it-swarm.com.de

Übergeordneter Begriff für "Authentifizierung" und "Autorisierung"?

Das Internet ist voll von Fragen vom Typ 'Authentifizierung vs. Autorisierung' - Typ. Das frage ich hier nicht. Ich frage mich, ob es einen übergreifenden Begriff gibt, der beide umfasst.

Ich habe Authentifizierung gesehen, die als "Identitätsmanagement" bezeichnet wird, und Autorisierung als "Zugangskontrolle" bezeichnet.

Aber selbst AWS hatte für beide zusammen keinen guten Begriff, so dass IAM entstand.

Wenn also die Authentifizierung beweist , wer (als Principal) Sie sind, und bei der Autorisierung darum geht, diesen authentifizierten Principal-Zugriffsebenen zu gewähren, dann suche ich für einen Umbrella-Sicherheitsbegriff, der für beide gilt (daher wird festgelegt, wer was für eine bestimmte Ressource tun kann). Existiert das?!

45
smeeb

Laut CISSP-Studienhandbuch umfasst die Zugriffskontrolle die IAAA (Identifizierung, Authentifizierung, Autorisierung und Rechenschaftspflicht).

Wenn Sie sich also nicht um den Rest kümmern, können Sie Authentifizierung und Autorisierung als Zugriffskontrolle aufrufen.

Wo:

Identifikation: Benutzername

Authentifizierung: Benutzername + Passwort (in einem Faktor auth, einfacher Fall)

Autorisierung: Zugriff auf Ressourcen nach der Authentifizierung

Buchhaltung: Verfolgen, wer was getan hat

69
Ijaz Ahmad Khan

Ich würde sagen, das nächste, was mir einfällt, ist das Authentifizierungs-, Autorisierungs- und Buchhaltungs-Framework, das oft mit AAA abgekürzt wird.

Authentifizierung, Autorisierung und Buchhaltung (AAA) ist ein Begriff für ein Framework zur intelligenten Steuerung des Zugriffs auf Computerressourcen, zur Durchsetzung von Richtlinien, zur Überwachung der Nutzung und zur Bereitstellung der Informationen, die für die Abrechnung von Diensten erforderlich sind. Diese kombinierten Prozesse werden als wichtig für ein effektives Netzwerkmanagement und Sicherheit angesehen.

9
TheJulyPlot

Der einzige Begriff, der als maßgeblich für beide in den Sinn kommt, ist "Zugriffsverwaltung". Damit meine ich ein System, das Authentifizierung, Autorisierung und Buchhaltung implementiert. (oft als AAA-Framework bezeichnet)

Diese Begriffe haben erst dann Gemeinsamkeiten, wenn Sie mit der Implementierung eines Systems beginnen, das sie erfordert.

3
LvB

Die meisten Analystenfirmen nennen diesen Bereich Identity & Access Management (IAM). Dies ist auch der Name der Raumanbieter, die für ihre Produkte verwendet werden. Neben IAM gibt es einen weiteren Bereich namens IAG oder Identity & Access Governance, in dem es mehr um die Überprüfungszeit geht, während es in IAM mehr um Definition und Laufzeit geht.

Schließlich verwenden Gartner & Kuppinger Cole auch EAM (Externalized Authorization Management) und DAM (Dynamic Authorization Management) für die Zugriffssteuerungsspezifikationen.

0
David Brossard

Die Antwort auf Ihre Frage hängt vom Kontext ab, in dem die Begriffe verwendet werden. Auf der höchsten Abstraktionsebene lautet der übergeordnete Begriff Information Assurance , wobei die 5 Säulen sind:

  • Verfügbarkeit
  • Integrität
  • Authentifizierung
  • Vertraulichkeit
  • Nicht-Zurückweisung

Um klar zu sein, sind Authentifizierung und Autorisierung ein Aspekt von Informationssicherheit . Ziel ist es, mit einem hohen Maß an Vertrauen die Säulen der Informationssicherung durchzusetzen, insbesondere die Nicht-Zurückweisung.

Um weiter zu vertiefen, fallen beide Begriffe in die Informationssicherung und nach Assoziation in den Bereich Informationssicherheit. hauptsächlich in:

  • Identity Management (IdM) oder
  • Identitäts- und Zugriffsverwaltung (IdAM)

IAM ist der gebräuchlichste Begriff, insbesondere wenn Sie in Behörden oder großen Unternehmen arbeiten, in denen Sie normalerweise mehr als 10000 Identitäten finden. Lesen Sie für Ihr Interesse die neuesten Richtlinien und Richtlinien des US-Verteidigungsministeriums (US) und der National Cyber ​​Security Centers (UK) hier bzw. hier .

Definitionen und Erklärungen

Das Identitäts- und Zugriffsmanagement (IdAM) ist ein Aspekt der Informationssicherheit und umfasst Technologien und Prozesse, einschließlich der beiden Begriffe in Ihrer Frage.

Identity Governance - ist ein Prozess in IdAM. Es ist die Verwaltung von Richtlinien, die regeln:

  • der End-to-End-Lebenszyklus (Erstellung/Änderung/Bewegung/Lebensende) von Identitäten (Mensch/Maschine/Künstlich) über heterogene Systeme hinweg.
  • die Hierarchie des Zugriffs auf organisatorische Vermögenswerte, die etablierten Identitäten gewährt wird (natürlich entsprechend ihrer Rolle und Verantwortung gegenüber dem Unternehmen).
  • einhaltung der externen/internen Vorschriften wie ISO 27001, GDPR, HIPAA.

Es gibt andere Funktionen, aber diese 3 sind die wichtigsten, die ich glaube. In dieser Übung erstellen Sie eine Identität, z. B. einen Netzwerkfrequenzadministrator, und legen fest, über welche Berechtigungen diese Identität verfügen soll. Sie können auch bestimmen, welche Bereiche eines Gebäudes, welche Computer, welche Drucker, welches mobile Gerät diese Identität verwenden kann, oder sogar Gerätegruppen für einen bestimmten Identitätstyp sperren. Dies ist in der Tat die verwaltete Planung der Berechtigung, einer Identität zugeordnet zu werden. Auf dieser Ebene des Spiels spielen Ihre Geschäftsanalysten, Unternehmensarchitekten, Compliance-Spezialisten, Informationssicherheitsspezialisten und Informationsprüfer.

Zugriffsverwaltung - Ist die Analyse und Antwort auf

  • verstöße gegen Zugriffsregeln - Welche Identität verstößt gegen die zugewiesene Zugriffsrichtlinie?
  • zugriffsrisiken, insbesondere Profilerstellung und Minderung dieser Risiken - Wie groß ist das Ausmaß dieses Verstoßes und wie reagieren wir darauf? Benötigt es weitere Analysen? Sollten diese katalogisiert und bekannten Angriffsvektoren usw. hinzugefügt werden?.
  • bereitstellungsbedarf in Echtzeit - Ist der Zugriff verfügbar? Das heißt, ist der Zugang zu Vermögenswerten rechtzeitig? Keine gute Gewährung des Zugriffs auf einen Vermögenswert 5 Tage überfällig.

Wie Sie sehen, ist die Zugriffskontrolle eng mit der Governance verbunden, da ein angemessener Zugriff (aus Sicht der technischen Implementierung der Informationssicherung) aus den Richtlinien abgeleitet wird, die bereits von der Identity Governance-Behörde im Unternehmen festgelegt wurden (und sollten). In dieser Praxis liegt der Schwerpunkt auf der technischen Implementierung von Authentifizierungsdiensten, um mit einem hohen Maß an Sicherheit zu bestimmen, dass eine Identität die ist, für die sie sich ausgeben, und dass sie den Vorgaben der festgelegten Richtlinien entspricht. Auf dieser Ebene spielen Ihre Cybersicherheitsspezialisten, Incident- und Response-Analysten, Infrastrukturspezialisten (Netzwerk/Speicher/Datenbank), Pen-Tester, Plattformspezialisten, Softwarespezialisten und analytische KI.

Es ist unangemessen, Autorisierung und Authentifizierung isoliert zu betrachten, stattdessen zu erkennen, dass es sich um Begriffe handelt, die in der Informationssicherung und Informationssicherheit weit verbreitet sind.

0
TheJackal