Herausforderung IAM

Identitätsverwaltung in privaten und öffentlichen Clouds

20.12.2013 von Dr. Silvia Knittl
Kontrollierte Zugriffsmöglichkeiten auf Cloud-Anwendungen verlangen nach einem durchgängigen Identity- und Access-Management. Bei Public-Cloud-Lösungen ist eine umfassende Betrachtung von Risikomanagement, Organisation und Technik unverzichtbar.
Die Darstellung zeigt schematisch Prozessschritte und deren Teilaktivitäten innerhalb einer Organisation (grau) sowie die neuen Schnittstellen, die beim Auslagern von Prozessschritten und den zugehörigen Teilaktivitäten in die Cloud (rot) entstehen.
Foto: msg systems ag

Die Bandbreite der Zugriffskanäle auf Unternehmensdaten hat sich in den letzten Jahren stark erweitert - insbesondere durch mobile Geräte und Cloud-Dienste. Diese Entwicklung birgt neue Risiken. Sie verlangt nach einer sicheren Authentifizierung und - aufgrund der großen Bandbreite - nach einem starken Identity- und Access-Management (IAM), das Vertraulichkeit, Datenintegrität sowie die Einhaltung regulatorischer Anforderungen sicherstellt.

Für das Design eines IAM stehen technische Methoden wie manuelle Pflege, Provisioning, Integration und Identity-Federation zur Verfügung. Bei Cloud-Anwendungen ist zunächst zu klären, ob es sich um eine Private oder Public Cloud handelt. Während bei einer Private-Cloud-Lösung lediglich die Integration in die bestehende IT-Landschaft zu berücksichtigen ist, sind bei Public-Cloud-Lösungen unbedingt Aspekte wie Risikomanagement, Organisation und Technik zu betrachten.

Risiko-Management

IAM schützt Informationen durch eine gesteuerte Zugriffskontrolle. Daher empfiehlt es sich, vor der Nutzung von Cloud-Services oder mobilen Diensten ein umfassendes Risiko-Assessment vorzunehmen. Als Kriterien empfehlen sich die von der European Union Agency for Network and Information Security (ENISA) aufgestellten Kategorien organisatorische, technische, juristische und allgemeine Risiken. Beim Risiko-Assessment gilt es zum einen abzuwägen, welche Chancen und Gefahren sich durch die Nutzung von Cloud-Diensten ergeben, zum anderen ist zu klären, welchen Risiken die Organisation schon vorher ausgesetzt ist.
So können beispielsweise kleine und mittelständische Unternehmen von einem professionellen IT-Betrieb aus der Cloud profitieren, den sie in Eigenregie nur unter hohen Kosten bewerkstelligen könnten. Auf der anderen Seite fehlen ihnen oftmals die Ressourcen, um sich ausreichend vor IT-Sicherheitsrisiken zu schützen. Typische Risiken sind beispielsweise Insiderattacken beim Cloud-Provider oder das Abhören von Identitäts-Service-Nachrichten, die zwischen Unternehmen und Dienstleister ausgetauscht werden. Dazu kommen unerlaubte Zugriffe auf Informationen in der Cloud oder auf mobilen Geräten sowie nicht gelöschte Identitätsdaten.

Basis: Software- Entscheidungsträger, weltweit
Welcher Prozentsatz Ihrer Lizenzausgaben im Jahr 2013 entfällt auf die folgenden Typen?
Quelle: Forrester Forrsights Software Surveys, Q3 2007, Q4 2008, Q4 2009, Q4 2010,
Top 100: Cloud
Computing im Jahr 2013 ist auch aus deutschen Unternehmen kaum noch wegzudenken
Cloud Vendor Benchmark 2013
– Deutschland – Cloud Services: Marketplace
Quelle: Experton Group
Cloud Vendor Benchmark 2013
– Deutschland – Cloud Services: PaaS
Quelle: Experton Group
Hybride Clouds erreichen die Geschäftsprozesse in Deutschland
Cloud Vendor Benchmark 2013
– Deutschland – Cloud Services: SaaS CRM
Quelle: Experton Group
Cloud Vendor Benchmark 2013
– Deutschland – Cloud Services: SaaS ERP
Quelle: Experton Group
Cloud Vendor Benchmark 2013
Deutschland – Cloud Technologies: Cloud Management Software
Quelle: Experton Group

Organisation

Ein integriertes IAM unterstützt den nahtlosen Ablauf von Geschäftsprozessen über mehrere Anwendungen oder Organisationseinheiten hinweg. Bei einer Auslagerung auf Cloud-Dienste muss dieser Ablauf reevaluiert und gegebenenfalls durch Reorganisation der Prozesse sichergestellt werden. Idealerweise bildet ein effektives IAM einen User-Life-Cycle ganzheitlich ab - von der erstmaligen Anlage eines Mitarbeiters bis hin zum Entzug der Zugriffsberechtigung, wenn der Mitarbeiter aus dem Unternehmen ausscheidet.
Diese Prozesse müssen reibungslos funktionieren - und zwar bevor externe Dienste genutzt werden. Die Praxis zeigt jedoch leider häufig das Gegenteil: Ineffiziente Onboarding-Prozesse, Akkumulationen von Berechtigungen oder unvollständiger Berechtigungsentzug verursachen häufig Probleme.

Auch bei der Ausgestaltung der Zusammenarbeit mit einem Cloud-Provider sind die Auswirkungen auf die Prozesslandschaft, einschließlich der Schnittstellen zum Service-Management, zu berücksichtigen. Verschieben sich Zugriffspunkte zu einem externen Anbieter, müssen die damit verknüpften Prozesse nachjustiert werden.
So sind beispielsweise mit dem Availability-Management Regelungen hinsichtlich der Verfügbarkeit des Cloud-Providers abzustimmen, um Störungen zu vermeiden oder zumindest die Folgen einzugrenzen. Bei der Identifizierung IAM-relevanter Schnittstellen hilft eine "Prozesslandkarte", der die neuen Prozesse gegenübergestellt werden können. Sie erleichtert auch schnelle Reaktionen im "Störungsfall".

Technik

Die technische Umsetzung eines IAM für Cloud-Anwendungen erfordert eine umfangreiche Planung. Dabei gilt es, eine sichere Datenübertragung zu gewährleisten, Schnittstellen und Protokolle festzulegen sowie die auszutauschenden Daten und deren Semantik zu definieren. Zudem ist zu klären, wie die Daten bei einer Kündigung der Cloud-Nutzung behandelt werden sollen.

Solche Überlegungen sind jedoch erst dann relevant, wenn die Themen Risikomanagement und Organisation geklärt sind, denn diese bestimmen die Auswahl der Tools und Technologien. Da Cloud-Dienste durch einen hohen Standardisierungsgrad gekennzeichnet sind, empfiehlt es sich, auch im IAM auf Standards wie Security Assertion Markup Language (SAML), Service Provisioning Markup Language (SPML) oder OAuth zu setzen. Einige Toolhersteller bieten zudem Out-of-the-Box-Konnektoren für typische Cloud-Anwendungen an, die die technische Anbindung solcher Dienste enorm vereinfachen.

OpenStack
Die auf Linux und Python basierende Lösung "OpenStack" ist eine Art Betriebssystem für die Cloud. Das quelloffene System gilt als ein wichtiger Meilenstein in Sachen Cloud Computing und hat, nicht zuletzt aufgrund der breiten Unterstützung seitens namhafter IT-Riesen, großes Zukunftspotenzial.
Otixo
"Otixo" stellt ein innovatives Datei-Management-Tool für das Cloud-Zeitalter dar, das in erster Linie für Anwender in Frage kommt, die mehrere Online-Dienste nutzen und diese besser miteinander integrieren möchten. Dank speziellen Sicherheits- und Sharing-Funktionen können davon nicht nur Privatanwender, sondern auch Unternehmen profitieren.
Cloudability
Bei "Cloudability" handelt es sich um einen vielversprechenden Dienst, der noch in den Kinderschuhen steckt, aber bis jetzt einen rundum guten Eindruck macht. Wer viel Geld in Cloud Computing investiert und die Ausgaben im Blick behalten möchten, für den könnte die Software genau das Richtige sein.
Scalr
IT-Administratoren, die auf der Suche nach einer professionellen Lösung sind, um ihre Cloud-Anwendungsplattformen besser entwerfen, entwickeln und betreiben zu können, sind bei "Scalr" genau an der richtigen Adresse.
RightScale
RightScale bietet eine umfangreiche und anspruchsvolle Lösung an, mit der sich beliebig komplexe Cloud-Infrastrukturen effizient verwalten lassen und die in direkter Konkurrenz zu Scalr steht.
Newvem
"Newvem" bietet sich als eine zentrale, ganzheitliche Cloud-Management-Lösung an, die speziell für Firmen konzipiert ist, die Windows Azure oder Amazon Web Services nutzen.

IAM as a Service

Während der Einsatz von Cloud-Diensten oder mobilen Anwendungen früher aus Kostengründen einseitig positiv betrachtet wurde, haben die zahlreichen Sicherheitsvorfälle zu einer differenzierteren Bewertung geführt. Das gilt besonders in Hinblick auf IAM als wichtiges Rückgrat der Sicherheitsinfrastruktur einer Organisation.
Hier sind die Möglichkeiten noch nicht ganz ausgereizt. So lässt sich IAM selbst as a Service (IAMaaS) aus der Cloud heraus beziehen - sei es durch vertrauenswürdige Anbieter wie etwa im Rahmen der Funktionalitäten des neuen Personalausweises, welcher eine Electronic-Identity- Funktion ermöglicht, oder in Form eines Public Identity Management as a Service. IAMaaS bringt zwar mehr Flexibilität und Kostenvorteile, eine umfassende Betrachtung von Risiken, organisatorischen Aspekten und technischer Gestaltung ist aber unverzichtbar. (rb)