IDaaS richtig verstehen: Vorteile und Risiken von Identity as a Service

Beim Identity Management as a Service (IDaaS) dient die Cloud der Nutzer-Authentifizierung. Damit einher gehen Cloud-Vorteile wie leichtere Verwaltung und höhere Verfügbarkeit.

Sicherheit wird immer wieder als Hauptgrund dafür genannt, warum Unternehmen mit einem Umzug in die Cloud noch...

zögern. Davon ganz unbeeindruckt bringen Software-Anbieter immer mehr Features, Funktionen und Daten in die Cloud – einschließlich Nutzer-Identitäten und des Prozesses für ihre Authentifizierung.

Ein Nebenprodukt dieses Trends ist das Aufkommen von Identity Management as a Service (IDaaS), also von Cloud-Infrastrukturen zur Authentifizierung. Diese bieten alle üblichen Vorteile der Cloud, wie weniger Infrastruktur vor Ort, leichteres Management und mehr Auswahl bei Integrationsoptionen. Doch es gibt auch Risiken, konkret hinsichtlich Verfügbarkeit, Schutz von Identitätsdaten und letztlich auch Vertrauen in einen Dritten, der eine kritische Geschäftsfunktion übernimmt. Wiegen diese schwerer als die Vorteile?

Sorgen Sie dafür, dass Sie den Schutz Ihrer Identitäten wirklich verstanden haben. Das sind die Schlüssel zu Ihrem Königreich.

Randall Gamby, Manager Informationssicherheit, CMA Consulting

Gregg Keizman, Vice President Research bei der Marktforschungsfirma Gartner Inc. aus dem US-Bundesstaat Connecticut, unterteilt IDaaS-Dienste in zwei Kategorien: Web-Software für den Zugriff auf Cloud-basierte Anwendungen wie Software as a Service (SaaS) und Anwendungen mit Web-Architekturen einerseits, und über die Cloud realisiertes klassisches Identitätsmanagement. Bei der zweiten Kategorie liefern die Anbieter schlicht den traditionellen Software-Stack für Identitätsmanagement über die Cloud.

Laut Kreizman sind die Kunden aber eher an Web-zentrischem IDaaS interessiert. „Wie es scheint, geben sie diesen Teil von Identitäts- und Zugriffsmanagement eher ab, weil sie zunehmend Cloud-Anwendungen nutzen“, sagt er. Wahrscheinlich herrsche einfach die Ansicht, dass es einfacher ist, auch diesen Teil dem Anbieter zu überlassen, der schon die Cloud-Verbindung für SaaS geschaffen hat.

Das Entwickeln der Konnektoren zwischen IDaaS und Anwendungen vor Ort ähnele stark der gleichen Aufgabe mit einem Identitätsprodukt vor Ort, so Kreizman – in beiden Fällen sei viel Integrationsarbeit erforderlich. Diese Dienste könnten auch mit SaaS funktionieren, aber nicht im vollen Umfang. „Die Anbieter, die auch alte Architekturen bedienen, haben wahrscheinlich eine kleine Bibliothek von SaaS-Anwendungen, mit denen sie schon verbunden sind“, sagt Kreizman. „Web-zentrische Anbieter aber leben dafür“.

Jedoch funktionieren die Web-zentrischen IDaaS-Anwendungen nicht mit Anwendungen vor Ort. „Sie haben nicht die vielen speziellen Features von alten Software-Stacks für Identitäts- und Zugangsmanagement“, so Kreizman. Stattdessen übernehmen sie nur grundlegende Aufgaben wie das Verschieben von Identitätsdaten von einem Verzeichnis im Unternehmen in die Cloud, um  Accounts in der Cloud anzulegen, und föderierte Authentifizierung, die ein Single Sign-on der Nutzer ermöglichet „Das sind recht rudimentäre Dienste, die Organisationen und ihren Anwendern relativ einfachen Zugang zu SaaS geben sollen.

Bei beiden Arten von IDaaS – Web-zentrisch und über die Cloud für alte Systeme – gibt es dieselben Sicherheitsrisiken wie auch bei SaaS. Mit einem wichtigen Unterschied: Bei IDaaS kann es keinen Zweifel daran geben, dass die Daten in der Cloud sensibel sind.

IDaaS und Outsourcing kritischer Funktionen

Bei der Nutzung von IDaaS kommen Prozesse, die sich bislang hinter der Firewall und fast immer rein intern abspielten, ins Internet. Darüber müsse man sich im Klaren sein, sagt der Cloud-Sicherheitsexperte Joseph Granneman: „Man überträgt eine sehr kritische Funktion seines Geschäfts nach außen an einen Dritten, vor allem beim Aspekt Provisionierung. Und man hat dabei keinerlei Einblick, wie diese Prozesse funktionieren“. Weitere IDaaS-Risiken betreffen Personal (wird ihr Hintergrund vom Provider überprüft?), Daten-Discovery, betriebliche Maßnahmen, Zugang zu Kunden-Daten und das Management von Zugangsdaten.

Hinzu kommt die Frage von regulatorischer Compliance. „Es mangelt an Standards und Best Practices, die für den gesamten Sicherheitsbereich gelten“, sagt Randall Gamby, zuständig für Informationssicherheit bei CMA Consulting im US-Bundesstaat New York. „Identität ist die erste Komponente von regulatorischer Compliance. Bevor man sicherstellen kann, dass die richtigen Leute den richtigen Zugriff auf die richtigen Daten haben, muss man erst einmal dafür sorgen, dass man die richtigen Leute hat“.

Das Verlagern von Identitätsmanagement in die Cloud werfe eine ganze Reihe von Fragen hinsichtlich Auditierung, Compliance und Vorgehen im Fall von offengelegten Informationen auf, so Gamby. „Gesetze sagen wenig darüber, wie ein Identity-Provider vor der Offenlegung von Informationen schützen muss“, erklärt er. Die Realität sei: Die meisten Geschäftsbedingungen und Service-Level Agreements von Cloud-Provider entsprechen nicht dem, was bei einer firmeneigenen internen Umgebung üblich ist. Hinsichtlich regulatorischer Compliance könne der Zug in die Cloud deshalb zu deutlich größeren Risiken führen.

Gefragte Dienste

Trotz der Risiken finden manche Organisationen die Idee attraktiv, ihr Identitätsmanagement Cloud-Anbietern zu überlassen. „Es existiert zwar schon seit Ewigkeiten, aber immer noch verstehen nur wenige Leute Identitätsmanagement so richtig“, sagt Gamby. „Wenn Sie eine kleine oder komplexe Organisation sind und das nötige Fachwissen nicht im Haus haben, kann es sehr schwierig sein, eine starke Identitätsarchitektur aufzubauen. Wenn man in die Cloud geht, nimmt man an, dass dort Experten für diesen Bereich für einen arbeiten“.

Zugleich warnt der Experte: „Sorgen Sie dafür, dass Sie den Schutz Ihrer Identitäten wirklich verstanden haben. Das sind die Schlüssel zu Ihrem Königreich.“

Andere Experten raten Organisationen dazu, vor dem Einsatz von IDaaS ihre Toleranz für Sicherheitsrisiken zu prüfen. Von allen SaaS-Angeboten ist IDaaS laut Granneman das am wenigsten ausgereifte. „Wir sind noch in einem frühen Stadium, das man beobachten muss“, sagt er, „konservative Organisationen sollten es vorerst dabei belassen. Beschäftigen Sie sich damit, aber legen Sie nicht sofort los“.

Wenn Ihre Organisation gewisse Risiken zu tragen bereit ist, denken Sie sorgfältig darüber nach, welche Identitäten Sie auslagern können. „Manche Sachen verwaltet man wahrscheinlich besser weiterhin intern“, sagt Gamby. Beim Identitätsmanagement solle die Identität passend zum Wert der Daten behandelt werden: „Die Daten, die jeweilige Identität und Ihr Vertrauen in das gebotene Sicherheitsniveau entscheiden jeweils darüber, ob Sie damit in eine Cloud-Umgebung gehen können, ohne Ihr Unternehmen anfälliger für Risiken zu machen.

Über den Autor: Crystal Bedell ist freiberufliche Autorin mit dem Spezialgebiet Informationssicherheit, Cloud-Computing und Netzwerke. Sie erreichen sie unter cbedell@bedellcommunications.com.

Artikel wurde zuletzt im November 2012 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über SaaS-Sicherheit: Cloud-Services und -Systeme

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close