So lassen sich IAM und Cloud miteinander harmonisieren; MIDRANGE MAGAZIN; 7.780Ex. ; 02/2017
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
SCHWERPUNKT<br />
CLOUD-SICHERHEIT<br />
Services aus der Datenwolke <strong>sich</strong>er einbinden<br />
<strong>So</strong> <strong>lassen</strong> <strong>sich</strong> <strong>IAM</strong> <strong>und</strong> <strong>Cloud</strong><br />
<strong>miteinander</strong> <strong>harmonisieren</strong><br />
Ohne <strong>Cloud</strong> ist eine leistungsfähige <strong>und</strong> flexible IT-Infrastruktur in Unternehmen <strong>und</strong> deren<br />
Verwaltungen heute kaum noch denkbar. Doch wie gehen Organisationen mit der neuen<br />
Komplexität am besten um – ohne die Sicherheit ihres IT-Netzwerks aufs Spiel zu setzen?<br />
„Umdenken!“, meinen Günter Thiel <strong>und</strong> Florian Probst von TÜV Rheinland. Die Experten für<br />
Identity-<strong>und</strong>-Access-Management (<strong>IAM</strong>) empfehlen eine stärkere Verzahnung von <strong>IAM</strong>- <strong>und</strong><br />
<strong>Cloud</strong>-Strategie <strong>und</strong> erläutern konkret, worauf bei der Umsetzung zu achten ist.<br />
Ohne Login geht nichts. Jeder, der<br />
beruflich mit einer internen IT-<br />
Umgebung zu tun hat, kennt das: In der<br />
Regel muss der User erst einmal seine<br />
Identität nachweisen (Authentisierung)<br />
<strong>und</strong> dann sein Recht (Autorisierung),<br />
dass er auf eine bestimmte Ressource<br />
bzw. Anwendung zugreifen darf. In welchem<br />
Umfang er berechtigt ist, darauf<br />
zuzugreifen, bestimmt die so genannte<br />
Rolle, die ihm die Führungskraft zugedacht<br />
<strong>und</strong> die der Admin eingerichtet<br />
hat. Verwaltet werden Benutzer, Rollen<br />
<strong>und</strong> Berechtigungen in einem zentralen<br />
Identity-<strong>und</strong>-Access-Management-<br />
System (<strong>IAM</strong>-System). Hier können<br />
Benutzer, Rollen <strong>und</strong> Berechtigungen<br />
mit etablierten Prozessen angelegt, verwaltet<br />
<strong>und</strong> wieder gelöscht werden. <strong>So</strong><br />
lässt <strong>sich</strong> doppelter Aufwand zur Pflege<br />
von Benutzerkennungen vermeiden<br />
<strong>und</strong> Benutzer müssen <strong>sich</strong> nur einmal<br />
anmelden. Doch auf was sollte man<br />
achten, wenn unterschiedliche <strong>Cloud</strong>-<br />
Services parallel im Einsatz sind <strong>und</strong><br />
zusätzlich die IT vor Ort in Betrieb ist?<br />
Ein zentrales <strong>IAM</strong>-System auch<br />
für die <strong>Cloud</strong>-Dienste<br />
Gesteuert werden kann das Zugriffsmanagement<br />
für <strong>Cloud</strong>-Services durch<br />
ein bereits vorhandenes <strong>IAM</strong>-System<br />
auf dem lokalen Server (on-premise).<br />
Ein Beispielprozess. Ein Benutzer wird<br />
auf dem lokalen Server angelegt. Nach<br />
einer Genehmigung durch den Vorgesetzten<br />
legt das Identity-Management-<br />
System den Benutzer auf dem lokalen<br />
Server sowie für alle weiteren erforderlichen<br />
Systeme an, beispielsweise für<br />
eine externe <strong>Cloud</strong>-Anwendung.<br />
Alternativ dazu lässt <strong>sich</strong> das komplette<br />
<strong>IAM</strong>-System in die <strong>Cloud</strong> auslagern.<br />
Benutzer, Rollen <strong>und</strong> Berechtigungen<br />
werden in diesem Fall sowohl<br />
lokal als auch in den eingesetzten<br />
<strong>Cloud</strong>-Systemen aus dem <strong>Cloud</strong>-<strong>IAM</strong>-<br />
System heraus verwaltet. Der Markt<br />
bietet dazu unabhängige Lösungen sowohl<br />
von etablierten als auch von neuen<br />
<strong>IAM</strong>-Herstellern an. Einige Lösungen<br />
<strong>lassen</strong> <strong>sich</strong> auch ausschließlich in<br />
der <strong>Cloud</strong> betreiben.<br />
Darüber hinaus haben <strong>Cloud</strong>-Anbieter<br />
wie Microsoft, Amazon oder Google<br />
inzwischen eigene <strong>IAM</strong>-Alternativen<br />
entwickelt. Deren Anbindungsmöglichkeiten<br />
sind in der Regel jedoch<br />
recht eingeschränkt. Es <strong>lassen</strong> <strong>sich</strong><br />
zwar Benutzer für die Autorisierung<br />
unterschiedlicher Dienste in der jeweiligen<br />
Anbieter-<strong>Cloud</strong> anlegen. Auch die<br />
Übertragung von Identitäten in andere<br />
<strong>Cloud</strong>s oder ins lokale Netzwerk ist<br />
möglich. Hingegen ist die Integration<br />
anderer <strong>Cloud</strong>-Anbieter als Quelle derzeit<br />
umständlicher als bei klassischen<br />
<strong>IAM</strong>-Systemen. Dies dürfte <strong>sich</strong> jedoch<br />
bald ändern.<br />
Noch komplexer ist die Verwaltung<br />
feingranularer Rechte in der <strong>Cloud</strong>,<br />
etwa wenn es darum geht, Office-365 -<br />
Lizenzen zu verwalten oder Sub-Administratoren<br />
für bestimmte Funktionen<br />
einzurichten. In der <strong>Cloud</strong> ist es oft<br />
nicht anders als im Firmennetz: Rechte<br />
werden dezentral in den jeweiligen Systemen<br />
gepflegt, obwohl es Standards<br />
gibt, die eine zentrale Verwaltung der<br />
Autorisierungsinformationen zu<strong>lassen</strong>.<br />
Deshalb müssen Berechtigungen in der<br />
<strong>Cloud</strong> häufig dezentral administriert<br />
werden.<br />
Benutzeranlage mit dem Identity-<br />
Management-Protokoll SCIM<br />
Mit bestimmten Kommunikationsprotokollen<br />
(zum Beispiel SAML 2.0) kann<br />
man <strong>sich</strong> an Systemen authentisieren.<br />
Dazu muss am System selbst keine<br />
Kennung vorhanden sein. Doch das<br />
gilt nur, wenn auch die Autorisierung<br />
über ein zentrales <strong>IAM</strong> gelöst wurde.<br />
In der Regel ist dies nicht der Fall <strong>und</strong><br />
so muss das System auch die Autorisierungsinformationen<br />
verwalten – was<br />
wiederum Benutzerkennungen erfordert.<br />
Benutzerkennungen <strong>lassen</strong> <strong>sich</strong><br />
beispielsweise mit dem Protokoll SCIM<br />
32<br />
<strong>MIDRANGE</strong> <strong>MAGAZIN</strong> · <strong>02</strong>/<strong>2017</strong>
(System for Cross-domain Identity Management)<br />
anlegen. Dies ist ein wichtiger<br />
Aspekt, den man bei der Auswahl<br />
kompatibler <strong>Cloud</strong>-Infrastrukturen berück<strong>sich</strong>tigen<br />
sollte, denn nicht jeder<br />
<strong>Cloud</strong>-Service unterstützt die umfassende<br />
Anlage von Benutzern. Microsoft<br />
Azure <strong>und</strong> auch Google <strong>Cloud</strong> stellen<br />
das Protokoll beispielsweise nur ausgehend<br />
zur Verfügung. Das bedeutet:<br />
Mit SCIM <strong>lassen</strong> <strong>sich</strong> in Microsoft Azure<br />
keine Kennungen anlegen, sondern<br />
nur dort angelegte Accounts in andere<br />
Systeme übertragen, was bei der<br />
Implementierung einer <strong>IAM</strong>-Lösung<br />
alternative Protokolle erfordert. <strong>So</strong> bedarf<br />
es zum Beispiel zur Anlage von<br />
Authentisierung <strong>und</strong> Autorisierung.<br />
Accounts in Azure einer zusätzlichen<br />
Schnittstelle (API).<br />
Hinzu kommt: Nicht alle <strong>Cloud</strong>-<br />
Anbieter bieten den SCIM-Standard an.<br />
Um Benutzer <strong>und</strong> Rollen zu verwalten,<br />
stellen sie Schnittstellen (APIs) zur<br />
Verfügung, gewissermaßen als kleinsten<br />
gemeinsamen Nenner. Das heißt<br />
allerdings nicht, dass mit der API eines<br />
Anbieters auch alles möglich ist, was<br />
im Rahmen eines <strong>IAM</strong> erforderlich ist.<br />
Hier zeigen <strong>sich</strong> bei den Providern gravierende<br />
Unterschiede.<br />
Einige Hersteller von Identity-<br />
Management-Lösungen nutzen diese<br />
APIs <strong>und</strong> stellen entsprechende Konnektoren<br />
zur Verfügung. Im Microsoft-<br />
Kontext existieren Konnektoren, die<br />
<strong>sich</strong> mit Microsoft Azure bzw. mit Office<br />
365 <strong>Cloud</strong> über die sogenannte<br />
Graph-API von Microsoft verbinden. <strong>So</strong><br />
sind Benutzer <strong>und</strong> Gruppen der Azure<br />
<strong>Cloud</strong> im lokalen Identity-Management-System<br />
wie in der <strong>Cloud</strong> selbst zu<br />
verwalten. Selbst Funktionen wie das<br />
Zurücksetzen von Passwörtern oder<br />
<strong>Cloud</strong>-spezifische Funktionen wie das<br />
Zuordnen einer Lizenz sind damit möglich.<br />
Microsoft bietet auch hauseigene<br />
Lösungen an: Das Identity-Management-System<br />
in seiner neusten Version<br />
namens Microsoft Identity Manager<br />
(MIM) kann mit der hauseigenen <strong>Cloud</strong><br />
kommunizieren. Im einfachsten Fall<br />
ist sogar der Verzicht auf MIM möglich.<br />
Über das Synchronisierungstool<br />
Azure AD Connect <strong>lassen</strong> <strong>sich</strong> unter<br />
anderem Benutzer <strong>und</strong> Gruppen synchronisieren.<br />
Über die Filterfunktionen<br />
ist genau festzulegen, welche Objekte<br />
mit welchen Informationen übertragen<br />
werden sollen. Amazon bietet für<br />
seine AWS <strong>Cloud</strong> einen Konnektor von<br />
der <strong>Cloud</strong> zum lokalen Server an, allerdings<br />
ist damit keine Synchronisierung<br />
zur <strong>Cloud</strong> möglich. Der lokale Server<br />
dient lediglich zur Authentisierung gegenüber<br />
der <strong>Cloud</strong>.<br />
Active Directory Federation<br />
Services (ADFS)<br />
Quelle: TÜV Rheinland<br />
Die Anwendung „Active Directory<br />
Federation Services“ (ADFS) der Microsoft<br />
Azure <strong>Cloud</strong> ermöglicht es,<br />
<strong>sich</strong> mit einer Identität aus dem Unternehmen<br />
heraus an einem Dienst<br />
eines anderen Unternehmens oder<br />
einem Dienst in der <strong>Cloud</strong> zu authentisieren.<br />
Voraussetzung ist eine<br />
Vertrauensbeziehung zwischen dem<br />
ADFS <strong>und</strong> dem entfernten Dienst. Das<br />
bedeutet, dass <strong>sich</strong> Microsoft auch<br />
mit fremden Services „verträgt“, was<br />
bei der Integration von Microsoft-<br />
Diensten, wie zum Beispiel Microsoft<br />
Azure oder Office 365, ein wichtiger<br />
Aspekt ist. <strong>So</strong> steht der ADFS-Nutzung<br />
mit Nicht-Microsoft-Produkten nichts<br />
mehr im Wege. Bei der Integration<br />
von Microsoft-Diensten wie etwa Microsoft<br />
Azure oder Office 365 ist ADFS<br />
meist die erste Wahl.<br />
Wer seine <strong>IAM</strong>- <strong>und</strong> seine <strong>Cloud</strong>-<br />
Strategie besser <strong>miteinander</strong> verzahnen<br />
will, sollte von Beginn an die<br />
<strong>IAM</strong>-Funktionen mit auf der Anforderungsliste<br />
haben. Zu den Mindestvoraussetzungen<br />
zählen Standards wie<br />
SCIM – möglichst in beide Richtungen<br />
–, die eine Unterstützung durch gängige<br />
Proto kolle wie SAML 2.0 beinhalten,<br />
oder zumindest eine API, die <strong>IAM</strong>-taugliche<br />
Funktionen bietet. Nur dadurch<br />
wird es möglich, dass ein <strong>IAM</strong> in <strong>und</strong><br />
mit der <strong>Cloud</strong> sinnvoll funktioniert.<br />
Die <strong>Cloud</strong> ohne <strong>IAM</strong>-Anbindung<br />
zu nutzen, führt zwangsläufig in eine<br />
Sackgasse, da Verwaltungsaufgaben<br />
mehrfach <strong>und</strong> manuell durchgeführt<br />
werden müssen. Das kostet nicht nur<br />
Geld <strong>und</strong> Zeit, sondern geht auch zu<br />
Lasten der Sicherheit. Denn nichtautomatisierte<br />
Prozesse führen zu Fehlern,<br />
wie zum Beispiel bei der Aufrechterhaltung<br />
von Benutzerkennungen <strong>und</strong><br />
Berechtigungen, obwohl der Benutzer<br />
das Unternehmen längst ver<strong>lassen</strong> hat.<br />
Dieses Problem lässt <strong>sich</strong> bei Audits<br />
regelmäßig feststellen. Ein übergreifendes<br />
<strong>IAM</strong> mit Anbindungen an alle<br />
genutzten <strong>Cloud</strong>-Dienste ermöglicht eine<br />
zentrale Verwaltung von Benutzern<br />
<strong>und</strong> Berechtigungen über Rollen sowie<br />
eine <strong>sich</strong>ere <strong>und</strong> benutzerfre<strong>und</strong>liche<br />
Authentisierung – ein Sicherheitsgewinn<br />
für die gesamte Organisation über<br />
alle Ebenen.<br />
Günter Thiel <strong>und</strong> Florian Probst ó<br />
www.tuv.com/iam<br />
<strong>02</strong>/<strong>2017</strong> · <strong>MIDRANGE</strong> <strong>MAGAZIN</strong><br />
33