Suchen

Themen-Special zu Sicherheit und Wirtschaftlichkeit von Cloud Computing (Teil 4)

Identitäts- und Access Management in der Cloud

Seite: 2/2

Identitätsvereinheitlichung mit Single-Sign-On

Die Nutzung starker Passwörter und deren regelmäßiger Wechsel ist im Zusammenspiel mit Single-Sign-On (Identitätsvereinheitlichung) ist grundlegend. Voraussetzung für die Compliance mit den gesetzlichen Vorgaben sind zuverlässige, nachvollziehbare Prozesse zur Löschung von Benutzerkonten (Deprovisionierung).

Besonders im Cloud-Umfeld ist die Nutzung einer Mehr-Faktor-Authentifizierung z. B. mit PIN oder Einmalpasswörtern (OTP) angeraten. Administrator- und andere privilegierte Nutzerkonten stellen immer ein Risiko dar. Deshalb sollten einige Grundregeln Anwendung finden:

  • Keine gemeinsamen Passwörter für die Administration
  • Systempasswörter ändern
  • Überwachung aller Aktivitäten im Bereich der Administration (Nachvollziehbarkeit)
  • Regelmäßige Änderung der Passwörter
  • Vier-Augen-Prinzip für sensible Aktionen
  • Mehrfaktor-Authentisierung (z. B. Token, Zahlencode, …) besonders für Remote-Aktivitäten

Identity Access Governance

Der Markt unterscheidet nicht nur hybride und cloud-basierte Access-Lösungen. Immer breiteren Raum nehmen die Identity-Access-Governance-Lösungen (IAG) ein. Neben der Überwachung von meist branchenspezifischen Normen für den Umgang mit Berechtigungen (z. B. HIPAA, PCI DSS, ...) verfügen IAGs über Funktionen zur Rezertifizierung (Überprüfung von Zuständigkeiten), zur zeitlichen Befristung und zur Erzwingung eines Vier-Augen-Prinzips bei Erteilung von privilegierten Berechtigungen.

Hilfe bei der Auswahl eines geeigneten IAM bieten Veröffentlichungen wie der „Gartner Magic Quadrant for Identity Governance and Administration“, der „Compass Access Governance“ von KuppingerCole, die Broschüre „Identity And Access Management (IAM) Market“ von MarketsandMarkets oder der „Fachbericht: Access Governance“ der ipg AG.

Themenschwerpunkt: In die Cloud? JA, aber überlegt!

Dieser Artikel ist der vierte Teil einer sechsteiligen Reihe, die sich mit grundlegenden Aspekten rund um Cloud Computing beschäftigt..

Die Themen im Überblick:

Teil 1:Einführung: Ist-Situation Cloud Computing

Teil 2:Risikoanalyse mit speziellen Cloud-Risiken

Teil 3: Wirtschaftlichkeitsbetrachtungen für die Cloud-Einführung

Teil 4 – Identitäts- und Access Management in der Cloud

Teil 5:IT-Sicherheit in der Cloud

Teil 6:Rechtliche Rahmenbedingungen

Ergänzendes zum Thema
Die Autorin

Frau Dr. Daniele Fiebig ist freiberuflich als Projektleiter und Berater im IT-Bereich tätig. Zu ihren fachlichen Schwerpunkte gehören IT-Infrastruktur und Softwareentwicklung, IT Service Management und ITIL, Prozess- und Organisationsstrukturen, IT-Sicherheit und Projektmanagement.

Frau Dr. Fiebig ist zudem PRINCE2 Professional, ITIL v3 Expert, ISO/IEC 27001 und ISO/IEC 20000 Consultant und Lead Auditor, Weiterbildung IT-Grundschutz und BPMN 2.0.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 42937270)