Enterprise Wide Integration Security

Von lokal zu global

Der SOA-Ansatz ist vielversprechend für die Integration, aber in Bezug auf Sicherheit und Compliance mit Fallstricken versehen, vor allem wenn der Scope auf global erweitert wird. Schon eine einfache Compliance-Anforderung wie sie z. B. in einigen Ländern für die Finanzbranche existiert, führt zu speziellen Anforderungen in der Datenkommunikation und der Systemadministration – und somit zu Integrationsproblemen. In einer globalen Organisation hat man es dabei mit einer Reihe von „schwierigen“ Jurisdiktionen zu tun – mit jeweils unterschiedlichsten Anforderungen und realisierten IT-Lösungen. Es ist offensichtlich, dass ein naiver „One size fits all“-Ansatz mit nur einer globalen Standardarchitektur nicht zum Ziel führt und ein föderativ dezentraler Ansatz kaum zu managen ist, weil die Zentrifugalkräfte in der Organisation schlicht zu groß werden können.

Zusätzliche Komplexität wegen der Sicherheit

Die Komplexität in der Datenkommunikation einer globalen IT überträgt sich auch auf die Sicherheitsarchitektur. Üblicherweise existieren in der Organisation bereits Standards in Bezug auf Authentisierungsqualität, Autorisierungstiefe und Verschlüsselung im Rahmen einer generischen Sicherheitsarchitektur. Jede Technologie funktioniert jedoch anders und arbeitet in ihrem eigenen Implementierungskontext.

Angenommen, es gibt in einer Firma x-tausend Applikationen auf unterschiedlichsten Technologieplattformen. Der File-Transfer geschieht mit Remote Copy, FTP, FTPs, SFTP oder sonst einem File Broker. Messages werden asynchron über diverse Message Middleware geschickt. Synchrone Services erfolgen über Web Services oder Corba, weiterhin werden Batch-Prozesse und Workflow-Tools verwendet, um Prozesse und Daten zu orchestrieren. Diese Technologien werden möglicherweise innerhalb der Subdepartmente in der Organisation verschieden verwendet, wodurch weitere Variationen und somit Sicherheitsintegrationsaufwände entstehen können. Außerdem existieren unterschiedliche Umgebungen mit unterschiedlichen Sicherheitsstufen und Kommunikationsregeln, in die diese Applikationen platziert werden. Die Kommunikation von Applikation A nach Applikation B erfolgt im besten Falle als direkter Pfad innerhalb derselben Umgebung zwischen maximal zwei Komponenten und ist transparent und sicher. Im schlechtesten Fall erfolgt die Kommunikation über diverse Umwege, also über Zwischenknoten anderer Komponenten in anderen Jurisdiktionen in unterschiedlich gesicherten Umgebungen. Sie setzt sich dann intransparent aus Teilpfaden mit unterschiedlichsten Sicherheitsmechanismen zusammen. Ein konsistentes Sicherheitsniveau über alle Kommunikationsvarianten und Teilpfade über alle Technologien und Umgebungen ist mit einem reinen Technologieansatz kaum möglich.

Die Verwendung des SOA-Paradigmas bietet zwar einen guten Ansatzpunkt, um von der Einzelbetrachtung wegzukommen. Leider genügt das nicht, wenn der Ansatz selbst die Technologie in den Vordergrund rückt. Sogar bei der Verwendung von Industriestandards, die speziell die Interoperabilität über Message-basierte End-to-End-Sicherheit ermöglichen sollen, ist man hoher Komplexität ausgesetzt. Prominente Beispiele sind im Web-Services-Umfeld gut bekannt. Eine unspezifische Unterstützung von z. B. SAML, XML-Sign oder WS-Security ist kaum zielführend, wenn nicht klar definiert wird, was in einer SAML Assertion stehen soll oder wie konkret signiert wird bzw. für welche Szenarien. Genauso wenig hilft eine isolierte Anwendung dieser Integrationstechnologien auf wenige Systeme, während die restliche Kommunikation weiterhin ungeordnet erfolgt. In der heterogenen IT großer Organisationen kann jede Variation von End-to-End-Message-Layer-Sicherheit mit Punkt-zu-Punkt-Sicherheit auf der Transportebene kombiniert sein, mit unterschiedlichsten Inhalten, Formaten, Security Patterns und Trustmodellen. Je größer diese Komplexität, desto größer ist das Interesse der Integrations- und Sicherheitsarchitektur, eine Systematik in Bezug auf die globale Kommunikation zu entwickeln. Bei einer unreflektierten Technologiesicht bzw. einer Inselperspektive müsste man ansonsten viel Zeit für die Erarbeitung isolierter Sicherheitskonzepte für einzelne IT-Lösungen aufwenden. Es besteht somit eine Abhängigkeit zwischen IT-Komplexität und dem Architektur- und Prüfaufwand. Folgende Faktoren bzgl. Sicherheit können die Komplexität beeinflussen:

  • Unterschiedliche lokale Compliance-Anforderungen, die normalerweise vom Business in die IT hineingetragen werden.
  • Anzahl der lokalen Infrastrukturen für Identity Management, Authentisierung und Autorisierung.
  • Anzahl unterschiedlicher IT-Umgebungen mit unterschiedlichem Trustlevel und Kontrollpunkten für die Durchsetzung lokaler Policies.
  • Wie föderativ bzw. zentralistisch ist die IT in der Organisation aufgestellt, bzw. wie föderativ bzw. zentralistisch werden die Infrastrukturen und ihre Betriebskonzepte betrieben?
  • Wie viele Technologien sollen länderübergreifend kommunizierend eingesetzt werden? Wie viele Protokolle sollen mit zusätzlicher Sicherheit und Kontrollpunkten angereichert werden?
  • Welche Trustkonzepte stecken in den vorhandenen Infrastrukturen, Technologien und ihren Protokollen? Wo befinden sich ihre Trustgrenzen und ihre Kontrollpunkte? Wie abgestimmt sind sie aufeinander?

Der Aufwand lässt sich durch einen interdisziplinären Ansatz reduzieren, indem die Gemeinsamkeit aller Kommunikationen herausgearbeitet wird. Außerdem wird dadurch die Konsistenz des Sicherheitsniveaus über die ganze globale IT-Landschaft gefördert.

Lösungsräume für komplexe globale IT-Architekturen

Das Thema Komplexität ist schwierig zu handhaben, weshalb sich systemische holistische Ansätze empfehlen. Die Gefahr bei solchen interdisziplinären Ansätzen ist jedoch, dass man lange auf der theoretischen Ebene im Elfenbeinturm diskutieren kann, ohne je konkret zu werden. Es wird eine konkrete Architektur benötigt, unter der sich Enterprise- und Solution-Architekten, Entwickler, Systemingenieure und IT-Manager etwas vorstellen können. Hier liegt allerdings eine weitere Gefahr: eine schnelle Lösung zu forcieren, die in einem komplexen System mit vielen Dimensionen und Parametern destruktiv strukturierend wirkt. Es wäre aber falsch zu behaupten, es gäbe nur einen einzigen korrekten Ansatz. Eine solche Einstellung verursacht bloß heftige ideologische Grabenkämpfe. Es wäre schade, wenn dabei der Blick auf die Perspektiven anderer Modelle verstellt würde. Es existieren große Lösungsräume mit unterschiedlichsten Ansätzen. Manche sind erst zu entdecken, wenn man sich gedanklich von semantischen Spitzfindigkeiten löst und einen Schritt zurück macht. Die Bedingung dabei ist, dass Lösungen in sich stimmig sein müssen. Es müssen jene gefunden werden, die global im Kontext der Organisation funktionieren können. Ein wichtiger Startpunkt ist dabei, herauszufinden, welches die wichtigen Stellschrauben und Leitplanken im Gesamtsystem sind, damit die potenziell negativen Auswirkungen der globalen Konnektivität beherrschbar werden. Eigentlich fehlt in der Informatik ein geeignetes Enterprise-IT- Modell, das die Komplexität globaler IT-Landschaften mit der rekursiven Komplexität globaler Organisationen in Einklang bringt.

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.