"BeyondCorp" ist IAM pur

Google packt seine Enterprise-Anwendungen ins Internet

12.05.2015
Von 
Thomas Cloer war Redakteur der Computerwoche.
Google glaubt nicht, dass sein internes Netz weniger gefährlich ist als das große weite Internet.

Statt das interne Netz durch Perimeter-Gerätschaften wie Firewalls zu schützen, darf man von überall aus auf Googles Daten und Anwendungen zugreifen - vorausgesetzt, man hat das richtige Gerät und die richtigen Credentials. Google nennt das neue Sicherheitskonzept einem Bericht des "Wall Street Journal" zufolge "BeyondCorp" und setzt auf Authentifizierung, Autorisierung und Verschlüsselung, um seinen Mitarbeitern einen fein abgestuften Zugriff auf verschiedene Unternehmens-Ressourcen zu gewähren. Die beiden Google-Mitarbeiter Rory Ward und Betsy Beyer beschreiben das Konzept (PDF-Link) bereits in einem im vergangenen Dezember veröffentlichten Paper, das Google auf Nachfrage der Zeitung nicht kommentieren wollte.

Ein solches Modell wird umso wichtiger, je mehr Mitarbeiter Cloud(s) und mobile Anwendungen verwenden, sagen Analysten. "Viele Firmen können von Googles Aggressivität lernen", findet etwa Jon Oltsik, Senior Principal Analyst der Enterprise Strategy Group. "Kein Unternehmen wird darum herumkommen, etwas in dieser Art zu entwickeln."

Google selbst steigt gerade sukzessive auf das neue Sicherheitskonzept um und will es laut Ward und Beyer konzernweit einsetzen. Der Zugriff auf die Ressourcen hängt dann nur mehr vom Gerät und den Zugangsdaten ab und nicht mehr vom Netz - der Mitarbeiter wird gleich behandelt unabhängig davon, ob er sich gerade im Firmenbüro, zuhause oder in einem Coffee Shop befindet. Auf das herkömmliche Konzept virtueller privater Netze (VPNs) wird gänzlich verzichtet. Der Zugriff auf Firmenanwendungen erfolgt grundsätzlich verschlüsselt, auch wenn die Mitarbeiter in einem Google-Gebäude sitzen.

Außerdem muss das genutzte Gerät von Google angeschafft und aktiv verwaltet sein. Google betreibt dazu eine Inventar-Datenbank, die alle an Mitarbeiter ausgegebenen Computer und mobilen Geräte und Veränderungen an diesen erfasst. Auch die Mitarbeiter werden in Nutzer- und Gruppen-Datenbanken verwaltet, die mit den HR-Prozessen des Konzerns verzahnt sind. Sie werden aktualisiert, wenn Mitarbeiter bei Google anfangen, neue Aufgaben bekommen oder das Unternehmen verlassen. Ein Single-Sign-On-System gleicht die Googler gegen diese Datenbanken ab und gewährt ihnen kurzfristigen Zugriff auf bestimmte Ressourcen.

Wie weitreichend der gewährte Zugang ist, ist bei "BeyondCorp" nicht fix - hat ein Mitarbeiter beispielsweise sein Gerät nicht mit einem kürzlichen Patch aktualisiert, könnte diesem Device weniger vertraut werden. Auch ließen sich unterschiedlichen Smartphone-Modellen abhängig von ihren eingebauten Sicherheits-Features unterschiedliche Trust Level zuweisen. Überdies könnte einem Mitarbeiter, der von einem neuen Ort aus auf Firmenanwendungen zugreifen will, der Zugriff auf bestimmte Ressourcen zunächst verwehrt werden (so wie das auch beim Risk Management von Kreditkarten passieren kann).

Google ist mit seinem Konzept übrigens keineswegs allein auf weiter Security-Flur - ähnliche Ansätze verfolgen dem Bericht zufolge unter anderem Coca-Cola, Verizon und Mazda Motor. "Wenn Sie sich anschauen, was heute die Probleme in Unternehmen sind, dann sind das Agilität und Speed-to-Market. Wir bewegen mehr und mehr Dinge in die Cloud, jede Firma tut das", erklärte demnach Alan Boehme, Chief Enterprise Architect bei Coca-Cola, im März auf einer Sicherheitskonferen.

Wenig erfreut sein dürften darüber die Anbieter traditioneller Enterprise Firewalls - ein vorerst noch weiterhin boomender Markt, der laut einer Prognose von Markets and Markets vom vergangenen Herbsst von 6,14 Milliarden Dollar auf 8,14 Milliarden Dollar im Jahr 2019 wachsen soll. "Das wirft eine Menge historische Netz- und Security-Vorstellungen über den Haufen", konzediert Analyst Oltsik.