IBM i Solutions
Lösungen für die IBM i-Zugangskontrolle
Die IBM i-Zugangskontrolle erfordert eine hohe Passwortsicherheit, eine sorgfältige Verwaltung erweiterter Rechte und eine gründliche Analyse aller Systemzugriffsversuche, um die Einhaltung gesetzlicher Vorschriften zu gewährleisten und Ihre Daten zu schützen.
Kontrolle von System- und Datenzugriff
Ob Finanztransaktionsdaten, Gesundheitsakten oder andere personenbezogene Informationen für Kunden, Partner und Mitarbeiter: die für Ihren Geschäftsbetrieb erforderlichen Daten befinden sich auf IBM i-Systemen.
Viele dieser Daten unterliegen gesetzlichen Vorschriften wie SOX, PCI DSS, HIPAA und DSGVO. Jede Datenschutzverletzung kann deshalb zu Geldstrafen, Gewinnverlust, Wiederherstellungskosten, Gerichtskosten, Produktivitätseinbußen, Rufschädigung und mehr führen.
Für einen umfassenden Datenschutz und die Einhaltung von Vorschriften benötigen Sie sich überlagernde Sicherheitsschichten, um Bedrohungen erkennen und darauf reagieren zu können und die sich stetig weiterentwickelnden Anforderungen zu erfüllen.
Darüber hinaus sind zur Überwachung von Systemevents und zur Verschlüsselung von Daten Tools erforderlich, die den Zugang zu Ihrem IBM i-System und den dort gespeicherten Daten kontrollieren.
Mit Zugangskontrolllösungen können Sie drei wichtige Aspekte abdecken:
- wer sich bei Ihrem IBM i anmelden kann,
- wozu diese Personen berechtigt sind,
- welche Befehle sie ausführen und auf welche Daten sie zugreifen dürfen.
Da Hacking-Techniken immer ausgefeilter und Kosten und Konsequenzen von Datenschutzverletzungen immer umfangreicher werden, reichen einfache Passwortrichtlinien nicht mehr aus, um IBM i-Systeme zu schützen. Eine Multi-Faktor-Authentifizierung (MFA) verstärkt die Anmeldesicherheit, indem sie von Anwendern zusätzlich zu ihrem Passwort eine weitere Identifizierung verlangt. Heute wird MFA von mehreren Compliance-Richtlinien vorgeschrieben und es ist davon auszugehen, dass sie in Zukunft noch stärker eingesetzt wird.
Bei der Multi-Faktor-Authentifizierung muss der Anwender seine Identität anhand von zwei (oder mehr) Authentifizierungsnachweisen bestätigen. Diese Authentifizierungsfaktoren können etwas sein, das der Anwender weiß (z. B. ein Kennwort oder eine PIN), das er besitzt (z. B. ein Authentifizierungstoken oder Mobilgerät) oder das eine biometrische Eigenschaft von ihm ist (z. B. ein Fingerabdruck oder Irisscan).
Als Authentifizierungsfaktor wird oft ein einmaliges Passwort verwendet, das von einem Hardware-Token oder Softwareprogramm ausgegeben wird. Einmalige Passwörter können von einer Vielzahl an Authentifizierungsdiensten vergebenen werden. Ihre IBM i-MFA-Lösung sollte sich in vorhandene Lösungen integrieren lassen, die Token für andere Plattformen bereitstellen, wie RSA SecurID oder andere RADIUS-kompatible Authentifizierungsprogramme, wie Duo oder Microsoft Azure Authenticator. Sie können sich auch für eine MFA-Lösung entscheiden, die Token direkt auf dem IBM i-System generiert, ohne auf Software anderer Plattformen angewiesen zu sein.
Eine anspruchsvolle IBM i-MFA-Lösung sollte auch die Flexibilität bieten, je nach Kontext und dem authentifizierenden Benutzer auf verschiedenen Wegen aufrufbar sein. Zum Beispiel sollten Sie mit Ihrer MFA-Lösung Szenarien, Anwender oder Anwendergruppen konfigurieren können, die MFA erfordern. MFA sollte auch über den Anmeldebildschirm aufgerufen oder in andere Workflows integriert werden können.
Und schließlich sollten IBM i-MFA-Lösungen alle fehlgeschlagenen Authentifizierungen protokollieren, Konten nach mehreren Fehlversuchen sperren und optional Administratoren über potenzielle Sicherheitsbedrohungen alarmieren.
Zu viele Benutzerprofile mit erweiterten Rechten auf einem IBM i-System können das System und seine Daten anfällig für Sicherheitslücken und andere Formen von Cyberkriminalität machen. Vorschriften wie SOX, HIPAA, der Federal and North American Information Practice Act und die DSGVO verlangen von IT-Abteilungen, die Vergabe von erweiterten Rechten einzuschränken und Anwender, die über solche Rechte verfügen, streng zu kontrollieren.
Auf IBM i-Systemen sind zur Vergabe von Benutzerrechten spezielle Berechtigungen erforderlich. Sie erlauben es Anwendern, Benutzerprofile zu erstellen, zu ändern oder zu löschen, Systemkonfigurationen zu ändern, den Benutzerzugriff zu ändern oder einzuschränken und mehr. Sonderberechtigungen wie *ALLOBJ und *SECADM sind berüchtigt dafür, verheerende Schäden anzurichten, da sie einen uneingeschränkten Zugriff auf alle Daten im System ermöglichen.
Compliance-Auditoren empfehlen, Anwendern nur das für ihre Arbeit benötigte Minimum an Rechten zu erteilen. Werden spezielle Rechte benötigt, sollten diese nur für den jeweiligen Bedarf und für befristete Zeit vergeben werden. Und solange Anwender über erweiterte Rechte verfügen, sollte ein Prüfprotokoll über ihre Aktionen geführt werden.
Berechtigungen manuell zu vergeben und nach einer bestimmten Zeit zu widerrufen, ist sehr fehleranfällig. Folglich bleiben Benutzerprofile mit erweiterten Rechten oft unkontrolliert. Mit einem leistungsstarken Verwaltungstool für Berechtigungen lässt sich der Prozess der temporären, bedarfsgerechten Vergabe erweiterter Rechte, die Protokollierung aller Aktionen von privilegierten Anwendern und der Widerruf von Rechten nach Ablauf des festgelegten Zeitraums automatisieren. Die Integration mit Ihrer Helpdesk-Lösung ermöglicht eine durchgängige Verwaltung von Berechtigungsanfragen.
Durch die Automatisierung der Verwaltung erweiterter Rechte und die Generierung von Warnungen, Berichten und Prüfpfaden für Aktivitäten, die von privilegierten Anwendern ausgeführt werden, können Sie Risiken in Verbindung mit erweiterten Rechten reduzieren, Compliance nachweisen und die Trennung von Rechten im Rahmen der Best Practices für Sicherheit durchsetzen.
Ob über das Netzwerk, einen Kommunikationsport, ein Open-Source-Datenbankprotokoll oder eine Befehlszeile – Eindringliche suchen nach allen erdenklichen Wegen, sich Zugang zu Ihren Systemen und Daten zu verschaffen. Aber potenzielle Zugangspunkte werden immer zahlreicher. Gleichzeitig verlangen Vorschriften wie SOX, HIPAA oder die DSGVO Maßnahmen zur Überprüfung aller Formen von Datenzugriffen.
Zum Glück ermöglicht IBM für IBM i-Systeme die Ausführung von benutzergeschriebenen Programmen für eine Vielzahl von betriebssystemrelevanten Vorgängen. Die Punkte, an denen die Programme verknüpft werden können, werden „Exitpunkte“, die Programme selbst „Exitprogramme“ genannt. Exitprogramme bieten eine leistungsstarke Möglichkeit für die Zugangskontrolle. Durch die Verknüpfung mit verschiedenen betriebssystembezogenen Vorgängen können Sie Zugangsversuche prüfen und auf der Grundlage der Anwenderidentität und des Anfragekontexts zulassen oder ablehnen.
Zum Beispiel kann ein Exitprogramm alle FTP-Aktivitäten überwachen und protokollieren und bestimmten Anwendern eine Dateiübertragung auf der Grundlage von Parametern wie Profileinstellungen, IP-Adresse, Objektberechtigung, Uhrzeit/Datum und mehr erlauben oder verweigern.
Lesen Sie die komplette Fallstudie.
Angesichts der Vielzahl moderner Methoden für den Zugriff auf IBM i-Daten und der zur Erstellung und Verwaltung von Exitprogrammen erforderlichen Fachkenntnis, werden zum Schutz der Eintrittspunkte in Ihr IBM i-System Lösungen von Drittanbietern gebraucht. Eine leistungsstarke Drittanbieterlösung muss kontinuierlich erweitert und verbessert werden, um neuen Exitpunkten und Zugangsmethoden zu entsprechen.
Exitprogramme können mit einer granularen, regelbasierten Logik geschrieben werden, die den Zugang unter bestimmten Umständen kontrolliert und so einen detaillierten, kontextbezogenen Sicherheitsansatz bietet.
Zusätzlich zur Zugangskontrolle müssen Exitprogramme alle Zugangsversuche protokollieren, Berichte erstellen und Alarme generieren. Das verschafft Sicherheitsbeauftragen einen umfassenden Einblick in Systemzugriffsversuche, erzwingt die Trennung von Rechten und liefert die von Auditoren verlangten Compliance-Informationen.
Toyota Material Handling Australia
Toyota Material Handling Australia (TMHA) musste ein effektives internes Kontrollsystem einrichten, um die Zuverlässigkeit seiner finanziellen Berichterstattung gemäß des Finanzinstrumente- und Börsengesetzes (des sogenannten japanischen Sarbanes-Oxley Act bzw. J-SOX) sicherzustellen. Nach einer Wachstumsphase musste TMHA strengere Audit- und Governance-Anforderungen erfüllen.
Eine der Herausforderungen bestand darin, externen Unternehmen in regelmäßigen Abständen Zugang zu seiner Infor M3-Anwendung zu ermöglichen. Mit Assure Elevated Authority Manager von Precisely kann TMHA den Unternehmen für einen befristeten Zeitraum den erforderlichen Zugang gewähren. Nach Ablauf des Zeitraums wird der Zugang automatisch widerrufen, kann aber bei Bedarf problemlos erweitert, angepasst oder erneuert werden.
Lesen Sie die komplette Fallstudie.
Immer sicher und geschützt
Cybersicherheitsanforderungen von Compliance-Vorschriften sind meistens so formuliert, dass sie Unternehmen quasi zwingen, Technologien und Prozesse einzuführen, die nicht autorisierte Personen vom System fernhalten und gleichzeitig eine strenge Kontrolle ermöglichen, was autorisierte, angemeldete Personen tun dürfen. Die Sicherheit und Compliance Ihrer IBM i-Systeme zu gewährleisten, ist komplex und erfordert einen vielschichtigen Ansatz. Sie müssen die Anmeldesicherheit verschärfen, Benutzerrechte innerhalb des Systems verwalten und die Benutzerzugriffe auf Daten, Systemeinstellungen und Befehlszeilenoptionen einschränken.
Die Implementierung der IBM i-Multi-Faktor-Authentifizierung, Verwaltung erweiterter Rechte und Systemzugriffskontrolle ist ein wichtiger Schritt, um die Compliance Ihres Unternehmen sicherzustellen und es vor Datenschutzverletzungen und Cyberkriminalität zu schützen.
Es darf jedoch nicht vergessen werden, dass die Einhaltung von Vorschriften keine Garantie für absolute Sicherheit ist, da Vorschriften nicht alle für einen vollständigen Schutz erforderlichen Sicherheitsebenen abdecken. Um die Gefahr von Sicherheitsverletzungen zu minimieren, ist ein umfassendes Verständnis aller potenziellen Schwachstellen erforderlich.
Lesen Sie Grundlegende Schichten der IBM i-Sicherheit . Dieser Leitfaden führt Sie anhand von Best Practices und Technologien durch sechs Sicherheitsebenen zum Schutz Ihrer IBM i-Systeme.