Functioneel

Functioneel #

Voor een goed werkende FTV-oplossing zijn afspraken nodig over beheer en uitvoering (runtime). Wat komt er kijken bij het toepassen en beheren van toegangsregels?

1. Tijdens gebruik (runtime) #

Zodra toegang wordt gevraagd, voert de software automatisch taken uit om de regels voor verwerking toe te passen.

  • Beslissingen afdwingen. Zorgen dat genomen beslissingen ook gegarandeerd nageleefd worden.
  • Beslissingen nemen. Uitrekenen of het verzoek gehonoreerd, voorwaardelijk gehonoreerd of afgewezen moet worden. Dit gebeurt op basis van informatie (over subject, action, resource en context) en de beschikbare regels.
  • Beslissingen loggen. Vastleggen welke beslissingen zijn genomen, met de juiste hoeveelheid informatie om later verantwoording af te leggen en de juistheid van beslissingen te controleren.

Deze functies draaien bij elk verwerkingsverzoek. Daarom moeten ze snel afgehandeld kunnen worden.

Functioneel

2. Beheer #

De beheersfuncties zijn voor het opstellen en onderhouden van regels.

Beveiliging #

Het beheer van toegangsregels vraagt om goede beveiliging. Een gedeeld of apart IAM-systeem regelt de toegang voor beheerders, met rollen, rechten en policies.

Regels opstellen #

Regels kunnen worden gemaakt, aangepast of verwijderd. Dat kan met een uitgebreide editor die is afgestemd op de policytaal of met een eenvoudige oplossing die alleen bestanden aanneemt.

Versiebeheer #

Door de historie van regels op te slaan, is het mogelijk achteraf te zien welke regels wanneer golden. Ook kunnen wijzigingen teruggedraaid worden.

Testen #

Opstellen van regels is in alle talen best lastig. Bovendien is het overzien van de gevolgen van aanpassingen op de hele set regels handmatig meestal niet te doen. Daarom is het nodig een testfaciliteit te hebben, waar een regelset tegen een dataset gehouden kan worden en duidelijk gemaakt wordt wat de gevolgen van wijzigingen zullen zijn op beslissingen. Het opstellen van regels in elke taal is complex. Het is bovendien lastig om handmatig te overzien wat de gevolgen van een wijziging zijn voor de hele set. Daarom is een testfaciliteit nodig. Daarmee kan een regelset worden getest tegen een dataset, zodat zichtbaar wordt welke invloed wijzigingen hebben op beslissingen.

Workflow #

Goed beheer vraagt om samenwerking. Verschillende mensen moeten een rol kunnen vervullen, zoals het schrijven, testen en goedkeuren van regels.

Distributie #

Vaak beheert een centraal team de regels, terwijl de uitvoering ervan decentraal en geautomatiseerd plaatsvindt. Een goed distributiemechanisme zorgt ervoor dat elk systeem precies de juiste versie ontvangt.

Monitoring #

Goed beheer begint met inzicht in hoe de toegang in de praktijk functioneert. Denk aan de beschikbaarheid van runtime-omgevingen en aan statistieken over het aantal aanvragen en beslissingen. Zo kan gemonitord of er bijvoorbeeld onverwacht veel aanvragen of afwijzingen zijn. Dat kan wijzen op pogingen tot ongeoorloofde toegang.

Verantwoording #

Bij een vermoeden van fraude of tijdens een audit, moet het systeem inzicht geven in alle relevante informatie over een of meerdere toegangsbeslissingen.