Obligatorische Zugangskontrolle für's Cloud Computing

Ein modernes Linux System ist sehr sicher, es verfügt über eingebauten Schutz vor Virenangriffen und andere wesentliche Sicherheitsfunktionen. In der heutigen Welt des Fernzugriffs und des internationalen E-Commerce steht jedoch viel auf dem Spiel - einige CIOs und Netzwerkmanager hätten ihre Linux-Systeme gerne noch sicherer. Eine Möglichkeit dafür wäre das Einführen einer obligatorischen Zugriffskontrolle (Mandatory Access Control; MAC).

Die obligatorische Zugangskontrolle ist ein Konzept, das aus den mehrstufigen Sicherheitssystemen für militärische Geheimnisse und ähnlich privilegierte Informationen hervorgegangen ist. Um MAC zu verstehen, sollte man sich den Unterschied zu den konventionellen Unix-basierten DAC Systemen (Discretionary Access Control) von Linux Standard Umgebungen vor Augen führen.  

Ein traditionelles Linux System weist einer Ressource Lese-, Schreib- und Ausführungsrechte zu und ermöglicht es dem Eigentümer oder Administrator, Benutzern und Gruppen Zugriff zu gewähren. Ein Superuser (oft als "root"-Benutzer bezeichnet) hat die vollständige Kontrolle über das System und kann auf jede beliebige Ressource zugreifen oder Zugriff darauf gewähren. Wenn sich alle benehmen und niemand einen Fehler macht, ist das System flexibel, leicht verständlich und sehr sicher. Was aber, wenn der Besitzer einer Ressource versehentlich jemandem Zugriff gewährt, der ihn nicht haben sollte? Oder, was vielleicht noch wichtiger ist: Was, wenn das Benutzerkonto kompromittiert wird und ein Eindringling die in das DAC System eingebaute Flexibilität ausnutzt, um Privilegien zu eskalieren?

Der allmächtige "root"-Account ist ein weiteres Merkmal, das mit den granularen Sicherheitsprinzipien von hochsicheren Organisationen nicht vereinbar ist. Hochsichere Umgebungen neigen dazu, den Systemadministratoren Rollen auf der Grundlage präziser Verantwortlichkeiten zuzuweisen. Mit der obligatorischen Zugriffskontrolle können Sie Richtlinien erstellen, die den Benutzern die erforderlichen Privilegien einräumen, Änderungen und die Eskalation von Privilegien aber verhindern. Alles in der IT ist mit Kosten verbunden. Bevor Sie also ein System für die obligatorische Zugriffskontrolle einführen, sollten Sie sicherstellen, dass es Ihren Anforderungen entspricht. Der Verlust an Flexibilität kann zusätzliche Kosten und Komplikationen für Geschäftsprozesse erzeugen und so manchen administrativen Eingriffe nötig machen.

Die beiden beliebtesten Tools für die obligatorische Zugriffskontrolle unter Linux sind SELinux und AppArmor. Red Hat-basierte Distributionen wie CentOS 7 und CentOS 8 sind für SELinux vorkonfiguriert. Ubuntu und openSUSE verwenden AppArmor; Entwickler können AppArmor jedoch jederzeit deinstallieren und SELinux einrichten, wenn Sie daran gewöhnt sind oder es als besser für Ihre Umgebung ansehen. AppArmor und SELinux haben beide die Form von Linux Kernelmodulen und können so konfiguriert werden, dass sie auf den meisten großen Linux Systemen laufen, obwohl der Grad der technischen Unterstützung unterschiedlich ist.

Im Allgemeinen ist AppArmor einfacher zu konfigurieren und zu bedienen; obwohl AppArmor sehr sicher ist - und wesentlich sicherer als der Betrieb ohne ein obligatorisches Zugriffskontroll-Framework - bietet SELinux ein tieferes und vielseitigeres Schutzniveau. AppArmor ist für den Schutz von Dateien und anderen Ressourcen konzipiert; es bietet jedoch keinen gleichwertigen Schutz für Prozesse. Da AppArmor Ressourcen über Pfade referenziert, könnte ein Eindringling, der sich bereits auf dem System befindet, theoretisch einige Tricks mit Hardlinks anwenden, die mit dem Inode-basierten SELinux nicht möglich wären.

SELinux wurde ursprünglich auf der Grundlage von Forschungen der US-amerikanischen National Security Agency (NSA) entwickelt. Es bietet einen wasserdichteren Ansatz für die Zugangskontrolle. Da es jedoch schwieriger zu konfigurieren und zu betreiben ist, ist mit zusätzlicher Konfigurationszeit und eine längere Lernkurve für das IT-Personal zu rechnen.

Die Vorteile eines MAC sind gemeinhin vielfältig und können den Weg für einen Security First Ansatz ebnen, der sich durch die gesamte Unternehmensstruktur zieht.