Cloud-Provider wie Microsoft, IBM, Google, AWS, T-Systems und SAP haben eigene Lösungen für den Schutz der Identitäten in der Cloud. Wir geben einen Überblick.
Die lange Ausstellerliste bei Veranstaltungen wie der European Identity & Cloud Conference 2016 macht deutlich, wie viele Anbieter und Lösungen es für das Identity and Access Management (IAM) in der (hybriden) Cloud gibt. Viele dieser Lösungen besitzen bereits standardmäßig Schnittstellen für die Anbindung an die großen Cloud Service Provider. Doch was bieten eigentlich die führenden Cloud Service Provider selbst, um Cloud-Identitäten zu schützen? Wir machen den Anbieter-Check.
Sichere Identitäten sind gerade in der Cloud wichtig. Doch was bieten die großen IT-Player im IAM-Bereich? Foto: LeoWolfert - www.shutterstock.com
Für den Schutz von Cloud-Identitäten stehen bei Microsoft einheitliche Identitäten für On-Premise und Cloud, Single-Sign-On für zahlreiche Cloud-Apps, Self-Service für Kennwörter und Gruppen, Unterstützung einer Multi-Faktor-Authentifizierung, die zentrale Verwaltung von Richtlinien und Zertifikaten, Berichte über Veränderungen an Identitäten sowie Privileged Access Management zum Schutz von Administratorkonten bereit.
Microsoft bietet vielfältige Möglichkeiten zur Verwaltung von Cloud-Identitäten rund um Azure Active Directory und den Microsoft Identity Manager. Foto: Microsoft
Als neue Entwicklungen für den Schutz von Cloud-Identitäten sind insbesondere die Services Azure Active Directory Identity Protection und Azure Active Directory Privileged Identity Management zu nennen. Diese Services dienen dazu, verdächtiges Verhalten von Nutzern bzw. Administratoren zu erkennen, um so einen Identitätsdiebstahl oder Zugangsmissbrauch schneller feststellen zu können. Gesucht wird unter anderem nach Anzeichen für Brute-Force-Attacken, Phishing-Versuchen, Anmeldeversuchen von ungewöhnlichen Standorten oder von infizierten Geräten.
Zusammenfassen kann man den Schutz von Cloud-Identitäten bei Microsoft als Vereinheitlichung der Identitäten, Überwachung der verdächtigen Aktivitäten von Identitäten, die Unterstützung weiterer Sicherheitsfaktoren bei der Zugangskontrolle und die Self-Service-Funktionen für die Nutzer.
Für die Absicherung von Cloud-Identitäten stehen nicht nur Funktionen wie Single-Sign-On (SSO), automatisches Kennwortmanagement, Prüfprotokolle, das zentrale Management von privilegierten Identitäten und Mehr-Faktor-Authentifizierungen zur Verfügung. Die Identity-Lösungen von IBM lassen sich auch mit IBM Security-Produkten wie IBM Security Identity Governance, IBM QRadar SIEM und IBM Security Access Manager-Appliances verknüpfen. Dadurch kann das Identity Management von Security-Intelligence-Lösungen profitieren, und die Absicherung der Cloud-Identitäten kann abhängig vom aktuellen Risiko erfolgen.
Eine wichtige Entwicklung im Bereich Sicherheit für Cloud-Identitäten ist IBM Identity Mixer. Damit soll es für den Nutzer möglich werden, gegenüber einem Onlinedienst jeweils nur ausgewählte Informationen offenzulegen, Identitätsattribute wie beispielsweise das Alter des Nutzers. So ist der Nutzer in Zukunft in der Lage, selektiv nur die wirklich benötigten Eigenschaften und Angaben wie sein Alter gegenüber Dritten nachzuweisen, ohne dabei seine eigene Identität vollständig zu offenbaren.
Lösungen aus dem Bereich Security Intelligence wie IBM QRadar User Behavior Analytics unterstützen bei der Absicherung der Cloud-Identitäten, indem sie auf verdächtiges Nutzerverhalten aufmerksam machen und damit auf einen möglichen Identitätsdiebstahl und -missbrauch. Foto: IBM
Google
Für die Google Cloud Platform stehen integrierte IAM-Funktionen zur Verfügung. Dazu gehören Rollenmodelle, ein Zugriffsberechtigungssystem, ein Audit-Trail für die Dokumentation und Kontrolle der Aktivitäten der Identitäten. Ebenso vorhanden ist die Mehrfaktor-Authentifizierung für Google-Konten.
Zur Auswahl stehen dabei Einmal-Passworte, die per SMS an das Telefon des Nutzers, per Sprachanruf oder über eine mobile App von Google gesendet werden. Auch USB-Token werden für die Zwei-Faktor-Authentifizierung unterstützt.
AWS
Nutzer der AWS Cloud-Dienste haben ebenfalls die Möglichkeit, vielfältige AWS-Funktionen für die Sicherheit der digitalen Identitäten einzusetzen. Zu den IAM-Funktionen von AWS gehört es, dass den Nutzern zum Beispiel Multifaktor-Authentifizierungsgeräte oder temporäre Anmeldeinformationen zugewiesen werden können, um den Benutzern einen kontrollierten Zugriff auf AWS-Services und -Ressourcen zu gewähren.
Neben einem Rollen- und Berechtigungssystem lassen sich Gruppen definieren, Kennwortrichtlinien konfigurieren, Vorgaben zum Kennwortwechsel definieren und privilegierte Zugriffe beschränken, wie man es von einem IAM-System erwartet. Optional können die Aktivitäten auf Identitätsbasis überwacht werden, wenn AWS CloudTrail genutzt wird. Damit stehen auch bei AWS vielfältige IAM-Funktionen bereits als Angebot des Providers zur Auswahl.
Bei DSI vCloud zum Beispiel kann der Kunde vordefinierte Rollen und Berechtigungsmodelle nutzen, welche er seinen selbstverwalteten Usern zuweisen kann (Account- und Berechtigungsmanagement im vCloud Director). Bei DSI Intercloud und Open Telekom Cloud steht der Identification and Authentication Service über das MyWorkplace Portal bereit.
Seit März 2016 besteht eine Partnerschaft mit OneL
ogin. Die OneLogin-Lösung verwaltet die Identitäten in der hybiden Cloud. Authentifizierungsverfahren wie Single Sign On oder Zwei-Faktor-Autorisierung sind dabei verfügbar. Den Identity und Access Management as a Service (IDaaS) stellen T-Systems und OneLogin gemeinsam aus einem der Cloud-Rechenzentren der Telekom in Deutschland bereit.
Zu den Services der Open Telekom Cloud von T-Systems gehören auch IAM-Dienste. Foto: T-Systems
SAP
Die Sicherheitsfunktionen der SAP HANA Cloud Platform umfassen die starke Authentifizierung (SAP Authenticator), Single-Sign-On-Funktionen, die Integration von Cloud- und On-Premise-Identitäten sowie Self-Services wie die Registrierung und das Zurücksetzen von Passwörtern für Nutzer (SAP HANA Cloud Platform, identity access). Der SAP Cloud Identity Service erlaubt aber auch die Integration eines beim Kunden bereits vorhandenen Identity Providers.
Daneben gibt es den SAP ID Service. Nutzer können nach der Registrierung nicht nur SSO-Funktionen für den SAP Service Marketplace und die SAP-Websites nutzen, sondern auch für den Zugriff auf die eigenen Apps innerhalb der SAP HANA Cloud Platform.
Als neue Entwicklung ist SAP Cloud Identity Access Governance zu nennen. Mit Hilfe der neuen Zugriffsanalyse sollen Kunden Risiken der Cloud-Zugriffe abschätzen, mindern und die Compliance besser sicherstellen können. Ziel ist es, zum Beispiel Konflikte bei der Funktionstrennung zu erkennen, falsche oder nicht verwendete Benutzerrollen dynamisch anzupassen oder zu löschen.
Reichen die IAM-Funktionen der Provider oder nicht?
Das Eckpunktepapier "Sicherheitsempfehlungen für Cloud Computing Anbieter" des BSI benennt konkrete Funktionen für das Identitätsmanagement. Aus Nutzersicht sind dies die rollenbasierte Zugriffskontrolle und regelmäßige Überprüfung der Rollen und Rechte, das Least Privilege Model (Prinzip der minimalen Zugriffsrechte), die starke Authentisierung sowie das Vier-Augen-Prinzip für Administrator-Tätigkeiten. Diese Sicherheitsmaßnahmen zum Schutz der Identitäten und Cloud-Dienste lassen sich mit den Provider-Lösungen umsetzen.
Die genannten Cloud-Provider bieten somit grundlegende Funktionen, mit denen sich Identitäten verwalten und absichern lassen. Ob die Funktionen jeweils im Rahmen des gebuchten Cloud-Services enthalten sind oder nicht, ob also Zusatzkosten dadurch zu erwarten sind, kommt auf die jeweilige Cloud-Vereinbarung des Anwenderunternehmens an. Eine weitere Frage ist, ob die Funktionen auch ausreichenden Schutz für die Cloud-Identitäten bieten.
Anwenderunternehmen müssen jeweils für sich prüfen, welcher Schutzbedarf für die eigenen Cloud-Identitäten besteht und welche Sicherheitsfunktionen deshalb benötigt werden. Reichen die Funktionen, die der Cloud-Provider für die Absicherung der Cloud-Identitäten anbietet, nicht aus, gilt es, zusätzliche IAM-Lösungen für die Cloud einzusetzen. Wie eingangs erwähnt, hält der Markt eine Vielzahl an Lösungen mit Schnittstellen für die gängigen Cloud-Services bereit. (sh)
10 Schritte zum IAM-System
In zehn Schritten zum IAM Softwarelösungen für das Berechtigungs-Management, so genannte Identity-Access-Management-Systeme (IAM), haben sich von ihrem früheren reinen IT-Fokus gelöst. Zwar werden über Single-Point-of-Administration, HR-gestütztes Provisioning und rollenbasierte Zugriffskontrolle nach wie vor Kostensenkung und effizientes Benutzermanagement realisiert. Bei den heutigen IAM-Systemen handelt es sich aber vor allem um Business-Collaboration-Plattformen, die auf eine umfassendere Beteiligung der Fachabteilungen an der Zugriffsverwaltung setzen. <br /> Sie eröffnen erweiterte Möglichkeiten für die Umsetzung von Regularien, Gesetzesvorgaben und des Risikomanagements. IAM wird damit zur tragenden Säule im Rahmen der Governance-, Risk- & Compliance-Strategie (GRC) eines Unternehmens. Der folgende 10-Punkte-Plan gibt einen Überblick, worauf bei der Einführung eines IAM-Systems zu achten ist.
Gemischte Projektteams aus IT und Business IAM ist längst kein reines IT-Thema mehr. Meist können nur Personen außerhalb der IT, die über umfassende Kenntnisse der internen Geschäftsprozesse und der Organisation verfügen, die erforderlichen Informationen zu wesentlichen Aspekten beisteuern: Rollenkonzepte, Genehmigungsstrukturen, Erwartungen an die Nutzeroberflächen oder auch was Barrieren zwischen einzelnen Abteilungen angeht. <br />Projektteams zum Aufbau eines IAM-Systems sollten deshalb stets aus Kompetenzträgern sowohl aus der IT als auch aus dem Business bestehen.
Ziele definieren Klar definierte Ziele und Dienstleistungen sowie ein eng gesteckter Rahmen zu deren Planung und Überwachung sind Erfolgsfaktoren eines jeden IAM-Projektes. Dies wiederum erfordert eine enge Zusammenarbeit zwischen erfahrenen Mitarbeitern sowohl beim Anwender als auch dem implementierenden IAM-Hersteller. <br />Es ist daher sicherzustellen, dass alle Daten und Ziele miteinander vereinbart und von jedem am Projekt Beteiligten verstanden werden, bevor die Einführung beginnt. Jede spätere Anpassung verlängert das Projekt unnötig, sowohl zeitlich als auch hinsichtlich des Budgets.
Vor Start des Projektes: Aufräumen! Hohe Datenqualität ist der Schlüssel für erfolgreiches Identity Access Management. Diese Ausgangssituation ist aber keineswegs selbstverständlich, wenn ein entsprechendes Projekt aufgesetzt wird. Viele Unternehmen pflegen die Zugangsberechtigungen für ihre Beschäftigten oft mehr schlecht als recht; nicht selten herrscht beim Thema Rechteverwaltung ein großes Durcheinander. Die Folgen sind fehlende Verbindungen zwischen Konten und den Nutzern, verwaiste Konten, Rechtschreibfehler, etc. <br />Jedes IAM-Projekt beginnt daher mit einer Konsolidierung der User-IDs, bei der die Benutzerkonten ihren Besitzern zugewiesen werden. So spürt man im ersten Schritt sehr schnell verwaiste Konten auf.
Umsetzung in Phasen Eine IAM-Lösung sollte sowohl alle unternehmensweiten IT-Systeme integrieren können als auch ausreichend skalierbar hinsichtlich der Anzahl der einzubindenden Nutzer sein. Doch muss dies alles nicht auf einmal umgesetzt werden; sinnvoller ist es, das Projekt in erreichbare Zwischenziele aufzuteilen und diese Schritt für Schritt abzuarbeiten.<br /> In der ersten Phase wird dabei nur eine begrenzte Anzahl von Zielsystemen angebunden – idealerweise die wichtigsten; die Anwender nutzen zunächst nur Standardfunktionalitäten. Erste Erfolge sind dadurch schneller sichtbar, was letztlich zum schnelleren Erreichen der vollständigen Projektziele führt.
Anschluss des HR-Systems Probleme im Bereich der Rechteverwaltung resultieren oft aus unzureichender Koordinierung zwischen Human Resources und IT-Abteilung. Meldet das HR-Team Änderungen in der Personalstruktur oder bei den Stellenbezeichnungen der IT zu spät oder sogar gar nicht, kann dies schwerwiegende Folgen haben: Personen erlangen Zugang zu Konten, obwohl sie aufgrund ihrer neuen Rolle gar kein Recht mehr dazu hätten – oder weil sie das Unternehmen sogar ganz verlassen haben. <br />Eine manuelle, nicht automatisierte Informationspolitik und dezentrales Arbeiten tragen noch dazu bei, dass sich Fehler in den Berechtigungsstrukturen schnell und unkontrolliert ausbreiten. Das HR-System sollte deshalb als erstes mit dem IAM-System verbunden werden, um hier zu einer Automatisierung zu gelangen und damit Sicherheit und Kontrolle zu gewährleisten.
Customizing auf ein Minimum reduzieren Führende IAM-Anbieter verkaufen nicht bloß ein Toolkit. Basierend auf der Erfahrung aus vielen realisierten Projekten, sind vorkonfigurierte Standardsysteme vielmehr nach dem Best-of-Breed-Ansatz konzipiert. Auf Standardszenarien verzichten, um ein System möglichst individuell an die Gegebenheiten eines Unternehmens anzupassen, sollte deshalb die Ausnahme bleiben. <br />In einem Standardprodukt spiegelt sich bereits das langjährig erworbene Wissen eines Herstellers um die verschiedensten Herausforderungen im IAM-Umfeld und die jeweils beste Lösung wider. Der Einsatz von Standardkomponenten reduziert zudem auch Implementierung und Wartungskosten auf ein Minimum. <br />Kunden sollten sorgfältig prüfen, ob es statt aufwändigem Customizing nicht sinnvoller wäre, die vorgeschlagene Vorgehensweise eines Standardproduktes zu übernehmen und die eigenen Strukturen hinsichtlich der Prozesse, Terminologie und Verantwortung anzupassen.
Rollen implementieren Das Bündeln von Zugriffsrechten in so genannten "Rollen" reduziert den Administrationsaufwand erheblich und stellt die Grundlage für eine Automatisierung im Bereich der Rechtevergabe dar. Eine Rolle ist die Sammlung einzelner Zugangsrechte, die für eine bestimmte Funktion oder Aufgabe im Unternehmen erforderlich sind.<br /> Role-Mining-Tools bieten Hilfe bei der Definition von Rollen und deren Optimierung über einen kontinuierlichen Prozess hinweg. Hier ist jedoch Vorsicht geboten: Die Einführung von Rollen erfordert mehr als eine einmalige Definition von "Zugriffsrecht-Clustern".
Rollenverantwortliche festlegen Rollen sind lebende, wandelbare Strukturen, die einem ständigen Überwachungs- und Anpassungsprozess unterliegen sollten. Deshalb benötigen sie einen zugewiesenen Besitzer, der die Verantwortung für ihre saubere Ausgestaltung übernimmt. Er muss die Rollen regelmäßig dahingehend überprüfen, ob aufgrund von Veränderungen in der Organisation oder der IT-Systeme Anpassungen notwendig sind. <br />Was für die IAM-Einführung im Großen gilt, hat deshalb auch für das Thema Rollen Relevanz: Aufteilen eines Rollenprojektes in kleine Teilziele, Einbeziehung von sowohl Business- wie IT-Verantwortlichen.
Top-down-Vorgehen Ein Risikobewertungssystem ist ein leistungsfähiges Werkzeug, um die einzelnen Objekte im Access Management – Benutzer, Rollen und Konten – in eine sinnvolle Rangfolge abhängig von ihrer Relevanz zu bringen. Ein solches System jedoch für die gesamte Struktur der Zugriffsrechte zu implementieren, kann zu einem zeitaufwändigen und ressourcenintensiven Projekt führen. <br />Es empfiehlt sich ein Top-down-Ansatz, bei dem die Aufmerksamkeit zunächst auf wichtige Aspekte in einem frühen Stadium des IAM-Betriebs gerichtet wird. Zu einer vollständigen Risikobewertung kann das Unternehmen dann im Laufe der Zeit aufschließen.
Schnellere Erfolge auf Fachabteilungsebene Treiber eines IAM-Projektes sind in der Praxis oft Wirtschaftsprüfer oder IT-Manager. Um eine Akzeptanz über alle Unternehmensbereiche hinweg zu erreichen, sollte ein Anwenderunternehmen im frühen Projektstadium bereits solche Funktionen evaluieren, die sich an den Wünschen und Bedürfnissen des einzelnen Anwenders orientieren. <br />Warum nicht die verfügbaren vorkonfigurierten Workflows für Anfrage oder Passwort-Reset schon einmal anbieten, anstatt damit zu warten, bis die Lösung bei Projektende zu 100 Prozent implementiert ist? Mit diesem Ansatz wird der Nutzen eines IAM-Systems schnell im praktischen Arbeitsalltag für alle – vom Anwender bis zum Management – spürbar, was ein wichtiger Baustein für den Gesamterfolg des IAM-Projektes ist.
Realistisch bleiben Der 10-Punkte-Plan verdeutlicht es: Moderne IAM-Systeme binden Fachabteilungen ein und verschaffen eine am Geschäftsprozess ausgerichtete und verständliche Sicht auf Identitäten und deren Rechte.<br /> Die Bäume wachsen auch beim Thema Identity Access Management nicht in den Himmel. Erfolgreich sind solche Projekte, bei denen sich die Beteiligten realistische Zwischenziele setzen und Stück für Stück zu einem unternehmensweiten IAM-System vorarbeiten. <br />Dieses erfüllt dann seinen eigentlichen Zweck: die Umsetzung der GRC-Strategie des Unternehmens.