So lassen sich IAM und Cloud miteinander harmonisieren; MIDRANGE MAGAZIN; 7.780Ex. ; 02/2017

SCHWERPUNKT
CLOUD-SICHERHEIT
Services aus der Datenwolke sicher einbinden
So lassen sich IAM und Cloud
miteinander harmonisieren
Ohne Cloud ist eine leistungsfähige und flexible IT-Infrastruktur in Unternehmen und deren
Verwaltungen heute kaum noch denkbar. Doch wie gehen Organisationen mit der neuen
Komplexität am besten um – ohne die Sicherheit ihres IT-Netzwerks aufs Spiel zu setzen?
„Umdenken!“, meinen Günter Thiel und Florian Probst von TÜV Rheinland. Die Experten für
Identity-und-Access-Management (IAM) empfehlen eine stärkere Verzahnung von IAM- und
Cloud-Strategie und erläutern konkret, worauf bei der Umsetzung zu achten ist.
Ohne Login geht nichts. Jeder, der
beruflich mit einer internen IT-
Umgebung zu tun hat, kennt das: In der
Regel muss der User erst einmal seine
Identität nachweisen (Authentisierung)
und dann sein Recht (Autorisierung),
dass er auf eine bestimmte Ressource
bzw. Anwendung zugreifen darf. In welchem
Umfang er berechtigt ist, darauf
zuzugreifen, bestimmt die so genannte
Rolle, die ihm die Führungskraft zugedacht
und die der Admin eingerichtet
hat. Verwaltet werden Benutzer, Rollen
und Berechtigungen in einem zentralen
Identity-und-Access-Management-
System (IAM-System). Hier können
Benutzer, Rollen und Berechtigungen
mit etablierten Prozessen angelegt, verwaltet
und wieder gelöscht werden. So
lässt sich doppelter Aufwand zur Pflege
von Benutzerkennungen vermeiden
und Benutzer müssen sich nur einmal
anmelden. Doch auf was sollte man
achten, wenn unterschiedliche Cloud-
Services parallel im Einsatz sind und
zusätzlich die IT vor Ort in Betrieb ist?
Ein zentrales IAM-System auch
für die Cloud-Dienste
Gesteuert werden kann das Zugriffsmanagement
für Cloud-Services durch
ein bereits vorhandenes IAM-System
auf dem lokalen Server (on-premise).
Ein Beispielprozess. Ein Benutzer wird
auf dem lokalen Server angelegt. Nach
einer Genehmigung durch den Vorgesetzten
legt das Identity-Management-
System den Benutzer auf dem lokalen
Server sowie für alle weiteren erforderlichen
Systeme an, beispielsweise für
eine externe Cloud-Anwendung.
Alternativ dazu lässt sich das komplette
IAM-System in die Cloud auslagern.
Benutzer, Rollen und Berechtigungen
werden in diesem Fall sowohl
lokal als auch in den eingesetzten
Cloud-Systemen aus dem Cloud-IAM-
System heraus verwaltet. Der Markt
bietet dazu unabhängige Lösungen sowohl
von etablierten als auch von neuen
IAM-Herstellern an. Einige Lösungen
lassen sich auch ausschließlich in
der Cloud betreiben.
Darüber hinaus haben Cloud-Anbieter
wie Microsoft, Amazon oder Google
inzwischen eigene IAM-Alternativen
entwickelt. Deren Anbindungsmöglichkeiten
sind in der Regel jedoch
recht eingeschränkt. Es lassen sich
zwar Benutzer für die Autorisierung
unterschiedlicher Dienste in der jeweiligen
Anbieter-Cloud anlegen. Auch die
Übertragung von Identitäten in andere
Clouds oder ins lokale Netzwerk ist
möglich. Hingegen ist die Integration
anderer Cloud-Anbieter als Quelle derzeit
umständlicher als bei klassischen
IAM-Systemen. Dies dürfte sich jedoch
bald ändern.
Noch komplexer ist die Verwaltung
feingranularer Rechte in der Cloud,
etwa wenn es darum geht, Office-365 -
Lizenzen zu verwalten oder Sub-Administratoren
für bestimmte Funktionen
einzurichten. In der Cloud ist es oft
nicht anders als im Firmennetz: Rechte
werden dezentral in den jeweiligen Systemen
gepflegt, obwohl es Standards
gibt, die eine zentrale Verwaltung der
Autorisierungsinformationen zulassen.
Deshalb müssen Berechtigungen in der
Cloud häufig dezentral administriert
werden.
Benutzeranlage mit dem Identity-
Management-Protokoll SCIM
Mit bestimmten Kommunikationsprotokollen
(zum Beispiel SAML 2.0) kann
man sich an Systemen authentisieren.
Dazu muss am System selbst keine
Kennung vorhanden sein. Doch das
gilt nur, wenn auch die Autorisierung
über ein zentrales IAM gelöst wurde.
In der Regel ist dies nicht der Fall und
so muss das System auch die Autorisierungsinformationen
verwalten – was
wiederum Benutzerkennungen erfordert.
Benutzerkennungen lassen sich
beispielsweise mit dem Protokoll SCIM
32
MIDRANGE MAGAZIN · 02/2017

(System for Cross-domain Identity Management)
anlegen. Dies ist ein wichtiger
Aspekt, den man bei der Auswahl
kompatibler Cloud-Infrastrukturen berücksichtigen
sollte, denn nicht jeder
Cloud-Service unterstützt die umfassende
Anlage von Benutzern. Microsoft
Azure und auch Google Cloud stellen
das Protokoll beispielsweise nur ausgehend
zur Verfügung. Das bedeutet:
Mit SCIM lassen sich in Microsoft Azure
keine Kennungen anlegen, sondern
nur dort angelegte Accounts in andere
Systeme übertragen, was bei der
Implementierung einer IAM-Lösung
alternative Protokolle erfordert. So bedarf
es zum Beispiel zur Anlage von
Authentisierung und Autorisierung.
Accounts in Azure einer zusätzlichen
Schnittstelle (API).
Hinzu kommt: Nicht alle Cloud-
Anbieter bieten den SCIM-Standard an.
Um Benutzer und Rollen zu verwalten,
stellen sie Schnittstellen (APIs) zur
Verfügung, gewissermaßen als kleinsten
gemeinsamen Nenner. Das heißt
allerdings nicht, dass mit der API eines
Anbieters auch alles möglich ist, was
im Rahmen eines IAM erforderlich ist.
Hier zeigen sich bei den Providern gravierende
Unterschiede.
Einige Hersteller von Identity-
Management-Lösungen nutzen diese
APIs und stellen entsprechende Konnektoren
zur Verfügung. Im Microsoft-
Kontext existieren Konnektoren, die
sich mit Microsoft Azure bzw. mit Office
365 Cloud über die sogenannte
Graph-API von Microsoft verbinden. So
sind Benutzer und Gruppen der Azure
Cloud im lokalen Identity-Management-System
wie in der Cloud selbst zu
verwalten. Selbst Funktionen wie das
Zurücksetzen von Passwörtern oder
Cloud-spezifische Funktionen wie das
Zuordnen einer Lizenz sind damit möglich.
Microsoft bietet auch hauseigene
Lösungen an: Das Identity-Management-System
in seiner neusten Version
namens Microsoft Identity Manager
(MIM) kann mit der hauseigenen Cloud
kommunizieren. Im einfachsten Fall
ist sogar der Verzicht auf MIM möglich.
Über das Synchronisierungstool
Azure AD Connect lassen sich unter
anderem Benutzer und Gruppen synchronisieren.
Über die Filterfunktionen
ist genau festzulegen, welche Objekte
mit welchen Informationen übertragen
werden sollen. Amazon bietet für
seine AWS Cloud einen Konnektor von
der Cloud zum lokalen Server an, allerdings
ist damit keine Synchronisierung
zur Cloud möglich. Der lokale Server
dient lediglich zur Authentisierung gegenüber
der Cloud.
Active Directory Federation
Services (ADFS)
Quelle: TÜV Rheinland
Die Anwendung „Active Directory
Federation Services“ (ADFS) der Microsoft
Azure Cloud ermöglicht es,
sich mit einer Identität aus dem Unternehmen
heraus an einem Dienst
eines anderen Unternehmens oder
einem Dienst in der Cloud zu authentisieren.
Voraussetzung ist eine
Vertrauensbeziehung zwischen dem
ADFS und dem entfernten Dienst. Das
bedeutet, dass sich Microsoft auch
mit fremden Services „verträgt“, was
bei der Integration von Microsoft-
Diensten, wie zum Beispiel Microsoft
Azure oder Office 365, ein wichtiger
Aspekt ist. So steht der ADFS-Nutzung
mit Nicht-Microsoft-Produkten nichts
mehr im Wege. Bei der Integration
von Microsoft-Diensten wie etwa Microsoft
Azure oder Office 365 ist ADFS
meist die erste Wahl.
Wer seine IAM- und seine Cloud-
Strategie besser miteinander verzahnen
will, sollte von Beginn an die
IAM-Funktionen mit auf der Anforderungsliste
haben. Zu den Mindestvoraussetzungen
zählen Standards wie
SCIM – möglichst in beide Richtungen
–, die eine Unterstützung durch gängige
Proto kolle wie SAML 2.0 beinhalten,
oder zumindest eine API, die IAM-taugliche
Funktionen bietet. Nur dadurch
wird es möglich, dass ein IAM in und
mit der Cloud sinnvoll funktioniert.
Die Cloud ohne IAM-Anbindung
zu nutzen, führt zwangsläufig in eine
Sackgasse, da Verwaltungsaufgaben
mehrfach und manuell durchgeführt
werden müssen. Das kostet nicht nur
Geld und Zeit, sondern geht auch zu
Lasten der Sicherheit. Denn nichtautomatisierte
Prozesse führen zu Fehlern,
wie zum Beispiel bei der Aufrechterhaltung
von Benutzerkennungen und
Berechtigungen, obwohl der Benutzer
das Unternehmen längst verlassen hat.
Dieses Problem lässt sich bei Audits
regelmäßig feststellen. Ein übergreifendes
IAM mit Anbindungen an alle
genutzten Cloud-Dienste ermöglicht eine
zentrale Verwaltung von Benutzern
und Berechtigungen über Rollen sowie
eine sichere und benutzerfreundliche
Authentisierung – ein Sicherheitsgewinn
für die gesamte Organisation über
alle Ebenen.
Günter Thiel und Florian Probst ó
www.tuv.com/iam
02/2017 · MIDRANGE MAGAZIN
33