Multifaktor-Authentifizierung in der Cloud: Eine Bewertung der Service Provider

Mit Multifaktor-Authentifizierung versuchen Cloud-Provider für mehr Sicherheit zu sorgen. Unser Experte erläutert die Ansätze von zwei Anbietern.

In den vergangenen Jahren wurden viele Unternehmen, deren Geschäftsmodell auf Cloud-Services basiert, Ziel von Cyber-Angriffen. Dazu gehören unter anderem Zappos, Evernote und LinkedIn. Das Resultat war der Diebstahl unzähliger Passwörter. Es wurde bereits viel über sicheres Passwort-Management als Reaktion auf solche Vorfälle geschrieben. Die Realität zeigt, dass ein Zugriff auf Cloud-Services über einfache Authentifizierung mit Name und Passwort hinausgehen muss.

Zum Glück führen immer mehr Cloud-Provider stärkere Authentifizierungs-Maßnahmen ein. Auch an der Robustheit der Authentifizierung und der rollenbasierten Zugriffskontrolle wird gearbeitet. Wie lassen sich die Authentifizierungs-Mechanismen der einzelnen Provider allerdings vergleichen?

In diesem Beitrag erörtern wir die Optionen der Multifaktor-Authentifizierung einiger Cloud-Provider. Weiterhin gehen wir auf Herausforderungen und Vorteile bei Authentifizierungs-Mechanismen und -Technologien in der Public Cloud ein.

Multifaktor-Authentifizierung in der Cloud

Wenn wir über über Public-Cloud-Provider sprechen, stechen zwei Namen heraus: Amazon Web Services (AWS) und Microsoft Windows Azure. Wir konzentrieren uns daher auf die Authentifizierungs-Optionen dieser beiden Provider.

Microsoft hat kürzlich seinen Windows Azure Multi-Factor Authentication Server veröffentlicht. Dabei handelt es sich um Update der PhoneFactor-Anwendung, die Microsoft 2012 akquiriert hat. Diese beinhaltet einige einfache Authentifizierungs-Funktionen. Zusätzlich zum Azure-Passwort, können Entwickler festlegen, dass Anwender zum Beispiel per E-Mail, Telefonanruf oder SMS benachrichtigt werden, wenn sie sich authentifizieren. Hierbei wird ein zusätzlicher PIN oder ein Authentifizierungs-Token zugesandt, um sich vollständig anzumelden.

Microsoft hat diese Form der Authentifizierung praktisch gestaltet. Sie lässt sich nativ sowohl On-Premise als auch in Azure-basierte Active-Directory-Benutzerkonten integrieren, was eine lokale Verwendung oder Integration innerhalb von Active Directory ermöglicht. Zusätzlich lässt sich Multifaktor-Authentifizierung mit RADIUS, Lightweight Directory Access Protocol (LDAP) und Internet-Information-Server- (IIS-) Web-Applikationen kombinieren. Eine Erweiterung und Integration in die Azure-Cloud ist ebenfalls denkbar. Die Möglichkeit, Multifaktor-Authentifizierung sowohl lokal als auch in der Azure-Cloud einzusetzen, hat für Kunden viele Vorteile. Damit ist in hybriden Cloud-Umgebungen ein größerer Schutz vorhanden. Das gilt sowohl für die interne Cloud- als auch Public-Cloud-Szenarien.

Wie schlägt sich AWS im Vergleich zu Microsofts aktuellstem Cloud-Authentifizierungs-Produkten? Zunächst einmal bietet Amazon Multifaktor-Authentifizierung sowohl für administrative AWS-Konten als auch innerhalb angelegter AWS Identity and Access Management (IAM) Rollen an. Amazon Web Services gestattet außerdem die Soft-Token-Integration von Computer, Tablets und Smartphones, die Anwendungen auf Basis des „Time-based One-Time Password-Algorithmus“ verwenden. Beispiel hierfür sind Google Authenticator, AWS Virtual MFS für Android und Authenticator für Windows-Smartphones. Alternativ können Anwender einen Hardware-Token von Gemalto erwerben und einsetzen.

Viele Cloud-Provider bieten Authentifizierungs-Optionen an, die denen von Microsoft oder Amazon ähneln. Die meisten konzentrieren sich auf mobile Geräte und verwenden eine Kombination aus SMS, Telefonanrufen oder lokal generierten Codes. Google setzt zum Beispiel neben Benutzername und Passwort auf eine Zweit-Authentifizierung. Dazu wird mit einer App auf einem Mobilgerät ein Code zur Verifizierung generiert. Alternativ wird dieser Code an Mobilgeräte per SMS oder Sprach-Anruf übertragen. Dieser Code wird nach Eingabe des Benutzernamens und Passworts verwendet, um Zugriff auf alle Google-Anwendungen zu erhalten.

Hürden bei der Cloud-Authentifizierung

Wir haben nun die Authentifizierungs-Möglichkeiten größerer Cloud-Provider dargelegt. Welche Herausforderungen gibt es aber für Unternehmen, wenn Sie Multifaktor-Authentifizierung in der Public Cloud einsetzen wollen? Wie bereits erwähnt, konzentrieren sich viele Optionen auf mobile Geräte. Sollten diese verloren gehen oder gestohlen werden, sind die entsprechenden Anwender-Konten zumindest für einen begrenzten Zeitraum einer Gefahr ausgesetzt. Allerdings haben die meisten „Soft-Token“-Authentifizierungs-Tools dieses Risiko automatisch. Wenn sich Unternehmen für diesen Weg entscheiden, müssen sie damit leben. Ein weiteres Problem stellt der Support für Anwender dar, die ihren PIN vergessen oder einen Hardware-Token verloren haben. Das gilt speziell dann, wenn der Cloud-Provider für den Support zuständig ist. Studieren Sie aus diesem Grund die Service-Level-Agreements (SLAs) und mögliche Optionen des Supports sorgfältig, wenn Sie mit Authentifizierungs-Tools eines Cloud-Providers arbeiten.

Schließlich kann die Kompatibilität zu existierenden Anwendungen und IAM-Infrastrukturen der Firma eine Herausforderung sein. Das gilt vor allem, wenn die Firma bereits Multifaktor-Optionen einsetzt, die sich von denen des Cloud-Providers unterscheiden. Aus diesem Grund setzen einige Unternehmen auf Identity-as-a-Service-Provider, die eine Kombinationen aus Authentifizierung und Autorisierung anbieten. Damit müssen Sie diese Möglichkeiten nicht intern implementieren oder sich nur auf die Provider verlassen. Microsofts neueste Authentifizierungs-Optionen könnten letztlich mehr Flexibilität anbieten als die Produkte anderer Cloud-Provider. Das gilt vor allem im Hinblick auf die Bereitstellung und Integration interner Applikationen in hybride Cloud-Umgebungen.

Fazit

Wie bei traditionellen IT-Umgebungen ist Authentifizierung in der Cloud ein wunder Punkt. Die von Cloud-Providern wie zum Beispiel AWS oder Microsoft angebotenen Multifaktor-Authentifizierungen sind ein Anfang, um dieses Problem zu bewältigen. Unternehmen müssen aber nach wie vor umsichtig sein. Der Einsatz schwacher oder inkompatibler Authentifizierungen könnte zu Schwierigkeiten führen. Deswegen sollten Sie sich bereits im Vorfeld informieren, ob der entsprechende Cloud-Provider kompatible Authentifizierungs-Services im Portfolio hat. Auf diese Weise ersparen Sie sich jede Menge Arbeit.

Über den Autor: Dave Shackleford ist der Eigentümer und leitender Consultant von Voodoo Security. Er hat bereits mehrere Hundert Unternehmen in den Bereichen Security, Compliance und Netzwerk-Architektur beraten. Zudem ist er erfahrener VMware-Experte für das Design und die Konfiguration von sicheren virtualisierten Umgebungen. Shackleford hat als CSO für Configuresoft, als CTO beim Center for Internet Security und für diverse Fortune-500-Unternehmen als Security-Architekt, Analyst und Manager gearbeitet. Er ist Autor des Buchs “Virtualization Security: Protecting Virtualized Environments sowie Co-Autor von “Hands-On Information Security” von Course Technology. Vor kurzem war er ebenfalls als Co-Autor für die Erstausgabe des vom SANS-Institut entworfenen Kurses über Virtualisierungs-Security tätig. Derzeit ist er im Vorstand des SANS Technology Institutes und unterstützt die Leitung der Cloud Security Alliance.

Artikel wurde zuletzt im Dezember 2013 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Strategien für Zweifaktor-und Multifaktor-Authentifizierung

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close