Berechtigungen und Identitäten in der Cloud

Zu den Kernkomponenten einer Cloud-Computing-Plattform gehört das Identitäts- und Berechtigungsmanagement. Dieses muss nicht nur Anlage und Verwaltbarkeit von Identitäten garantieren, sondern auch die Sicherheit der unterschiedlichen Systeme und Cloud-basierten Anwendungen.
von Andreas Bünseler
Ein modernes Identitäts- und Berechtigungsmanagement-System besteht aus verschiedenen Komponenten, die in der Identity-Management-Plattform zusammengefasst werden. Die tragenden Säulen dieses Systems sind die Authentifizierung, die Autorisierung von Identitäten und die Publizierung von Attributen. Die Sichtbarkeit, der Umfang und die Verwaltung von identitätsbezogenen Informationen, Daten und Berechtigungen erfordert in einem solchem Umfeld ein umfangreiches, flexibles und sicheres Identity und Access Management (IDA).

Aufgrund unterschiedlicher Technologien und Verfahren (Software und Services) innerhalb einer Cloud zur Realisierung der geschäftlichen Anforderungen haben sich für das Cloud-Computing-IDA-System ein neuer Umfang und eine neue Komplexität entwickelt, die sich von klassischen IDA-Systemen unterscheiden. Die Herausforderung für diese IDA-Systeme besteht darin, eine integrativen Implementierung zu realisieren, die dem Konzept des Identity-as-a-Service Rechnung trägt.

Best in Cloud - Die Gewinner
Die COMPUTERWOCHE präsentiert Ihnen die Gewinner des "Best in Cloud"-Awards 2011

Infrastructure as a Service (IaaS)
Der Gewinner des Best in Cloud - Awards 2011 in der Kategorie "Infrastructure as a Service (IaaS)" ist:

BT (Germany) GmbH & Co. oHG
BT bietet in Deutschland seit 1995 Dienstleistungen für Firmenkunden an und hat sich zu einem Anbieter für globale Netzwerk- und IT-Services entwickelt. Ein Schwerpunkt liegt dabei auf international tätigen Unternehmen mit verteilten Standorten, die komplexe Anforderungen an die Netzwerkinfrastruktur haben. <br>Projekt: Virtual Data Centre - Private-Cloud-Projekt mit MPLS-Anbindung im BT Data Centre.

Platform as a Service (PaaS)
Der Gewinner des Best in Cloud - Awards 2011 in der Kategorie "Platform as a Service (PaaS)" ist:

Infopark
Infopark bietet seinen Kunden webbasierte Informationssysteme an. Im Fokus stehen dabei onlinebasierte Content-Management- und CRM-Lösungen. Das Unternehmen ist weltweit tätig, hat aber seinen Vertriebsschwerpunkt im deutschsprachigen Raum. <br>Projekt: Airport Nürnberg auf Wolke 7 – Webauftritt, CMS und WebCRM als Plattform aus der Cloud.

Software as a Service (SaaS) - Public Cloud
Der Gewinner des Best in Cloud - Awards 2011 in der Kategorie "Software as a Service (SaaS) - Public Cloud" ist:

forcont Business Technology GmbH
forcont ist ein auf Enterprise Content Management (ECM) spezialisiertes Softwarehaus mit Hauptsitz in Leipzig. Das Unternehmen bietet standardisierte Anwendungen und skalierbare Projektlösungen zur Steuerung von Geschäftsprozessen an. Diese können von den Kunden wahlweise auch als Software as a Service genutzt werden. <br>Projekt: Elektronische Personalakte als SaaS-Angebot.

Software as a Service (SaaS) - Private Cloud
Der Gewinner des Best in Cloud - Awards 2011 in der Kategorie "Software as a Service (SaaS) - Private Cloud" ist:

Zendesk
Zendesk wurde 2007 in Kopenhagen gegründet. Das Unternehmen bietet eine Cloud-basierte Help Desk Software an. Neben einem Ticket-System können die Kunden auch eine Online-Plattform des Anbieters für eigene Service-Angebote nutzen.

Software as a Service (SaaS) - Hybrid Cloud
Der Gewinner des Best in Cloud - Awards 2011 in der Kategorie "Software as a Service (SaaS) - Hybrid Cloud" ist:

SupplyOn AG
Im Jahr 2000 wurde SupplyOn von international tätigen Automobilzulieferunternehmen mit dem Ziel gegründet, den gesamten Produktentstehungsprozess mithilfe einer Internet-Plattform für Lieferanten zu vereinfachen. Der Hauptsitz des Anbieters ist in Halbergmoos bei München. <br> Projekt: Collaboration-Plattform für die Automobil- und Fertigungsindustrie; hier mit Hybrid-Cloud-Projekt “AirSupply” vertreten, das europäischen Luftfahrtunternehmen ein einheitliches Supplier-Portal zur Verfügung stellt.

Cloud Enabling Software
Der Gewinner des Best in Cloud - Awards 2011 in der Kategorie "Cloud Enabling Software" ist:

Fujitsu
Fujitsu Technology Solutions (FTS) zählt in Europa zu einem der führenden IT-Anbieter. Das Angebotsspektrum reicht von Notebooks und Tablet PCs bis hin zu Mainframes und kompletten IT-Infrastrukturlösungen aus der Cloud. FTS beschäftigt mehr als 10.000 Mitarbeiter und ist Teil der globalen Fujitsu Gruppe. <br>Projekt: Diperia - Digitale Personalakte: Ein Webangebot, gestrickt für Kendox.

Sonderprojekte
Der Gewinner des Best in Cloud - Awards 2011 in der Kategorie "Cloud Special Project" ist:

Ubigrate GmbH
Das Unternehmen Ubigrate ist ein Anbieter für Business Activity Monitoring (BAM) in Produktion und Logistik. Die Lösung Geqoo Boxes unterstützt Firmen beim Umgang mit wiederverwendbaren Behältern. <br> Projekt: Einsatz eines Behältermanagementsystems – SaaS-Lösung für das Verwalten von Behältern, die Pool Packaging vermietet.

Jede Identität kontrollieren

Ein effizientes Cloud Computing setzt ein IDA-System voraus, das administrative Aufgaben zusammenfasst und zusammenhängende Aufgaben administrierbar macht. Ein IDA-System muss in der Cloud die vollständige Kontrolle über jede Identität und jedes System haben. Dabei eingeschlossen sind die Administration von Identitäten natürlicher Personen, Servicekonten, physikalischer oder virtueller Computer und Server sowie Diensten (Identitäten). Diese Anforderungen kann ein herkömmliches IDA-System oft nur teilweise erfüllen. Idealerweise sollte das IDA-System alle relevanten Informationen speichern, auf deren Grundlage der Zugang oder die Verwaltbarkeit von Ressourcen innerhalb der Cloud gemäß den definierten Service Level Agreements (SLA) zu gewähren oder zu verweigern ist.

Do´s und Don´ts bei Cloud Computing
Das sollten Sie beachten, um kein böses Erwachen in der Cloud zu erleben.

Do
Analysieren, welche Sicherheitsgrad die Daten brauchen.

Do
Überlegen, welche Kostenblöcke reduziert werden sollen.

Do
Cloud-Reifegrad der Anwendungen testen.

Do
Mögliche Provider prüfen.

Do
Klären, ob Provider die geforderten Sicherheitsstandarts erfüllen.

Don´t
Angebot unkritisch ausprobieren.

Don´t
Datenschutz und Compliance vernachlässigen.

Don´t
Sich der Illusion hingeben, die eigene IT-Landschaft eins zu eins in der Cloud abbilden zu können.

Das IDA-System hält eine zusammenhängende Lösung für die Verwaltbarkeit des gesamten Lebenszyklus einer Identität und damit verbundenen Informationen, Anforderungen und Berechtigungen bereit. Funktional wird dabei in zwei unterschiedliche Komponenten unterschieden: zum einen die Anlage und Löschung von Identitäten (Provisioning) und zum anderem die Verwaltung von Identitäten (Administration). Die Verwaltbarkeit von Identitäten definiert die Durchführung und Übertragung (Delegation) von administrativen Tätigkeiten und den Zugang zu Self-Service-Komponenten.

Identitäten und Berechtigungen

In einer Cloud stellen die Anlage und Löschung von Identitäten einen Just-In-Time- oder einen On-Demand-Prozess dar. Dabei können Identitäten verteilt angelegt werden, ohne dass alle Informationen einer Identität in den angeschlossenen Systemen oder Anwendungen verfügbar sind. Löschungen von Identitäten sollten sofort und unmittelbar, sofern erforderlich, an alle Systeme und Anwendungen innerhalb der Cloud synchronisiert werden, da jede Verzögerung ein Sicherheitsrisiko beinhalten kann, das zu vermeiden ist. IDA stellt innerhalb der Cloud sicher, dass auch weitere verbundene Identitäten gemäß der Anforderung dysfunktional werden.

Was taugen Cloud-Zertifikate?
Bestehende Sicherheitsstandards wie SAS70 und ISO 27001 können dem Cloud Computing nicht uneingeschränkt gerecht werden, weil sie sich nicht den besonderen Risiken widmen, die sich durch die Cloud-Architektur ergeben. Um Transparenz zu schaffen und Bedenken potenzieller Kunden zu zerstreuen, streben die Cloud-Anbieter vermehrt eine Auditierung durch externe Wirtschaftsprüfungsunternehmen an. Hans Paulini, Architekt und Experte für das Thema Cloud bei Logica in Deutschland hat für uns einige Zertifkate unter die Lupe genommen. Anbei ein Überblick: <br /><br /> <a href="http://www.computerwoche.de/management/cloud-computing/2487626/" target="_blank"> hier geht es zum Beitrag "Was taugen Cloud-Zertifikate?"</a>

Das EuroCloud-Zertifikat
EuroCloud ist ein Zusammenschluss europäischer Cloud-Anbieter. Der deutsche Ableger zertifiziert Unternehmen i nach dem Standard "Euro Cloud SaaS Star Audit". Der etwas sperrige Name beinhaltet eine anspruchsvolle Palette an Prüfungen, die ein Cloud-Anbieter durchlaufen muss. Hierbei wird anhand eines detaillierten Fragenkatalogs die Einhaltung von Sicherheitsrichtlinien bewertet. Das Zertifikat sieht maximal fünf Sterne vor. Wird die Höchstwertung erreicht, kann der Kunde von einem sehr vertrauenswürdigen Cloud-Anbieter ausgehen.

Zertifikat mit Tradition: ISO 27001
Die seit 2005 in der jetzigen Form angebotene Zertifizierung ISO 27001 wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erteilt und ist eines der vertrauenswürdigsten Zertifikate im IT-Sektor. Das Audit besteht aus zwei Phasen: Zuerst wird anhand einer Dokumentenprüfung die grundsätzliche Eignung für die Zertifizierung festgestellt, danach folgt eine detaillierte Analyse der Sicherheitsprozesse. In der zweiten Phase werden Prozesse und sicherheitsrelevante Systeme vor Ort in Augenschein genommen. Diese Zertifizierung ist weltweit als Standard anerkannt und damit quasi auch ein Muss für alle Cloud-Anbieter.

In Europa weniger genutzt: SAS 70 vom AICPA
Die Zertifizierung SAS 70 testiert die Kontrolle über die unternehmenseigenen Steuerungsprozesse nach den Vorgaben des American Institute of Certified Public Accountants (AICPA). Die SAS-70-Zertifizierung kann auf zwei Arten erfolgen. Während die Typ-1-Zertifizierung nur eine Beschreibung der Kontrollmechanismen verlangt, werden bei Typ 2 auch die tatsächliche Umsetzung und die Effizienz der Maßnahmen im Unternehmen kontrolliert. In Europa ist diese Art der Zertifizierung nicht sehr bekannt, jedoch können einige der amerikanischen Cloud-Anbieter diese Zertifizierung nachweisen. Der Nachteil von SAS 70 ist, dass die Zertifizierung weder auf IT-Prozesse noch auf die Cloud-Fragestellung ausgerichtet ist.

Nicht ausreichend: Safe Harbour Agreement
Safe Harbour ist eine Datenschutzvereinbarung zwischen der EU und den Vereinigten Staaten, die es europäischen Unternehmen ermöglicht, personenbezogene Daten legal in die USA zu übermitteln. Europäische Rechtsstandards werden von Unternehmen, die sich nach der Safe-Harbour-Regelung zertifizieren, voll akzeptiert und respektiert. Die zugesicherten Rechte in der Praxis durchzusetzen, ist oft problematisch. Der Düsseldorfer Kreis empfiehlt daher eine zusätzliche Erklärung zwischen den Vertragspartnern. Außerdem sollen deutschen Firmen einige Mindestkriterien überprüfen, bevor sie Daten an Safe-Harbor-zertifizierte US-Firmen abgeben.

Der Patriot Act und der Cybersecurity Act
Der Patriot Act erlaubt amerikanischen Geheimdiensten seit 2002 per Gerichtsbeschluss den Zugriff auf abschließend definierte Datenbestände. Seit dem ist immer wieder der Verdacht zu hören, die amerikanische Regierung könne problemlos auf vertrauliche Inhalte ausländischer Unternehmen zugreifen, die ihre Daten bei amerikanischen Cloud-Anbietern speichern oder verarbeiten lassen. Das geht zwar nicht ohne weiteres, zeigt aber ein gewisses Vertrauensproblem auf. Richtig ist, dass sich aufgrund des Patriot Acts der Zugang zu Cloud-Server und Daten nicht vollständig ausschließen lässt, wenn bestimmte Voraussetzungen erfüllt sind. <br /><br /> <a href="http://www.computerwoche.de/management/cloud-computing/2487626/" target="_blank"> hier geht es zum Beitrag "Was taugen Cloud-Zertifikate?"</a>

Berechtigungen werden innerhalb des IDA durch eine Anzahl von Attributen dargestellt, die Zugänge und Berechtigungen für eine authentifizierte Identität (Authenticated Security Principal) beschreiben. Da Cloud-basierte Anwendungen häufig eine eigene Verwaltung zur Autorisierung beziehungsweise Berechtigung beinhalten, ist hier unter Umständen die Hilfe von allgemeingültigen Autorisierungstechnologien gefragt.

Die Möglichkeit, dass eine natürliche Person innerhalb der Cloud mehrere Identitäten besitzen kann, macht eine übergeordnete Zuordnung dieser Identitäten notwendig. Mithilfe eines Synchronisationsautomats können somit verschiedene Identitäten mithilfe einer eindeutigen ID zusammengeführt und somit die zentrale Administration sichergestellt werden.

Administration von Identitäten

Das zentrale IDA-System ermöglicht es, die Administration der verschiedenen Identitäten für unterschiedliche Anwendungen und Systeme (Service Provider) zusammenzufassen. Benutzer werden anhand von eindeutigen Werten oder Attributinhalten zentral identifiziert und definiert. Synonyme und sekundäre Identitäten (Discrete Identities) sollten dabei unterstützt werden. Um die Privatsphäre des Benutzers zu schützen, werden lediglich die Informationen für die unterschiedlichen Service Provider bereitgestellt, die zwingend erforderlich sind. Fragmentierte Benutzer-Logins für unterschiedliche Anwendungen und Systeme sind zu vermeiden. Authentifizierungsprozesse innerhalb der Cloud sollten für den Benutzer transparent sein.

In einem klassischem IDA-Modell werden beständige Beziehungen zwischen einer Identität und einer Organisation abgebildet. Innerhalb der Cloud können sich diese Beziehungen schnell und dynamisch ändern. Diese Veränderungen müssen durch das IDA-System abgebildet werden können. Herausforderungen wie die Publizierung von neuen Passwörtern oder Anmeldeinformationen bei den unterschiedlichen Service Providern stellen neue Anforderungen an das IDA-System.

Bedingt durch den Grundgedanken des Cloud Computings sollte ein IDA-System eine hohe Skalierbarkeit in der Qualität und Quantität der Verarbeitung von Identitätsinformationen haben. Single-Sign-On (SSO)-Verfahren erfordern eine schnelle und dynamische Verteilung von Informationen. Die unterschiedlichen Anforderungen an und von Ressourcen können die Verarbeitungsdichte innerhalb des IDA-Systems deutlich erhöhen.

Mythen, Vorurteile, Halbwahrheiten
Cloud Computing ist zum Massenthema geworden. Kein Wunder, dass jede Menge Mythen, Halbwahrheiten und dreiste Lügen im Umlauf sind.

Lüge 1: Cloud Computing ist unsicher
Ganz gleich, ob die Analysen von Gartner, IDC, Saugatuck oder der Experton Group stammen: Sicherheitsbedenken gehören noch immer zu den größten Hemmnissen für eine breitere Akzeptanz von Cloud-Diensten in Unternehmen. Geschürt werden die oft diffusen Ängste potenzieller Nutzer auch durch ganz reale Ereignisse.

Lüge 2: Cloud Computing ist einfach
Wer eine Cloud-Infrastruktur aufbauen oder nutzen will, muss längst nicht alles selber machen, werben die diversen Anbieter von Cloud-Services. Kunden erhielten auf Wunsch eine schlüsselfertige Lösung aus einer Hand. Dementsprechend finden sich mittlerweile zahlreiche "Cloud-Pakete" auf dem Markt. Doch um stark angepasste Anwendungen in die Cloud zu transferieren, brauche es Zeit. Die Managerin rechnet mit mindestens acht Monaten für das Standardisieren und Testen einer größeren Applikation in einer neuen Cloud-Umgebung.

Lüge 3: CFOs lieben die Cloud
Das große Versprechen der Cloud-Apologeten für Finanzverantwortliche in Unternehmen lautet: Die Cloud ersetzt fixe Kapitalkosten (Capex) durch variable operationale Kosten (Opex). Die Frage ist nur: Will Ihr Unternehmen das überhaupt?

Lüge 4: Nur das Business profitiert von der Cloud
Die meisten CIOs geben Kostenersparnisse, die sie durch Cloud Computing erzielen, an das Business weiter. Doch was spricht eigentlich dagegen, die freigewordenen Mittel in die IT-Organisation zu reinvestieren? "Ich verwende einen Teil der Einsparungen für das Team-Building", berichtet etwa David Riley, Director Information Systems, beim Softwarehersteller Synaptics. "Wir müssen die Moral hochhalten."

Lüge 6: Die Cloud ist immer billiger
Die pauschale Aussage, die Cloud mache alles billiger, gehört auch heute noch ins Reich der Fabeln. IT-Managerin Malangone beispielsweise suchte ein Cloud-basierendes Tool für Single-Sign-on. Doch mit jeder zusätzlichen Applikation und jedem neuen Benutzer stieg die Rechnung des Cloud-Providers. "Das Tool war eine großartige Idee", resümiert die IT-Chefin. "Doch man muss vorab den richtigen Preis auf Basis der eigenen Wachstumserwartungen verhandeln."

Das IDA-System sollte mit allen in der Cloud vorhandenen IT-Systemen, -Verfahren und -Prozessen direkt oder indirekt zusammenarbeiten können. Dabei ist Ziel, die IDA-Prozesse so zu gestalten, dass für die Erfüllung aller Aufgaben nur ein Minimum an Aktionen mit geringem Umfang notwendig ist.

Da Benutzer, Verfahren, Prozesse und geschäftliche Anforderungen unterschiedliche Anforderungen an die Sicherheit und Funktionalität innerhalb der Cloud haben können, ist es notwendig, einen gemeinsamen Standard zum Schutz der IT-Infrastruktur mit den einzelnen Service Providern zu definieren und diesen für die Bereitstellung und Publizierung von Anwendungen und/oder Informationen bereitzustellen. Sicherheits-Audits und Logging-Verfahren sind ein unverzichtbarer Bestandteil des IDA-Systems.

Sicherheit bleibt Sicherheit

Grundlegend unterscheidet sich die Informationssicherheit im Cloud Computing nicht von den Sicherheitsmaßnahmen in herkömmlichen IT-Infrastrukturen. Anforderungen, Richtlinien, Compliance und Governance sind identisch. Aus Sicht des IDA müssen allerdings die Definitionen für die Benutzeridentität neu überdacht und der Begriff erweitert werden. IT-Transaktionen werden zunehmend automatisiert. Die Interaktion zwischen Software und Systemen ähnelt immer stärker der Mensch-Maschine-Interaktion.

Aus diesem Grund sind die Auswirkungen von Bereitstellung, Authentifizierung, Autorisierung und Administration von Identitäten für das Cloud Computing neu zu überdenken. Der Aspekt der Sicherheit wird für das Cloud Computing allerdings nicht ausschließlich durch die Bereitstellung von Sicherheitstechnologien definiert. Vielmehr ist das Auslagern von unternehmenskritischen Prozessen, Daten und Informationen eine Frage des Vertrauens. Da diese Aspekte aber bereits in heute bestehenden IT-Infrastrukturen durch Verfahren des Outsourcings und die Integration von Drittanbietern weit fortgeschritten sind, scheint ausschließlich eine Erweiterung dieser Überlegungen notwendig.

Vorteile des Cloud Computing

Wo immer Ressourcenbedarf mittelfristig kaum oder nur schwer abzuschätzen ist, wird der Nutzen des Cloud Computing für den Anwender deutlich. Die kurzfristige Bereitstellung zusätzlicher Ressourcen ist eines der unverzichtbaren Cloud-Paradigmen und somit von enormem Wert. Je nach Geschäftsmodell und benötigten Ressourcen lassen sich die Kosten für IT-Infrastrukturen reduzieren. Bedingt durch den Aufbau neuer Strukturen kann die Standardisierung vorangetrieben werden; somit lassen sich ebenfalls Kosten senken.

Die Verfügbarkeit und der Zugang zur Cloud stellen je nach verwendeter Architektur und gewählter Authentifizierungsmethode große Vorteile dar, die heute bereits für die Cloud sprechen. Sogenannte Time-To-Market-Zeiten können durch die dynamische Bereitstellung von IT-Infrastruktur reduziert werden mit der Folge, dass Cloud-Anwendungen schneller entwickelt, bereitgestellt und einsatzbereit sind.

Heute ist Outsourcing beim Betrieb größerer IT-Infrastrukturen allgegenwärtig. Die durch Service Provider in der Cloud angebotenen Leistungen und die dahinterstehenden Abrechnungsmodelle erleichtern die Möglichkeit des Outsourcings. Die Absprache der Service Level Agreements (SLA) vereinfacht sich dadurch, dass Standards bei der Bereitstellung einer Leistung durch den Service Provider verfügbar sind, und bietet dem Nutzer der Anwendungen eine hohes Maß an Verlässlichkeit.

(TecChannel / rb)