Daten sind eines der wertvollsten Güter jedes Unternehmens. Um sensible Daten zu schützen, müssen Sie den Zugriff auf Daten in verschiedenen Clouds und Umgebungen einschränken. Gleichzeitig sollten Sie die Berechtigungen der Personen überprüfen, die auf diese Daten zugreifen möchten.
Data Access Control (Datenzugriffskontrolle) ist ein wesentliches Sicherheitsinstrument. Sie ermöglicht es, den Zugriff anhand verschiedener Richtlinien zu begrenzen. Durch die Implementierung robuster Zugriffsrichtlinien stellen Sie sicher, dass personenbezogene Daten (PII), geistiges Eigentum und andere vertrauliche Informationen geschützt bleiben – sowohl intern als auch extern. Dadurch kann das werden.
So funktioniert Data Access Control:
Bei der Data Access Control (dca) wird die Identität der Benutzer überprüft. So wird sichergestellt, dass sie tatsächlich die Personen sind, für die sie sich ausgeben. Zudem wird kontrolliert, ob sie berechtigt sind, auf die angeforderten Daten zuzugreifen.
Die zwei Hauptkomponenten von Data Access Control sind:
- Authentifizierung: Überprüft die Identität des Benutzers, was durch eine Multi-Faktor-Authentifizierung möglich ist.
- Autorisierung: Legt nicht nur den Grad des Datenzugriffs fest, den jeder Benutzer basierend auf bestimmten Richtlinien hat, sondern auch die Aktionen, die der Benutzer ausführen kann
Damit die Data Access Control effektiv ist, müssen Authentifizierung und Autorisierung in der gesamten Umgebung konsistent angewendet werden – sowohl vor Ort als auch in der Cloud.
Modelle der Data Access Control:
Es gibt vier Hauptmodelle der Datenzugriffskontrolle:
Benutzerbestimmbare Zugriffskontrolle (Discretionary Access Control, DAC): Die DAC ist das am wenigsten restriktive Modell von Data Access Control. Die Eigentümer oder Administratoren der Ressource entscheiden, wer Zugriffsrechte erhält. Dieses Modell ist dezentralisiert, und Benutzer können den Zugriff mit anderen teilen. Daher ist es schwer nachzuvollziehen, wer auf die sensiblen Daten Ihres Unternehmens zugreift.
Beim DAC-Modell legt der Endbenutzer die Berechtigungen fest – zum Beispiel die Person, die eine Datei oder einen Ordner erstellt. Anschließend kann sie diese Berechtigungen an andere Benutzer übertragen. Dieses Modell birgt einige Sicherheitsrisiken, da es anfällig für Trojaner und andere Malware-Angriffe ist.
Obligatorische Zugriffskontrolle (Mandatory Access Control, MAC): Bei diesem nichtdiskretionären Modell hat der Endbenutzer keine Kontrolle über die Berechtigungseinstellungen. Eine zentrale Autorität, wie ein Administrator oder Eigentümer, verwaltet den Zugriff, nimmt Änderungen vor und kann Berechtigungen entziehen.
Bei einem MAC-Modell basiert der Zugriff auf der Datenklassifizierung und dem Grad der Freigabe bzw. der formellen Zugriffsgenehmigung der Benutzer. Dieser Ansatz, dessen Verwaltung sich als schwierig erweisen kann, wird oft von militärischen Organisationen verwendet.
RBAC (Rollenbasierte Zugriffskontrolle ): Bei diesem Modell wird der Zugriff basierend auf Berechtigungen gewährt, die von der Zugriffsebene abhängen, die jede Benutzerkategorie für die Erfüllung ihrer täglichen Aufgaben benötigen. Mit der RBAC erhalten verschiedene Mitarbeiter je nach Tätigkeit und Verantwortlichkeiten unterschiedliche Zugriffsrechte.
RBAC ist ein weit verbreitetes System, das Rollenzuweisungen mit Genehmigungen und Berechtigungen kombiniert. Es basiert auf vordefinierten Rollen, die anhand von Kriterien wie Kostenstelle, Geschäftseinheit, individuellen Verantwortlichkeiten und Befugnissen festgelegt werden.
Ändert eine Person ihre Zuständigkeiten, Aufgaben oder Funktionen, weist der Administrator ihr eine neue, im System hinterlegte Rolle zu.
ABAC (Attributbasierte Zugriffskontrolle): Die ABAC ist ein dynamisches Modell von Data Access Control, bei dem der Zugriff sowohl auf Attributen als auch auf Umgebungsbedingungen basiert. Dazu zählen Faktoren wie Standort und Zeit. Diese Attribute und Bedingungen werden sowohl den Benutzern als auch den Daten oder anderen Ressourcen zugewiesen.
ABAC bietet mehr Flexibilität als RBAC, da Sie die Attribute und deren Werte ändern können, ohne die Subjekt/Objekt-Beziehungen anpassen zu müssen. Bei neuen Zugriffsentscheidungen können Sie die Zugriffskontrollen dynamisch anpassen.
Implementierung der Data Access Control
Um die Verwaltung der Datenzugriffskontrolle zu vereinfachen, implementieren viele Unternehmen eine Plattform wie das Identitäts- und Zugriffsmanagement (IAM). Zu den Vorteilen einer IAM-Lösung gehören:
- Zentralisierte und einheitliche Kontrolle des Datenzugriffs in Ihrem Unternehmen
- Automatisierte Aufgaben wie Provisionierung
- Optimierte Einhaltung von Vorschriften wie die Datenschutz-Grundverordnung (DSGVO), den Health Insurance Portability and Accountability Act (HIPAA), den Payment Card Industry Data Security Standard (PCI DSS) und den California Consumer Privacy Act (CCPA)
Fazit
Die Datensicherheit ist ebenso komplex wie wichtig. Da Sie in einer immer komplizierteren Umgebung tätig sind und sich Bedrohungen weiterentwickeln, ist es entscheidend, Datenzugriffsrichtlinien konsequent durchzusetzen.
Wählen Sie eine Lösung, die Ihre Data Access Control optimiert und gleichzeitig die Sicherheit durch eine zusätzliche Ebene erhöht. Diese Ebene erkennt böswilligen oder unangemessenen Zugriff.
SailPoint ist ein führendes Unternehmen in der Identitätsbranche, das Datentransparenz und -kontrolle bietet und Unternehmen dabei hilft, ihren Zugriff auf vertrauliche Daten sicherer zu gestalten.
