Cloud IAM Identitäten

Die meisten Cloud-Provider bieten IAM-Dienste an, die beim Zugriff auf ihre Cloud-Dienste genutzt werden müssen. Diese sind in der Regel ohne zusätzliche Kosten verfügbar. Sie ermöglichen es dir, an einem zentralen Ort die Identitäten der Cloud-Administratoren in deinem Unternehmen zu verwalten und den Zugriff dieser Identitäten auf alle vom Cloud-Provider angebotenen Dienste zu regeln.

Das kann eine große Hilfe sein. Wenn du Dutzende oder Hunderte von Diensten eines Cloud-Providers nutzt, kann es schwierig sein, sich einen Überblick darüber zu verschaffen, welche Zugriffsrechte eine bestimmte Person hat, wenn du jeden Dienst einzeln aufrufen musst. Es kann auch schwierig sein, sicherzustellen, dass du den Zugang einer Person widerrufen hast, wenn sie dein Unternehmen verlässt. Der Entzug des Zugangs ist besonders wichtig, da viele dieser Dienste direkt über das Internet genutzt werden können!

Tabelle 4-1 enthält einige Beispiele für Identitätsdienste zur Authentifizierung deiner Cloud-Administratoren bei Cloud-Providern.

Tabelle 4-1. Cloud-Provider Identitätsdienste

Anbieter	Cloud-Identitätsdienst
Amazon Web Services	AWS IAM
Microsoft Azure	Azure Active Directory
Google Cloud Plattform	Cloud IAM
IBM Cloud	Cloud IAM

Business-to-Consumer und Business-to-Employee

Zusätzlich zu den Identitäten, die dein Unternehmen für den Zugriff auf Cloud-Provider-Dienste verwendet, musst du möglicherweise auch die Identitäten deiner Endnutzer verwalten, egal ob es sich um externe Kunden oder deine eigenen Mitarbeiter handelt.

Du kannst die Kundenidentität zwar selbst verwalten, indem du einfach Zeilen mit Passwörtern in einer Datenbank anlegst, aber das ist oft nicht ideal für deine Endnutzer, die dann mit einem weiteren Login und Passwort jonglieren müssen. Außerdem gibt es bei der Überprüfung von Passwörtern erhebliche Sicherheitslücken zu vermeiden, wie in "Passwörter, Passphrasen und API-Schlüssel" beschrieben . Es gibt zwei bessere Optionen:

• Nutze einen bestehenden Identitätsdienst. Das kann ein interner Identitätsdienst für deine Mitarbeiter oder die Mitarbeiter deiner Kunden sein. Für Endnutzer kann es auch ein externer Dienst wie Facebook, Google oder LinkedIn sein. Dies setzt voraus, dass du diesem Identitätsdienst vertraust, dass er die Nutzer/innen ordnungsgemäß für dich authentifiziert. Außerdem wird deine Verbindung mit dem Identitätsdienst für deine Endnutzer/innen offensichtlich, wenn sie sich anmelden, was nicht immer wünschenswert ist.

• Verwende Kundenidentitäten, die für deine Anwendung spezifisch sind, und verwende einen Cloud-Service, um diese Kundenidentitäten zu verwalten. Die Nutzerinnen und Nutzer müssen sich zwar immer noch mit einem weiteren Berechtigungsnachweis auseinandersetzen, aber zumindest musst du den Nachweis nicht mehr überprüfen.

Die Namen dieser Identity-as-a-Service (IDaaS)-Angebote machen nicht immer deutlich, was sie leisten. In Tabelle 4-2 sind einige Beispiele von großen Cloud-Infrastrukturanbietern und Drittanbietern aufgeführt. Es gibt viele Drittanbieter in diesem Bereich und sie wechseln häufig, daher ist dies keine Empfehlung für einen bestimmtenAnbieter. Die meisten dieser IDaaS-Dienste können auch auf die Daten deiner Mitarbeiter zugreifen, z. B. auf dein internes Verzeichnis.

Tabelle 4-2. ID-Management-Systeme

Anbieter	Cloud-Dienste für das Identitätsmanagement von Kunden und Arbeitskräften
Amazon Web Services	Amazon Cognito
Microsoft Azure	Azure Active Directory B2C
Google Cloud Plattform	Identitätsplattform
IBM Cloud	App ID
Okta	Customer Identity Cloud, Workforce Identity Cloud
Ping	PingOne für Kunden, PingOne für Arbeitskräfte

Multi-Faktor-Authentifizierung

Die Multi-Faktor-Authentifizierung ist eine der besten Methoden, um sich vor schwachen oder gestohlenen Anmeldeinformationen zu schützen, und stellt bei richtiger Implementierung nur eine geringe zusätzliche Belastung für die Nutzer dar. Die meisten der in Tabelle 4-2 aufgeführten Identitätsdienste unterstützen dieMulti-Faktor-Authentifizierung.

Zum Hintergrund: Die verschiedenen Authentifizierungsfaktoren werden üblicherweise wie folgt definiert:

1. Das weißt du. Passwörter sind die bekanntesten Beispiele, aber auch persönliche Identifikationsnummern (PINs) - die im Gegensatz zu einem Passwort nur in Verbindung mit einem bestimmten Gerät verwendet werden können - werden immer beliebter.

2. Etwas, das du hast. Zum Beispiel einen Zugangsausweis, ein Mobiltelefon oder Daten, die du dir nicht merken kannst, wie zum Beispiel einen zufällig generierten privaten Schlüssel.

3. Etwas, das du bist. Zum Beispiel dein Fingerabdruck, dein Gesicht oder dein Netzhautmuster.

Wie der Name schon sagt, werden bei der Multi-Faktor-Authentifizierung mehr als einer dieser Faktoren für die Authentifizierung verwendet. Die Verwendung von zwei gleichen Faktoren, wie z. B. zwei verschiedenen Passwörtern, bringt nicht viel, da beide Passwörter mit dem gleichen Angriff abgegriffen werden können! Die gängigste Implementierung ist die Zwei-Faktor-Authentifizierung (2FA), bei der etwas, das du kennst (z. B. ein Passwort) und etwas, das du hast (z. B. dein Handy), verwendet wird.

2FA sollte der Standard für die meisten Zugänge sein. Wenn sie richtig implementiert ist, erfordert sie für die meisten Nutzer nur sehr wenig zusätzlichen Aufwand. Du solltest 2FA unbedingt überall dort einsetzen, wo die Auswirkungen eines Verlusts oder Diebstahls von Zugangsdaten hoch wären, z. B. bei privilegierten Zugängen, beim Zugang zum Lesen oder Ändern sensibler Daten oder beim Zugang zu Systemen wie E-Mail, die zum Zurücksetzen anderer Passwörter missbraucht werden können. Wenn du z. B. eine Bank-Website betreibst, könntest du entscheiden, dass die Auswirkungen gering sind, wenn jemand den Kontostand eines Nutzers ablesen kann, aber hoch (wenn 2FA erforderlich ist), wenn jemand versucht, Geld zu überweisen. Die Forderung nach einer zusätzlichen Authentifizierung für risikoreichere Aktivitäten wird als Step-up-Authentifizierung bezeichnet.

Wenn du eine Cloud-Umgebung verwaltest, stellt der unbefugte administrative Zugriff auf das Cloud-Portal oder die APIs ein sehr hohes Risiko für dich dar, da ein Angreifer mit diesem Zugriff in der Regel alle deine Daten kompromittieren kann. Für diese Art des Zugangs solltest du die Zwei-Faktor-Authentifizierung aktivieren; die meisten Cloud-Provider unterstützen dies von Haus aus. Wenn du Single Sign-On (SSO) verwendest (siehe "Single Sign-On"), kann es auch sein, dass dein SSO-Anbieter bereits 2FA für dich durchführt.

Viele Dienste bieten mehrere Authentifizierungsmethoden an. Die gängigsten Methoden sind:

Passwörter und Passphrasen (etwas, das du kennst)

Ein Passwort ist nicht an ein bestimmtes Gerät gebunden und funktioniert von überall aus. Die Probleme mit Passwörtern sind zahlreich und wohlbekannt: Viele Menschen wählen Passwörter, die häufig verwendet werden und Gegenstand von Wörterbuchangriffen sind, oder die einfach und kurz genug sind, um mit Brute-Force-Angriffen geknackt zu werden, oder die bei mehreren Diensten wiederverwendet werden, so dass ein Angreifer durch die Kompromittierung eines Dienstes das Passwort für einen anderen erhält (das durch Credential Stuffing-Angriffe entdeckt werden kann). Es ist wirklich an der Zeit, sie nicht mehr zu verwenden, aber Veränderungen sind schwer.

PINs (etwas, das du kennst)

Oberflächlich betrachtet mögen PINs schlechter sein als Passwörter, weil sie in der Regel einfacher sind, aber das Wichtige an PINs ist, dass sie nur in Verbindung mit einem bestimmten physischen Gerät nützlich sind. Jemand, der deine PIN errät, ohne das dazugehörige Gerät zu besitzen (in der Regel ein Mobiltelefon, einen Laptop oder einen Hardware-Sicherheitsschlüssel), kann keinen Zugriff darauf erhalten, was einen erfolgreichen Angriff deutlich erschwert.

SMS-Textnachrichten an ein mobiles Gerät (etwas, das du hast)

Diese Methode ist in Ungnade gefallen, weil es so einfach ist, die Telefonnummer einer anderen Person zu stehlen (durch SIM-Klonen oder Nummernportierung) oder die Nachricht abzufangen. Daher sollten neue Implementierungen diese Methode nicht verwenden und bestehende Implementierungen sollten auf eine andere Methode umsteigen. Um die Textnachrichten zu empfangen, ist ein Zugang zum Mobilfunknetz erforderlich.

Zeitbasierte Einmal-Passcodes, oder TOTPs (etwas, das du hast)

Bei dieser Methode muss ein mobiles Gerät mit einem anfänglichen "Geheimnis" versehen werden (das normalerweise durch einen 2D-Barcode übertragen wird). Das Geheimnis ist eine Formel, mit der etwa jede Minute ein Einmalpasswort errechnet wird. Das Einmalpasswort muss nur ein oder zwei Minuten lang sicher aufbewahrt werden, aber das anfängliche Geheimnis kann es jedem Gerät ermöglichen, gültige Passwörter zu generieren, und sollte daher nach Gebrauch vernichtet oder an einem physisch sicheren Ort aufbewahrt werden. Nach der Übertragung des anfänglichen Geheimnisses ist für das mobile Gerät kein Netzwerkzugang erforderlich, sondern nur eine synchronisierte Uhr. Der größte Nachteil ist, dass TOTPs für die Nutzer/innen weniger bequem sind und "phishable" sind, d.h. ein Angreifer, der dich dazu verleitet, sowohl das Passwort als auch den Passcode auf einer gefälschten Website einzugeben, kann Zugang erhalten.

Hash-basierte One-Time-Passcodes oder HOTPs (etwas, das du hast)

Diese ähneln in ihren Vor- und Nachteilen den TOTPs, verwenden aber einen Zähler anstelle der Uhrzeit und benötigen daher keine synchronisierte Uhr. Allerdings können sie aus dem Takt geraten, wenn zu viele Codes erzeugt und nicht verwendet werden.

Push-Benachrichtigungen an ein mobiles Gerät (etwas, das du hast)

Bei dieser Methode stellt eine bereits authentifizierte Client-Anwendung auf einem mobilen Gerät eine Verbindung zu einem Server her, der einen Code zur einmaligen Verwendung zurückschickt oder um Erlaubnis bittet. Dies ist sicher, solange die Authentifizierung der bereits authentifizierten Client-Anwendung sicher ist, erfordert aber einen Netzwerkzugang für das mobile Gerät. Der größte Nachteil ist, dass ein Angreifer den Nutzer entweder mit einer raffinierten Fälschungsseite oder durch eine Vielzahl von Anfragen dazu bringen kann, seine Zustimmung zu geben.

Fingerabdruckleser, Gesichtsleser und Retina-Leser (etwas, das du bist)

Obwohl diese biometrischen Methoden mit genügend Aufwand oft überlistet werden können (indem man Replikate von Fingern, Gesichtern oder Augen erstellt), werden die Implementierungen immer besser und sie sind als Einzelfaktor gut genug, um die meisten Sicherheitsanforderungen zu erfüllen.

Ein Hardware-Gerät, z. B. eines, das den Standards FIDO Universal 2nd Factor (U2F) oder FIDO2 entspricht (etwas, das du hast)

FIDO U2F ist nur ein zweiter Authentifizierungsfaktor, der in der Regel zusammen mit einem Passwort verwendet wird, während FIDO2 als kombiniertes Multifaktor-Gerät funktioniert und eine passwortlose Authentifizierung ermöglicht. FIDO2-Geräte werden auch Passkeys genannt. Das ist bei weitem die beste Option, denn der Passkey weiß, mit welcher Anwendung er kommuniziert und kann nicht von gefälschten Websites getäuscht werden. Ursprünglich gab es sie nur als eigenständige Hardware-Sicherheitsschlüssel, aber inzwischen ist die Technologie in die meisten Laptops und mobilen Geräte eingebaut. Es ist wahrscheinlich, dass diese Art der Authentifizierung in naher Zukunft allgegenwärtig sein wird und in Smartphones und tragbare Technologien wie Uhren und Ringe integriert wird. Ein FIDO2-Gerät kann mit einer PIN oder einem biometrischen Faktor entsperrt werden, der zwei Faktoren in einem Gerät kombiniert und so eine sehr starke, Phishing-resistente und passwortlose Authentifizierung ermöglicht.

Alle großen Cloud-Provider bieten Möglichkeiten zur Implementierung der Multi-Faktor-Authentifizierung, obwohl Google den freundlicheren Begriff "2-Step Verification" verwendet.

Passwörter, Passphrasen und API-Schlüssel

Wenn du eine Multi-Faktor-Authentifizierung verwendest, sind Passwörter oder Passphrasen nicht mehr deine einzige Verteidigungslinie. Trotzdem ist es wichtig, gute Passwörter zu wählen, es sei denn, du hast dich für ein passwortloses Modell entschieden. Das gilt umso mehr in Cloud-Umgebungen, denn in vielen Fällen können Angreifer Passwörter direkt über das Internet von überall auf der Welt erraten.

"Passphrase" ist nur ein Begriff für ein längeres, sichereres Passwort, deshalb verwende ich hier den allgemeineren Begriff "Passwort". Obwohl es viele Ratschläge und Diskussionen über gute Passwörter gibt, sind meine Empfehlungen für die Wahl von Passwörtern einfach:

1. Verwende niemals Passwörter wieder, es sei denn, es ist dir wirklich egal, ob Unbefugte Zugang zu den Ressourcen erhalten, die durch das Passwort geschützt sind. Du könntest z. B. dasselbe Passwort in einem Dutzend Foren verwenden, weil es dir egal ist, ob jemand in einem oder allen Foren als du schreibt. (Aber selbst dann besteht immer noch die Gefahr, dass der Nutzer oder die Nutzerin diesen Zugang ausnutzt, um andere Passwörter zurückzusetzen, deshalb ist es am besten, Passwörter überhaupt nicht wiederzuverwenden). Wenn du ein Passwort auf einer Website eingibst, solltest du davon ausgehen, dass die Administratoren der Website böswillig sind und das von dir angegebene Passwort benutzen, um in andere Websites einzubrechen.

2. Wenn du Passwörter nicht wiederverwendest, hast du am Ende viele Passwörter, also verwende eine seriöse Passwortbörse, um den Überblick zu behalten. Bewahre Kopien von Master-Passwörtern oder Wiederherstellungsschlüsseln an einem sicheren Ort auf, z. B. in einem guten Safe oder einem Bankschließfach.

3. Für Passwörter, die du dir nicht merken musst (z. B. solche, die du aus deiner Passwortbörse kopieren und einfügen kannst), solltest du einen sicheren Zufallsgenerator verwenden. Zwanzig Zeichen sind ein gutes Ziel, auch wenn es Systeme gibt,die nicht so viele Zeichen akzeptieren; in diesen Fällen solltest du so viele Zeichen wie möglich verwenden.⁶

4. Für Passwörter, die du dir merken musst, wie z. B. das Passwort für deine Passwort-Wallet, solltest du ein Diceware-Passwort mit sechs Wörtern erstellen⁷ und setze zwischen jedes Wort dasselbe nicht-alphabetische Zeichen, z. B. ein Dollarzeichen, ein Gleichheitszeichen oder ein Komma. Du kannst das Passwort ein paar Mal neu generieren, bis du ein Passwort gefunden hast, zu dem du dir eine lustige Geschichte ausdenken kannst, damit du es nicht vergisst. So kannst du es dir schnell merken und es ist für einen Angreifer fast unmöglich, es zu erraten. Der einzige Nachteil ist, dass es eine Weile dauert, es zu tippen, du willst es also nicht ständig tippen müssen!

API-Schlüssel sind Passwörtern sehr ähnlich, aber sie sind für die Automatisierung und nicht für Menschen gedacht. Aus diesem Grund kannst du mit API-Schlüsseln keine Multi-Faktor-Authentifizierung verwenden und sie sollten lange, zufällige Zeichenfolgen sein, wie in Punkt 3 der vorangegangenen Liste beschrieben. Im Gegensatz zu den meisten Benutzeridentitäten, bei denen du eine öffentliche Benutzer-ID und ein privates Passwort hast, hast du in der Regel nur einen privaten API-Schlüssel, der dem System mitteilt, wer du bist, und der dich auch authentifiziert.

Gemeinsame IDs

Gemeinsame IDs sind Identitäten, für die mehr als eine Person das Passwort oder andere Anmeldeinformationen hat, wie z. B. das integrierte Root- oder Administratorkonto auf einem System. In Cloud-Umgebungen kann es schwierig sein, damit umzugehen, genauso wie in lokalen Umgebungen.

Wenn möglich, sollte jeder Benutzer oder jedes Tool eine eigene ID haben, die von niemandem oder nichts anderem verwendet wird. Viele Systeme erlauben es Benutzern, für bestimmte Aktivitäten eine privilegierte Rolle oder eine separate, höher privilegierte ID anzunehmen, z. B. durch die Verwendung von sudo auf Unix-ähnlichen Systemen. Wenn du gemeinsame IDs verwenden musst, musst du genau feststellen können, welche Person (oder automatisiertes Werkzeug) die ID für einen Zugriff verwendet hat.

Wenn du eine ID freigeben musst, wie z. B. root, kann das System, auf dem du die gemeinsame ID verwendest, nicht unterscheiden, wer sie benutzt hat. Das bedeutet, dass du einen separaten Prozess und Werkzeuge brauchst, um die gemeinsam genutzten Anmeldedaten auszuchecken und sie zu ändern, wenn sie wieder eingecheckt werden. Dieses Tool wird in der Regel als Privileged Access Management (PAM) oder Privileged Identity Management (PIM) System bezeichnet und kann auch andere Funktionenerfüllen, wie z. B. die Aufzeichnung der Sitzung oder das Verbot der Verwendung bestimmter Befehle.

Föderierte Identität

Federated Identity ist ein Konzept, keine bestimmte Technologie. Es bedeutet, dass du Identitäten auf zwei verschiedenen Systemen haben kannst und die Administratoren dieser Systeme sich darauf einigen können, Technologien zu verwenden, die diese Identitäten miteinander verbinden, damit du nicht auf jedem System manuell separate Konten erstellen musst. Aus deiner Perspektive als Nutzer/in hast du nur eine einzige Identität.

In der Praxis bedeutet das in der Regel, dass sowohl Unternehmen A als auch Unternehmen B deine Unternehmens-E-Mail-Adresse (z. B. user@company-a.com) als deine Identität verwenden und Unternehmen B sich an Unternehmen A wendet, um dich tatsächlich zu authentifizieren. Unternehmen A gibt dann eine Behauptung oder ein Token mit seinem Gütesiegel zurück: "Ja, das ist tatsächlich user@company-a.com; ich habe sie verifiziert, hier ist meine Unterschrift, um zu beweisen, dass ich es bin, und du hast bereits zugestimmt, dass du mir bei der Authentifizierung von Nutzern mit Kennungen, die auf @firma-a.com enden, vertraust."

Single Sign-On

Single Sign-On (SSO) ist eine Reihe von Technologieimplementierungen, die auf dem Konzept der föderierten Identität basieren.

Früher gab es für jede Website ein eigenes Login und Passwort. Das ist eine Menge an Passwörtern, die sich die Nutzer/innen merken müssen! Das vorhersehbare Ergebnis ist, dass die Nutzer/innen oft dasselbe Passwort für mehrere Websites verwenden, was bedeutet, dass das Passwort der Nutzer/innen nur so gut geschützt ist wie die schwächste Website.

Hier kommt SSO ins Spiel. Die Idee ist, dass eine Website nicht mehr nach der ID und dem Passwort eines Nutzers fragt, sondern den Nutzer an einen zentralen Identitätsanbieter (IdP) weiterleitet, dem sie vertraut. (Der Identitätsanbieter muss nicht einmal zur gleichenOrganisation gehören - die einzige Voraussetzung ist, dass die Website ihm vertraut). Der IdP übernimmt die Authentifizierung des Nutzers, z. B. durch einen Benutzernamen und ein Passwort und hoffentlich einen zusätzlichen Autorisierungsfaktor. Anschließend schickt er den Nutzer mit dem Nachweis, dass er den Nutzer verifiziert hat, zurück an die ursprüngliche Website. In einigen Fällen sendet der IdP auch Informationen (wie z. B. die Gruppenzugehörigkeit), die die Website nutzen kann, um Entscheidungen über die Autorisierung zu treffen, z. B. ob der Nutzer als normaler Nutzer, als Administrator oder gar nicht zugelassen werden soll.

In den meisten Fällen funktioniert SSO nur für Websites und mobile Anwendungen, obwohl sich das langsam ändert. Für die zentrale Authentifizierung von Nicht-Web-Assets wie Netzwerkgeräten oder Betriebssystemen benötigst du möglicherweise ein anderes Protokoll (wie LDAP, Kerberos, TACACS+ oder RADIUS).

Selten findet man etwas, das sowohl einfacher für die Nutzer ist als auch mehr Sicherheit bietet! Die Nutzer/innen müssen sich nur einen Satz von Anmeldedaten merken, und da diese Daten nur vom Identitätsanbieter (und nicht von den einzelnen Websites) eingesehen werden, kann eine Kompromittierung dieser Websites nicht die Anmeldedaten der Nutzer/innen gefährden. Darüber hinaus kann dein SSO-Anbieter Kontrollen einführen, die anderen Zero-Trust-Prinzipien folgen, wie z. B. die Überprüfung, ob ein nicht verwaltetes oder veraltetes Gerät verwendet wird oder ob die Anmeldedaten des Nutzers aus zwei verschiedenen Ländern gleichzeitig verwendet werden. Diese Arten von Kontrollen lassen sich nur sehr schwer für jede Anwendung einzeln implementieren.

Der einzige Nachteil von SSO ist, dass es für eine Website etwas schwieriger zu implementieren ist als schlechte Authentifizierungsmechanismen, wie der Vergleich mit einem Klartextpasswort oder einem unsicher gehashten Passwort in einer Datenbank.

SAML und OIDC

Derzeit sind die Security Assertion Markup Language (SAML - die Abkürzung reimt sich auf "Kamel") und OpenID Connect (OIDC) die gängigsten SSO-Technologien. Während die Endergebnisse ähnlich sind, unterscheiden sich die Mechanismen, die sie verwenden, etwas.

Die aktuelle SAML-Version ist 2.0, und es gibt sie bereits seit 2005. Es ist eine der gängigsten SSO-Technologien, insbesondere für große Unternehmensanwendungen. Es gibt zwar viele ausführliche Erklärungen, wie SAML funktioniert, aber hier ist eine sehr vereinfachte Version:

1. Du rufst mit deinem Webbrowser eine Webseite auf, auf die du zugreifen möchtest (den sogenannten Service Provider oder SP).

2. Die SP-Webseite sagt: "Hey, du hast kein SAML-Cookie, also weiß ich nicht, wer du bist. Geh zu dieser Webseite des Identitätsanbieters und hol dir einen", und leitet dich weiter.

3. Du gehst zum IdP und meldest dich mit deinem Benutzernamen, deinem Passwort und hoffentlich einem zweiten Faktor oder einer passwortlosen Methode an.

4. Wenn der IdP sicher ist, dass du es wirklich bist, gibt er deinem Browser ein Cookie mit einer kryptografisch signierten XML-"Assertion", die besagt: "Ich bin der Identitätsanbieter, und dieser Benutzer ist authentifiziert", und leitet dich dann wieder zurück.

5. Dein Webbrowser gibt dieses Cookie an die erste Webseite (SP) zurück. Der SP prüft die kryptografische Signatur und sagt: "Du hast es geschafft, den IdP von deiner Identität zu überzeugen, also ist das gut genug für mich. Komm rein."

Nachdem du dich einmal eingeloggt hast, geschieht das alles eine Zeit lang automatisch, bis die Assertion-Dokumente ablaufen und du dich erneut beim IdP anmelden musst.

Ein wichtiger Punkt ist, dass es keine direkte Kommunikation zwischen der ursprünglichen Webseite und dem Identitätsanbieter gab - dein Browser hat die ganze Arbeit gemacht, um die Informationen von einem Ort zum anderen zu bringen. Das kann in manchen Fällen wichtig sein, wenn die Netzwerkkommunikation eingeschränkt ist.

Beachte auch, dass SAML von Haus aus nur Identitätsinformationen liefert. Ob du berechtigt bist, dich anzumelden oder andere Aktionen durchzuführen, ist eine andere Frage, obwohl einige SAML-Implementierungen zusätzliche Informationen mit der Assertion übermitteln (z. B. die Gruppenzugehörigkeit), die von der Anwendung verwendet werden können, umAutorisierungsentscheidungen zu treffen.

OpenID Connect ist eine viel neuere Authentifizierungsschicht, die 2014 fertiggestellt wurde und auf OAuth 2.0 aufbaut. Sie verwendet JSON-Web-Tokens (JWTs, manchmal auch "jots" ausgesprochen) anstelle von XML und verwendet eine etwas andere Terminologie ("vertrauende Partei" wird in OIDC in der Regel verwendet, im Gegensatz zu "Dienstanbieter" in SAML, zum Beispiel).

OIDC bietet sowohl Authorization Code Flows (für traditionelle Webanwendungen) als auch Implicit Flows (für Anwendungen, die mit JavaScript auf der Client-Seite implementiert werden). Obwohl es zahlreiche Unterschiede zu SAML gibt, sind die Endergebnisse ähnlich, da die Anwendung, mit der du dich authentifizierst, nie dein tatsächliches Passwort sieht und du dich nicht für jede Anwendung neu authentifizieren musst.

Einige Dienste können Anfragen von OIDC-fähigen Anwendungen entgegennehmen und diese in Anfragen an einen SAML IdP "übersetzen". In größeren Organisationen ist es üblich, beide Standards zu verwenden, und die meisten IdPs unterstützen beide.

SSO mit Legacy-Anwendungen

Was ist, wenn du Single Sign-On für eine Legacy-Anwendung bereitstellen willst, die es nicht unterstützt? Eine Möglichkeit ist, der Anwendung etwas vorzuschalten, das die SSO-Anfragen bearbeitet und der Legacy-Anwendung mitteilt, wer die Nutzer sind.

Die Legacy-Anwendung vertraut diesem Frontend-Dienst (oft ein Reverse Proxy), um die Authentifizierung durchzuführen, aber es ist sehr wichtig, dass er keine Verbindungen von anderen Diensten akzeptiert. Techniken wie diese werden manchmal benötigt, wenn eine bestehende Anwendung in die Cloud verlagert wird, bis die Anwendung überarbeitet werden kann, um SSO nativ zu ermöglichen. Viele der oben genannten Identity-as-a-Service-Anbieter bieten auch Möglichkeiten, Legacy-Anwendungen mit SSO zu versehen.

Instanz-Metadaten und Identitätsdokumente

Wie bereits in diesem Kapitel erwähnt, gehen wir oft davon aus, dass die Automatisierung, z. B. ein Programm, das auf einem System läuft, bereits eine Identität und einen Weg hat, diese Identität zu beweisen. Wenn ich zum Beispiel ein neues System einrichte, kann ich einen Benutzernamen und ein Kennwort für dieses System erstellen und diesen Benutzernamen und dieses Kennwort dem System als Teil des Erstellungsprozesses mitteilen. In vielen Cloud-Umgebungen gibt es jedoch einfachere Wege.

Ein Prozess, der auf einem bestimmten System läuft, kann sich mit einem bekannten Endpunkt in Verbindung setzen, der ihm alles über das System, auf dem er läuft, mitteilt, und der Prozess stellt auch einen kryptografisch signierten Weg zur Verfügung, um die Identität dieses Systems zu beweisen. Die genauen Details unterscheiden sich von Anbieter zu Anbieter, aber im Prinzip sieht es wie in Abbildung 4-2 aus.

Abbildung 4-2. Verwendung von Ausweispapieren

Dies ist jedoch nicht narrensicher, da jeder Prozess auf dem System diese Metadaten anfordern kann, unabhängig von seiner Berechtigungsstufe auf dem System. Das bedeutet, dass du entweder nur Prozesse mit der gleichen Vertrauensstufe auf dem System zulassen oder Maßnahmen ergreifen musst, um zu verhindern, dass Prozesse mit niedrigeren Privilegien die Identität des gesamten Systems übernehmen. Dies kann besonders in Containerumgebungen problematisch sein, da jeder Container auf einem Hostsystem das Identitätsdokument anfordern und dann vorgeben könnte, dieses Hostsystem zu sein. In solchen Fällen musst du die Container daran hindern, denMetadatendienst zu erreichen.

Dieses System setzt außerdem voraus, dass der Cloud-Dienst die besondere Art des Dokuments und der Signatur erkennt, die der Metadatendienst verwendet. Wenn es doch nur ein Standardformat für diese Dokumente und Signaturen gäbe, damit der Cloud-Dienst entscheiden könnte, ob er Containern, die in einem bestimmten Cluster erstellt wurden, oder virtuellen Maschinen, die in einem bestimmten Cloud-Konto erstellt wurden, vertraut! Hier kommt SPIFFE ins Spiel, eine Standardmethode, mit der sich ein Workload (z. B. ein Container, eine virtuelle Maschine oder eine Anwendung mit mehreren Knoten) gegenüber einem anderen authentifizieren kann. SPIRE ist eine Referenzimplementierung der SPIFFE-Spezifikation. Zum jetzigen Zeitpunkt ist SPIFFE noch nicht weit verbreitet, aber es ist wahrscheinlich, dass diese oder eine ähnliche Spezifikation die weit verbreitete Verwendung von statischen API-Schlüsseln zur Authentifizierung überflüssig machen wird. Anstatt das System so zu konfigurieren, dass es jedem vertraut, der den API-Schlüssel erhält, wirst du es so konfigurieren, dass es nur denjenigen Workloads vertraut, die sowohl eine gültige ID vorweisen können als auch auf deiner Liste der Dinge stehen, denen du vertraust.

Wenn du Identitätsdokumente verwenden kannst, brauchst du nicht so viele Geheimnisse zu verwalten. Ich kann eine einfache Anfrage stellen und bekomme die Geheimnisse, die ich für den Zugriff auf andere Ressourcen benötige, dann vergesse ich die Geheimnisse und frage später wieder nach. Da Identitätsdokumente jedoch noch nicht weit verbreitet sind und viele Arten von Ressourcen sie noch nicht akzeptieren, brauchst du einige Werkzeuge und Techniken, um Geheimnisse zu verwalten. Diese werden wir uns als Nächstes ansehen.

Geheimnisse Management

Ich habe vorhin über Passwörter vor allem im Zusammenhang mit der Authentifizierung einer Person an einem System gesprochen. Für Verwaltungsbenutzer und Endbenutzer gibt es Techniken zur Verwaltung von Geheimnissen schon so lange, wie es Geheimnisse gibt. Sie reichen von gut (Passwortbörsen und physische Tresore) bis richtig schlecht (die allgegenwärtigen Post-it-Zettel auf dem Monitor oder unter der Tastatur). Obwohl der Begriff Geheimhaltungsmanagement im Allgemeinen immer dann verwendet wird, wenn man sich an ein Geheimnis erinnern muss, wird er in der Regel speziell für Geheimnisse verwendet, die von einem System verwendet werden, um mit einem anderen zu kommunizieren.

Betrachten wir zum Beispiel den Fall, dass ein Anwendungsserver mit einem Datenbankserver kommunizieren muss. Hier kann natürlich keine Multi-Faktor-Authentifizierung verwendet werden, denn der Anwendungsserver hat weder einen Hardware-Sicherheitsschlüssel noch einen Fingerabdruck!⁸ Das bedeutet, dass du mit den Authentifizierungsdaten für System-zu-System-Verbindungen sehr vorsichtig umgehen musst, denn sie können deine einzige Verteidigungslinie für die Authentifizierung sein.

Die Authentifizierung von System zu System kann mit einem Passwort, einem API-Schlüssel, einem kryptografischen Token oder einem Paar öffentlicher/privater Schlüssel erfolgen. Alle diese Lösungen haben etwas, das geheim gehalten werden muss. Wir bezeichnen all diese Dinge einfach als Geheimnisse, und bei der Verwaltung der Geheimnisse geht es darum, sie demjenigen zur Verfügung zu stellen, der sie braucht - und niemandem sonst. (Außerdem gibt es möglicherweise Dinge, die nichts mit der Authentifizierung zu tun haben, wie z. B. Verschlüsselungsschlüssel; diese sind zwar technisch gesehen auch Geheimnisse, werden aber normalerweise unter der Verwaltung von Verschlüsselungsschlüsseln behandelt).

Geheimnisse sind gefährliche Dinge, mit denen man vorsichtig umgehen sollte. Hier sind einige Grundsätze für den Umgang mit Geheimnissen:

• Geheimnisse sollten in regelmäßigen Abständen leicht zu ändern sein und immer dann, wenn es Grund zur Annahme gibt, dass sie nach außen gedrungen sein könnten. Wenn das Ändern des Geheimnisses bedeutet, dass du die Anwendung herunterfahren und es an vielen Stellen manuell ändern musst, ist das ein Problem.

• Geheimnisse sollten im Ruhezustand und in Bewegung immer verschlüsselt sein und nur nach ordnungsgemäßer Authentifizierung und Autorisierung an Systeme weitergegeben werden.

• Wenn möglich, sollte kein Mensch die Geheimnisse kennen - nicht die Entwickler, die den Code schreiben, nicht die Bediener, die einen Blick auf das laufende System werfen können, niemand. Das ist oft nicht möglich, aber wir sollten uns zumindest bemühen, die Anzahl der Personen zu minimieren, die Geheimnisse kennen!

• Das System, in dem die Geheimnisse gespeichert und weitergegeben werden, sollte gut geschützt sein. Wenn du alle Geheimnisse in einem Tresor aufbewahrst und dann die Schlüssel für den Tresor an Dutzende von Menschen verteilst, ist das ein Problem.

• Geheimnisse sollten für einen Angreifer so nutzlos wie möglich sein und gleichzeitig das Funktionieren des Systems ermöglichen. Auch hier gilt das Prinzip des geringsten Privilegs: Versuche, keine Geheimnisse zu haben, die den Schlüssel zum Königreich darstellen, wie z.B. Root-Zugriff auf alle Systeme, sondern nur begrenzte Geheimnisse, wie z.B. ein Geheimnis, das nur Lesezugriff auf eine bestimmte Datenbank erlaubt.

• Alle Zugriffe und Änderungen an Geheimnissen sollten protokolliert werden.

Selbst Unternehmen, die bei der Authentifizierung und Autorisierung gute Arbeit leisten, vernachlässigen oft die Verwaltung von Geheimnissen. Du kannst zum Beispiel sehr gut verfolgen, welche Personen persönliche IDs mit Zugang zu einer Datenbank haben, aber wie viele Personen kennen das Passwort, das der Anwendungsserver für die Kommunikation mit der Datenbank verwendet? Wird es regelmäßig geändert, und zwar sofort, wenn jemand das Team verlässt? Im schlimmsten Fall befindet sich dieses Passwort im Code des Anwendungsservers und ist in einem öffentlichen Repository wie GitHub hinterlegt.⁹

Es gab schon viele Sicherheitsverletzungen, weil Geheimnisse wie AWS API-Schlüssel versehentlich im Quellcode gespeichert wurden. Der Code braucht die Anmeldeinformationen, um zu funktionieren, wenn er bereitgestellt wird, aber Geheimnisse direkt im Quellcode (oder im Quellcode-Repository als Teil einer Konfigurationsdatei) zu speichern, ist aus zwei Gründen eine wirklich schlechte Idee:

• Das Quellcode-Repository wurde wahrscheinlich nicht in erster Linie für die Geheimhaltung von Informationen entwickelt. Seine Hauptfunktion besteht darin, die Integrität des Quellcodes zu schützenund zu verhindern, dass Unbefugte ihn verändern, um zum Beispiel eine Hintertür einzubauen. In vielen Fällen wird der Quellcode im Rahmen einer Social Coding-Initiative standardmäßig für alle zugänglich gemacht.

• Selbst wenn das Quellcode-Repository absolut sicher ist, ist es sehr unwahrscheinlich, dass jeder, der Zugriff auf den Quellcode hat, auch berechtigt sein sollte, die in der Produktionsumgebung verwendeten Geheimnisse zu sehen.

Die naheliegendste Lösung ist es, die Geheimnisse aus dem Quellcode zu nehmen und sie an einem anderen Ort zu speichern, z. B. an einem sicheren Ort in deinem Deployment-Tool oder auf einem speziellen Geheimhaltungsserver.

In den meisten Fällen besteht die Bereitstellung einer Anwendung aus drei Teilen, die zusammenkommen:

• Der Anwendungscode

• Die Konfiguration für diesen speziellen Einsatz

• Die Geheimnisse, die für diesen speziellen Einsatz benötigt werden

Wie bereits erwähnt, ist es keine gute Idee, alle drei Dinge zusammen zu speichern. Konfiguration und Geheimnisse zusammen aufzubewahren, ist ebenfalls oft eine schlechte Idee, denn Systeme, die für die Speicherung von Konfigurationsdaten konzipiert sind, sind möglicherweise nicht dafür ausgelegt, diese Daten geheim zu halten.

Werfen wir einen Blick auf vier vernünftige Ansätze zur Verwaltung von Geheimnissen, die von minimal sicher bis hochsicher reichen.

Der erste Ansatz besteht darin, bestehende Konfigurationsmanagementsysteme und Bereitstellungssysteme für die Speicherung von Geheimnissen zu nutzen. Viele gängige Systeme bieten heute die Möglichkeit, zusätzlich zu den normalen Konfigurationsdaten auch Geheimnisse zu speichern - zum Beispiel Ansible Vault und Chef verschlüsselte Datentaschen. Das kann ein sinnvoller Ansatz sein, wenn die Verteilungswerkzeuge sorgfältig mit den Geheimnissen umgehen und vor allem, wenn der Zugriff auf das Verteilungssystem und die Verschlüsselungsschlüssel streng kontrolliert wird. Allerdings gibt es oft zu viele Personen, die die Geheimnisse lesen können. Außerdem erfordert das Ändern von Geheimnissen in der Regel eine Neuverteilung des Systems, was in manchen Umgebungen schwieriger sein kann.

Der zweite Ansatz ist die Verwendung eines Geheimdienstservers. Mit einem separaten Geheimnisserver brauchst du nur einen Verweis auf das Geheimnis in den Konfigurationsdaten und die Möglichkeit, mit dem Geheimnisserver zu kommunizieren. Dann kann entweder die Verteilungssoftware oder die Anwendung das Geheimnis erfahren, indem sie sich mit dem Kennwort des Geheimservers authentifiziert... aber du siehst das Problem, oder? Jetzt musst du dich um ein weiteres Geheimnis (das Passwort für den Secrets Server) kümmern.

Auch wenn dieser Ansatz nicht perfekt ist, so ist er doch sehr wertvoll für dieVerwaltung von Geheimnissen:

• Die Anfragen des Geheimdienstservers können protokolliert werden, so dass du möglicherweise einen unbefugten Benutzer oder eine unbefugte Einrichtung erkennen und daran hindern kannst, auf die Geheimnisse zuzugreifen. Dies wird in Kapitel 7 näher erläutert.

• Der Geheimnisserver kann neben dem Passwort noch andere Möglichkeiten nutzen, um festzustellen, ob die Anfrage legitim ist, z. B. den IP-Adressbereich, der das Geheimnis anfordert. Wie in Kapitel 6 erläutert, reicht die IP-Zulassungsliste allein in der Regel nicht aus, aber sie ist eine nützliche zusätzliche Kontrolle.

• Du kannst die Geheimnisse später ganz einfach aktualisieren, und alle deine Systeme, die die Geheimnisse abrufen, erhalten die neuen Geheimnisse automatisch.

Der dritte Ansatz hat alle Vorteile eines Geheimservers, verwendet aber eine sichere Einführungsmethode, um die Wahrscheinlichkeit zu verringern, dass ein Angreifer die Anmeldeinformationen für den Zugriff auf den Geheimserver erhalten kann:

1. Dein Deployment Tooling kommuniziert mit dem Secrets Server, um ein einmalig verwendbares Geheimnis zu erhalten, das es an die Anwendung weitergibt.

2. Die Anwendung tauscht das Geheimnis dann gegen das echte Geheimnis auf dem Geheimnisserver ein und verwendet es, um alle anderen benötigten Geheimnisse zu erhalten und im Speicher zu speichern. Wenn jemand das Einmalgeheimnis bereits benutzt hat, schlägt dieser Schritt fehl und die Anwendung kann eine Warnung senden, dass etwas nicht stimmt.

Dein Deployment Tooling benötigt immer noch einen Satz statischer Anmeldedaten für deinen Secrets Server, aber damit kann es nur einmalige Schlüssel erhalten und nicht direkt Geheimnisse einsehen. (Wenn dein Deployment Tooling komplett kompromittiert ist, könnte ein Angreifer eine gefälschte Kopie einer Anwendung einsetzen, um die Geheimnisse zu lesen, aber das ist schwieriger als das direkte Lesen der Geheimnisse und wird eher entdeckt).

Das Betriebspersonal kann die Geheimnisse oder die Anmeldedaten für den Geheimhaltungsserver nur mit komplizierten Techniken zum Auslesen des Speichers einsehen. Anstatt das Geheimnis einfach aus einer Konfigurationsdatei auszulesen, müsste ein Schurke beispielsweise den Systemspeicher auslesen und ihn nach dem Geheimnis durchsuchen oder einen Debugger an einen Prozess anhängen, um das Geheimnis zu finden.

Der vierte Ansatz, falls verfügbar, ist die Nutzung einiger Angebote, die vom Cloud-Provider in deine Cloud-Plattform integriert wurden, um das Problem der "Schildkröten auf dem Weg nach unten" zu vermeiden:

1. Einige Cloud-Provider bieten Instanz-Metadaten oder Identitätsdokumente für Systeme an, die in der Cloud bereitgestellt werden. Deine Anwendung kann dieses Identitätsdokument abrufen, das in etwa besagt: "Ich bin Server ABC. Der Cloud-Provider hat dieses Dokument für mich kryptografisch signiert, was meine Identität beweist."

2. Der Secrets Server kennt dann die Identität des Servers sowie Metadaten wie z. B. Tags, die mit dem Server verbunden sind. Er kann diese Informationen nutzen, um eine Anwendung, die auf dem Server läuft, zu authentifizieren und zu autorisieren und ihr die restlichen Geheimnisse zukommen zu lassen, die sie zum Funktionieren braucht. In Zukunft könntest du das Identitätsdokument direkt mit den meisten Cloud-Diensten verwenden und bräuchtest den Geheimhaltungsservergar nicht mehr!

Fassen wir die vier vernünftigen Ansätze zur Verwaltung von Geheimnissen zusammen:

• Bei der ersten Methode werden die Geheimnisse nur im Verteilungssystem gespeichert und der Zugang zum Verteilungssystem wird streng kontrolliert. Standardmäßig sieht niemand die Geheimnisse, und nur autorisierte Personen haben die technische Möglichkeit, sie im Verteilungssystem einzusehen oder zu ändern.

• Der zweite Ansatz ist die Verwendung eines Secrets-Servers, der Geheimnisse speichert. Entweder der Verteilungsserver oder die verteilte Anwendung kontaktiert den Geheimhaltungsserver, um die notwendigen Geheimnisse zu erhalten und sie zu verwenden. In vielen Fällen sind die Geheimnisse auch nach der Bereitstellung noch in den Konfigurationsdateien oder Umgebungsvariablen der laufenden Anwendung sichtbar, so dass das Betriebspersonal die Geheimnisse oder die Anmeldedaten für den Geheimdienstserver leicht einsehen kann.

• Bei der dritten Methode kann der Deployment-Server nur ein einmaliges Token erhalten und es an die Anwendung weitergeben, die dann die Geheimnisse abruft und im Speicher hält. So bist du davor geschützt, dass die Anmeldedaten für den Geheimhaltungsserver oder die Geheimnisse selbst abgefangen werden.

• Der vierte Ansatz nutzt die Bereitstellungsplattform selbst als Basis des Vertrauens. Ein IaaS-Anbieter gibt zum Beispiel signierte Identitätsdokumente an virtuelle Maschinen aus, anhand derer der Secrets-Server entscheiden kann, welche Geheimnisse er der virtuellen Maschine zur Verfügung stellt.

Es gibt mehrere Produkte und Dienste, die dir bei der Verwaltung von Geheimnissen helfen. HashiCorp Vault und Keywhiz sind eigenständige Produkte, die vor Ort oder in der Cloud implementiert werden können, und AWS Secrets Manager ist über ein As-a-Service-Modell verfügbar.

Zentralisierte Autorisierung

Die Probleme mit der alten Ad-hoc-Praxis, Identitäten überall zu verstreuen, wurden durch föderierte Identitäten und Single Sign-On gelöst. Allerdings kann es sein, dass du immer noch überall verstreute Berechtigungsdatensätze hast - jede Anwendung kann ihre eigenen Datensätze darüber führen, wer was in dieser Anwendung tun darf.

Du kannst jemandem die Berechtigung komplett entziehen, indem du seine Identität löschst (vorausgesetzt, die dauerhaften Zugriffstoken sorgen nicht dafür, dass die Berechtigung eine Weile bestehen bleibt), aber was ist, wenn du nur einen Teil des Zugriffs entziehst? Die Möglichkeit, jemandem die Identität zu entziehen, ist wichtig, aber es ist eine ziemlich schwerfällige Art, die Zugriffsverwaltung durchzuführen. Oft braucht man eine feiner abgestufte Zugriffsverwaltung. Mit einer zentralen Autorisierung kannst du an einer einzigen Stelle sehen und kontrollieren, worauf deine Nutzer/innen Zugriff haben.

In einer herkömmlichen Anwendung wurde die gesamte Autorisierungsarbeit intern in der Anwendung durchgeführt. In der Welt der zentralen Autorisierung werden die Verantwortlichkeiten normalerweise zwischen der Anwendung und dem zentralen Autorisierungssystem aufgeteilt. In manchen Systemen gibt es mehr Details, aber hier sind die grundlegenden Komponenten:

Policy Enforcement Point (PEP)

Dieser Punkt wird in der Anwendung implementiert, wo die Anwendung den Zugriff kontrolliert. Wenn du nicht den in der Richtlinie festgelegten Zugriff hast, lässt der Dienst oder die Anwendung dich die Funktion nicht ausführen. Die Anwendung prüft den Zugang, indem sie den Policy Decision Point um eine Entscheidung bittet.

Politischer Entscheidungspunkt (PDP)

Dieser Punkt ist im zentralisierten Autorisierungssystem implementiert. Die PDP nimmt die von der Anwendung zur Verfügung gestellten Informationen (z. B. Identität und angeforderte Funktion), konsultiert ihre Richtlinien und gibt der Anwendung die Entscheidung, ob der Zugang für diese bestimmte Funktion gewährt wird.

Policy Administration Point (PAP)

Dieser Punkt wird auch im zentralen Autorisierungssystem implementiert. Dabei handelt es sich in der Regel um eine Web-Benutzeroberfläche und eine zugehörige API, über die du dem zentralen Autorisierungssystem mitteilen kannst, wer was tun darf.

Die meisten Cloud-Provider verfügen über ein zentrales Zugriffsmanagement, das ihre Dienste für Zugriffsentscheidungen heranziehen, anstatt sie selbst zu treffen. Du solltest diese Mechanismen nutzen, wenn sie verfügbar sind, damit du alle Zugriffsrechte, die einem bestimmten Administrator gewährt wurden, an einer Stelle einsehen kannst.

Rollen

Viele Cloud-Provider bieten Rollen oder vertrauenswürdige Profile an, die ähnlich wie Shared IDs sind: Du nimmst eine Rolle an, führst Aktionen aus, die die Rolle erlaubt, und gibst die Rolle wieder auf. Dies unterscheidet sich ein wenig von der traditionellen Definition einer Rolle, die eine Reihe von Berechtigungen oder Ansprüchen für einen Nutzer oder eine Gruppe darstellt.

Der Hauptunterschied zwischen geteilten IDs und Cloud-Provider-Rollen besteht darin, dass eine geteilte ID eine eigenständige Identität mit festen Anmeldeinformationen ist. Eine Cloud-Provider-Rolle ist keine vollständige Identität, sondern ein besonderer Status, der von einer anderen Identität eingenommen wird, die zum Zugriff auf eine Rolle berechtigt ist und der dann temporäre Anmeldeinformationen für den Zugriff auf diese Rolle zugewiesen werden.

Der rollenbasierte Zugriff kann eine zusätzliche Sicherheitsebene schaffen, indem er Benutzer/innen oder Dienste dazu verpflichtet, für privilegiertere Vorgänge explizit eine eigene Rolle zu übernehmen, nach dem Prinzip der geringsten Privilegien. Die meiste Zeit kann der Nutzer diese privilegierten Aktivitäten nicht ausführen, es sei denn, er setzt sich explizit den Rollen-"Hut" auf und nimmt ihn ab, wenn er fertig ist. Das System kann auch jede Anfrage zur Übernahme einer Rolle protokollieren, so dass Administratoren später feststellen können, wer diese Rolle zu einem bestimmten Zeitpunkt innehatte, und diese Informationen mit Aktionen im System vergleichen können, die Auswirkungen auf die Sicherheit haben.

Menschen sind nicht die einzigen Entitäten, die Rollen übernehmen können. Einige Komponenten (z. B. virtuelle Maschinen) können bei ihrer Erstellung eine Rolle übernehmen und Aktionen mit den dieser Rolle zugewiesenen Rechten durchführen.