Sicherheit, Datenschutz und Compliance - diese Themen beschäftigen die Hälfte der Unternehmen, die bereits Cloud-Services nutzen, in hohem Maße. Das zeigte eine Umfrage der Computerwoche im vorigen Jahr. Vor allem Fragen nach der Regelkonformität beschäftigen die Manager: Wo sind meine Daten gespeichert, und wer hat Zugriff darauf? Wie lassen sich die Identitäten der Anwender kontrollieren und schützen, wie Zugriffe nachvollziehen, wenn Dritte einschließlich der Cloud-Anbieter selbst auf die Cloud-Services zugreifen können? Welche Reports werden in diesem Umfeld für mich erstellt?
Foto: Siemens
Identitäts- und Zugangsmanagement (IAM) erlaubt es Unternehmen, ihre Cloud-Anwendungen mit einzubinden und damit vor unberechtigten Zugriffen zu schützen. Die Basis dafür bilden Benutzerrollen und -rechte, die anhand der Aufbauorganisation und der Funktionen von Mitarbeitern oder beteiligten Geschäftspartnern definiert werden.
Auf dieser Grundlage legt ein IAM-System fest, steuert und kontrolliert, welche Anwender auf welche Informationen und Applikationen zugreifen dürfen. Zugang erhalten diese erst dann, wenn sie sich erfolgreich identifiziert haben, zum Beispiel anhand einer Chipkarte, eines Passworts oder eines biometrischen Verfahrens - und zwar für alle Daten und Dienste, die an das IAM-System angeschlossen sind.
Auf gute Zusammenarbeit
Die erteilten Rechte sind flexibel anpassbar, etwa bei einem Rollenwechsel, oder können bei Bedarf sofort und vollständig entzogen werden. Damit schützt die IAM-Lösung nicht nur die Unternehmensdaten, sondern minimiert zugleich den Aufwand für die Zugangsverwaltung, vermeidet isolierte Lösungen oder redundante Datenhaltung. Das wirkt sich positiv auf die Betriebskosten aus. Auch hybride Lösungen, die Cloud-basierte und unternehmensinterne Anwendungen umfassen, lassen sich damit absichern und effizienter betreiben - vorausgesetzt, sie werden richtig geplant und umgesetzt.
Foto: Siemens IT Solutions and Services
IT-Verantwortliche müssen also eine Brücke schlagen zwischen einer IAM-Lösung vor Ort und den Anwendungen in der Cloud. Denn die Nutzung von Cloud-Services in einem Unternehmen erfordert die Zusammenarbeit mit einem Cloud-Dienstleister - oder auch mit mehreren. Damit ist das Unternehmen bezüglich IAM nicht mehr unabhängig, sondern muss die Vorgaben der Cloud-Anbieter in seiner Lösung berücksichtigen, beispielsweise die Art und Weise, wie der Cloud-Anbieter Authentifizierung und Rechtemanagement gestaltet.
Auf dieser Basis gilt es, den Applikationen in der Cloud die richtigen Rechte für die richtigen Benutzer zuzuweisen. Dabei lassen sich unautorisierte Zugriffe nur dann wirksam unterbinden, wenn Rechte automatisiert vergeben, sprich provisioniert, und bei Bedarf vollständig wieder entzogen, also deprovisioniert, werden. Der Cloud-Anbieter sollte folglich in der Lage sein, die Vergabe von Rechten entweder im Auftrag durchzuführen oder so zu unterstützen, dass sie das Unternehmen selbst steuern kann.
Brückenbau in die IT-Wolke mit Identity Federation
Greifen Benutzer von einem Unternehmen aus auf Cloud-Services zu, so bietet die Technik der Identity Federation erhöhte Sicherheit und erhöhten Komfort, denn sie ermöglicht zudem ein Single Sign On für den Zugriff auf Cloud-Anwendungen. Die Anwender nutzen mit einer einzigen Anmeldung Dienste im eigenen Unternehmen und in der Cloud, wobei der Cloud-Anbieter der Identität des Anwenders vertraut. Da Identitätsdaten nicht doppelt an zwei Stellen verwaltet werden müssen, sinkt der Administrationsaufwand spürbar. Bei der Auswahl eines Cloud-Services-Anbieters sollten Unternehmen also darauf achten, dass dieser Identity Federation unterstützt.
Genauso stellt sich bei der Authentifizierung die Frage, was das Unternehmen favorisiert und was der Cloud-Anbieter unterstützt. Bietet er Identity Federation, so stehen dem Unternehmen grundsätzlich alle Methoden - auch die sogenannte starke Authentifizierung mittels Biometrie oder Token - offen. Dank Identity Federation kann der Cloud-Anbieter der Authentifizierung vertrauen. Zusätzliche Sicherheit bringt hier die Authentifizierung über Zertifikate, die ähnlich einem digitalen Ausweis von einem Trustcenter ausgegeben werden. Mit diesen Berechtigungen können sich Mitarbeiter oder Geschäftspartner auch in der Cloud gegenseitig eindeutig identifizieren und sicher zusammenarbeiten.
Entscheidend ist, dass sämtliche Vereinbarungen mit dem Cloud-Services-Anbieter vertraglich abgesichert werden. Dies schließt auch rechtliche Vorgaben wie Datenschutzbestimmungen bezüglich der Verarbeitung von Personendaten ein. Damit ein solches Vorhaben gelingt, bedarf es eines Lösungspartners, der sämtliche Aspekte einbezieht und über umfangreiches Wissen verfügt, sprich Technik-, Beratungs-, Branchen- und Vertrags-Know-how.
Federation-Vorreiter Autoindustrie
Ein Vorteil der Identity-Federation-Technologie ist, dass sie den Kinderschuhen bereits entwachsen ist. Vor allem die Automobilindustrie hat den Ansatz in den vergangenen Jahren stark vorangetrieben, indem sie Zulieferer und Partner sicher in ihre Systeme und Prozesse integriert. So setzt sich die Organization for Data Exchange by Teletransmission in Europe (Odette) für Standards zur gemeinsamen Nutzung von Identitätsdaten zwischen Fahrzeugherstellern und ihren Partnern ein.
Im Rahmen des Federated-Identity-Management-Projektes SESAM des Odette-Forums entwickelten Siemens IT Solutions and Services und weitere IAM-Anbieter gemeinsam mit Automobilherstellern IAM in einer SOA-Umgebung, in der Automobilhersteller und -zulieferer auf gemeinsam genutzte Identitäten zugreifen können. Die Motivation dahinter: Senkung der Kosten und Erhöhung der Produktivität. Beispielsweise ist es möglich, über unterschiedliche Sicherheitsstrukturen hinweg eine standardisierte Single-Sign-on-Funktion zu etablieren und so neue Geschäftsmodelle wie "Virtual Companies" und gemeinsame Entwicklungsprogramme zu erschließen.
IAM richtig umsetzen
Bei der Einführung einer sicheren Identitäts- und Zugangsverwaltung konzentrieren sich die Verantwortlichen heute oft noch zu stark auf die Technik und zu wenig auf die Geschäftsausrichtung. Ein IAM-Projekt umfasst eben nicht nur die IT-Implementierung, sondern bezieht immer die Funktionen und die Organisation eines Unternehmens mit ein. Deshalb sollte es vor allem bei komplexeren IAM-Vorhaben wie der Einbeziehung von Cloud-Services nicht Ziel sein, so schnell wie möglich alle Systeme und Abteilungen auf einmal anzubinden. Besser ist es, anhand eines Phasenmodells Schritt für Schritt vorzugehen. Auf diese Weise werden auch Erfolge viel schneller sichtbar. Ein externer IT-Dienstleister, der das Wissen um die internen Geschäftsprozesse mit dem Verständnis für die technologischen Möglichkeiten verknüpft, kann dabei wertvolle Unterstützung leisten.
Will ein Unternehmen keine eigene Infrastruktur für Identity Federation vorhalten, kann es diesen Service auch aus der Wolke beziehen. So bietet beispielsweise Siemens IT Solutions and Services mit Identity Provider on Demand eine konsistente Zugangskontrolle für Cloud-Services, die die Unternehmensdaten schützt, doch dem Anbieter des Dienstes keinen Einblick in die Identitätsdaten erlaubt. Identitäten externer Kooperationspartner lassen sich damit effizient und sicher integrieren und verwalten. (hal)
Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation Computerwoche.