Sichere Identitäten in der Cloud

So schützen Provider die Cloud-Identitäten

Der Diplom-Physiker Oliver Schonschek ist freier IT-Fachjournalist und IT-Analyst in Bad Ems.
Cloud-Provider wie Microsoft, IBM, Google, AWS, T-Systems und SAP haben eigene Lösungen für den Schutz der Identitäten in der Cloud. Wir geben einen Überblick.

Die lange Ausstellerliste bei Veranstaltungen wie der European Identity & Cloud Conference 2016 macht deutlich, wie viele Anbieter und Lösungen es für das Identity and Access Management (IAM) in der (hybriden) Cloud gibt. Viele dieser Lösungen besitzen bereits standardmäßig Schnittstellen für die Anbindung an die großen Cloud Service Provider. Doch was bieten eigentlich die führenden Cloud Service Provider selbst, um Cloud-Identitäten zu schützen? Wir machen den Anbieter-Check.

Sichere Identitäten sind gerade in der Cloud wichtig. Doch was bieten die großen IT-Player im IAM-Bereich?
Sichere Identitäten sind gerade in der Cloud wichtig. Doch was bieten die großen IT-Player im IAM-Bereich?
Foto: LeoWolfert - www.shutterstock.com

Microsoft

Mit Microsoft Identity Manager und Microsoft Azure Active Directory bietet Microsoft sowohl ein lokales Identitäts- und Zugriffsmanagement (IAM) für die hybride Cloud als auch eine cloudbasierte IAM-Lösung.

Für den Schutz von Cloud-Identitäten stehen bei Microsoft einheitliche Identitäten für On-Premise und Cloud, Single-Sign-On für zahlreiche Cloud-Apps, Self-Service für Kennwörter und Gruppen, Unterstützung einer Multi-Faktor-Authentifizierung, die zentrale Verwaltung von Richtlinien und Zertifikaten, Berichte über Veränderungen an Identitäten sowie Privileged Access Management zum Schutz von Administratorkonten bereit.

Microsoft bietet vielfältige Möglichkeiten zur Verwaltung von Cloud-Identitäten rund um Azure Active Directory und den Microsoft Identity Manager.
Microsoft bietet vielfältige Möglichkeiten zur Verwaltung von Cloud-Identitäten rund um Azure Active Directory und den Microsoft Identity Manager.
Foto: Microsoft

Als neue Entwicklungen für den Schutz von Cloud-Identitäten sind insbesondere die Services Azure Active Directory Identity Protection und Azure Active Directory Privileged Identity Management zu nennen. Diese Services dienen dazu, verdächtiges Verhalten von Nutzern bzw. Administratoren zu erkennen, um so einen Identitätsdiebstahl oder Zugangsmissbrauch schneller feststellen zu können. Gesucht wird unter anderem nach Anzeichen für Brute-Force-Attacken, Phishing-Versuchen, Anmeldeversuchen von ungewöhnlichen Standorten oder von infizierten Geräten.

Zusammenfassen kann man den Schutz von Cloud-Identitäten bei Microsoft als Vereinheitlichung der Identitäten, Überwachung der verdächtigen Aktivitäten von Identitäten, die Unterstützung weiterer Sicherheitsfaktoren bei der Zugangskontrolle und die Self-Service-Funktionen für die Nutzer.

IBM

Die Verwaltung von Cloud-Identitäten ermöglicht IBM mit Lösungen wie IBM Tivoli Federated Identity Manager, IBM Security Privileged Identity Manager, IBM Security Identity Manager und IBM Cloud Identity Service. Damit deckt IBM die Möglichkeiten ab, das Identitätsmanagement on Premise oder in der Cloud zu betreiben.

Für die Absicherung von Cloud-Identitäten stehen nicht nur Funktionen wie Single-Sign-On (SSO), automatisches Kennwortmanagement, Prüfprotokolle, das zentrale Management von privilegierten Identitäten und Mehr-Faktor-Authentifizierungen zur Verfügung. Die Identity-Lösungen von IBM lassen sich auch mit IBM Security-Produkten wie IBM Security Identity Governance, IBM QRadar SIEM und IBM Security Access Manager-Appliances verknüpfen. Dadurch kann das Identity Management von Security-Intelligence-Lösungen profitieren, und die Absicherung der Cloud-Identitäten kann abhängig vom aktuellen Risiko erfolgen.

Eine wichtige Entwicklung im Bereich Sicherheit für Cloud-Identitäten ist IBM Identity Mixer. Damit soll es für den Nutzer möglich werden, gegenüber einem Onlinedienst jeweils nur ausgewählte Informationen offenzulegen, Identitätsattribute wie beispielsweise das Alter des Nutzers. So ist der Nutzer in Zukunft in der Lage, selektiv nur die wirklich benötigten Eigenschaften und Angaben wie sein Alter gegenüber Dritten nachzuweisen, ohne dabei seine eigene Identität vollständig zu offenbaren.

Lösungen aus dem Bereich Security Intelligence wie IBM QRadar User Behavior Analytics unterstützen bei der Absicherung der Cloud-Identitäten, indem sie auf verdächtiges Nutzerverhalten aufmerksam machen und damit auf einen möglichen Identitätsdiebstahl und -missbrauch.
Lösungen aus dem Bereich Security Intelligence wie IBM QRadar User Behavior Analytics unterstützen bei der Absicherung der Cloud-Identitäten, indem sie auf verdächtiges Nutzerverhalten aufmerksam machen und damit auf einen möglichen Identitätsdiebstahl und -missbrauch.
Foto: IBM

Google

Für die Google Cloud Platform stehen integrierte IAM-Funktionen zur Verfügung. Dazu gehören Rollenmodelle, ein Zugriffsberechtigungssystem, ein Audit-Trail für die Dokumentation und Kontrolle der Aktivitäten der Identitäten. Ebenso vorhanden ist die Mehrfaktor-Authentifizierung für Google-Konten.

Zur Auswahl stehen dabei Einmal-Passworte, die per SMS an das Telefon des Nutzers, per Sprachanruf oder über eine mobile App von Google gesendet werden. Auch USB-Token werden für die Zwei-Faktor-Authentifizierung unterstützt.

AWS

Nutzer der AWS Cloud-Dienste haben ebenfalls die Möglichkeit, vielfältige AWS-Funktionen für die Sicherheit der digitalen Identitäten einzusetzen. Zu den IAM-Funktionen von AWS gehört es, dass den Nutzern zum Beispiel Multifaktor-Authentifizierungsgeräte oder temporäre Anmeldeinformationen zugewiesen werden können, um den Benutzern einen kontrollierten Zugriff auf AWS-Services und -Ressourcen zu gewähren.

Neben einem Rollen- und Berechtigungssystem lassen sich Gruppen definieren, Kennwortrichtlinien konfigurieren, Vorgaben zum Kennwortwechsel definieren und privilegierte Zugriffe beschränken, wie man es von einem IAM-System erwartet. Optional können die Aktivitäten auf Identitätsbasis überwacht werden, wenn AWS CloudTrail genutzt wird. Damit stehen auch bei AWS vielfältige IAM-Funktionen bereits als Angebot des Providers zur Auswahl.

T-Systems

Sowohl die Open Telekom Cloud von T-Systems als auch DSI Intercloud beziehungsweise DSI vCloud sehen unter den Cloud-Services Identity and Access Management vor.

Bei DSI vCloud zum Beispiel kann der Kunde vordefinierte Rollen und Berechtigungsmodelle nutzen, welche er seinen selbstverwalteten Usern zuweisen kann (Account- und Berechtigungsmanagement im vCloud Director). Bei DSI Intercloud und Open Telekom Cloud steht der Identification and Authentication Service über das MyWorkplace Portal bereit.

Seit März 2016 besteht eine Partnerschaft mit OneL

ogin. Die OneLogin-Lösung verwaltet die Identitäten in der hybiden Cloud. Authentifizierungsverfahren wie Single Sign On oder Zwei-Faktor-Autorisierung sind dabei verfügbar. Den Identity und Access Management as a Service (IDaaS) stellen T-Systems und OneLogin gemeinsam aus einem der Cloud-Rechenzentren der Telekom in Deutschland bereit.

Zu den Services der Open Telekom Cloud von T-Systems gehören auch IAM-Dienste.
Zu den Services der Open Telekom Cloud von T-Systems gehören auch IAM-Dienste.
Foto: T-Systems

SAP

Die Sicherheitsfunktionen der SAP HANA Cloud Platform umfassen die starke Authentifizierung (SAP Authenticator), Single-Sign-On-Funktionen, die Integration von Cloud- und On-Premise-Identitäten sowie Self-Services wie die Registrierung und das Zurücksetzen von Passwörtern für Nutzer (SAP HANA Cloud Platform, identity access). Der SAP Cloud Identity Service erlaubt aber auch die Integration eines beim Kunden bereits vorhandenen Identity Providers.

Daneben gibt es den SAP ID Service. Nutzer können nach der Registrierung nicht nur SSO-Funktionen für den SAP Service Marketplace und die SAP-Websites nutzen, sondern auch für den Zugriff auf die eigenen Apps innerhalb der SAP HANA Cloud Platform.

Als neue Entwicklung ist SAP Cloud Identity Access Governance zu nennen. Mit Hilfe der neuen Zugriffsanalyse sollen Kunden Risiken der Cloud-Zugriffe abschätzen, mindern und die Compliance besser sicherstellen können. Ziel ist es, zum Beispiel Konflikte bei der Funktionstrennung zu erkennen, falsche oder nicht verwendete Benutzerrollen dynamisch anzupassen oder zu löschen.

Reichen die IAM-Funktionen der Provider oder nicht?

Das Eckpunktepapier "Sicherheitsempfehlungen für Cloud Computing Anbieter" des BSI benennt konkrete Funktionen für das Identitätsmanagement. Aus Nutzersicht sind dies die rollenbasierte Zugriffskontrolle und regelmäßige Überprüfung der Rollen und Rechte, das Least Privilege Model (Prinzip der minimalen Zugriffsrechte), die starke Authentisierung sowie das Vier-Augen-Prinzip für Administrator-Tätigkeiten. Diese Sicherheitsmaßnahmen zum Schutz der Identitäten und Cloud-Dienste lassen sich mit den Provider-Lösungen umsetzen.

Die genannten Cloud-Provider bieten somit grundlegende Funktionen, mit denen sich Identitäten verwalten und absichern lassen. Ob die Funktionen jeweils im Rahmen des gebuchten Cloud-Services enthalten sind oder nicht, ob also Zusatzkosten dadurch zu erwarten sind, kommt auf die jeweilige Cloud-Vereinbarung des Anwenderunternehmens an. Eine weitere Frage ist, ob die Funktionen auch ausreichenden Schutz für die Cloud-Identitäten bieten.

Die Anforderungen an ein Identitäts- und Zugriffsmanagement in der Cloud und an die Sicherheit der Cloud-Identitäten sind bekanntlich hoch. Wie entsprechende Anforderungen aussehen und wie die Umsetzung erfolgen soll, zeigen zum Beispiel Empfehlungen der Cloud Security Alliance (CSA) wie "Best Practices to Secure the Cloud with Identity Management", "Cloud-Based Identity Management: Best Practices for Rapid End-User Adoption" und "SecaaS Category 1 // Identity and Access Management Implementation Guidance". Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen neuen Anforderungskatalog Cloud Computing veröffentlicht, der hilfreiche Hinweise zum IAM in der Cloud liefert.

Anwenderunternehmen müssen jeweils für sich prüfen, welcher Schutzbedarf für die eigenen Cloud-Identitäten besteht und welche Sicherheitsfunktionen deshalb benötigt werden. Reichen die Funktionen, die der Cloud-Provider für die Absicherung der Cloud-Identitäten anbietet, nicht aus, gilt es, zusätzliche IAM-Lösungen für die Cloud einzusetzen. Wie eingangs erwähnt, hält der Markt eine Vielzahl an Lösungen mit Schnittstellen für die gängigen Cloud-Services bereit. (sh)