IAM in und aus der Cloud Digitale Identitäten im Zentrum der Cloud-Sicherheit

Anbieter zum Thema

VMware Global Inc Zweigndl. Deutschland

Fujitsu Technology Solutions GmbH

Cohesity GmbH

ORACLE Deutschland B.V. & Co. KG

Mit der steigenden Bedeutung der Cloud wird die digitale Identität als Vertrauensanker immer wichtiger. Doch Identitätsmanagement in der Cloud und für die Cloud ist eine große Herausforderung für viele Unternehmen. Tobias Deml, Head of Cloud Engineering bei Oracle Germany, stellte sich unseren Fragen zu Cloud-Identitäten.

Warum ist professionelles Identity and Access Management für Hybrid Cloud Infrastrukturen wichtiger denn je?

Tobias Deml: Mit der Adaption von Cloud Technologien, egal ob Hybrid, Private oder Dedicated, erweitern Firmen unweigerlich auch ihr IT-Ecosystem. Daraus ergibt sich eine neue komplexe Architektur, die es zu beherrschen gilt. Als Best Practice hat sich das Management dieser vielschichtigen Umgebungen durch eine universelle und standardisierte Governance erwiesen. Ein besonderes Augenmerk sollte hier auf dem Identity and Access Management (IAM) liegen, da dies die Identität, die Integrität und den Zugriff der Nutzer bestimmt und eine bedeutende Säule des gesamten Sicherheitskonzept darstellt. Hierbei sollten Firmen bei der Auswahl der richtigen Technologie im Speziellen auf Interkompatibilität, offenen Standards und geltende Industry-Regulationen und Anbieter -Zertifizierungen achten.

Wo liegen die größten Herausforderungen für Cloud-Anwenderunternehmen?

Deml: Die zu meisternden Herausforderung einer Cloud Adaption für ein Unternehmen liegen meist in drei verschiedenen Bereichen – der Technologie, der Organisation und der Standardisierung. So kommen mit dem Einsatz von Cloud-Architekturen neue Technologien zum Einsatz, welche in einer traditionellem IT-Architektur weniger zu finden sind. Hierzu zählen unter anderem Technologien aus den Bereichen von Infrastructure as Code (IaC), Identitätsmanagement und Security. Diese Tatsache bedingt große Veränderungen im Arbeitsmodell und bedeutet, dass die notwendigen Kompetenzen zum Bedienen der Cloud-Architektur unter den internen IT-Spezialisten aufgebaut werden muss. Innerhalb der Organisation werden bisherig klar getrennte technologische Verantwortlichkeiten aufgrund des Betriebsmodells der Cloud vermengt und in neuen Rollen gegossen – ein Paradebeispiel für diese neuen Kompetenzen sind die DevSecOps, die in vielen Konzernen zum Standard geworden sind. Deswegen ist meist eine Anpassung diverser Organisationsstrukturen notwendig, um dieser Veränderung Folge zu tragen. Und mit der parallelen Präsenz von einerseits Cloud Technologien und andererseits des traditionellen IT-Betriebs in einem Unternehmen sind wesentliche Unterschiede in den Prozessen und Funktionsweisen der Abteilungen unausweichlich und lässt sich auf die grundlegend verschiedene Darbietung der IT-Services zurückzuführen. Dieser Bruch zwischen den Ecosystemen kann durch eine Standardisierung essenzieller Themen, wie beispielsweise die Vereinheitlichung des automatisierten Bereitstellungsprozesses von Ressourcen und die Angleichung der Auditierung- oder Monitoring-Standards, ausgeglichen werden. Hierbei empfiehlt es sich, eine sogenannte „Unified Governance“-Schicht aller dieser Themen zu nutzen, um die User Experience für alle Anwender einheitlich zu gestalten, egal auf welchem Ecosystem sich die jeweiligen Systeme befinden.

Wo stehen die Cloud-Nutzenden gegenwärtig, wenn es um Konzepte wie Zero Trust geht? Großes Interesse, aber Schwierigkeiten in der Umsetzung?

Deml: Das „Zero Trust“-Konzept definiert sich aus dem Zusammenspiel eines restriktiven Regelwerks und der Verwendung von regulativen Technologien um Zugriff, Sichtbarkeit und den Fluss der Daten zu beschränken. Im Zentrum steht das Dogma: Trust no one and check everything. Was die Umsetzung angeht, gibt es zwei Arten von Unternehmen. Die einen sind zur Etablierung einer Zero-Trust-Strategie durch gesetzliche Vorgaben verpflichtet, die anderen sind aus eigenem unternehmerischem Antrieb heraus an einer Implementierung interessiert. Bei ersterem ist Zero Trust seit einer geraumen Zeit in dem jeweiligen Cloud Ecosystemen definiert und implementiert. Kunden, die aktiv auf den neuen Ansatz setzten, sind bei der Implementierung meist nicht konsequent. Ihre Erfahrung hat gezeigt, dass diese Mechanismen auch die Flexibilität der Nutzung der Cloud-Technologien negativ beeinflussen und somit nicht auf ihre Unternehmensziele einzahlen. Langfristig zeichnet es sich ab, dass es eine Differenzierung von generischen und besonders schützenswerten Systemen geben wird, um dieses Konzept lediglich auf der höhere Daten-Klassifizierung anzuwenden.

Welche Empfehlungen haben Sie, damit eine Zero-Trust-Strategie für hybride Clouds gelingt?

Deml: Um eine Zero-Trust-Strategie in einer Hybrid-, Public- oder Multi-Cloud umzusetzen, steht die Definition eines grundlegenden Regelwerks an erster Stelle. Anschließend sollte eine detaillierte Sichtung und Evaluierung der passenden Technologien stattfinden, welche es ermöglichen, dieses Regelwerk über die verschiedenen Teile des Ecosystems zu etablieren und zu kontrollieren. Hier zu bieten die jeweiligen Cloud Anbieter als Hilfe verschiedenste Blueprints und native Tools und Services nach verschiedenen Industry Standards an. Aus der Sicht der Oracle Cloud stehen hier verschiedene Dokumente, wie beispielsweise „Zero Trust Technical Brief“, und der Cloud Guard als kostenfreier Service zur Verfügung.

Neben den eigenen Beschäftigten spielen auch die Kundinnen und Kunden, aber auch Lieferanten und Partner eine wichtige Rolle, wenn man an IAM für Cloud denkt. Wie bekommt man die verschiedenen Anforderungen, Rollen und Berechtigungen am besten unter einen Hut?

Deml: Der empfohlene Weg für die Anbindung externer Parteien ist zunächst eine Definition klarer Gruppen und zugehöriger Verantwortlichkeiten. Bezüglich der Authentifizierung gibt es verschiedene Möglichkeiten, je nach Umfang der anzubindenden Benutzer, kann eine Verbindung mit einem Party-IAM-Service durch einen Drittanbieter von Vorteil sein, weitere können mit einer token-basierten Authentifizierung abgedeckt werden.

IAM für die Cloud und aus der Cloud: Was sollte ein Identity Provider für die Cloud bzw. aus der Cloud können?

Deml: Bei der Entscheidungsfindung für ein IAM-System für oder aus der Cloud sind die Interkompatibilität mit der vorherrschenden Cloud- und IT-Systemlandschaft und die Erfüllung regulatorische Standards von hoher Bedeutung. IAM-Systeme, welche nach offenen Standards definiert und implementiert sind, werden auch zukünftig zumeist die Interkompatibilität für aufkommende Dritt-Systeme herstellen können. Selbstentwickelte Lösungen, besonders im Bereich IAM, sollten vermieden werden.

Haben Sie ein Beispiel, wie dies mit Oracle umgesetzt wurde?

Deml: Da wir die Entwicklungen des Marktes in Richtung Hybrid- und Multi-Cloud aktiv unterstützen wollen, steht für uns die Interkompatibilität zu anderen Ecosystem im Fokus. Dies Fähigkeiten durften wir bereits bei vielen staatlichen und industriellen Kunden weltweit unter Beweis stellen, zu unseren Referenzkunden zählt die City and County of San Francisco.

(ID:49209186)