SAML als Best Practice für Cloud-Dienstleister

Identitäten für die Cloud schützen

Seite: 2/2

Firmen zum Thema

Während einfache Benutzernamen und Passwörter nicht mehr effektiv sind, steigt die Menge der Daten, die in der Cloud und den angebotenen Systemen gespeichert werden. Cloud-Anbieter müssen Millionen von Benutzern weltweit Zugriff ermöglichen. Eine zentrale Sicherheitslücke in einer Cloud-basierten Lösung würde ein ernsthaftes Risiko für die Daten von mehreren Tausend Unternehmen – wenn nicht mehr – darstellen. Es liegt deshalb in der Verantwortung des Cloud-Anbieters, für eine hohe, flexible Sicherheit zu sorgen, die nur äußerst schwer zu kompromittieren ist. Zugleich muss sie für den Endanwender leicht zu benutzen sein.

Das Ziel ist absolute Sicherheit

Da höhere Sicherheit für den Cloud-Zugriff immer unumgänglicher wird, beginnen Unternehmen damit, Standards für die Benutzer-Authentifizierung einzuführen. Eines der Hauptprobleme, mit denen Unternehmen konfrontiert sind, besteht in der Handhabung von Benutzeridentitäten in der Cloud. Häufig bedeutet dies, dass IT-Abteilungen zusätzliche Anmeldedaten für jede einzelne Cloud-Lösung verwalten müssen, die von den Angestellten genutzt wird. Dieser Ansatz erfordert umständliche Abläufe und bedeutet zusätzliche Arbeit für die IT. Um dieses Problem zu umgehen, sollte die IT eine zentrale Methode verwenden, bei der jeder Benutzer nur einen einzigen Satz an Anmeldedaten erhält, mit dem der Zugriff auf eine Vielfalt verschiedener Cloud-Lösungen möglich ist.

Durch die Verwendung eines Ansatzes mit einer starken Authentifizierung wird gewährleistet, dass die Berechtigung von Benutzern, die auf sensible Unternehmensdaten zugreifen, zuvor geprüft wird. Zugleich werden die Endanwender unabhängig von spezieller Software, Hardware oder einzelnen Funktionen.

Best Practice: Der Einsatz von SAML

Eine dieser Optionen ist Security Assertion Markup Language, kurz SAML. Eine SAML-Installation arbeitet mit drei Rollen: Endanwender, Service-Provider und Identity-Provider. Cloud-Lösungen, wie etwa Microsoft Office 365, Salesforce oder Google Apps haben hierbei die Rolle des Service-Providers inne. Der Identity-Provider übernimmt die Benutzer-Authentifizierung und das Identitätsmanagement für den Service-Provider.

Ein Identity-Provider kann hierbei als zentrales System zur Handhabung von Authentifizierung und Identitätsmanagement für mehrere Service-Provider gleichzeitig genutzt werden. Mit der Verwendung eines SAML-Identity-Providers können Unternehmen sämtliche anerkannten Vorteile nutzen, die traditionell mit vor Ort installierten Authentifizierungslösungen verbunden werden.

Aus Sicht von Unternehmen bedeutet die Verwendung von SAML eine große Zeitersparnis, da SAML von der Notwendigkeit befreit, mehrfache Anmeldedaten zu verwalten; einfache Anmeldedaten im lokalen Netzwerk (LAN) und mehrere in der Cloud. Auf diese Weise können Unternehmen ihre Authentifizierungs- und Sicherheitsmechanismen für alle Benutzer vereinheitlichen, unabhängig davon, ob sie auf Daten von der Cloud oder vom lokalen Netzwerk aus zugreifen. So werden Zeit und Geld gespart und gleichzeitig die Sicherheit erhöht.

Der Blick nach vorne

Die steigende Popularität von Cloud-Angeboten hat eine Welle neuer Bedrohungen mit sich gebracht, die darauf abzielen, Anmeldedaten von Cloud-Anwendern zu kompromittieren. Unternehmen sind gut beraten, die Sicherheitsstufe, die der Anbieter von Cloud-Diensten bereitstellt, gründlich zu prüfen, bevor sie einen Vertrag eingehen. Angesichts der Anzahl von rezenten Sicherheitsverletzungen ist es nicht ausreichend, einfache Benutzernamen und Passwörter für den Schutz wichtiger Daten in der Cloud zu verwenden. Cloud-Provider sollten sich darum bemühen, Sicherheitslösungen für ihre Kunden anzubieten – einschließlich Diensten, die sicherstellen, dass Endanwender die Lösung auf effektive und sichere Weise nutzen können.

Über den Autor

David Hald
David Hald
(Bild: SMS Passcode)

David Hald ist Gründungsmitglied von SMS Passcode. Er ist erster Ansprechpartner und Projektleiter für die Lösungen zur Multi-Faktor-Authentifizierung von SMS Passcode. Vor der Gründung von SMS Passcode war er Mitbegründer und CEO der Conecto, einem führenden Beratungsunternehmen im Bereich Mobil- und Sicherheitslösungen mit Schwerpunkt auf Citrix, Blackberry und andere innovative Mobillösungen. Zudem war Hald als CTO in Unternehmen tätig, die von den dänischen Organisationen Teknologisk Innovation (Technologische Innovation) sowie Vækstfonden (Wachstumsfonds) finanzielle Unterstützung erhielten. Vor der Gründung von Conecto arbeitete er als Softwareentwickler und Projektleiter und leitete sein eigenes Software-Beratungsunternehmen. Seine technische Expertise erlangte Hald am Institut für Informatik an der Universität Kopenhagen (DIKU).

(ID:42745110)