Business-Report "Identity & Security in the Cloud"
Sicherheit in der Wolke
Cloud Computing, das IT-Modewort schlechthin, hat immer noch mit tief sitzender Skepsis bei den Anwendern zu kämpfen. Dies gilt insbesondere für die Datensicherheit, aber auch zunehmend für Fragen von Governance, Risk und Compliance. Diese Thematik analysieren die Marktforscher von Kuppinger Cole.
Cloud-basierende Services versprechen eine Reihe von wichtigen Vorteilen, nicht zuletzt die der
konsequenten Kostensenkung. Dies haben zahllose Beispiele vor allem großer Unternehmen mit
IT-Outsourcing in der Vergangenheit bewiesen. Nun soll jedes Unternehmen davon profitieren können,
auch kleine und mittlere. Die technischen Voraussetzungen für dezentrale IT-Services in der Cloud
sind zumindest in Bezug auf Bandbreite und Zuverlässigkeit inzwischen auch gegeben, doch hat das
Konzept nach wie vor mit dem Misstrauen der Anwender zu kämpfen. Die Frage nach der Sicherheit mit
all ihren Aspekten wartet noch auf eine zufriedenstellende Antwort.
Konventionelle Security-Ansätze auf der Basis von Perimeterschutz greifen Cole zufolge in
einer total verteilten IT-Welt einfach zu kurz, denn die Cloud hat keinen Perimeter. Stattdessen
sitzt potenziell jeder User – eigene Mitarbeiter, externe Partner und vor allem der Kunde –
irgendwo draußen in der "Wolke". Herkömmliche Security-Lösungen werden nicht verschwinden, aber
ohne Identity-Management geht es auch nicht – und beide müssen zusammenarbeiten.
Leider setzen noch immer die meisten Anbieter auf Bewährtes wie Firewalls oder
Virenbibliotheken und sehen in der Cloud allenfalls ein Skalierungsproblem, beklagt der Autor des
Reports Tim Cole. Er sieht das Ziel der Security-Industrie vornehmlich darin, in Echtzeit auf den
Stand der eigenen Labs zugreifen zu können, um verdächtig erscheinendes Verhalten auf einem
Client-Rechner schneller zu identifizieren. Ein Teil der Erkennung lasse sich in die Cloud
verlagern, was allerdings einen massiven Geschwindigkeitsvorteil bringe. Doch auch der schnellste
Signatur-Service kann nur auf eine bereits eingetretene Bedrohung reagieren, gibt der Marktforscher
zu bedenken. Im Zeitalter von Cloud Computing sei das nicht genug. Um das Problem an der Wurzel zu
packen, ist es nötig zu wissen, wer was auf einem System machen darf und laufend sicherzustellen,
dass keiner dort etwas tut, was er nicht darf, fordert Cole.
Identity- und Access-Management
Die Marktforscher gehen davon aus, dass Identity- und Access-Management (IAM) der Schlüssel
zur kontrollierten und sicheren Bereitstellung und Nutzung von definierten Services externer oder
interner Cloud Provider sein kann, wobei der Wechsel zwischen den Providern einfach sein muss. Ob
es um DLP (Data Leakage Prevention), um Governance, Risk-Management und Compliance, um Attestierung
von Zugriffsberechtigungen, um den Schutz vor Insider-Angriffen oder um das Verhindern von
Missbrauch privilegierter Benutzerkonten ("Evil Admins") geht: Identity ist stets der Schlüssel.
Dies ist bereits im Kontext eines geschlossenen Firmennetzwerks eine Herkulesaufgabe, wie die
laufenden Bemühungen um IAM, um Provisioning-Lösungen und Single Sign-on zeigten. In der großen,
weiten Welt der Wolke seien die Herausforderungen noch viel größer. Aus dieser Erkenntnis leitet
der Autor Tim Cole die Forderungen ab: Kunden müssen ihre Security Policies mit Benutzer- und
Rollen-Management sowie mit Businessprozessen in Einklang bringen, technische Lösungen müssen heute
den Zugang und Identitäts-Management auf der Ebene der Netzwerkinfrastruktur, der Anwendungen und
der Daten gewährleisten – und dies alles ist nur durch die Kombination von IAM und IT-Sicherheit
möglich.
Als einen großen Mangel beklagt der Report das Fehlen einheitlicher und verbindlicher
Standards für Identity und Security in der Cloud. Noch koche in der jungen Branche jeder sein
eigenes Süppchen, auch wenn die aktuelle Version 3.0 des OASIS-Standards XACML (Extensible Access
Control Markup Language) ein gewisses Maß an Hoffnung auf ein Ende des Durch- und Gegeneinanders
der großen Akteure keimen lässt. Über XACML lassen sich gewisse Autorisierungsinformationen,
Darstellungen und Regeln nach einem standardisierten Schema beschreiben. Eine wichtige Rolle spielt
auch SAML (Security Assertion Markup Language), eine XML-basierende Sprache zur Übermittlung von
Identitätsinformationen, mit der identitätsbezogene Sicherheitsinformationen wie Benutzerattribute
und Authentifizierungsinformationen ausgetauscht werden können. Die Folge einer auf solchen
Identitätsinformationen basierenden Autorisierungsentscheidung ist dabei entweder die Annahme oder
Ablehnung der Anfrage, die über die Cloud hereinkommt.
Governance für die Cloud
In den Kinderschuhen steckt Kuppinger Cole zufolge auch das Thema Governance für die Cloud,
also das Auditieren und Monitoring von erbrachten Services. Setzt sich jedoch der von den
Marktforschern ausgemachte Trend zu übergreifenden Systemen durch, so ist dies ein Muss. "In
Zukunft werden Kunden zunehmend die offene Nutzung unterschiedlicher Cloud-Angebote verschiedener
Betreiber fordern", stellt Tim Cole fest und fügt hinzu: "Die Identifizierung von Benutzern und die
Steuerung von Berechtigungen über verschiedene Cloud Services hinweg ist bisher aber nur in den
Grundzügen gelöst." Zwar gebe es eine wachsende Anzahl von SAML-Anwendungen, um die
Authentifizierung von der Autorisierung zu trennen, der granulare Effekt der Autorisierung, also
die Steuerung, wer wirklich was mit welchem System machen darf, ist dagegen ebenso ungelöst wie das
Problem der Abrechnung über mehrere Betreiber hinweg.
Auf Dauer könnten sich Dienstleister herausbilden, mutmaßt der Autor, die einzelne oder
mehrere Funktionen – etwa standardbasierte Bewertung von Risiken in der Cloud, Auditing über
Systemgrenzen hinweg oder Identifizierung von Benutzung, Steuerung von Berechtigungen über
verschiedene Cloud Services hinweg – im Kundenauftrag als "Governance as a Service" erbringen
werden. Ob und in wieweit die Cloud-Provider selbst diese Aufgabe übernehmen können und wollen,
bleibt noch abzuwarten.
Es wäre fatal, wenn aufgrund fehlender Standards und mangelnder Governance das ohnehin von
Misstrauen geprägte Verhältnis mittelständischer Kunden zum Thema Cloud auch noch durch
Sicherheits-GAUs bestätigt und verstärkt werden würde.
Die Anbieterlandschaft in diesem noch jungen Markt ist zurzeit noch ausgesprochen heterogen –
ein Zustand, der laut Report sicher über die nächsten zwölf bis 18 Monate anhalten wird. Denn noch
versuchen die unterschiedlichen Anbieter, ihre "Nische" zu finden und sich eine möglichst stabile
Marktposition zu schaffen. Die Marktforscher von Kuppinger Cole gehen von drei verschiedenen
Anbietergruppen im Markt aus, die jedoch teilweise überlappen.
Sie nennen in der ersten Gruppe Multi-Tenant Clouds: Diese Anbieter bieten in der Regel
Hosting oder externe Speicherlösungen an, ohne den Kunden große Einfluss- oder
Gestaltungsmöglichkeiten zu lassen. Amazon, Google und andere nennen sie hier als dominante Player.
Diese Form von Cloud Computing eignet sich sehr gut für kleine und mittlere Unternehmen, für
Startups oder ECommerce-Anbieter, denen IT-Services "von der Stange" genügen, deren Infrastruktur-
und Speicherplatzbedarf schnell wächst und deshalb schlecht vorherzusagen ist oder die starken
saisonalen Schwankungen in der IT-Leistung ausgesetzt sind.
Enterprise-Cloud-Service-Provider sind üblicherweise kleinere Anbieter, die mit innovativen
Angeboten im Bereich Cloud Computing, Cloud Storage, Hosted Computing, Private Clouds und
Intranet-Lösungen auf die speziellen Bedürfnisse von Unternehmenskunden eingehen, so die
Beschreibung durch Cole. Sie versprechen spürbare Kostenentlastung in der IT. Beispiele sind
vertikal aufgestellte Anbieter, etwa im Gesundheitssektor, in denen strenge, aber einheitliche
regulatorische Richtlinien (HIPAA etc.) alle Marktteilnehmer vor vergleichbare Anforderungen an die
IT stellen.
Die dritte Gruppe schließlich bilden die Telcos. Die großen Telefongesellschaften wie
Deutsche Telekom, AT&T, BT, NTT Data oder Verizon haben laut Cole alle Cloud-Angebote
angekündigt oder bereits realisiert. Dies sind eine Reihe von Ma-naged-Services und
Hosting-Lösungen. Häufig fehlt ihnen aber spezielles Branchen-Know-how.
Kuppinger Cole hat eine eigene Sicht des Markts entwickelt, die die Marktforscher als "
Cloud-Universum 2009" bezeichnen und die eine Momentaufnahme darstellen soll. Als
Unterscheidungskriterium gilt dabei einmal die Wiederverwendbarkeit des Angebots sowie die Anzahl
der adressierten Kunden. "Während traditionelle Outsourcing-Anbieter meist sehr spezifische
Anwendungen oder Services anbieten, die für eine kleine Zahl oder sogar nur für einzelne Kunden
maßgeschneidert sind, versuchen die Anbieter im Segment SaaS ("Software as a Service"), möglichst
generische und/oder branchenspezifische Lösungen über das offene Internet oder über geschlossene
Cloud-Infrastrukturen an viele Kunden zu verkaufen oder zu vermieten", erläutert Tim Cole. Große
Anbieter wie Google oder Microsoft wenden sich hingegen mit ihren Anwendungen an ein
Massenpublikum, also sowohl an Firmen wie an Privatanwender. In der linken oberen Ecke des
Diagramms sind Anbieter zu finden, die relativ spezifische Angebote für eine begrenzte und klar
umrissene Zielgruppe vorhalten.
Lesen Sie mehr zum Thema
