F
Dieser Artikel ist Teil unseres Guides: Sicherheit für hybride IT-Infrastrukturen gewährleisten

Wie können Unternehmen den Zugriff auf Cloud-Dienste absichern?

Unternehmen nutzen immer mehr Cloud-Dienste und müssen deswegen viele Zugangsdaten verwalten. Dazu bieten sich IDaaS- und CASB-Dienstleister an. Ihre Nutzung birgt aber Risiken.

Identity and Access Management (IAM) in der Cloud ist eines der wichtigsten Sicherheitsthemen, das IT-Security-Teams derzeit beschäftigt. In vielen Unternehmen werden heutzutage Dutzende, wenn nicht gar Hunderte SaaS- (Software as a Service), PaaS- (Platform as a Service) und IaaS-Anwendungen (Infrastructure as a Service) genutzt. Ohne eine Methode zur zentralen Verwaltung dieser Cloud-Lösungen ist es nahezu unmöglich, den Überblick darüber zu behalten, wer auf welche Dienste zugreift und wie sicher sie konfiguriert sind. So haben unterschiedliche SaaS-Dienste nicht selten voneinander abweichende Vorgaben und Einstellungen für Passwörter. Das Management der Zugriffsrechte auf die darin gespeicherten Informationen ist deswegen nur selten einheitlich.

Die wichtigste Herausforderung bei der Kontrolle von Zugriffsrechten auf die Cloud ist, die verschiedenen Anmeldefenster und -vorgänge in die in der Regel bereits bestehenden Sicherheitsrichtlinien eines Unternehmens zu integrieren. Im Idealfall steht dann ein Single Sign-on zur Verfügung. Zwei Wege stehen dafür vor allem bereit: Einerseits die Nutzung eines IDaaS-Anbieters (Identity as a Service) oder der Einsatz eines Cloud Access Security Brokers (CASB). Die meisten CASBs integrieren IDaaS in ihr Portfolio.

Vereinfacht gesagt, dient IDaaS dazu, den Zugang zu Cloud-Diensten mit einer zentralen Zusammenführung der diversen genutzten Identitäten zu erleichtern. Dazu lässt sich etwa eine Technik wie die Security Assertion Markup Language (SAML) nutzen, die dazu dient, Anmeldedaten an einen Cloud-Dienst weiter zu reichen. Diese Informationen können auch aus einer bereits im Unternehmen vorhandenen Quelle stammen, zum Beispiel einem Active Directory. Das macht es relativ leicht, selbst große IAM-Umgebungen in die Cloud zu migrieren.

Ein Cloud Access Security Broker erweitert diese Dienste um fein justierbare Einstellmöglichkeiten. Im Idealfall ermöglicht es ein CASB, die in einem Active Directory festgelegten Richtlinien auch weiterhin in der Cloud zu verwenden.

Neue Gefahren bei der Zugriffskontrolle über die Cloud

Es gibt allerdings ein paar wichtige Punkte, die beachtet werden sollten, bevor eine IDaaS-Lösung in der Praxis eingesetzt werden kann. Wie bei jedem Cloud-Dienst hängt ihre Sicherheit vor allem von dem jeweiligen Anbieter ab. Jeder Provider, der Zugangsdaten anderer Unternehmen in größerem Umfang speichert, ist ein primäres Angriffsziel für Hacker aller Couleur. Der erst vor kurzem erfolgte Angriff auf den IDaaS-Anbieter OneLogin belegt, dass in der Cloud gespeicherte Zugangsdaten nicht immer so sicher sind wie gewünscht.

Die Absicherung der Nutzerdaten eines Unternehmens ist jedoch von absoluter Wichtigkeit für den Schutz der gesamten Geschäftsaktivitäten. So könnten bei einem IDaaS-Anbieter gestohlene Anmeldeinformationen genutzt werden, um sich Zugang zu den essentiellen Geschäftsdaten eines Unternehmens zu verschaffen – sowohl in der Cloud als auch On-Premises. Nutzer eines IDaaS-Dienstes geben praktisch alle Schlüssel zu ihrem gesamten Netzwerk in die Hände eines Dritten. Die Sicherheitsmaßnahmen des Providers sollten deswegen mindestens so hoch sein, wie die bislang von dem Kunden genutzten. Besser wäre noch, sie wären höher.

Gerade ein Dienst zur Kontrolle von Zugriffsrechten in der Cloud sollte im Idealfall möglichst nicht selbst in der Cloud liegen. Auch der Nutzerkreis, der auf diese Services zugreifen darf, sollte auf das absolut nötige Minimum eingegrenzt werden. Eventuell ist es dann gar nicht mehr nötig, einen externen CASB- oder IDaaS-Dienst zu nutzen. Nur falls die Verwaltung wirklich nicht selbst zu lösen ist und wenn die externen Services für den weiteren Betrieb der Infrastruktur benötigt werden, sollte ein Dienstleister in Betracht gezogen werden.

Wenn sich ein Unternehmen dazu entscheidet, einen IDaaS- oder CASB-Provider zu nutzen, dann müssen die Sicherheitsmaßnahmen des Anbieters vorher gründlich geprüft werden. Werden allgemein akzeptierte Security-Standards eingehalten und können die Ergebnisse von bestandenen Penetrationstests vorgelegt werden, um die Sicherheit der Daten zu garantieren? Am besten wäre es, wenn die Entscheider zuerst alles Menschenmögliche unternehmen, um ihre Cloud-Anmeldedaten gar nicht in der Cloud speichern zu müssen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

IAM für Cloud-Anwendungen

Per CASB die Sicherheit für IaaS-Umgebungen erhöhen

IAM-Strategie an die Cloud anpassen

Artikel wurde zuletzt im Oktober 2017 aktualisiert

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close