Access Control List (ACL)

Security & Compliance intermediate

Eine Access Control List (ACL) ist ein Regelwerk an einer Ressource, das festlegt, welche Subjekte welche Aktionen auf dieser Ressource ausführen dürfen.

Kurzfassung

Eine Access Control List (ACL) ist eine geordnete Regelmenge an einer Ressource. Sie legt fest, welche Subjekte (Nutzer, Gruppen, Quelladressen, Dienste) welche Aktionen auf dieser Ressource ausführen dürfen.

Was ist eine ACL?

ACLs tauchen in vielen Schichten eines Systems auf. Dateisysteme hängen ACLs an Dateien und Verzeichnisse und vergeben Lese-, Schreib- und Ausführungsrechte pro Nutzer oder Gruppe. Netzwerkgeräte nutzen ACLs als Paketfilter, die Datenverkehr anhand von Adressen, Ports und Protokollen erlauben oder blockieren. Cloud-Plattformen setzen ACLs an Buckets, Queues und APIs. Moderne Mesh-VPNs und Zero-Trust-Gateways formulieren ihre Verbindungs-Policy als identitätsbasierte ACLs.

Ein typischer ACL-Eintrag verbindet ein Subjekt, ein Ressourcenmuster, eine Aktion und einen Effekt (Allow oder Deny). Viele Implementierungen werten die Liste von oben nach unten aus und wenden die erste passende Regel an. Reihenfolge zählt also – ein falsch platziertes Allow kann ein engeres Deny still überschreiben. Moderne Stacks setzen explizite Deny-by-Default-Semantik, um diese Fehlerklasse zu vermeiden.

In einem Zero-Trust-Setup ist die ACL identitätsbewusst: Regeln sprechen über Nutzerattribute und Tags statt über IP-Adressen. Der Policy-Editor von NetBird formuliert etwa „Nutzer der Gruppe developers dürfen Maschinen mit Tag dev erreichen" – eine ACL, deren Subjekte IdP-Identitäten und deren Objekte Geräte-Tags sind.

Warum ist eine ACL relevant?

  • Least Privilege: Erzwingt explizite Entscheidungen, wer was darf
  • Auditierbarkeit: Prüf- und exportierbare Regeln unterstützen Compliance und Audits
  • Universelles Muster: Dasselbe Modell in Dateisystemen, Netzwerken, Cloud und Zero Trust
  • Grundlage von Segmentierung: Baustein für Mikrosegmentierung und Zero-Trust-Policy

Verwandte Begriffe

  • Zero Trust: Sicherheitsmodell, das Policies meist als identitätsbasierte ACLs ausdrückt
  • Firewall: Klassisches Gerät, dessen Paketregeln Netzwerk-ACLs sind
  • Identity Provider: Quelle der Subjekte, auf die identitätsbasierte ACLs verweisen
  • Mesh VPN: Verbindungen werden durch ACLs über Nutzer, Gruppen und Tags gesteuert

Ähnliche Lösungen

Für Security & SOC Teams

Security-Teams schützen Organisationen nicht, weil sie Berichte erstellen. Sie schützen Organisationen, weil Schwachstellen kontinuierlich gemanagt werden. Wir arbeiten mit Security- und SOC-Teams zusammen, um Prozesse zu stärken, Risiken proaktiv anzugehen und Compliance-Anforderungen zu erfüllen. Wir konzentrieren uns auf umsetzbare Praktiken, nicht auf Theorie.

Mehr entdecken

Für Cloud & Infrastructure Teams

Cloud- und Infrastructure-Teams liefern keinen Wert, weil sie Server betreiben. Sie liefern Wert, weil Systeme zuverlässig, skalierbar und sicher sind. Wir arbeiten mit Cloud- und Infrastructure-Teams zusammen, um Umgebungen zu entwerfen, die Geschäftsanforderungen erfüllen und gleichzeitig schnelle Bereitstellung ermöglichen. Unser Ansatz betont praktische Automatisierung, operative Effizienz und Resilienz.

Mehr entdecken

Verwandte Begriffe

Zero Trust

Zero Trust ist ein Sicherheitsmodell, das Zugriff auf Basis fortlaufend geprüfter Identität und Policy gewährt – niemals aufgrund von Netzwerklage oder Perimeter.

Mehr entdecken

Firewall

Eine Firewall ist ein Netzwerksicherheitssystem, das ein- und ausgehenden Datenverkehr anhand vordefinierter Regeln überwacht und kontrolliert.

Mehr entdecken

Identity Provider (IdP)

Ein Identity Provider (IdP) ist der vertrauenswürdige Dienst, der Nutzer authentifiziert und Tokens oder Assertions ausgibt, mit denen Anwendungen Zugriffe gewähren.

Mehr entdecken

Mesh-VPN

Ein Mesh-VPN ist eine VPN-Topologie, bei der jeder autorisierte Client direkte, verschlüsselte Peer-to-Peer-Verbindungen zu jedem anderen Client aufbaut. Nur Identität und Policy bleiben zentral.

Mehr entdecken

Wir sind für Sie da

Sie interessieren sich für unsere Trainings oder haben einfach eine Frage, die beantwortet werden muss? Sie können uns jederzeit kontaktieren! Wir werden unser Bestes tun, um alle Ihre Fragen zu beantworten.

Hier kontaktieren