Berechtigungen und Identitäten in der Cloud

Ein modernes Identitäts- und Berechtigungsmanagement-System besteht aus verschiedenen Komponenten, die in der Identity-Management-Plattform zusammengefasst werden. Die tragenden Säulen dieses Systems sind die Authentifizierung, die Autorisierung von Identitäten und die Publizierung von Attributen. Die Sichtbarkeit, der Umfang und die Verwaltung von identitätsbezogenen Informationen, Daten und Berechtigungen erfordert in einem solchem Umfeld ein umfangreiches, flexibles und sicheres Identity und Access Management (IDA).

Aufgrund unterschiedlicher Technologien und Verfahren (Software und Services) innerhalb einer Cloud zur Realisierung der geschäftlichen Anforderungen haben sich für das Cloud-Computing-IDA-System ein neuer Umfang und eine neue Komplexität entwickelt, die sich von klassischen IDA-Systemen unterscheiden. Die Herausforderung für diese IDA-Systeme besteht darin, eine integrativen Implementierung zu realisieren, die dem Konzept des Identity-as-a-Service Rechnung trägt.

Cloud Life Cycle Methodology
Cloud Computing will gut geplant sein. Damit sich Services aus der Wolke rechnen, sollten zuvor fünf Punkte einer Roadmap abgearbeitet werden.

1. Schritt: Verständigen
Zunächst einmal muss im Unternehmen eine gemeinsame Definition entwickelt werden, die alle geschäftlichen, technischen und finanziellen Sichtweisen zur Cloud zusammenbringt. Viele Mitarbeiter denken zunächst an ihre privaten Erfahrungen mit Diensten wie Google Mail, Facebook, Dropbox oder iCloud.

2. Schritt: Bewerten
Ein "Cloud Worthiness Assessment" (CWA) zeigt den potenziellen Mehrwert. Dabei werden Software-Tools eingesetzt, die im Hintergrund über Wochen oder gar Monate hinweg die aktuelle Situation der IT und des Unternehmens erfassen. Die gesammelten Informationen lassen sich anschließend mit Branchenindizes vergleichen. So wird klar, welchen Beitrag die IT leistet und in welchen Bereichen eine Cloud-Migration etwas bringt.

3. Schritt: Planen
Wer die Theorie verstanden hat, kann noch lange kein Flugzeug in der Luft halten. Die Vorteile der Cloud werden anders erfasst, gemessen und analysiert als bei klassischen On-Premise-Lösungen. Es ist schon anspruchsvoll genug, allein die Terminologie zu überblicken. Daher sollten Unternehmen zu Beginn mit einem unabhängigen Cloud-Service-Broker zusammenarbeiten.

4. Schritt: Umsteigen
Agile Projektmethoden helfen beim Umstieg. Das gilt auch für einen Proof of Concept, mit dem sich die neue Lösung schon einmal vorab testen lässt. So werden Risiken minimiert und alle Beteiligten können sich auf die anstehenden Veränderungen vorbereiten.

Schritt 5: Optimieren
Wie kann sich ein Unternehmen in der Cloud kontinuierlich verbessern? Unternehmen sollten ihre IT-Strukturen mindestens zweimal jährlich neu bewerten und den Markt aufmerksam beobachten. Nur so können sie die Preisentwicklung und neue Angebote korrekt einschätzen.

Jede Identität kontrollieren

Ein effizientes Cloud Computing setzt ein IDA-System voraus, das administrative Aufgaben zusammenfasst und zusammenhängende Aufgaben administrierbar macht. Ein IDA-System muss in der Cloud die vollständige Kontrolle über jede Identität und jedes System haben. Dabei eingeschlossen sind die Administration von Identitäten natürlicher Personen, Servicekonten, physikalischer oder virtueller Computer und Server sowie Diensten (Identitäten). Diese Anforderungen kann ein herkömmliches IDA-System oft nur teilweise erfüllen. Idealerweise sollte das IDA-System alle relevanten Informationen speichern, auf deren Grundlage der Zugang oder die Verwaltbarkeit von Ressourcen innerhalb der Cloud gemäß den definierten Service Level Agreements (SLA) zu gewähren oder zu verweigern ist.

Das IDA-System hält eine zusammenhängende Lösung für die Verwaltbarkeit des gesamten Lebenszyklus einer Identität und damit verbundenen Informationen, Anforderungen und Berechtigungen bereit. Funktional wird dabei in zwei unterschiedliche Komponenten unterschieden: zum einen die Anlage und Löschung von Identitäten (Provisioning) und zum anderem die Verwaltung von Identitäten (Administration). Die Verwaltbarkeit von Identitäten definiert die Durchführung und Übertragung (Delegation) von administrativen Tätigkeiten und den Zugang zu Self-Service-Komponenten.

Identitäten und Berechtigungen

In einer Cloud stellen die Anlage und Löschung von Identitäten einen Just-In-Time- oder einen On-Demand-Prozess dar. Dabei können Identitäten verteilt angelegt werden, ohne dass alle Informationen einer Identität in den angeschlossenen Systemen oder Anwendungen verfügbar sind. Löschungen von Identitäten sollten sofort und unmittelbar, sofern erforderlich, an alle Systeme und Anwendungen innerhalb der Cloud synchronisiert werden, da jede Verzögerung ein Sicherheitsrisiko beinhalten kann, das zu vermeiden ist. IDA stellt innerhalb der Cloud sicher, dass auch weitere verbundene Identitäten gemäß der Anforderung dysfunktional werden.

In 5 Schritten zur Cloud-Strategie
In vielen Firmen steht das Budget für Cloud-Initiativen bereit. Nun gilt es die richtigen Entscheidungen zu treffen, etwa was das Cloud-Modell angeht.

1. Das richtige Cloud-Modell wählen
Hier gibt es grundlegend zwei Varianten: In einer Private Cloud behält die IT-Abteilung die Kontrolle über das Cloud-Management, während die Public Cloud vom Anbieter verwaltet wird und mehr von Skaleneffekten profitieren kann. Dabei schält sich eine interessante Alternative heraus: die Managed Private Cloud. Unternehmen erhalten dabei eine dedizierte Infrastruktur in einer Public-Cloud-Umgebung, die eigens für sie bereitgestellt wird. Diese Variante wird zunehmend attraktiver, da die Anbindung zur Public Cloud durch VPNs und Direct Ethernet Links immer besser werden. Managed Private Clouds vereinen damit die Sicherheit einer Private Cloud mit der Skalierbarkeit der Public Cloud.

2. Das richtige Tempo für die Umsetzung festlegen
Den Schlüssel für die Antwort liefert der Blick auf die eigene Branche. Gilt sie als Early Adopter oder hinkt sie in der Verwendung hinterher? In einigen Branchen stehen die Unternehmen kurz davor, die Cloud umfangreich einzusetzen. Es ist wichtig, mit diesem Tempo mitzuhalten.

3. Die richtige Organisationsstruktur finden
Ist die Migration beschlossen, lautet die nächste Frage, wie das Cloud-Management aussehen wird. 44 Prozent der Befragten berichteten, dass neue Aufgabengebiete nach der Migration in die Cloud im IT-Team geschaffen wurden, während 69 Prozent sagten, ihr IT-Team müsse rasch Fachwissen über das Cloud-Management erwerben.

4. Die richtige Umgebung einbeziehen
Die Cloud zwingt die Unternehmen in zwei Bereichen sich zu entscheiden, welche Plattform sie einsetzen wollen. Einmal: Mit welchen mobilen Geräten können die Endbenutzer künftig auf die Cloud zugreifen? Die führenden Systeme sind heute Apple iOS und Android. HTML5 ist ein Standard, der gerade groß wird, während sich Microsoft mit Windows Phone abmüht und RIM versucht, BlackBerry im Markt zu halten. Dieser Markt, so Gens, wird sich im kommenden Jahr konsolidieren.

5. Den richtigen Partner finden
Ein breiter Markt hat sich entwickelt rund um Infrastruktur, Software und Services aus der Cloud. Hier mischen sich große Cloud-Spieler, die relativ neu sind auf dem Feld der Unternehmens-IT - wie Amazon und SalesForce.com - mit großen Anbietern, die Unternehmens-IT beherrschen, aber gerade neu in den Bereich Cloud hineinwachsen, etwa IBM, HP, CSC und Accenture. "Die neuen Spieler sind Cloud-versiert, aber entwickeln gerade ihre Reputation für Enterprise-IT, während die traditionellen Akteure eine enge Beziehung zur IT haben, aber gerade erst ihre Cloud-Strategien ausarbeiten", sagt Gens.

Berechtigungen werden innerhalb des IDA durch eine Anzahl von Attributen dargestellt, die Zugänge und Berechtigungen für eine authentifizierte Identität (Authenticated Security Principal) beschreiben. Da Cloud-basierte Anwendungen häufig eine eigene Verwaltung zur Autorisierung beziehungsweise Berechtigung beinhalten, ist hier unter Umständen die Hilfe von allgemeingültigen Autorisierungstechnologien gefragt.

Die Möglichkeit, dass eine natürliche Person innerhalb der Cloud mehrere Identitäten besitzen kann, macht eine übergeordnete Zuordnung dieser Identitäten notwendig. Mithilfe eines Synchronisationsautomats können somit verschiedene Identitäten mithilfe einer eindeutigen ID zusammengeführt und somit die zentrale Administration sichergestellt werden.

Administration von Identitäten

Das zentrale IDA-System ermöglicht es, die Administration der verschiedenen Identitäten für unterschiedliche Anwendungen und Systeme (Service Provider) zusammenzufassen. Benutzer werden anhand von eindeutigen Werten oder Attributinhalten zentral identifiziert und definiert. Synonyme und sekundäre Identitäten (Discrete Identities) sollten dabei unterstützt werden. Um die Privatsphäre des Benutzers zu schützen, werden lediglich die Informationen für die unterschiedlichen Service Provider bereitgestellt, die zwingend erforderlich sind. Fragmentierte Benutzer-Logins für unterschiedliche Anwendungen und Systeme sind zu vermeiden. Authentifizierungsprozesse innerhalb der Cloud sollten für den Benutzer transparent sein.

In einem klassischem IDA-Modell werden beständige Beziehungen zwischen einer Identität und einer Organisation abgebildet. Innerhalb der Cloud können sich diese Beziehungen schnell und dynamisch ändern. Diese Veränderungen müssen durch das IDA-System abgebildet werden können. Herausforderungen wie die Publizierung von neuen Passwörtern oder Anmeldeinformationen bei den unterschiedlichen Service Providern stellen neue Anforderungen an das IDA-System.

Bedingt durch den Grundgedanken des Cloud Computings sollte ein IDA-System eine hohe Skalierbarkeit in der Qualität und Quantität der Verarbeitung von Identitätsinformationen haben. Single-Sign-On (SSO)-Verfahren erfordern eine schnelle und dynamische Verteilung von Informationen. Die unterschiedlichen Anforderungen an und von Ressourcen können die Verarbeitungsdichte innerhalb des IDA-Systems deutlich erhöhen.

Das IDA-System sollte mit allen in der Cloud vorhandenen IT-Systemen, -Verfahren und -Prozessen direkt oder indirekt zusammenarbeiten können. Dabei ist Ziel, die IDA-Prozesse so zu gestalten, dass für die Erfüllung aller Aufgaben nur ein Minimum an Aktionen mit geringem Umfang notwendig ist.

Da Benutzer, Verfahren, Prozesse und geschäftliche Anforderungen unterschiedliche Anforderungen an die Sicherheit und Funktionalität innerhalb der Cloud haben können, ist es notwendig, einen gemeinsamen Standard zum Schutz der IT-Infrastruktur mit den einzelnen Service Providern zu definieren und diesen für die Bereitstellung und Publizierung von Anwendungen und/oder Informationen bereitzustellen. Sicherheits-Audits und Logging-Verfahren sind ein unverzichtbarer Bestandteil des IDA-Systems.

Sicherheit bleibt Sicherheit

Grundlegend unterscheidet sich die Informationssicherheit im Cloud Computing nicht von den Sicherheitsmaßnahmen in herkömmlichen IT-Infrastrukturen. Anforderungen, Richtlinien, Compliance und Governance sind identisch. Aus Sicht des IDA müssen allerdings die Definitionen für die Benutzeridentität neu überdacht und der Begriff erweitert werden. IT-Transaktionen werden zunehmend automatisiert. Die Interaktion zwischen Software und Systemen ähnelt immer stärker der Mensch-Maschine-Interaktion.

Aus diesem Grund sind die Auswirkungen von Bereitstellung, Authentifizierung, Autorisierung und Administration von Identitäten für das Cloud Computing neu zu überdenken. Der Aspekt der Sicherheit wird für das Cloud Computing allerdings nicht ausschließlich durch die Bereitstellung von Sicherheitstechnologien definiert. Vielmehr ist das Auslagern von unternehmenskritischen Prozessen, Daten und Informationen eine Frage des Vertrauens. Da diese Aspekte aber bereits in heute bestehenden IT-Infrastrukturen durch Verfahren des Outsourcings und die Integration von Drittanbietern weit fortgeschritten sind, scheint ausschließlich eine Erweiterung dieser Überlegungen notwendig.

Vorteile des Cloud Computing

Wo immer Ressourcenbedarf mittelfristig kaum oder nur schwer abzuschätzen ist, wird der Nutzen des Cloud Computing für den Anwender deutlich. Die kurzfristige Bereitstellung zusätzlicher Ressourcen ist eines der unverzichtbaren Cloud-Paradigmen und somit von enormem Wert. Je nach Geschäftsmodell und benötigten Ressourcen lassen sich die Kosten für IT-Infrastrukturen reduzieren. Bedingt durch den Aufbau neuer Strukturen kann die Standardisierung vorangetrieben werden; somit lassen sich ebenfalls Kosten senken.

Die Verfügbarkeit und der Zugang zur Cloud stellen je nach verwendeter Architektur und gewählter Authentifizierungsmethode große Vorteile dar, die heute bereits für die Cloud sprechen. Sogenannte Time-To-Market-Zeiten können durch die dynamische Bereitstellung von IT-Infrastruktur reduziert werden mit der Folge, dass Cloud-Anwendungen schneller entwickelt, bereitgestellt und einsatzbereit sind.

Heute ist Outsourcing beim Betrieb größerer IT-Infrastrukturen allgegenwärtig. Die durch Service Provider in der Cloud angebotenen Leistungen und die dahinterstehenden Abrechnungsmodelle erleichtern die Möglichkeit des Outsourcings. Die Absprache der Service Level Agreements (SLA) vereinfacht sich dadurch, dass Standards bei der Bereitstellung einer Leistung durch den Service Provider verfügbar sind, und bietet dem Nutzer der Anwendungen eine hohes Maß an Verlässlichkeit.

Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation TecChannel. (ph)