European Identity und Cloud Conference 2012
Bring Deine eigene Identität
Die sechste Ausgabe der EIC 2012 der Analystengruppe Kuppinger-Cole in München stellte noch mehr als bisher die Cloud in den Mittelpunkt des Geschehens. Identitäts- und Zugriffs-Management sowie Provisioning in der Wolke fordern eine so genannte "Open API Economy", um zusammen zu bringen, was aus unterschiedlichen Quellen kommt.Die Weichen für die Themen der Konferenz stellten schon am ersten Tag die Keynotes: Kim Cameron von Microsoft zeigt die Weiterentwicklung des Cloud-Computings und die dabei neu entstehenden Herausforderungen auf. In nicht allzu ferner Zukunft werden Anwender aus einem breiten spezialisierten Angebot verschiedener Cloud Provider die für ihren Bedarf geeigneten Services auswählen und kombinieren können. Dafür aber bedarf es einer Orchestrierungsschicht, die auf so genannte Rest-Schnittstellen (Representational State Transfer) baut, über die die Dienste auch mit den bei den Nutzern vor Ort installierten Systemen verbunden werden können. Damit ein solches erweitertes Cloud-Ökosystem Wirklichkeit werden kann, sind gerade in puncto Sicherheit noch einige Hürden zu nehmen: So muss es eine Möglichkeit geben, dass die verschieden verwalteten Systeme das Wissen über Identitäten und Regelwerke mehrfach verwenden, um die darin gemanagten Daten zu schützen. Cameron bezeichnet die Identität als "Motor für die Cloud", denn "Organisationen müssen in der Lage sein, über all die Dienste hinweg zuverlässig zu identifizieren, authentifizieren und zu autorisieren", so der Fachmann. "Identity Management as a Service" (IDMaaS) sei die einzig praktikable Lösung. Er beschreibt einen Service, der eine Reihe von zusammenstellbaren Fähigkeiten umfasst, etwa das Management der Beziehungen zwischen Cloud-Directories oder Claim-Providern, Audit etc. In einer solchen Cloud stehen Anwender in erster Linie in Beziehung zu einem Service-Provider (und nicht zu einem allwissenden Identitäts-Provider), der ein IDMaaS mit der erforderlichen Funktionalität zur Verfügung stellt. Dieses Wolkenmodell ist zwar noch Zukunftsmusik, doch die von den Analysten ausgemachten Trends weisen in die richtige Richtung. Zum einen gehen die Analysten davon aus, dass die meisten Anbieter von Identity und Access Management (IAM) noch in diesem Jahr ein Cloud-basierendes Angebot haben werden - ein Wechsel also von der "Identität für die Cloud" zu einer "Identität in der Cloud". Zum anderen wird IAM durch weitere Funktionalität erweitert. Laut Kuppinger gehört das dynamische Autorisierungs-Management zu den interessantesten neuen Bereichen im IAM-Markt. Dynamic Authorization Management bedeutet, die Entscheidungen über die Benutzerautorisierung aus den einzelnen Anwendungen herauszunehmen und mithilfe der in zentralen Backend-Systemen abgelegten Regeln zu prüfen und durchzuführen. Diese Funktionalität stellt ein Kernelement von Identitäts- und Sicherheitsdiensten, wie sie Cameron beschrieben hat, dar. Der IAM-Anbieter Quest Software hat kürzlich seine Lösung mit der Übernahme von Bitkoo um Dynamic Authorization Management erweitert. Mithilfe der Keystone-Technik sind die Identitäts- und Zugangsrechteinformationen zentral speicherbar und können theoretisch von jeder Unternehmensanwendung in der Cloud oder On-premise, Datenbank oder Sharepoint-Installation als Dienst abgerufen werden. Zum Autorisierungs-Management gehört auch das Management von privilegierten Konten. Nicht zuletzt mit zunehmender Reife und Akzeptanz der Cloud steigt auch der Stellenwert dieses Bereichs. Denn dabei ergeben sich neue Herausforderungen, weil Unternehmen nicht nur ihre eigenen privilegierten Anwender zu verwalten haben, sondern weil auch die Cloud Provider eigene privilegierte Nutzer besitzen, die ein Risiko darstellen können. Privileged-Management ist dann mit anderen Elementen der IAM-Infrastruktur integriert, so etwa mit Identity Provisioning, Access Governance und SIEM (Security Information Event Management). Viele Anbieter haben ihre Lösungen für Privileged-Account-Management ergänzt. Dazu gehören die Großen wie CA oder Quest, aber auch Spezialisten wie Lieberman oder Cyber Ark. Die Privileged-Session-Management-Suite dieses Herstellers nutzt eine Proxy-Architektur für die Sicherheit und kann beispielsweise die geloggten Event-Informationen an eine SIEM-Lösung zur Analyse weiterleiten. Cross Ideas aus Italien wiederum ist einer der kleineren, innovativen Anbieter von Access Governance, Dynamic-Authorization-Management und IAM, der Teile seiner Ideas-Suite als Dienst in der Cloud offeriert. I-Spark liefert Funktionen zur Analyse der Nutzerzugriffsrechte, sowie zur Ermittlung von Zugriffsrisiken und Durchführung der Risikominimierung. Aus all den Trends und Themen geht hervor, dass die Sicherheit in der neuen Welt der Mischung innerhalb des Cloud-Computings auch ein Zusammenwachsen der Lösungen mit sich bringt. Unweigerlich stellt sich dann auch wieder die Frage der Standards, und es ist wohl kein Zufall, dass die Jury des Konferenzveranstalters den Award für "Best Innovation/New Standard in Information Security" an Open ID Connect einen Standard für die Unterstützung der Authentifizierung im Internet und Cloud-Umgebungen verliehen haben. Open ID Connect ist ein "leichtgewichtiges", auf Rest basierendes Protokoll, das ein Binding zu dem Identity-Standard SAML (Secure Access Markup Language) enthält, der in den meisten Unternehmenslösungen zum Einsazz kommt sowie auf dem Autorisierungsstandard Oauth aufbaut. In der Begründung für die Award-Entscheidung heißt es, "die Designphilosophie von Open ID Connect macht einfache Dinge einfach und komplizierte Dinge möglich". Beispielsweise unterstützt das Protokoll Claims von mehreren Claims Providern, sodass eine Nutzeridentität etwa eine Mail-Adresse sein kann. Schließlich ging es auch um den ebenfalls noch jungen, auf einem Rest-beruhenden API aufgebauten Provisionierungsstandard SCIM (Simple Cloud Identity Management). Er setzt nicht auf SOAP und XML und soll laut Experten einige Vorteile gegenüber der bislang genutzten SPML (Simple Provisioning Markup Language) bringen - wie etwa geringere Komplexität in der Anwendung. Noch läuft jedoch die Diskussion nur theoretisch ab, doch arbeiten bereits Her-steller wie Google, Salesforce.com, Ping Identity oder VMware mit. Die Autorin auf LANline.de: sfranke
Lesen Sie mehr zum Thema
