Identity- und Access-Management für die Cloud
Wolken verdüstern den Durchblick
Angesichts der immer stärker um sich greifenden Nutzung von Cloud-Services wird auch die Problemstellung immer drängender, wie man das Identity- und Access-Management (IAM) für diese Dienste umsetzt. Dies ist eine Frage, die eigentlich beantwortet sein sollte, bevor ein Unternehmen mit der Nutzung von Cloud-Diensten startet - zugleich ist dies aber auch eine Frage, bei der noch manche Antworten fehlen.Cloud-Services sind in vielen Fällen eine Alternative zu IT-Diensten, die die IT-Abteilung eines Unternehmens lokal ("on Premise") erbringt. Dabei gilt es aber abzuwägen, ob die funktionalen Anforderungen ebenso wie die weiteren Rahmenbedingungen erfüllt sind. Denn die Cloud als "lediglich ein weiteres Deployment-Modell" muss sich natürlich ebenso wie jeder andere IT-Dienst daran messen lassen, dass sie auch die Dienstqualität liefert, die man braucht. Zu dieser Dienstqualität zählt auch und insbesondere die Informationssicherheit - und bei dieser spielt wiederum das Identity- und Access-Management eine zentrale Rolle, um zu steuern, wer eigentlich auf welche Informationen und auf welche Dienste zugreifen darf.
IAM ist also eine Grundvoraussetzung dafür, dass man Cloud-Dienste nutzen kann. Cloud Computing ohne funktionierendes IAM ignoriert die Anforderungen an die Informationssicherheit. Da die Cloud aber nur ein Bereitstellungsmodell für IT-Dienste neben der etablierten internen IT ist und dies in den meisten Unternehmen auch weiterhin so sein wird, geht es nicht darum, noch ein IAM für die Cloud zu schaffen: Vielmehr gilt es, ein IAM für alle IT-Dienste zu haben, gleich wo sie produziert werden. Ansonsten lässt sich keine durchgängige Informationssicherheit realisieren.
Und genau hier beginnt die Herausforderung: Für viele Anbieter von Cloud-Diensten scheint IAM noch ein Fremdwort zu sein. Derzeit gibt es immer noch mehr Ansätze für ein isoliertes Cloud-IAM als für echte Integration. Es gibt aber auch vielversprechende Lösungsansätze und Standards, die dabei helfen, dass aus der Cloud nicht nur interessante funktionale Angebote kommen, sondern dass diese auch sicher sind.
IAM in der Cloud ist dabei ein Thema für jeden Cloud-Dienst, nicht nur für SaaS-Anwendungen. Bei Entwicklungsplattformen sind die Zugriffe von Entwicklern und Softwaretestern zu steuern, bei IaaS-Umgebungen (Infrastructure as a Service) wie Amazon EC2 muss man zumindest die eigenen Administratoren und Operatoren im Griff haben und deren Zugriffsberechtigungen nicht nur steuern, sondern auch gezielt überwachen können.
Die Anforderungen sind einfach zu definieren: Die Administration von Identitäten, die Authentifizierung von Benutzern, die Autorisierung von Zugriffen und das Auditing - also die "vier As" - müssen über Standards so unterstützt sein, dass sie sowohl on Premise, bei anderen Cloud-Diensten als auch bedarfsweise beim Cloud-Anbieter selbst durchführbar sind.
Integration: im homogenen Umfeld einfacher
Diese Aufgabe ist im homogenen Umfeld einfacher lösbar. Microsoft zum Beispiel bietet für seine Umgebungen wie Office 365 bereits eine recht taugliche Verbindung zu bestehenden Active-Directory-Infrastrukturen. Dies überrascht nicht, immerhin nutzen auch Office 365 oder Azure das Active Directory.
Wenn es um die Integration mit anderen Infrastrukturen geht, sieht es aber schon nicht mehr ganz so gut aus. Es gibt zwar über die ADFS (Active Directory Federation Services) in der Version 2 eine Unterstützung für Federation-Standards. Dokumentiert ist dies aber bisher nur für die Verbindung mit Microsoft-Infrastrukturen. Die Verwendung von Standards wie LDAP und insbesondere der Federation und hier des SAML-Protokolls (Security Assertion Markup Language) ist aber der richtige Weg. Ganz düster sieht es ohnehin unabhängig von der Art der Cloud-Dienste beim Auditing aus, weil hier die Standards fehlen.
Integration mit vorhandenen Infrastrukturen
Die bei Microsoft zu erkennende Richtung, Cloud-Dienste in bestehende, etablierte Infrastrukturen zu integrieren, ist aber grundsätzlich richtig. Denn kaum ein Unternehmen beginnt nähert sich der Cloud auf der "grünen Wiese". Die meisten haben gerade im Bereich der Sicherheit bereits ihre etablierten Lösungen, über die sie die Benutzer und Zugriffsberechtigungen verwalten. Dies gilt natürlich nicht nur für das Thema IAM - aber gerade hier sind Benutzer besonders sensibel, da sie sich nicht mehrfach anmelden möchten.
Die Anforderung muss also lauten, ein integriertes IAM zu erhalten. Dies gilt nicht nur wegen der verständlichen Wünsche der Benutzer, sondern auch aus rechtlichen Gründen: Compliance-Anforderungen enden nicht am (ohnehin meist allzu löchrigen) Perimeter des Unternehmens. Im Hinblick auf die Frage, wer wo Zugriffsberechtigungen hat, und selbst auf SoD-Regeln (Segregation of Duties, also die Funktionstrennung) interessiert es nicht, wo welcher Dienst läuft. SoD und Zugriffsberechtigungen leiten sich aus Business-Anforderungen und Sicherheitsregeln ab und müssen auch für Cloud-Dienste greifen.
Provisioning in die Cloud
Ein Ansatz für ein solches integriertes IAM könnte das Provisioning von Benutzern auch für Cloud-Dienste sein, also die Einbindung externer Anbieter in die vorhandenen Lösungen, mit denen die IT-Organisation neue Benutzer anlegt und Änderungen in verschiedenen Verzeichnissen nachzieht. Eine wachsende Zahl von Provisioning-Anbietern arbeitet daran, auch Cloud-Dienste mit speziellen Konnektoren zu unterstützen. Der Fokus liegt dabei aber auf wenigen etablierten Plattformen wie beispielsweise Salesforce.com oder Google Apps. Das Problem ist, dass es noch keinen für die Cloud etablierten Standard für das Provisioning gibt. Die Konnektoren müssen also immer die proprietären APIs der verschiedenen Cloud-Anbieter nutzen, weshalb sich die Provisioning-Hersteller auf einige wenige besonders wichtige Schnittstellen konzentrieren.
Mit SCIM (Simple Cloud Identity Management) gibt es eine Standardisierungsinitiative, die das lange bestehende, aber wenig etablierte SPML (Service Provisioning Markup Language) ablösen soll. SPML ist von seinem Konzept her wenig effizient für die Anforderungen in der Cloud, insbesondere durch seine Kommunikationsmechanismen. SCIM soll REST-basierend (Representational State Transfer) sein und deutlich effizienter arbeiten. Ob es sich aber bei den Cloud-Anbietern als Standardschnittstelle etablieren wird, steht noch in den Sternen. Bis dahin wird man auf Konnektoren angewiesen sein, die entweder der Provisioning-Hersteller liefert oder die man selbst entwickeln muss.
Federation: deutlich mehr kurzfristiges Potenzial
Im Vergleich zum Provisioning, bei dem der Cloud-Anbieter die Benutzer anlegt und verwaltet, bietet die Identity Federation deutlich mehr Potenzial. Eine wachsende Zahl von Cloud-Diensten unterstützt SAML. Damit lassen sich Benutzer im eigenen Unternehmen (oder einem anderen Verzeichnisdienst, der an eine Federation-Lösung angeschlossen ist) verwalten. Die Authentifizierung erfolgt beim Unternehmen, das als "Identity Provider" agiert. Der Cloud-Anbieter vertraut darauf, dass diese Authentifizierung korrekt ist, und lässt die Zugriffe dann zu.
Eine weitere Steuerung der Autorisierung kann gegebenenfalls über Attribute erfolgen, die mit der SAML-Nachricht oder über nachfolgende Anfragen übergeben werden. SAML bietet hier viel Flexibilität. Allerdings zielt dies primär die Authentifizierungsthematik ab, während die Autorisierungsregeln typischerweise immer noch über die proprietären Verwaltungsschnittstellen der Cloud-Anbieter festzulegen sind. Eine weitergehende Unterstützung von Standards wie XACML (Extensible Access Control Markup Language) fehlt praktisch vollständig. Damit würden sich dann aber auch die Autorisierungsregeln in standardisierter Weise beschreiben und an unterschiedliche Cloud-Anbieter liefern lassen.
Starke Authentifizierung und Single Sign-on
Wenn es um Themen wie die starke Authentifizierung und das Single Sign-on geht, also die Frage, wie sich Benutzer einerseits relativ sicher und andererseits bequem anmelden können, sind einige interessante Lösungsansätze zu finden. Es gibt beispielsweise Cloud-Dienste, die eine starke Authentifizierung für unterschiedliche andere Cloud-Dienste unterstützen, beispielsweise Secureauth. Man kann natürlich bestehende Single-Sign-on-Lösungen auch nutzen, um auf Cloud-Dienste zuzugreifen - da es "normale" Web-Authentifizierungen sind, funktioniert dies in der Regel reibungslos. Es gibt auch Ansätze wie der von Symplified, der eine Art "Web-Access-Management" als Cloud-Dienst realisiert.
Alle speziellen Anbieter solcher Dienste befinden sich aber eher noch im Startup-Stadium. Hier stellt sich also durchaus die Frage, wie sehr man für strategische Lösungen im Unternehmen darauf bauen kann. Bei einigen Ansätzen stellt sich auch die generelle Frage, ob es Sinn ergibt, eine Cloud-Lösung beispielsweise nur für ein Single Sign-on gegenüber anderen Cloud-Diensten einzusetzen - also völlig ohne Verbindung zur vor Ort bestehenden IT-Infrastruktur. Hersteller wie Symplified und Secureauth haben das aber erkannt und bauen solche Schnittstellen konsequent aus.
IAM in der Cloud noch in den Kinderschuhen
Auch wenn die Herausforderung erkannt ist: Von einer perfekten Lösung für "IAM in der Cloud" ist der Markt noch ein gutes Stück entfernt. Das Thema muss man aber ernst nehmen, denn es geht um Sicherheit, um die Nutzbarkeit der Cloud für Anwender und nicht zuletzt um die Erfüllung von Compliance-Anforderungen. Die IAM-Anbieter sind dabei weiter als die meisten Cloud-Anbieter. Mit der Unterstützung von SAML gibt es oft eine minimale Unterstützung. Wenn es aber um die Autorisierungssteuerung und Standards wie XACML, um ein zentrales Auditing oder gar um die Steuerung und Überwachung der Aktivitäten privilegierter Benutzer in der Cloud geht, sieht es noch schlecht aus. Deshalb darf man bei der Entscheidung für Cloud-Dienste auch nicht nur auf die funktionalen Aspekte achten, sondern muss sich intensiv Gedanken über diesen Bereich der Sicherheit machen.
Lesen Sie mehr zum Thema
