nobeastsofierce - Fotolia

Identitäts-Management aus der Cloud: Darauf müssen Unternehmen achten

Mit der Ausweitung in die Cloud kann sich das Thema Identity Management beinahe beliebig komplex entwickeln. Spezielle Lösungen versprechen Abhilfe.

Mit Hilfe von Cloud-Security-Lösungen oder Security as a Service (SaaS) können Unternehmen Sicherheitsstrategien umsetzen, die mit vorhanden Lösungen im eigenen Rechenzentrum oft nur schwer zu realisieren sind. Der Anwendungsbereich Identity and Access Management gehört zu den besonders beliebten Diensten, die aus der Cloud bezogen werden können. Entsprechende Lösungen können vollständig in der Cloud betrieben werden, oder auch als Hybridmodell mit dem eigenen Rechenzentrum umgesetzt werden.

Sowohl das Identitäts-Management – also das Anlegen, Bearbeiten und Löschen von Identitäten, als auch das Zugriffs-Management, das der Identität die entsprechenden Berechtigungen verschafft, sind in heutigen IT-Umgebungen unabdingbar. Für Unternehmen, die Cloud-Lösungen einsetzen, ist in Sachen Sicherheit die Fähigkeit, die richtigen Rollen mit den passenden Zugriffsrechten auszustatten, von großer Bedeutung.

Der Markt für IAM aus der Cloud wächst, und viele Unternehmen, die heute noch keine entsprechende Lösung einsetzen, werden dies wahrscheinlich in Zukunft tun.

Cloud IAM: Darauf muss man achten

Bevor sich ein Unternehmen für einen Cloud-Dienst in Sachen Identity and Access Management entscheidet, gilt es ein paar Punkte zu beachten: Es sollte von Anfang klar sein, wie das System die Provisionierung von Benutzerkonten handhabt. Dies setzt voraus, dass im Unternehmen selbst eine sichere Strategie implementiert ist, die eigenen Verzeichnisdienste aktuell zu halten.

Der gesamte Lebenszyklus der Benutzerkonten wird mit einer solchen Lösung auf die Cloud ausgeweitet. Damit wird festgelegt, ob die jeweilige Identität den gewünschten Zugriff erhält. Die Cloud-IAM-Systeme sorgen auch für die Anwendung entsprechender Richtlinien auf die Konten, wenn diese versuchen, auf bestimmte Ressourcen zuzugreifen. Was bislang über die eigene Infrastruktur abgebildet und geregelt wird, erfolgt nun in der Cloud und häufig über Drittanbieter. Dabei gilt es, die gleiche Sicherheit der Verzeichnisdienste sicherzustellen wie innerhalb des Unternehmens.

Benutzerkonten werden üblicherweise über Verzeichnisse abgebildet und es ist von Bedeutung, wo sich dieses Verzeichnis befindet. Oftmals wird dies über einen hybriden Ansatz realisiert: Die eindeutigen Identitäten werden in einem lokalen LDAP-Verzeichnis (Lightweight Directory Access Protocol) abgelegt, aber die Authentifizierung oder auch Autorisierung erfolgt über einen Cloud-Dienst. Die Benutzer-Datenbank kann entweder in der Cloud gespeichert werden, oder wie erwähnt lokal in einer LDAP-Implementierung. Für letzteres ist üblicherweise bereits alles innerhalb des Unternehmens vorkonfiguriert. Ein guter IAM-Dienst bietet die Möglichkeit der Multifaktor-Authentifizierung für Benutzerkonten.

Bei der Authentifizierung über Cloud-IAM-Lösungen empfiehlt es sich durchaus, eine Zwei-Faktor-Authentifizierung zu verwenden, am besten in Verbindung mit einer risikoorientierten Authentifizierung für bestimmte Dienste. Der Zugriff auf Dienste außerhalb der eigenen Infrastruktur beinhaltet zusätzliche Sicherheitsrisiken, daher sollte nicht gerade dort ein geringerer Anspruch an die Authentifizierung gestellt werden als innerhalb der eigenen Umgebung.

Cloud-IAM-Richtlinien

Das Erstellen für Richtlinien für Benutzerkonten innerhalb einer IAM-Lösung gehört zu den Standardaufgaben eines Identitäts- und Zugriffs-Managements. Für das Anlegen der Regeln und die Überprüfung, ob eine bestimmte Entität oder Identität berechtigt ist, kommt ein so genannter Policy Decision Point (PDP) zum Einsatz.

Für diese Anfragen seitens der Nutzer kommt ein Policy Enforcement Point (PEP) als Gateway zum Einsatz. Von hier aus werden die Attribute zum PDP gesendet, um festzustellen, ob die ordnungsgemäßen Berechtigungen vorliegen und die Anfrage abschließend bearbeitet werden kann. Die PEP-Software kann ein Agent innerhalb eines Webservers sein oder direkt im LDAP integriert sein. Will heißen, der PEP erzwingt die Einhaltung der Richtlinie, die im PDP hinterlegt ist.

Ob IAM nun über die Cloud oder rein lokal realisiert wird, ein ordentliches Reporting gehört zu den Grundfunktionen. Eine Berichterstattung in Sachen Zugriffsfehler, der Bereitstellung von Konten, der Prüfung von Benutzerkonten sowie weiterer Optionen ist für ein Unternehmen unabdingbar. Ohne derlei Reporting wird es schwierig, bei auftauchenden Problemfällen die Ursache nachvollziehen zu können. Ganz abgesehen davon, dass viele Unternehmen schon aus rechtlicher oder regulatorischer Sicht die entsprechenden Inhalte zwingend protokollieren müssen.

Cloud-IAM richtig auswählen

Bei der Suche nach einer passenden Cloud-IAM-Lösung sollte man darauf achten, wie es um die Architektur derselben bestellt ist. Daher sollte man vor der Auswahl einige Fragen beantworten: Verwendet der Anbieter Standardprotokolle in seiner Lösung? Werden die Authentifizierungs- und Autorisierungsdaten über SAML (Security Assertion Markup Language) ausgetauscht? Wird ein domänenübergreifendes Identitäts-Management unterstützt? Wie werden Benutzeridentitäten zwischen Systemen ausgetauscht? Wird OpenID oder Open Authorization als zusätzliche Methode zur Authentifizierung und Autorisierung berücksichtigt? Kommen bei einer Lösung nicht die aktuellen und standardisierten Protokolle zum Einsatz, sollte man sich doch vielleicht Alternativen ansehen.

Wenn eine Lösung die genannten Standards unterstützt, verringert dies auch das Risiko des so genannten Vendor Lock-in, bei dem man auf Gedeih und Verderb an den Anbieter gebunden ist. Unterstützt der Anbieter diese Standards nicht oder wird das Nutzerverzeichnis ausschließlich in der Cloud abgelegt, kann eine irgendwann erforderliche Migration sehr komplex sein. Daher sind die Interoperabilität und die Möglichkeit der Mitnahme von Daten sehr wichtig bei der Auswahl einer Cloud-basierten IAM-Lösung.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Risiko Zugangsdaten: IAM für Cloud-Anwendungen

IAM: Zugriffsrechte an Identitäten koppeln

IAM-Strategie an Cloud und Software-defined-Ansätze anpassen

Identity and Access Management: Die passenden Zugriffsrechte definieren

Artikel wurde zuletzt im April 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über IT-Sicherheit: Policies, Prozeduren und Richtlinien

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close