Identity- und Access-Management
Identität als Konstante in der Cloud
Ein entscheidender Faktor für die effiziente Nutzung von Cloud-Services ist es, die Identität der Anwender eindeutig bestimmen und zentral verwalten zu können. Deshalb gewinnt IAM (Identity- und Access-Management) an Bedeutung für das Management der heutigen dynamischen Cloud-Umgebungen.Fast jede erdenkliche Anwendung lässt sich heute als Service über das Internet beziehen. Speziell in der Cloud sind die flexiblen Dienste praktisch für jedermann zugänglich: Um sie zu buchen, ist in der Regel nur eine gültige Kreditkarte nötig - zu Hause ebenso wie am Arbeitsplatz. Die Beliebtheit von Cloud-Anwendungen steigt stetig an: Auf mehr als 230 Milliarden Dollar soll der weltweite Markt für die Anwendungen aus dem Internet laut den Analysten von Gartner bis 2016 wachsen. Besonders für die IT-Abteilungen stellt die zunehmende Durchlässigkeit zwischen internen Netzwerken und Internet allerdings eine echte Herausforderung dar: Wo werden die Daten gespeichert? Welche Passwörter verwenden die Mitarbeiter? Nutzen sie in den Cloud-Anwendungen womöglich ihr Firmen-Log-in und reicht die Passwortstärke wirklich aus? Die Nutzung externer Services entzieht sich weitgehend den klassischen Kontrollmöglichkeiten der Unternehmens-IT - und doch müssen die Verantwortlichen die Integrität von Daten und Netzwerk sowie die Einhaltung sämtlicher Unternehmensvorgaben sicherstellen. Verhindern lässt sich die Einführung von Cloud-Services durch die Anwender kaum. In der Folge stehen die IT-Abteilungen vor der Aufgabe, geeignete Mittel für ein umfassendes Cloud-Management zu finden. Aufwendig ist die Verwaltung der externen Accounts zunächst weniger durch die zu beziehenden Anwendungen an sich, auch wenn die Komplexität mit steigender Anzahl der genutzten SaaS-Anwendungen (Software as a Service) zunimmt. Die größere Herausforderung ergibt sich durch bereits bestehende Prozesse, Compliance- und Qualitätsvorgaben. Während der private Nutzer beim Anlegen seiner Dropbox ohne diese auskommt, sind bei der Cloud-Nutzung im Geschäftsumfeld - zum Beispiel Salesforce.com oder Google Apps for Business - zahlreiche Faktoren zu beachten: Welche Personen und Rollen erhalten welche Rechte? Welche Authentifizierungsrichtlinien gilt es einzuhalten? Wie läuft die Provisionierung ab, insbesondere wenn Mitarbeiter ihre Abteilung oder Position wechseln? Und wie ist die Deprovisionierung organisiert, wenn Mitarbeiter das Unternehmen verlassen? Was intern meist reibungslos funktioniert, lässt sich selten direkt auf externe Anwendungen übertragen. Für IT-Verantwortliche stellt sich deshalb die Frage, wie sich interne und externe Prozesse sinnvoll und gleichzeitig mit möglichst geringem Aufwand zusammenführen lassen - auch vor dem Hintergrund weiterer Trends wie Mobile, Social oder Bring Your Own Device (BYOD), die zusätzlich die Komplexität erhöhen. Aus jedem der Bereiche ergeben sich zahlreiche Attribute für potenzielle Anwender, die sich zu den unterschiedlichsten Profilen kombinieren lassen. So hat ein Nutzer beispielsweise nicht mehr nur die Wahl, ob er auf interne Anwendungen oder SaaS-Angebote aus der Cloud zugreift. Er kann entweder vor seinem regulären Arbeits-PC sitzen, mobil arbeiten oder sein eigenes Endgerät nutzen. Vielleicht hält er sich dafür im Unternehmen auf, vielleicht aber auch in einem Hotel oder Internet-Café. Und nicht nur Mitarbeiter greifen heute auf die verschiedenen Applikationen zu - der Anwender könnte genauso gut ein Kunde, Partner oder Lieferant sein. Einzige Konstante in diesem hoch dynamischen System ist letztlich die Identität des Benutzers. Aufgrund ihrer Beständigkeit eignet sie sich als Ansatzpunkt, um die Komplexität zu reduzieren. Ins Zentrum des Cloud-Managements rückt deshalb das Identity- und Access-Management (IAM), das so zu einer Kernaufgabe der IT-, Risk-Management- und Security-Abteilungen wird. Im Zuge der beschriebenen Entwicklungen stellt sich den Verantwortlichen nicht nur die Aufgabe, ein tragfähiges IAM-Konzept zu entwickeln, das sowohl intern wie im SaaS- und Cloud-Umfeld alle Sicherheits- und Compliance-Anforderungen erfüllt. Gleichzeitig müssen sie auch die Anwender für sich gewinnen und somit - Stichwort: "Consumerization" - eine schnelle und einfache Lösung bereitstellen. Veränderungsbedarf besteht hier besonders bei IT-Abteilungen, die die Provisionierung für Cloud-Anwendungen momentan noch manuell durchführen - denn IT-affine, anspruchsvolle Business User bevorzugen heute eher ein einfaches, automatisiertes Self-Service-Provisioning, statt wie früher darauf zu warten, dass die IT die gewünschten Anwendungen für sie freischaltet. Am einfachsten lässt sich ein derartiges anwenderorientiertes IAM-System in Bezug auf die Cloud durch eine Lösung umsetzen, die als Proxy zwischen der internen Unternehmens-IT und den externen Anwendungen vermittelt: Auf ihrer Basis können die Benutzer selbst den Genehmigungsprozess anstoßen und erhalten eine schnelle Genehmigung oder Absage für den Zugriff auf den gewünschten Cloud-Service. Bei positivem Bescheid legt eine solche Proxy-Lösung den individuellen Account automatisiert an und stellt dabei gleichzeitig die Einhaltung der Unternehmensrichtlinien auch für die externen Anwendungen sicher. Greift der Anwender später über das Unternehmensnetzwerk auf seine Cloud Accounts zu, meldet das IAM-System ihn via Single Sign-on (SSO) automatisch an. Er selbst loggt sich lediglich einmal an einer einheitlichen Identity Source ein; die Zugangsdaten bleiben vollständig innerhalb der Firewall und sind dort durch die klassischen internen Maßnahmen vor Datendiebstahl geschützt. Ist sie richtig angelegt, kann eine IAM-basierte Cloud-Management-Lösung also tatsächlich die angestrebte Win-Win-Situation herstellen: Die Anwender profitieren von einem durchgängigen und durch die Automatisierung auch schnellen Prozess für die Nutzung interner und externer Anwendungen. SSO befreit sie außerdem von der Notwendigkeit, sich die Log-in-Daten für mehrere verschiedene Anwendungen zu merken. Die IT wiederum erfährt Entlastung, da die manuelle Provisionierung und Deprovisionierung entfällt. Compliance Reports sowie Audits lassen sich über ein geeignetes System ebenfalls automatisieren. Und weil die Anwender weder Konten noch Passwörter selbst anlegen, stellt die Proxy-Lösung die Einhaltung sämtlicher Vorgaben sicher. Daneben muss eine solche Lösung aber auch in der Lage sein, bestehende Konten für SaaS-Applikationen einzubinden. Wenn das Konto im entsprechenden Verzeichnisdienst hinterlegt ist, sollte dies automatisch geschehen, ansonsten lässt es sich über eine simple Nachfrage nach bestehenden Konten im Antragsprozess des IAM-Tools regeln. Auf die Umsetzung kommt es an Bei der Umsetzung bieten automatisierte Lösungen im Gegensatz zu geskripteten Individualsystemen den Vorteil, dass sie sich wesentlich schneller implementieren lassen: Eine Frist von wenigen Stunden bis zu ein oder zwei Tagen für die virtuelle Appliance steht einer Implementierungszeit von mehreren Wochen für die individuelle Variante gegenüber. Die reibungslose Zusammenarbeit mit gängigen Identitätsverzeichnissen wie Active Directory oder Edirectory muss die Lösung beherrschen. Das größte Potenzial hinsichtlich Geschwindigkeit und Effizienz bieten darüber hinaus IAM-Lösungen, die von vornherein eine Sammlung von Konnektoren zu beliebten SaaS-Anwendungen wie Salesforce, Microsoft Office365 oder Google Apps mitbringen. Sie sind sofort einsatzbereit und ersparen der IT-Abteilung den Aufwand für die Herstellung der Anbindung durch manuell erstelle Skripte. Für alle weiteren SAML-fähigen (Security Assertion Markup Language) externen Anwendungen sollte eine ausgereifte IAM-Lösung für die Cloud zudem über ein Toolkit verfügen, mit dessen Hilfe sich zusätzliche Konnektoren schnell und einfach erstellen lassen. Idealerweise bietet diese auch die Option, Mitarbeitern den Zugang zu bereits bestehenden Accounts via SSO zu ermöglichen: Hat ein Anwender vor der Einführung von Cloud-IAM bereits über eigene Accounts mit bestimmten SaaS-Anwendungen gearbeitet, kann er mit seinen vorhandenen Daten weiterarbeiten und wird eher bereit sein, auch in diesen Fällen das IAM-System zu nutzen.
Lesen Sie mehr zum Thema
