Mit Identity und Access Management sicher in die Cloud einloggen|Zutritt zur Wolke erleichtern

Cloud SecurityMittlerweile nutzen 2,4 Milliarden Menschen Cloud Computing, das Datenvolumen wird sich von 2012 bis 2017 verdreifachen. Dementsprechend groß sind die Veränderungen in den Bereichen der IT-Plattformen, Anwendungen und Datenverwaltung sowie Bereitstellungsmöglichkeiten virtueller Systeme.

Besonders auf Anwendungsebene entstehen zu allererst neue Herausforderungen für die IT-Abteilungen. Themen wie Identitäten, Authentifizierung und Autorisierung sorgen hier regelmäßig für Kopfzerbrechen. Denn die Anforderungen an die Absicherung von Geschäftsprozessen und Daten vervielfachen sich genauso wie Cloud-Szenarien. Wirtschaftsspionage und Cyberattacken stellen eine immer reellere Gefahr dar während die Komplexität der Applikationslandschaften unaufhörlich zunimmt. Es gilt daher, technische und prozessuale State-of-the-Art-Lösungen zu etablieren und gleichzeitig eine reibungslose „Cloud User Journey“, also die Nutzungserfahrung, sicherzustellen. Für die Nutzer-Authentifizierung gilt daher: Single-Sign-On und ein verlässliches Identity Management sind ein Muss.

Anzeige

Single Sign-On

Bild: Für eine reibungslose „Cloud User Journey“, also die Nutzungserfahrung, müssen Unternehmen bei der Nutzer-Authentifizierung auf Single Sign-On setzen. (Quelle: Fritz und Macziol)

Anwendungslandschaften on-premise in eigenen Rechenzentren zu betreiben ist in Unternehmen durchaus üblich. Die zugehörigen Anwendungskataloge umfassen meist eine Vielzahl von Lösungen unterschiedlicher Hersteller. Dieses Applikationsorchester in zentrale Verzeichnisdienste zu integrieren, ist oft mit enormem Aufwand verbunden. In Folge dessen verfügen die Mitarbeiter über eine Vielzahl von Kennungen und Kennwörtern für die verschiedenen Anwendungen. Ein durchgängiges Identity and Access Management (IAM) über die gesamte System- und Anwendungslandschaft hinweg übersteigt aufgrund hoher Komplexität oft die Möglichkeiten der internen IT-Abteilungen. Dies bedeutet einen hohen Administrationsaufwand und nicht selten eine permanente Unzufriedenheit der Nutzer. Denn Mitarbeiter müssen täglich zwischen einer Vielzahl unterschiedlicher Anwendungen wechseln und haben nur wenig Verständnis dafür, dass sie sich immer wieder mit unterschiedlichen Zugangsdaten einzeln neu anmelden müssen. Dabei gehen nicht nur Nerven, sondern auch kostbare Arbeitszeit verloren.

Keine Sicherheitsrisiken im Identitätsmanagement eingehen

Geschäftsmodelle und Geschäftsprozesse ändern sich im digitalen Zeitalter immer schneller und mit ihnen auch die Anforderungen an die Anwendungslandschaften der Unternehmen. Stetig entstehen neue Bedürfnisse bei der Nutzung von Geschäftsapplikationen, beispielsweise im Umfang und bei der Art der Anwender und Devices. Meist kommen zu den internen Mitarbeitern noch eine Vielzahl von Kunden, Partnerunternehmen oder neue Kollegen durch Zukäufe hinzu. Sie alle wollen und müssen auf die IT-Systeme zugreifen. Anwendungsentwickler sowie die Unternehmens-IT stehen dann vor der Herausforderung, ihnen den Zugang zur Anwendungslandschaft schnell und sicher zu ermöglichen. Gleichzeitig ist es jedoch ein dauerpräsentes Anliegen, den Administrations- und Entwicklungsaufwand in Grenzen zu halten. Oberste Priorität muss es sein, keine zusätzlichen Sicherheitsrisiken im Bereich des Identitätsmanagements einzugehen. Single Sign-On (SSO) und Self-Services werden daher zur Erhöhung der Endnutzer-Produktivität immer wichtiger – bei gleichzeitiger Reduzierung der Sicherheitsrisiken, Entwicklungs- und Supportkosten.

Software-as-a-Service-Angebote wie etwa Microsoft Office 365, SAP Cloud for Customer oder Salesforce werden in vielen Unternehmen als gängiges Standardszenario gerne genutzt. Ein Single Sign-On ist hier fast in allen Realisierungen zu finden. Weniger steht dies jedoch bei Anwendungen wie zum Beispiel dem lokal betriebenen Alt-Warenwirtschaftssystem zur Verfügung. Häufiger Standard sind eigene Benutzerverzeichnisse sowie separierte Login-Prozesse zwischen Betriebssystem und Warenwirtschaft. Gleiches gilt für Partnerunternehmen, welche direkten Zugriff auf die Datenbestände der Warenwirtschaftslösung erhalten sollen, wie etwa für die Abfrage von aktuellen Lagerbeständen, Lieferterminen oder konkretem Lieferstatus. Die Verwaltung der Partner-Benutzerkonten erfolgt nicht selten ausschließlich im lokalen Verzeichnisdienst – wo keinerlei Kenntnisse über den aktuellen Stand der Person vorhanden sind. Änderungen von Namen, Abteilungen oder gar Firmenzugehörigkeiten werden oft spät oder mitunter gar nicht aktualisiert. Die Folge: Verzögerungen, falsche Informationen und potentielle Sicherheitslücken. Man stelle sich vor, der Partner-Kontakt wechselt das Unternehmen zu einem Konkurrenzunternehmen und nutzt die Zugangsdaten zum System weiterhin. Die Folgen können ungewollte Informations- und Datenabflüsse sein. Genau solchen Szenarien gilt es vorzubeugen.

Wichtige Fragen zum Anmeldeprozess

Durch die Vielzahl der möglichen Nutzungsszenarien und die Tatsache, dass nicht alle Anwendungen und Webdienste dieselben Protokolle und Standards im Bereich der Authentifizierung oder Autorisierung verwenden, gibt es leider keinen allgemein gültigen Lösungsweg. An erster Stelle stehen die Analyse der Anwendungslandschaft sowie die Beantwortung folgender Fragen:

  • Welche Vorgaben aus den Bereichen Strategie, Security und Compliance sind zu berücksichtigen?
  • Handelt es sich um webfähige Anwendungen und von welchen Devices und Lokationen erfolgt der Zugriff?
  • Welche Möglichkeiten zur Authentifizierung/Autorisierung bietet die Anwendung?
  • Welche Benutzergruppen sollen welche Anwendungen verwenden?
  • Sind bereits Single-Sign On Lösungen im Einsatz oder Projekte geplant?
  • Welche Benutzerinformationen sind für die Anwendung zur Zugriffsentscheidung relevant?
  • Muss die betroffene Anwendung ausschließlich on-premise betrieben werden oder kann sie in ein alternatives Betriebsmodell ausgelagert oder gar modernisiert werden?

Da Cyber-Attacken von Jahr zu Jahr häufiger und ausgefeilter werden ist es kein Wunder, dass in den IT-Abteilungen die Bereitschaft sinkt, fremde Benutzerkonten in internen Verzeichnisdiensten zu verwalten. Auch Passwortrichtlinien oder mehrfache Authentifizierungen werden in Unternehmen kritisch geprüft und an die aktuelle Situation angepasst. Auch Anwendungsentwickler setzen lieber auf bereits vorhandene Identitäten und Authentifizierungsmechanismen anstatt diese für jede Anwendung jeweils neu zu entwickelt. Bei bereits vorhandenen Identitäten aus vertrauenswürdigen und valide gepflegten Verzeichnisdiensten und bereits erfolgter Realisierung von Single Sign-On-Szenarien Richtung Cloud-Services bieten sich Lösungsansätze für Partnerzugänge via Federation-Services an.

Gleiches gilt für die umfassende Nutzung von Claim-based-Identitäten und Single Sing-On-Szenarien an internen und externen Anwendungen. Diese können durch erweiterte Funktionalitäten wie Multi-Faktor-Authentifizierung ergänzt werden. Für den Benutzer werden dabei die Eingabehürden so niedrig wie möglich gehalten und seine „Cloud User Journey“ als nahtloses Erlebnis realisiert. In obigem Szenario würde der Partner zur Authentifizierung am Warenwirtschaftssystem seine gewohnte Benutzerkennung verwenden. Die zugehörigen Benutzerattribute wie Abteilung, Standort oder Rolle im Unternehmen stehen dann automatisch im direkten Zugriff für weitere Autorisierungsentscheidungen der Anwendung. Die Risiken des Zugriffs von Hackern, Spionen oder kriminellen Insidern werden durch diese und weitere Maßnahmen, wie beispielsweise die Nutzung entsprechender Verschlüsselungsmethoden, minimiert und der Benutzer bekommt Zugriff auf die Anwendungen und Daten, die er für seine Arbeit benötigt.

Letztendlich entscheidet das individuelle Anforderungsprofil, welche Verzeichnisdienste, Authentifizierungs- und Autorisierungsprotokolle und Werkzeuge zum Einsatz kommen. Generell kann jedoch festgehalten werden, dass die Basis, also die Identität eines Benutzers und seine zugehörigen Benutzerinformationen, ein immer wichtigeres und zentrales Element in modernen IT-Szenarien darstellt. In jeder Cloud-Strategie sollten deshalb Identity und Access Management sowie die spezielle Ausprägung des Single Sign-On enthalten sein.

Andreas Schindler, Fritz & MacziolAndreas Schindler, Principal Cloud Architect bei Fritz & Macziol, Teamleiter Cybersecurity and Enterprise Mobility

www.fum.de

 

 

Die Veranstaltung könnte Sie interessieren:

Die Veranstaltung könnte Sie interessieren:

Konferenz, 29.02.-01.03.2016, Berlin

IAM CONNECT:
Die Brücke zu neuen Geschäftsmodellen

Diese Konferenz baut die Brücke zwischen der traditionellen IAM-Welt und den spannenden Herausforderungen neuer Geschäftsmodelle. Themen: IdM-Betrieb, Consumer-IAM, Usability, Datenschutzrecht, Testing, jede Menge Praxisberichte und Case Studies.

www.iamconnect.de

 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.