Themen-Special zu Sicherheit und Wirtschaftlichkeit von Cloud Computing (Teil 4) Identitäts- und Access Management in der Cloud

Autor / Redakteur: Dr. Daniele Fiebig / Florian Karlstetter

Um der dynamischen Bedrohungslandschaften Rechnung zu tragen, benötigen Unternehmen heute zuverlässige Zugangs- und Kontrollmöglichkeiten für das Unternehmensnetz und zu Cloud-Anwendungen. Neben dem internen Benutzermanagement ein externes aufzubauen und zu betreiben, widerspricht jedoch den Cloud-Zielen bezüglich Kosteneinsparung.

Firma zum Thema

Identity und Access Management: Unternehmen benötigen zuverlässige Zugangs- und Kontrollmöglichkeiten für das Unternehmensnetz und zu Cloud-Anwendungen.
Identity und Access Management: Unternehmen benötigen zuverlässige Zugangs- und Kontrollmöglichkeiten für das Unternehmensnetz und zu Cloud-Anwendungen.
(© alexmillos - Fotolia.com)

Deshalb müssen sich Unternehmen vor der Cloud-Nutzung zwangsläufig mit dem Identity- und Access-Management (IAM) beschäftigen.

Die zunehmende Mobilität und Gerätevielfalt erfordert ein leistungsfähiges und skalierbares Access-Management mit „versatiler“ Authentifizierungsmöglichkeit (Geräte- und Technologie-übergreifend). Auf diese Weise ist es möglich, den typischen Arbeitsbereichen der Mitarbeiter direkt im Unternehmen (On-Premises-IT), im Home-Office, auf Dienstreisen und über die verschiedenen Mobile Geräte Rechnung zu tragen.

Um auf die veränderten Zugangsmöglichkeiten reagieren zu können, müssen Unternehmen ein breites Spektrum an Zugangsmöglichkeiten und Technologien bereitstellen und die Zugänge und Aktivitäten kontrollieren.

Ausgangspunkt für die Planung von Identity-Access-Systemen ist eine Risikoanalyse der einzelnen Clients in verschiedenen Umgebungen, z. B. Laptop im Unternehmensbereich, bei Kunden, zu Hause, im öffentlichen Netzwerk von Flughäfen etc.

Die Risiken umfassen Hardware-Diebstahl, Datenverlust, Identitätsverlust und damit eventuell Fremdzugriff auf Laptops und/oder das Unternehmensnetz, aber auch die Möglichkeit, Schadsoftware in das Unternehmensnetz einzuschleusen.

Rechtemanagement und Authentisierung

Jedem Mitarbeiter müssen die für einen durchgängigen Geschäftsablauf nötigen Informationen zugänglich sein und die entsprechenden Rechte im Unternehmensnetz erteilt werden. Häufig unterstützen automatische Systeme wie Webtools z. B. Provisioning-Tools, Ticketsysteme oder User Helpdesk das Access-Management. Besonders bei hybriden IT-Landschaften sind eine mehrstufige Authentisierung sowie eine detaillierte Kontrolle der Anmeldungen und des Nutzerverhaltens erforderlich.

Die zentralen Aufgaben von IAM-Lösungen umfassen die Nutzer- und Rollenverwaltung sowie die Prüfung der Nutzeranmeldungen, das Berechtigungsmanagement und die Durchsetzung der Nutzerrichtlinien (Policies). Weiterhin bieten IAM-Systeme die Analyse von Nutzeraktivitäten und gegebenenfalls Reaktionen darauf. Integriert sind in der Regel Schnittstellen zu Authentisierungsverfahren wie Smartcards, Tokens, digitalen Zertifikaten etc.

IAM-Systeme unterstützen Single-Sign-On und die Möglichkeit der differenzierten Rechtevergabe für ein und denselben Mitarbeiter in Abhängigkeit von der Anmeldung aus dem internen Netz, aus einem unsicheren, öffentlichen Netz oder über mobile Geräte.

Integrierte Risikoanalyse

Das Risikopotenzial ist bei den verschiedenen Anmeldungen unterschiedlich. IAM-Systeme bieten deshalb meist eine integrierte Risikoanalyse, die bei der dynamischen Festlegung der Authentisierungsmethode unterstützt. Die Autorisierung erfolgt auf Basis differenzierter Regeln. Hier kommen häufig Fraud-Management-Systeme zum Einsatz, die die Risiken einer Nutzerberechtigung anhand der Sensibilität der Daten und Systeme festlegt und danach die Autorisierung und Überwachungsmaßnahmen initiiert. Diese Systeme basieren meist auf einem Policy Server, welcher ein dynamisches Autorisierungsmanagement auf dem Standard XACML (Extensible Access Control Markup Language) nutzt. Der Trend geht also weg von statischen Berechtigungen in Access Control Lists (ACLs).

Hybride Access-Management-Lösungen auf Basis XACML ermöglichen die Benutzerverwaltung der lokalen IT und die der Cloud-Services über ein verteiltes System mit zentraler Administration.

Wichtig bei der Auswahl einer IAM-Lösung ist es, darauf zu achten, dass die Lösung für alle Anwendungen und Systeme des Unternehmens eingesetzt werden kann. Insbesondere muss das IAM für Cloud-Services und weitere externe Anmeldungen genutzt werden können. Zunehmend werden auch Cloud-basierte IAM-Lösungen angeboten.

Neben den Anforderungen für den Schutz personenbezogener Daten muss gemäß verbindlicher Normen wie z. B. ISO2700x, HIPAA, PCI DSS und weiterer branchenspezifische Vorgaben besonders auf Verfügbarkeit sowie die verschlüsselte Übertragung und die verschlüsselte Ablage der IDs, Passwörter und Schlüssel geachtet werden.

Identitätsvereinheitlichung mit Single-Sign-On

Die Nutzung starker Passwörter und deren regelmäßiger Wechsel ist im Zusammenspiel mit Single-Sign-On (Identitätsvereinheitlichung) ist grundlegend. Voraussetzung für die Compliance mit den gesetzlichen Vorgaben sind zuverlässige, nachvollziehbare Prozesse zur Löschung von Benutzerkonten (Deprovisionierung).

Besonders im Cloud-Umfeld ist die Nutzung einer Mehr-Faktor-Authentifizierung z. B. mit PIN oder Einmalpasswörtern (OTP) angeraten. Administrator- und andere privilegierte Nutzerkonten stellen immer ein Risiko dar. Deshalb sollten einige Grundregeln Anwendung finden:

  • Keine gemeinsamen Passwörter für die Administration
  • Systempasswörter ändern
  • Überwachung aller Aktivitäten im Bereich der Administration (Nachvollziehbarkeit)
  • Regelmäßige Änderung der Passwörter
  • Vier-Augen-Prinzip für sensible Aktionen
  • Mehrfaktor-Authentisierung (z. B. Token, Zahlencode, …) besonders für Remote-Aktivitäten

Identity Access Governance

Der Markt unterscheidet nicht nur hybride und Cloud-basierte Access-Lösungen. Immer breiteren Raum nehmen die Identity-Access-Governance-Lösungen (IAG) ein.

Neben der Überwachung von meist branchenspezifischen Normen für den Umgang mit Berechtigungen (z. B. HIPAA, PCI DSS, ...) verfügen IAGs über Funktionen zur Rezertifizierung (Überprüfung von Zuständigkeiten), zur zeitlichen Befristung und zur Erzwingung eines Vier-Augen-Prinzips bei Erteilung von privilegierten Berechtigungen.

Hilfe bei der Auswahl eines geeigneten IAM bieten Veröffentlichungen wie der „Gartner Magic Quadrant for Identity Governance and Administration“, der „Compass Access Governance“ von KuppingerCole, die Broschüre „Identity And Access Management (IAM) Market“ von MarketsandMarkets oder der „Fachbericht: Access Governance“ der ipg AG.

Themenschwerpunkt: In die Cloud? JA, aber überlegt!

Dieser Artikel ist der vierte Teil einer sechsteiligen Reihe, die sich mit grundlegenden Aspekten rund um Cloud Computing beschäftigt.

Die Themen im Überblick:

Teil 1 - Einführung: Ist-Situation Cloud Computing

Teil 2 – Risikoanalyse mit speziellen Cloud-Risiken

Teil 3 – Wirtschaftlichkeitsbetrachtungen für die Cloud-Einführung

Teil 4 – Identitäts- und Access Management in der Cloud

Teil 5 – IT-Sicherheit in der Cloud

Teil 6 – Rechtliche Rahmenbedingungen

Die Autorin

Frau Dr. Daniele Fiebig ist freiberuflich als Projektleiter und Berater im IT-Bereich tätig. Zu ihren fachlichen Schwerpunkte gehören IT-Infrastruktur und Softwareentwicklung, IT Service Management und ITIL, Prozess- und Organisationsstrukturen, IT-Sicherheit und Projektmanagement.

Frau Dr. Fiebig ist zudem PRINCE2 Professional, ITIL v3 Expert, ISO/IEC 27001 und ISO/IEC 20000 Consultant und Lead Auditor, Weiterbildung IT-Grundschutz und BPMN 2.0.

(ID:42967479)