Moderne Authentifizierungsmethoden
Die Cloud im Zugriff
Die Einbindung von Cloud-Services in die bestehende IT-Infrastruktur stellt IT- und Sicherheitsverantwortliche in Unternehmen vor Herausforderungen. Durch die Verlagerung von Anwendungen und Daten in die Public, Private oder Hybrid Cloud sowie durch die Consumerization verschwimmen die Grenzen der Unternehmens-IT zunehmend. Häufig erweisen sich Zugang und Authentifizierung als Schwachstellen bei der Nutzung Cloud-basierter Dienste. Moderne Authentifizierungsmethoden sorgen hier für Sicherheit.
In der Vergangenheit verwalteten Unternehmen ihre Daten und Anwendungen auf ihren internen Servern, die Mitarbeiter griffen über ihre Desktop-PCs oder Laptops und einen definierten Zugangspunkt darauf zu. Die neuen Möglichkeiten der Cloud sowie Endgeräte wie Smartphones oder Tablets bieten ihnen nun eine kostengünstige und flexible Alternative zu diesem Modell, erschweren aber gleichzeitig das Aufrechterhalten der Sicherheit für Daten und Anwendungen auf operativer wie technischer Ebene. So verschieben oder überlagern sich beispielsweise Verantwortlichkeiten zwischen IT- und Fachabteilungen sowie dem Anwender. Der agile, flexible und universelle Zugang zu Unternehmensanwendungen in der Cloud erfordert deshalb ein anderes, ganzheitliches IT-Sicherheitskonzept, das die Infrastruktur, Applikationen, Anbindung und vor allem den sicheren Zugriff auf die Cloud mit einbezieht.
Schwächstes Glied der Kette
Die Absicherung des Zugriffs ist das schwächste Glied dieser Sicherheitskette. Denn anders als im klassischen Modell von Netzwerk und Authentifizierung verschwimmen durch Cloud-Services und Consumerization (Vermischung privater und beruflicher IT-Nutzung) auch die Grenzen zwischen dem „Identity Provider“ und dem „Application Provider“. So lassen sich über die Cloud-Mechanismen zur Authentifizierung alle Authentifizierungsinformationen sowie Identity Federation über Standardprotokolle wie SAML oder ADFS zur Verfügung stellen. Gleichzeitig greifen die Anwender über die Cloud aber auch auf die verschiedensten Applikationen zu. Dann agiert die Cloud zugleich als Identity- und als Service-Provider, der die Informationen des Identity Providers validiert und Zugriff auf die Anwendungen gewährt. Eine Sicherheitslösung, die diese Aspekte berücksichtigt und den sicheren Zugriff in den Fokus stellt, muss deshalb das Identitäts- und Zugriffs-Management (Identity- and Access-Management, IAM) mit klassischen Authentifizierungssystemen kombinieren, dabei aber den Zugriffskontext und die verschiedenen Geräte berücksichtigen sowie flexibel und anpassungsfähig sein. Gleichzeitig gilt es, die Anforderungen von CEOs, CISOs, Administratoren und Endanwendern in Einklang zu bringen. Für CEOs spielt vor allem der Kostenfaktor und ein schneller Return on Investment (ROI) eine entscheidende Rolle. Alle Investitionen in die IT-Sicherheit des Unternehmens müssen in Hinblick auf die Effizienz der Geschäftsprozesse gerechtfertigt, die Notwendigkeit einer starken Authentifizierung und die dafür anfallenden Kosten müssen sorgfältig gegeneinander abgewägt werden. CISOs wiederum müssen ihre Entscheidungen mit ihrem Sicherheitsauftrag vereinbaren. Daher sollte die Lösung die Einhaltung höchster Sicherheitsstandards bieten und sich gleichzeitig unkompliziert in die bestehende Infrastruktur integrieren lassen. Für Administratoren steht neben einer einfachen Bedienung der Lösung auch die Möglichkeit zur zentralen Kontrolle im Vordergrund. Sie wollen detaillierte Informationen über potenzielle Sicherheitsvorfälle, Situationserkennung in Echtzeit, eine nachvollziehbare Analyse von Erfolgs- und Fehlerraten sowie die Möglichkeit einer zügigen Behebung von Vorfällen im Notfall – am besten über eine zentrale Management-Konsole. Die Endanwender hingegen erwarten einen einfachen Zugang zu ihren Applikationen – im Unternehmensnetz wie auch aus der Cloud. Die Consumerization bietet ihnen hier viele Möglichkeiten – und sie werden den einfachsten Weg wählen, um sie zu nutzen. Moderne IAM-Lösungen gehen auf diese Anforderungen ein, indem sie bewährte Produkte und Techniken miteinander verbinden und den sicheren Zugang zur Cloud über eine starke Authentifizierung ermöglichen. Den Kern einer solchen Lösung bilden ein Authentifizierungs-Server, ein SSL-verschlüsseltes VPN und eine Management-Konsole. Der Authentifizierungs-Server ist die zentrale Anlaufstelle für alle Authentifizierungsprozesse. Er bietet einen sicheren Remote Access zu kritischen Daten und Anwendungen im Netzwerk. Dabei ermöglicht beispielsweise der Einsatz mehrerer Radius-Server die Implementierung verschiedener Authentifizierungsmethoden wie einfaches Passwort, Zwei-Faktor- oder Drei-Faktor-Authentifizierung. Für unterschiedliche Benutzergruppen und Applikationen lassen sich so granulare Sicherheitskonzepte darstellen. Die Authentifizierungsmethoden sind softwarebasiert und ergonomisch. Sie können daher problemlos via Mobilgerät und damit ohne Investition in weitere Hardware und Schulung zum Einsatz kommen, zum Beispiel über die dem Anwender ohnehin zur Verfügung gestellte Infrastruktur. Die vermeidet, dass Investitionen in starre und teure Authentifizierungslösungen die Vorteile der Cloud-Nutzung wie Flexibilität und Kosteneinsparungen zunichte machen. Softwarebasierte Authentifizierungsmethoden bleiben durch Sicherheits-Updates immer auf dem neuesten Stand und sorgen so für zusätzliche Zeit- und Kostenersparnisse. Ist der Authentifizierungs-Server in ein Management-System integriert, lässt er sich zudem einfach konfigurieren, administrieren und transparent in bestehende Datenbanken wie Microsofts Active Directory, Novells Edirectory, OpenLDAP oder andere Systeme einbinden. Änderungen, beispielsweise wenn ein Mitarbeiter das Unternehmen verlässt oder bestimmte Profile ein Ablaufdatum erhalten sollen, lassen sich so schnell und unkompliziert über die Standard-Benutzerverwaltung umsetzen. Sobald sich ein Benutzer nun bei einer Cloud-Anwendung anmelden möchte, sendet der Service-Provider eine SAML- oder ADFS-Anfrage an die entsprechende User-Domäne auf dem unternehmenseigenen Authentifizierungs-Server. Dieser Server agiert als Identity Provider, prüft die Daten mit dem hinterlegten Profil und fordert über das mobile Gerät des Benutzers die Authentifizierung ein. Erst nach erfolgreicher Authentifizierung gibt der Authentifizierungs-Server dem Service-Provider per SAML oder ADFS die Antwort, dass der Zugriff erlaubt ist.
Authentifizierungsmethoden in Kombination
Dabei lassen sich die verschiedenen Authentifizierungsmethoden auch kombinieren und je nach Kontext und Vertrauensebene einer User-Beziehung bestimmen. Will ein Mitarbeiter beispielsweise von seinem Firmen-Laptop aus dem Unternehmensnetz auf die Cloud zugreifen, stuft der Server die Verbindung als sicher ein – zur Authentifizierung ist dann ausschließlich ein Passwort erforderlich. Erfolgt der Zugriff über ein Smartphone, das sich in einem externen WLAN befindet, erkennt der Authentifizierungs-Server das Sicherheitsrisiko beim Zugriff über mobile Geräte und fordert die stärkere Zwei-Faktor-Authentifizierung. Stuft der Server die Verbindung als nicht vertrauenswürdig ein, beispielsweise aus dem Ausland über eine ungesicherte Verbindung, kann der Benutzer nur auf gewisse Applikation zugreifen. Auch beim Zugriff auf das bestehende Unternehmensnetz oder eine extern gehostete Private Cloud nimmt der Authentifizierungs-Server die zentrale Position ein. Wie beim Zugriff auf Public-Cloud-Applikationen prüft er die Identität des Benutzers und legt die notwendige Authentifizierungsmethode fest. Über ein SSL-VPN kann der Benutzer dann auf die Unternehmensanwendungen zugreifen, dank Single Sign-on (SSO) genügt dafür die einmalige Authentifizierung. Der Zugriff ist von jedem Ort und jedem internetfähigen Gerät aus möglich. Denn das VPN ist per Standard-Web-Browser zugänglich, sodass keine spezielle Client-Software zu installieren ist.
Lesen Sie mehr zum Thema
