Wie verwalte ich die SaaS-Konten meiner Benutzer und deren Zugriff darauf? Wie definiere ich Zugriffsrichtlinien in PaaS-Anwendungen und setze deren Einhaltung durch, ohne noch mehr Sicherheitssilos zu schaffen? Gerade als viele Organisationen dachten, es wäre sicher, ihre Identity-and-Access-Management (IAM)-Strategie auf inkrementelle Weise fortzusetzen, erschien die Cloud, die den Stand der Dinge von Grund auf veränderte. Bei allen Vorteilen stellt sie die Nutzer und Anbieter von Services in öffentlichen, privaten und hybriden Cloud-Konfigurationen vor wohlbekannte Herausforderungen in Sachen Sicherheit. Dabei ist eines klar: Die Identität und die von ihr abhängenden Management- und Kontrolleinrichtungen sind unabdingbare Voraussetzungen für die sichere Inanspruchnahme von Cloud-Diensten.
Beobachtungen zur Sicherheit
Wenn es um die Nutzung von Cloud-Diensten geht, geben Sicherheit, Vertrauen, Compliance und Transparenz in vielen Fällen Anlass zu Bedenken. Wie viele von diesen Bedenken der subjektiven Wahrnehmung entspringen und wie viele der Wirklichkeit, darüber lässt sich diskutieren. Wir wissen allerdings, dass die Entwicklung und Annahme der Cloud schneller voranschreitet als diejenige der Sicherheitssysteme und -prozesse, die notwendig sind, um jene abzusichern. Hinzu kommt, dass der Cloud-Nutzer nur wenig Einblick erhält in die Infrastruktur des Cloud-Dienstanbieters.
Für einige sind diese Bedenken beträchtliche Barrieren, die sie davon abhalten, die Cloud in ihrer eigenen Umgebung einzusetzen. Für andere stellen sie potentielle Risiken dar, die auf dem Weg nach vorne, ohnehin in Kauf genommen werden müssen.
Bei näherem Befassen mit den Sicherheitsbedenken der Cloud stellt sich deshalb die folgende, grundlegende Frage: Ist IAM für die Sicherheit in der Cloud weiterhin so entscheidend wie vorher für das Unternehmen? Die Antwort lautet: ja. Gut entwickelte IAM-Bereiche wie automatisches Mitarbeiter-On- und -Offboarding, User-Self-Service, starke Authentifizierung, Zugriffskontrolle, Single Sign-On, Aufgabenaufteilung, Datenschutz, Verwaltung von privilegierten Benutzern, Schutz vor Datenverlust und Compliance-Reporting sind für die Cloud ebenfalls von allerhöchster Bedeutung.
IAM neu auch ein Thema für KMU
Traditionellerweise sind IAM-Produkte auf Gross-unternehmen und staatliche Einrichtungen mit grossen, dedizierten IT-Infrastrukturen mit zahlreichen Anwendungen und Benutzern zugeschnitten. Diese Organisationen kennen die potentiellen Schwierigkeiten und Risiken, die mit der Gewährung und Kontrolle von Zugriffsrechten in grossen, heterogenen Umgebungen verbunden sind, aus erster Hand. Mit der Cloud breiten sich die Zielgruppen, die IAM ernsthaft in Erwägung ziehen müssen, jedoch auch aus, beispielsweise auf kleinere Organisationen, Cloud-Serviceanbieter und staatliche Organisationen.
Für grosse Unternehmen besteht die Herausforderung darin, wie bereits vorhandene IAM-Lösungen wiederverwendet und in einer gemischten On-/Off-Premise-Welt wirksam in der Cloud eingesetzt werden können. Kleinere Unternehmen stehen beträchtlichen IAM-Herausforderungen gegenüber, zumal sie allmählich von der homogenen, auf Microsofts Active Directory (AD) basierenden Identitätswelt, in der sie immer noch angesiedelt sind, in eine andere wechseln, in der ihre IT-Services aus der mannigfaltigen Welt der Cloud kommen. Sie müssen neu die Verwaltung von Benutzern und deren Zugriff auf Cloud-Services managen, jedoch können sie sich aufgrund der Kosten und Komplexität der Bereitstellung keine IAM-Lösung vor Ort leisten.
Anbieter von Cloud-Services sehen sich derweil vor allem mit der Sicherheit einer sich stets weiterentwickelnden virtualisierten Umgebung sowie der Gewährleistung einer Unversehrtheit der ihnen anvertrauten Informationen konfrontiert.
Was ist mit alten IAM-Systemen?
Diejenigen, die bereits Erfahrung mit traditionellen, standortgebundenen IAM-Lösungen haben, werden rasch feststellen: In der Cloud haben wir es nicht mit einer IAM-Revolution zu tun, sondern mit einer Evolution. Obwohl die Cloud eine ganze Reihe neuer Nutzungsszenarien einführt, sind die Geschäftsprobleme die gleichen.
Eng verbunden mit dieser Beobachtung ist die Frage, ob bestehende IAM-Produkte weiterhin ihre kritische Rolle im Sicherheitsmanagement wahrnehmen können, während das Unternehmen zur Cloud greift. Für grosse Unternehmen mit beträchtlichen Investitionen in standortgebundene IAM-Lösungen ist die Antwort auf diese Frage dringend. Tatsache ist, dass Anwendungen, die für den Geschäftserfolg entscheidend sind, immer noch standortgebunden gehostet werden. Und dies wird voraussichtlich einige Zeit so bleiben. Die IT-Abteilung muss den Benutzerzugriff entsprechend verwalten. Mitarbeiterverzeichnisse und HR-Systeme fungieren weiterhin als Registerquellen für Unternehmensidentitäten. Compliance und Kostenreduzierung bewegen Unternehmen weiterhin dazu, ihre internen IAM-Prozesse zu automatisieren. Die Benutzer fordern nach wie vor automatische Anmeldung bei internen Anwendungen. Externe Benutzer benötigen nach wie vor Zugriff zu Unternehmensanwendungen. Die Cloud leugnet daher nicht den Wert standortgebundener IAM-Lösungen. Sie führt lediglich eine neue Dynamik ein, die uns zwingt, die Herausforderungen, die die hybride Landschaft «Cloud/Unternehmen» mit sich bringt, ganzheitlicher zu betrachten. Die Schlussfolgerung lautet: Die bereits existierende IAM-Technologie ist auf dem Weg in die Zukunft extrem wichtig. Sie wird für Unternehmen, die nach und nach in immer grösserem Mass zur Cloud greifen werden, eine entscheidende Rolle spielen.
Strategien für IAM im Cloud-Zeitalter
Wie bereits erwähnt, erweitert sich mit der Cloud die Zielgruppe für IAM-Lösungen und jede dieser Organisation hat unterschiedliche Geschäftsziele und Bedürfnisse. Grob lässt sich das in folgende drei IAM/Cloud-Kategorien oder Fallszenarien aufteilen: Ausdehnung des Unternehmens bis hin zur Cloud (IAM in die Cloud), IAM zur Sicherung des Cloud-Dienstanbieters (IAM für die Cloud) und IAM-Dienste, geliefert von der Cloud (IAM aus der Cloud).
IAM in die Cloud
Bei diesem Modell migrieren Unternehmen ihre Anwendungen und Daten von standortgebundenen Computern zur Cloud, sei es, indem sie diese selbst für dedizierte Nutzung in einer Cloud wie Amazon EC2 aufstellen, sei es, indem sie sich bei öffentlichen SaaS-Cloud-Diensten wie Salesforce.com anmelden. Die Schlüsselprobleme dabei sind, dass die Unternehmen lange Zeit in einer hybriden Umgebung verweilen (Mischung von Standortgebundenheit und Cloud), mit einigen Geschäftsanwendungen am eigenen Standort und anderen in der Cloud. Möglicherweise werden einige kritische Anwendungen den Wechsel zur Cloud niemals vollenden.
Einige der grössten Herausforderungen liegen dabei in der Notwendigkeit, neue Identitätssilos zu verwalten, das Benutzer-On- und Off-Boarding für Cloud-Dienste zu automatisieren, SSO auf die neuen SaaS-Dienste auszuweiten, sowie im mangelnden Einblick in die Struktur der Cloud für Prüfungs- und Berichterstattungszwecke. Diese Probleme können aber, und das ist sehr erfreulich, mit heute bereits vorhandenen IAM-Produkten gelöst werden. Diese werden in Zukunft durch zahlreiche neue Funktionen erweitert. Dazu werden Fähigkeiten gehören, die es dem Unternehmen erlauben, beispielsweise den Zugriff privilegierter Benutzer auf SaaS-Anwendungen zu verwalten und Sitzungsprotokolle aufzuzeichnen, ein erweitertes Administrationsmodell zur besseren Verwaltung von Föderationen in der Cloud zu erstellen oder die Identitätszertifizierung und -beglaubigung für SaaS-Anwendungen durchzuführen.
IAM für die Cloud
Bei diesem Modell kann der Cloud-Anbieter eine Drittpartei sein, die öffentliche Cloud-Dienste anbietet, oder auch ein Unternehmen, das seine eigene private Cloud verwaltet. Die Private Cloud ist normalerweise die Weiterentwicklung einer dedizierten IT-Infrastruktur und daher meistens immer noch einer einzelnen Instanz gewidmet – dem Unternehmen. Die öffentliche Cloud bedient mehrere Instanzen. Daher rücken zum Schutz der Privatsphäre und der Daten des Benutzers, dessen geistigen Eigentums, Absatzprognosen, Finanz- und Krankenakten und so weiter die Virtualisierungssicherheit und strikte Abgrenzung eigenständiger Benutzergemeinschaften (Kunden, IT-Personal, Verwaltung) weit mehr in den Vordergrund.
Cloud-Dienstanbieter stehen dabei vor der Frage, wie sie ihre sich stets weiterentwickelnde virtualisierte Umgebung, ihre ausgedehnte Nutzerbasis und ihre Benutzer mit Zugriff auf Cloud-Infrastruktur und Kundendaten verwalten sollen. Backdoor-Zugriffe – seien sie legitim oder betrügerisch – können Entwicklungsumgebungen, Produktions-, Speicher-, Datenbank-, Verwaltungs- und Berichterstattungssysteme blossstellen, ebenso wie physische Infrastrukturkomponenten wie Router und Firewalls. In dem Masse, wie Kunden und Branchengruppen bessere Sicherheitskontrollen verlangen, werden öffentliche Cloud-Dienstanbieter auch vor der Herausforderung stehen, ihre Cloud-Infrastruktur auf umfassendere und transparentere Weise zu sichern.
Auf Seite des Unternehmens muss die IT-Abteilung, wenn Daten in eine öffentliche Cloud migriert werden, Massnahmen ergreifen, um sich davon zu überzeugen, dass die eingesetzten Sicherheitskontrollen im Verhältnis zum Wert der Daten angemessen sind. Für hochwertige Daten sollte sich die IT-Abteilung bestätigen lassen, dass der Cloud-Dienstanbieter Sicherheitskontrollen eingeführt hat, die mindestens so wirksam sind wie die des Unternehmens selbst. Der Anbieter seinerseits muss transparenter sein und den Nutzern beispielsweise in regelmässigen Abständen Sicherheitsberichte zur Verfügung stellen.
Wie im vorherigen Modell sind die existierenden IAM-Produktlösungen weiterhin höchst relevant für öffentliche und private Cloud-Anbieter. Unter den bestehenden IAM-Kontrolltypen sind für den
unmittelbaren Einsatz zur Sicherung der Cloud vor allem Identitätsföderation, Protokollverwaltung, Benutzerverwaltung, Web-Access-Management und Provisionisierung von Bedeutung. Die weitere Produktentwicklung hat das Ziel, den Cloud-Dienstanbieter mit Identitäts- und Zugriffsverwaltungsfunktionen auszurüsten, die für die Verwaltung grosser, hierarchisch aufgebauter Mehrinstanzen-Cloud-Systeme besser geeignet sind. Weitere, zukünftige Funktionen sind beispielsweise ein Mandantenportal, das einen besseren Einblick in die Infrastruktur des Cloud-Dienstanbieters bieten soll, eine intelligente Bereitstellung von Kontroll- und Protokollierungsfunktionen, Auto-Discovery (z.B. von virtuellen Rechnern), eine erweiterte Richtlinienverwaltung von VM-Objekten und Unterstützung von Compliance-Anforderungen wie SAS-70 und OWASP.
IAM aus der Cloud
Bei diesem Modell werden einzelne IAM-Dienste für die Nutzung auf Abruf in die Cloud gesetzt. Sie werden damit prinzipiell zu IAM-SaaS-Diensten. Ohne Zweifel öffnet dieses Modell – mehr als die anderen – die Tür für eine neue Sorte von Diensten, die dazu beitragen werden, das IAM zu demokratisieren, indem sie es in eine Funktionalität verwandeln, die von jeder Organisation, ob gross oder klein, genutzt werden kann. Sicherlich ist dieses Modell in der Lage, eine Unzahl von IAM-Diensten zu bieten, die denen, die für standortgebundenes IAM entwickelt wurden, in aller Hinsicht entsprechen. Dennoch sind nicht alle IAM-Dienste ideale Kandidaten für SaaS. Es wird sich mit der Zeit erweisen, was die Kunden verlangen, während sich die Cloud weiterentwickelt.
Während einige IAM-SaaS-Dienste sicher unabhängig in der Cloud ausgeführt werden können, werden andere auf eine Integration mit standortgebundenen Unternehmenssystemen angewiesen sein. Die wirksame Unterstützung des hybriden Modells wird damit zu einem der Kernpunkte. Zum Beispiel das On- und Off-Boarding von Benutzern in ihre standortgebundenen Anwendungen, das Übertragen von Sicherheitsereignissen vom Unternehmen in die Cloud für Berichterstattungszwecke, die Synchronisierung von Identitäten zwischen kommerziellen SaaS-Diensten und einem standortgebundenen Mitarbeiterverzeichnis oder die Integration von IAM-Geschäftsprozessen zwischen standortgebundenem IAM und Cloud-basiertem IAM. Bei vielen der genannten Situationen handelt es sich um Herausforderungen technischer Art. Es gibt jedoch auch andere, wie zum Beispiel die Notwendigkeit eines brauchbaren offenen Standards für domänenübergreifende Provisionierung. Cloud-Dienstanbieter und ISVs sehen sich heute nach einem ausgereiften und breit angelegten IAM-Fundament um, um darauf einzelne IAM-SaaS-Dienste zu erstellen oder IAM-Dienste zusammen mit anderen Diensten anzubieten. Mit genügend Bandbreite und Flexibilität werden sie in der Lage sein, den Markt bald mit neuen Angeboten für Benutzer und deren Organisationen zu bestücken, von denen einige auf konkrete Branchen abzielen werden, wie zum Beispiel das Gesundheitswesen oder Finanzdienstleistungen, um nur zwei zu nennen. Es wird sich mit der Zeit erweisen, in welche Richtung sich der Markt entwickelt, aber es scheint wahrscheinlich, dass Dienste wie starke Benutzerauthentifizierung, Föderation, SSO, Identity Proofing und Protokollmanagement gute Aussichten haben werden, aus der Cloud heraus geliefert zu werden.
Die Fundamente sind da
Die Cloud stellt einen gewaltigen Wertzuwachs und eine Wachstums-chance dar. Zieht man den Kontrollverlust, den der Wechsel zur Cloud mit sich bringt, in Betracht, so ist es nur vernünftig, deren Bereitschaft hinsichtlich der Sicherheit zu hinterfragen. Die Probleme können mit einer Kombination von Verbesserungen an bereits vorhandenen IAM-Produkten, der Entwicklung neuer IAM-Dienste, der Partnerschaft mit Cloud-Anbietern und der Durchsetzung bewährter Praktiken und Standards in der Branche gelöst werden.
Tony Goulding ist leitender Angestellter im Geschäftsbereich Cloud bei CA Technologies.
