Wie KI die Zugriffsmodellierung verändern kann
Für viele mittlere und große Unternehmen stellt die Zugriffsverwaltung eine enorme Herausforderung dar. Neue Ansätze erlauben eine neue Art der Automatisierung.
Die Frage „Wer sollte Zugang zu was haben?“ ist in Unternehmen nicht leicht zu beantworten, um es vorsichtig auszudrücken. Die ständig wachsende Zahl von Anwendungen, Konten, Dateisystemen etc. trägt dazu ebenso bei wie eine dynamische Belegschaft – man denke etwa an neue Mitarbeiter, Kooperationspartner, Beförderungen, Versetzungen und dergleichen mehr.
Noch komplexer wird das Zugriffsmanagement durch immer neue gesetzliche Bestimmungen, von den unternehmensinternen Audit-Richtlinien gar nicht zu reden. Um alle Vorschriften einhalten zu können, müssen Unternehmen die Zugriffsstrukturen genau analysieren.
Role Mining? Ist das eine neue Kryptowährung?
Für Unternehmen geht es also grundsätzlich darum, sich einen Überblick zu verschaffen. Genau hier setzt das Konzept der „Rollen“ an. Vereinfacht ausgedrückt, kann man sich eine Rolle als ein Label vorstellen, das an ein erkennbares Zugriffsmuster angeheftet wird. Es gibt zwei Hauptansätze, um solche Labels zu erzeugen und für die Zugriffsregelung zu verwenden.
Der erste, herkömmliche Ansatz besteht darin, eigenschaftsbasierte, von den Funktionen der Mitarbeiter geprägte „Business-Rollen“ zu erstellen. Als Ausgangspunkt ergeben diese Rollen auch durchaus Sinn. Sie sind jedoch nicht flexibel genug, um der hohen Dynamik eines ständig wachsenden Zugriffs-Ökosystems gerecht zu werden.
Beim zweiten Ansatz werden stattdessen bestehende Zugriffsmuster ermittelt und als „IT-Rollen“ definiert. Dieser Prozess wird oft als „Role Mining“ bezeichnet. Er ist dynamischer als die erste Methode, kann allerdings die Compliance- und Audit-Anforderungen nicht ausreichend unterstützen, weil die auf geschäftlichen Funktionen basierenden Zugriffsberechtigungen hier nicht geprüft werden können. Um diesen Mangel zu beheben, führen einige Unternehmen zusätzlich ein „Role-Mapping“ beziehungsweise eine „Rollenzuordnung“ durch, um die „IT-Rollen“ wieder auf die entsprechenden „Business-Rollen“ abzubilden. Dieses Verfahren ist jedoch sehr ressourcenintensiv, da es regelmäßig durchgeführt werden muss, um mit der dynamischen Entwicklung der Zugriffe im Unternehmen Schritt zu halten.
Wenn das Role-Engineering im Unternehmen zu zahlreichen komplexen Regeln und Rollen führt, läuft offenbar irgendetwas falsch. IAM-Systeme für Unternehmen sind hochdynamisch, mit ständig neuen und permanent veränderlichen Entitäten. Wenn keine klare Sicht auf die Zugriffsstruktur besteht, wird die Gestaltung der Rollen eine mühsame Aufgabe mit kurzlebigen Ergebnissen. Ganz zu schweigen von Problemen wie einer ungenauen Zugangsprüfung aufgrund zahlreicher, wahllos vergebener Genehmigungen oder einer Rechteinflation, weil längst überholte Berechtigungen einfach bestehen bleiben.
Daher ist es nötig, jede taugliche Lösung des Zugangsmanagement-Problems als ein sich dynamisch entwickelndes, komplexes System zu betrachten und beide Ansätze in Einklang zu bringen. Es handelt sich sozusagen um ein Henne-und-Ei-Szenario, bei dem sich aber durch ein schnelles Tagesgeschäft auch noch die Spielregeln ständig ändern. Während eine klare Business-Role-Zuweisung bei einem neuen Mitarbeiter noch durchaus sinnvoll wäre, geht die Übersicht schnell verloren, wenn dieser Mitarbeiter im Lauf der Zeit immer mehr Zugriffsrechte erhält, um seine Aufgaben erfüllen und produktiver arbeiten zu können.
Identity Governance: Gleich und gleich gesellt sich gern
Identity Governance basiert auf dem Grundsatz, dass Identitäten, die einander stark ähneln, auch die gleichen Zugriffsrechte erhalten sollten. Mit anderen Worten, das Zugriffsprofil eines Mitarbeiters sollte nicht allzu sehr von den Profilen der Peers abweichen.
Interessanterweise unterscheiden sich diese Peer-Beziehungen gar nicht so sehr von den „Freundes“-Beziehungen in den heutigen sozialen Netzwerken. Identity Governance lässt sich somit durch eine soziale Datenstruktur abbilden, ähnlich wie bei einem Netzwerk von Freunden, die gemeinsame Interessen haben.
Die Identitäten, deren Eigenschaften und die entsprechenden Zugriffsmuster können dann anhand einer leistungsstarken, wandlungsfähigen Graphdatenstruktur analysiert und modelliert werden. Auf diese Weise können Verantwortliche die dynamischen Beziehungen zwischen diesen Entitäten leicht verfolgen, abbilden und verwalten.
Das Beste aus zwei Welten
Mit einem geeigneten Ähnlichkeitsmaß für Identitäten – etwa einem, das auf der Ähnlichkeit der Zugriffsrechte basiert – kann die ideale Lösung einen „Identitätsgraph“ konstruieren. Die Knoten dieses Graphen stehen für die Identitäten und die Kanten für eine starke Ähnlichkeitsbeziehung. Um in diesem System die Zugriffe für eine bestimmte Anzahl von Identitäten zu modellieren (beispielsweise all jene mit der Stellenbeschreibung „Analyst“), müssen in dem Identitätsgraphen die dicht vernetzten Gruppen ermittelt werden.
Mit einer Vielzahl von Graphenalgorithmen zur Gruppenerkennung und einer Graphennalyse im Allgemeinen lässt sich dies viel einfacher bewerkstelligen. Dieser Ansatz ermöglicht es nicht nur, eines der ressourcenraubendsten Probleme der heutigen Identitätsverwaltung zu automatisieren. Er bietet auch eine elegante, skalierbare und dynamische Lösung für das „Henne-Ei“-Problem, das die besten Ergebnisse aus der Welt der „Business-Rollen“ wie auch der „IT-Rollen“ erbringt.
Welche Rolle passt zu wem?
Unternehmen, die bisher noch keine Rollen definiert haben, können mithilfe dieser neuen Methode schnell ein Zugriffssystem etablieren und gleichzeitig dynamisch und präzise modellieren. In Unternehmen hingegen, in denen schon Rollendefinitionen existieren, können neu ermittelte mit der bestehenden Struktur abgeglichen werden.
Ein „Rollengraph“ lässt sich nach dem gleichen Verfahren konstruieren wie der Identitätsgraph. Er eignet sich hervorragend, um darzustellen, wie das Zugriffsmanagementsystem des Unternehmens tatsächlich beschaffen ist.
Der Ansatz liefert quantifizierbare Antworten auf Fragen wie diese: „Wie sehr ähnelt die neue Rolle den bestehenden?“ oder „Ist sie ein Teil oder eine Generalisierung bestehender Rollen?“. Auf diese Weise wird die unternehmensweite Rollenstruktur gründlich durchleuchtet. Und mehr noch: Das Verfahren bringt erhebliche Zeit- und Geldersparnisse, da sich häufige, zeitraubende Nachbearbeitungen erübrigen.
„Der Ansatz mit Netzwerkgraphen eröffnet völlig neue Möglichkeiten für Identity-Governance-Anwendungen. Er versetzt Betriebe in die Lage, Lösungen für eine Reihe besonders schwieriger Probleme der Identity Governance zu automatisieren.“
Jostine Ho, SailPoint
Diese Analyse ermöglicht es, die gesamte Rollenstruktur zu überprüfen, Probleme zu ermitteln und die richtigen Gegenmaßnahmen zu empfehlen.
Sehr ähnliche Rollen können möglicherweise zu weniger, genauer Definierten zusammengefasst werden. So werden überholte, redundante Strukturen eliminiert und die Zugriffsmöglichkeiten der einzelnen Benutzer auf das richtige Maß zurückgestutzt.
Ein „Rollen-Empfehler“ könnte anhand der Zugriffsprofile die geeignetsten Rollen vorschlagen. Außerdem können leicht Identitäten ermittelt werden, deren Zugriffsprofile keiner Bestehenden zu sehr ähneln, und geeignete Maßnahmen empfohlen werden, zum Beispiel das Auslösen einer Role-Mining-Warnung.
Darüber hinaus versetzt uns dieser Ansatz in die Lage, ein Compliance-Frühwarnsystem aufzubauen, das bei Verstößen gegen bestimmte rollenbasierte Richtlinien Warnmeldungen ausgibt.
Mithilfe von Zeitstempeln für zugriffsbezogene Ereignisse kann beobachtet werden, wie sich die Zusammensetzung der Rollen verändert, und nachverfolgen, welche Eigenschaften der Identitäten und/oder Berechtigungen den Prozess ausgelöst haben. Das stellt Unternehmen nicht nur eine Live-Replay-Taste für ein prädiktives und proaktives Governance-System zur Verfügung, sondern befähigt sie auch, Ereignisse aus der Zugriffshistorie zu interpretieren, was eine wertvolle Hilfe bei Audits sein kann.
Der Beginn einer neuen Ära
Der Ansatz mit Netzwerkgraphen eröffnet völlig neue Möglichkeiten für Identity-Governance-Anwendungen. Er versetzt Betriebe in die Lage, Lösungen für eine Reihe besonders schwieriger Probleme der Identity Governance zu automatisieren und zu skalieren. Darüber hinaus bietet er eine einfache und elegante Datenstruktur, die auch für andere KI- und Machine-Learning-Anwendungen von großem Wert sein kann. Graphen sind der erste Schritt hin zu einer proaktiveren, kognitiven Zukunft der Identity Governance.
Über den Autor:
Jostine Ho ist Senior Data Scientist und Mo Badawy ist Principal Data Scientist bei SailPoint.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder und entsprechen nicht unbedingt denen von ComputerWeekly.de.