsweise Mitarbeitende der unteren Ebene keinen Zugriff auf hochsensible Informationen oder Systeme, wie es privilegierte Benutzer hätten. Wenn ein Benutzer versucht, Zugriff auf eine Ressource zu erhalten, prüft das System die Rolle des Benutzers, um festzustellen, ob die Ressource mit seinen Arbeitsaufgaben verbunden ist.
Beziehungsbasierte Zugriffskontrolle (ReBAC)
Beziehungsbasierte Zugriffskontrolle ist eine Art von Zugriffskontrolle, die sich auf die Beziehung zwischen dem Benutzer und der Ressource konzentriert. Denken Sie an Google Drive – ein Besitzer eines Dokuments hat Zugriff auf das Dokument, um es anzuzeigen, zu bearbeiten und zu teilen. Ein Mitglied desselben Teams kann nur die Berechtigung haben, das Dokument anzusehen, während ein anderes Mitglied berechtigt sein kann, das Dokument anzusehen und zu bearbeiten.
Attributbasierte Zugriffskontrolle (ABAC)
Attributbasierte Zugriffskontrolle ist eine Art von Zugriffskontrolle, bei der die mit einem Benutzer verbundenen Attribute ausgewertet werden, um festzustellen, ob er auf Ressourcen zugreifen darf. Dieses Berechtigungsmodell ist eine detailliertere Form der Zugriffskontrolle, da es das Subjekt, die Ressource, die Aktion und die Umgebung bewertet. ABAC wird den Zugriff auf bestimmte Ressourcen autorisieren, die mit diesen Eigenschaften verbunden sind.
Diskretionäre Zugriffskontrolle (DAC)
Diskretionäre Zugriffskontrolle ist eine Art von Zugriffskontrolle, bei der Ressourcenbesitzer die Verantwortung für die Entscheidung übernehmen, wie ihre Ressourcen gemeinsam genutzt werden. Nehmen wir an, ein Benutzer möchte auf ein bestimmtes Dokument zugreifen. Es liegt letztlich im Ermessen des Eigentümers des Dokuments, den Benutzer zu autorisieren und seine Berechtigungen einzurichten. In einigen Fällen gewähren Ressourcenbesitzer bestimmten Benutzern höhere Privilegien. Diese Privilegien können die Fähigkeit beinhalten, Zugriffsrechte für andere Benutzer zu verwalten oder zu ändern.
Obligatorische Zugriffskontrolle (MAC)
Obligatorische Zugriffskontrolle ist eine Art von Zugriffskontrolle, bei der die Zugriffsberechtigungen auf der Grundlage der Sensibilität der Ressource und der Sicherheitsstufe des Benutzers verwaltet werden. Wenn ein Benutzer versucht, auf eine Ressource zuzugreifen, vergleicht das System die Sicherheitsstufe des Benutzers mit der Sicherheitsklassifizierung der Ressource. Wenn die Sicherheitsstufe des Benutzers gleich oder höher ist als die Klassifizierung der Ressource, wird er zum Zugriff auf diese autorisiert. MAC wird hauptsächlich in Regierungs- oder Militärumgebungen verwendet, die erstklassige Sicherheit erfordern.