Lösung im Überblick

Lösung im Ueberblick

Die Kernapplikation für den Data Access Control liegt zwischen der Applikation und der Datenbank. Sie bleibt jedoch Teil der Applikation, ist aber von ihr über standardisierte Schnittstellen transparent gekapselt. Sicherheitsaspekte und eigentliche Geschäftsfunktionen werden vollständig getrennt.


Der Control Kernel greift in Echtzeit in den Ablauf ein und „kontrolliert“ den Zugriff effizient und ohne spürbare Leistungseinbusse des Gesamtsystems. Ueber einen minimal invasiven Integrator wird der gesamte Context (ID, Rolle, Mandant, Lokation usw.) aus der Applikation übernommen . Nicht erlaubte oder eingeschränkte Zugriffe und Operationen werden so direkt verhindert respektive regelkonform angepasst.


Über den Configurator, das so genannte "Studio", werden gegebene Identitäten und Rollen mit den anwendbaren Vorschriften und Vorgaben der Unternehmung auf die einzelnen Datenbank-Tabellen und -Felder vereint. In einmaliger Weise lassen sich Sicherheitsstrategien und Zugriffsvorschriften direkt in die IT umsetzen. Die definierten Regeln (business rules) werden dem Kernel für die Echtzeit-Kontrolle der unterstützten Applikationen zur Verfügung gestellt (Enforcement).


Reporting& Monitoring lassen beliebige Auswertungen über sämtliche Bewegungen zu. Die Rolle und Identität des ausführenden Benutzers ist dabei vollständig transparent - dies im Gegensatz zu den normalerweise zur Verfügung stehenden "technischen Benutz ern". Nichts entgeht dem Control Kernel – entsprechend breit und tief sind die Bestände an Log-Daten und die Auswertungsmöglichkeiten darauf.

 

tl_files/inventage/security/Functional Overview 550.png

 

Die authentisierten Identitäten und Rollen übernehmen wir aus den bestehenden Systemen.

 

Aus der Datenbank extrahieren wir die Struktur der Informationen, die der Applikation und ihren Benutzern insgesamt zur Verfügung steht.

Im Configurator weisen wir dem Benutzer und/oder seiner Rolle die entsprechenden Zugriffsrechte für sämtliche Operationen (create, read, update, delete) zu. Das ist bei Bedarf bis auf Feldebene der einzelnen Tabellen möglich.


Inhaltliche Bedingungen können in der gleichen Granularität eingesetzt werden, was den Kontrollmechanismus potentiell sehr mächtig macht. So darf zum Beispiel ein Sachbearbeiter nur Zahlungen bis maximal CHF 20'000.- freigeben.


Security Spezialisten und Revisoren und weitere Business Users haben über den Configurator Einsicht und bei Bedarf Zugriff auf das Regelwerk, dessen Entstehung und sämtliche Veränderungen darin.


Änderungen der Identitäten/Rollen oder Regeln werden schnell und ohne Code-Anpassungen eingespielt und sind jederzeit nachvollziehbar.


Die detaillierten und umfangreichen Log-Informationen können für eine Vielzahl von Auswertungen, Alerts, BI-Abfragen und DWH-Anwendungen verwendet werden.


Der Configurator auf der „Input Seite“ kann in bestehende Identity & Access Management IAM-Lösungen integriert werden.

Ebenso kann das Monitoring und Reporting an bewährte DWH/BI Lösungen wie z.B. SIEM Suiten (Security Incident& Event Management) übergeben werden.