Themen-Special zu Sicherheit und Wirtschaftlichkeit von Cloud Computing (Teil 4)

Identitäts- und Access Management in der Cloud

| Autor / Redakteur: Dr. Daniele Fiebig / Florian Karlstetter

Identity und Access Management: Unternehmen benötigen zuverlässige Zugangs- und Kontrollmöglichkeiten für das Unternehmensnetz und zu Cloud-Anwendungen.
Identity und Access Management: Unternehmen benötigen zuverlässige Zugangs- und Kontrollmöglichkeiten für das Unternehmensnetz und zu Cloud-Anwendungen. (© alexmillos - Fotolia.com)

Um der dynamischen Bedrohungslandschaften Rechnung zu tragen, benötigen Unternehmen heute zuverlässige Zugangs- und Kontrollmöglichkeiten für das Unternehmensnetz und zu Cloud-Anwendungen. Neben dem internen Benutzermanagement ein Externes aufzubauen und zu betreiben, widerspricht jedoch den Cloud-Zielen bezüglich Kosteneinsparung.

Deshalb müssen sich Unternehmen vor der Cloud-Nutzung zwangsläufig mit dem Identity- und Access-Management (IAM) beschäftigen.

Die zunehmende Mobilität und Gerätevielfalt erfordert ein leistungsfähiges und skalierbares Access-Management mit „versatiler“ Authentifizierungsmöglichkeit (Geräte- und Technologie-übergreifend). Auf diese Weise ist es möglich, den typischen Arbeitsbereichen der Mitarbeiter direkt im Unternehmen (On-Premises-IT), im Home-Office, auf Dienstreisen und über die verschiedenen Mobile Geräte Rechnung zu tragen.

Um auf die veränderten Zugangsmöglichkeiten reagieren zu können, müssen Unternehmen ein breites Spektrum an Zugangsmöglichkeiten und Technologien bereitstellen und die Zugänge und Aktivitäten kontrollieren.

Ausgangspunkt für die Planung von Identity-Access-Systemen ist eine Risikoanalyse der einzelnen Clients in verschiedenen Umgebungen, z. B. Laptop im Unternehmensbereich, bei Kunden, zu Hause, im öffentlichen Netzwerk von Flughäfen etc.

Die Risiken umfassen Hardware-Diebstahl, Datenverlust, Identitätsverlust und damit eventuell Fremdzugriff auf Laptops und/oder das Unternehmensnetz, aber auch die Möglichkeit, Schadsoftware in das Unternehmensnetz einzuschleusen.

Rechtemanagement und Authentisierung

Jedem Mitarbeiter müssen die für einen durchgängigen Geschäftsablauf nötigen Informationen zugänglich sein und die entsprechenden Rechte im Unternehmensnetz erteilt werden. Häufig unterstützen automatische Systeme wie Webtools z. B. Provisioning-Tools, Ticketsysteme oder User Helpdesk das Access-Management. Besonders bei hybriden IT-Landschaften sind eine mehrstufige Authentisierung sowie eine detaillierte Kontrolle der Anmeldungen und des Nutzerverhaltens erforderlich.

Die zentralen Aufgaben von IAM-Lösungen umfassen die Nutzer- und Rollenverwaltung sowie die Prüfung der Nutzeranmeldungen, das Berechtigungsmanagement und die Durchsetzung der Nutzerrichtlinien (Policies). Weiterhin bieten IAM-Systeme die Analyse von Nutzeraktivitäten und gegebenenfalls Reaktionen darauf. Integriert sind in der Regel Schnittstellen zu Authentisierungsverfahren wie Smartcards, Tokens, digitalen Zertifikaten etc.

IAM-Systeme unterstützen Single-Sign-On und die Möglichkeit der differenzierten Rechtevergabe für ein und denselben Mitarbeiter in Abhängigkeit von der Anmeldung aus dem internen Netz, aus einem unsicheren, öffentlichen Netz oder über mobile Geräte.

Das Risikopotential ist bei den verschiedenen Anmeldungen unterschiedlich. IAM-Systeme bieten deshalb meist eine integrierte Risikoanalyse, die bei der dynamischen Festlegung der Authentisierungsmethode unterstützt. Die Autorisierung erfolgt auf Basis differenzierter Regeln. Hier kommen häufig Fraud-Management-Systeme zum Einsatz, die die Risiken einer Nutzerberechtigung anhand der Sensibilität der Daten und Systeme festlegt und danach die Autorisierung und Überwachungsmaßnahmen initiiert. Diese Systeme basieren meist auf einem Policy Server, welcher ein dynamisches Autorisierungsmanagement auf dem Standard XACML (Extensible Access Control Markup Language) nutzt. Der Trend geht also weg von statischen Berechtigungen in Access Control Lists (ACLs).

Hybride Access-Management-Lösungen auf Basis XACML ermöglichen die Benutzerverwaltung der lokalen IT und die der Cloud-Services über ein verteiltes System mit zentraler Administration.

Wichtig bei der Auswahl einer IAM-Lösung ist es, darauf zu achten, dass die Lösung für alle Anwendungen und Systeme des Unternehmens eingesetzt werden kann. Insbesondere muss das IAM für Cloud-Services und weitere externe Anmeldungen genutzt werden können. Zunehmend werden auch cloud-basierte IAM-Lösungen angeboten.

Neben den Anforderungen für den Schutz personenbezogener Daten muss gemäß verbindlicher Normen wie z. B. ISO2700x, HIPAA, PCI DSS und weiterer branchenspezifische Vorgaben besonders auf Verfügbarkeit sowie die verschlüsselte Übertragung und die verschlüsselte Ablage der IDs, Passwörter und Schlüssel geachtet werden.

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Kommentar abschicken

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42937270 / Identity & Access Management)