identity- und accessmanagement
TRANSCRIPT
IDENTITY- UND ACCESSMANAGEMENT
2 07.05.2021 CompuGroup Medical
3 07.05.2021 CompuGroup Medical
Teilnehmer am heutigen Tag
Timo Neumann
Technik
4 07.05.2021 Identity- und Accessmanagement
Carsten Fehlen
Berater
Achim Uebelhör
Moderator
Access Management
In CGM Security-Cloud gehostete Control Plane
5 07.05.2021 CompuGroup Medical
KIS
Services mit IDP
WindowsFile
Server(External)
User
External IDP
3rd Party-& Legacy-Services
Durch Krankenhaus gemanaged Durch CGM gemanagedDurch Dritte gemanaged
Policy Information Point
Identity Management
Identity Provider (IDP)
für Krankenhaus
Authentication End Point
Policy Decision Point
Entity attribute
Ressourceattribute
Enviromentalconditions
Policy Administration PointPolicies
ID Source Systeme
Authentisierungs-mittel
SelfServices
Configuration Cache
Monitoring
Reporting Dashboard &
Alerting
Risk Level Mgmt.
Logging Hub
SIEM / Analytics KI
PolicyEnforcement
PointsAgent
PEP 2
PEP 1
Gate-
way
Überblick: So sieht das Gesamtkonzept aus
Software DefinedNetwork (SDN)
(Internal)User
& Devices
Wer?
Identity Management
Was?
Access Management
Identity-Management bietet hohen Nutzungskomfort, einfache Administration und Anbindung externer IDs
6 07.05.2021 Identity- und Accessmanagement
Herausforderungen Lösungsansätze
Hoher Nutzungs-komfort
des Logins
Leicht zu verwalten
Offenheit für externe ID-Lösungen
▪ Unterschiedliche Einsatzszenarien, teils mit hohen Anforderungen an Einfachheit der Nutzung, Geschwindigkeit und Sicherheit
▪ Keine IT-Ressourcen für umfangreiche Migrationsprojekte und aufwendige Verwaltung
▪ Einbindung externer ID-Lösungen
▪ Angebot verschiedener Authentifizierungs-token mit unterschiedlichen Nutzungs- und Sicherheitseigenschaften
▪ Möglichkeit des Self-Service unter Einbindung der bestehenden ID-Source Systeme
▪ Einsatz von OpenID Connect analog zu den zukünftigen Plänen der TI 2.0
Komponenten des Identity-Managements
7 07.05.2021 CompuGroup Medical
Identity Management
Identity Provider (IDP)
für Krankenhaus
Authentication End Point
ID Source Systeme
Authentisierungs-mittel
SelfServices
Self-Service
▪ Ermöglicht weitgehend eigenständige Verwaltung der Authentisierungsmittel durch den Nutzer
▪ Z.B. über SmartCard Enrollment Station
Authentisierungsendpunkt
▪ Übernimmt Authentifizierung
▪ Unterstützt OAuth 2.0 und OIDC
▪ Verwaltet die Authentisierungslösungen
ID Source Systeme
▪ Bindet die bestehenden ID Source Systeme ein
▪ Z.B. Microsoft AD, HR Systeme, …
Authentisierungsmittel
OpenID Connect-Standard als Basis gewährleistet Interoperabilität über Ihr Krankenhaus hinaus
8 07.05.2021 CompuGroup Medical
AnwendungsseiteIdentity Management
schematisch
2. Anwendung sendet AuthentifizierungsanfrageEndpunkt
1. Nutzer möchte Anwendung nutzen
3. Nutzer wird anhandder hinterlegten Auth-Mittel authentifiziert
4. Verifizierte ID wirdbereitgestellt
Anhand der verifizierten ID kann
das Access-management die
Berechtigung kontrollieren
ID Token
Access-Management gewährleistet Schutz der KH-Systeme
9 07.05.2021 Identity- und Accessmanagement
Herausforderungen Lösungsansätze
• Wechselnde Einsatzgebiete und Rahmenbedingungen
• Systeme auf unterschiedlichen technischen Ständen mit unterschiedlichen Schnittstellen
• Mangelnde Übersicht über aktuellen Sicherheitsstatus und sicherheitskritische Aktivitäten
• Attribut-basierte Zugriffkontrolle (ABAC)
• Kombination verschiedener Techniken zur Anbindung der bestehenden Systemlandschaft inkl. SDN
• Ergänzung der Gesamtlösung um Loggingund Monitoring-Komponente
Dynamische Rechte-
verwaltung
Absicherung aller
Systeme
Transparenz und
Kontrolle
Access-Managements realisiert attribut-basierten Zugriff
10 07.05.2021 CompuGroup Medical
Access Management
In CGM Security-Cloud gehostete Control Plane
▪ Cloud-basierte Administration der Zugriffspolicies
▪ Bereitstellung von Best-Practice Vorlagen durch CGM1
Policy Administration Point Policies1
3▪ Entscheidung über Zugriffsrechte on premise
basierend auf konfiguriertem Regelwerk
Policy Decision Point3
4 ▪ Bereitstellung der für die Entscheidung notwendigen Informationen
Policy Information Point
4
▪ Zur Gewährleistung der Offline-Fähigkeit werden aktuelle Informationen on premise gecacht Configuration Cache22
5
Policy Enforcement Points5
▪ Umsetzung der Zugriffsrechte durch den Anwendungen vorgeschaltete Policy EnforcementPoints
Entity attribute
Ressourceattribute
Enviromentalconditions
ID Token
▪ AgentAnwendungen, die zwar grundsätzlich ohne geeigneten PEP werden über separat implementierte Agenten angebunden
▪ Software Defined NetworkAlle übrigen Anwendungen werden über das Netzwerk abgesichert
▪ PEP (integriert in Anwendung)Anwendung mit geeigneten Schnittstellen (insb. OAuth 2.0) werden direkt angesprochen
Durchsetzung der Policies erfolgt abhängig von der Anwendung/dem System
11 07.05.2021 CompuGroup Medical
Access Management
In CGM Security-Cloud gehostete Control Plane
Policy Administration Point Policies
Policy Decision Point
Policy Information Point
Configuration Cache
Policy Enforcement Points
Entity attribute
Ressourceattribute
Enviromentalconditions
Policy Enforcement Points (PEP)
AgentPEP
Software DefinedNetwork
Monitoring und Analyse-Funktionalitäten komplementieren das System
12 07.05.2021 CompuGroup Medical
Access Management
In CGM Security-Cloud gehostete Control Plane
Policy Administration Point
Policy Decision
Point
Policy Information Point
Policy Enforcement Points
Monitoring
Reporting Dashboard &
Alerting
Risk Level Mgmt.
Logging Hub
SIEM / Analytics KI
▪ SIEM/Analytics KI wertet Zugriffe kontinuierlich datenschutzkonform aus
▪ Reporting und Monitoring schafft Transparenz und meldet Auffälligkeiten
▪ Über das Risk Level Management kann das Regelwerk dynamisch anhand des definierten Risikoappetits und des analysierten Nutzungsverhaltens angepasst werden
13 07.05.2021 CompuGroup Medical
Überblick: So sieht das Gesamtkonzept aus
Access Management
In CGM Security-Cloud gehostete Control Plane
KIS
Services mit IDP
WindowsFile
Server(External)
User
External IDP
3rd Party-& Legacy-Services
Durch Krankenhaus gemanaged Durch CGM gemanagedDurch Dritte gemanaged
Policy Information Point
Identity Management
Identity Provider (IDP)
für Krankenhaus
Authentication End Point
Policy DecisionPoint
Entity attribute
Ressourceattribute
Enviromentalconditions
Policy Administration PointPolicies
ID Source Systeme
Authentisierungs-mittel
SelfServices
z.B. SmartCardEnrollment Station
Configuration Cache
Inklusive
SDN Controller
Infrastructure Controller
Monitoring
Reporting Dashboard &
Alerting
Risk Level Mgmt.
Logging Hub
SIEM / Analytics KI
Policy Enforcement
PointsAgent
PEP 2
PEP 1
Gate-
way
Software DefinedNetwork (SDN)
(Internal)User
& Devices
Einführen von smartem
Monitoring & ReportingAusrollen des
Single-Sign-OnSegmentierung
des Netzwerks
Einführung wird in mehreren Schritten vorgeschlagen
14 07.05.2021 CompuGroup Medical
Etablieren eines
Passwortloser Login
Wir freuen uns auf Sie!
CGM SE & Co. KGaAMaria Trost 2156070 Koblenz
+49 (0) 261 8000-0 [email protected] www.cgm.com