Mit einer einheitlichen Architektur will Computer Associates (CA) für Interoperabilität zwischen verschiedenen IT-Plattformen und -Sicherheitstechniken in Unternehmen sorgen. Ähnlich einem zentralen Backbone soll die "eTrust Security Management Architecture" (Esma) Verbindungen schaffen für offene und standardisierte Verfahren wie WS-Security, SAML, Kerberos, X.509 oder anderen.
Mit Hilfe von "Identity Mapping" will der Hersteller dafür sorgen, dass einmal eingegebene Informationen über die Identität eines Anwenders im Laufe von komplexen Transaktionen über verschiedene Systeme hinweg nicht verloren gehen. Das sei wichtig für Auditing-Zwecke und als vertrauensbildende Maßnahme gegenüber den Anwendern, so CA. Ziel von Esma ist darüber hinaus aber auch, die Kluft zwischen Identitäts- und Zugangs-Management in Unternehmen zu schließen. Bislang getrennte Informationen zur Authentifizierung, zur Autorisierung und für das Auditing ließen sich dadurch system- und plattformübergreifend miteinander verbinden.
Experten sind skeptisch
Nach Meinung von Analysten adressiert der Anbieter damit ein reales Problem. Ob sich dieses dadurch lösen lässt, muss sich erst zeigen. Phil Schacter, Vice President und Service Director bei der Burton Group, kennt keine Lösung, die das kann, was CA mit Esma verspricht: "Solche Funktionen lassen sich normalerweise nicht Out-of-the-box bereitstellen", sondern nur über zeitaufwändige und teure individuelle Anpassungen von Code. Der Spezialist bezweifelt zudem, dass der Anbieter sein Ziel ohne Partner schaffen kann.
CA ist sich seiner Sache jedoch sicher und plant, nach und nach alle Lösungen seiner Identity- und Access-Management-(IAM-) Reihe dahingehend zu erweitern, dass sie von Esma profitieren können. Den Anfang machen "eTrust CA-ACF2 Security for z/OS" und "eTrust CA-Top Secret Security for z/OS", die in Version 8 vorgestellt wurden. Beide Produkte bieten nun dank Multilevel Security (MLS) eine zusätzliche Sicherheitsschicht; außerdem sollen Erweiterungen im Bereich LDAP Directory Service (LDS) unter anderem mehr Routinen für die Umwandlung von Zeit- und Datumsangaben bereitstellen. Dadurch sei es etwa möglich, eine komplette Liste von Datumsmustern auf einem remoten Verzeichnis vorzuhalten.
Mit seiner Initiative reagiert CA auf zwei Trends, die es in Unternehmen zu erkennen glaubt: " Wir wissen, dass Sicherheit ein strategisches Thema für Unternehmen ist", erklärt Mark Barrenechea, Chief Technology Architect bei dem System-Management-Spezialisten. Außerdem wollten CIOs "eine einheitliche Sicht über verschiedene Systeme und Produkte hinweg", glaubt der Manager.
Mit Esma will der Hersteller aber auch den Stellenwert der IT-Security für seine Unternehmensstrategie betonen. Neben dem erwähnten Bereich Identitäts- und Zugangs-Management spielt das integrierte Management von IT-Bedrohungen dabei eine wichtige Rolle. Barrenechea versteht darunter "die Kombination von Virenschutz, Spam- und Spyware-Abwehr sowie Intrusion Detection". Für CA sind dies keine gesonderten Disziplinen, sondern bilden zusammen eine Herausforderung, auf die Anwender reagieren müssen.
Hinzu kommt als weiteres wichtiges Thema das Managen von Sicherheitsinformationen. Der CA-Mann versteht darunter im Einzelnen "die Fähigkeit, alle Security-Events anzuschauen, Informationen aus unterschiedlichen Geräten möglichst echtzeitnah zusammenzubringen und miteinander in Verbindung zu setzen, um so die relevanten Ereignisse zu erkennen."
Durch die Akquisition des Identity-Management-Spezislisten Netegrity sieht sich das Unternehmen speziell im Bereich der Web-Zugangskontrolle nun gut positioniert. Erst vor kurzem hat CA eine neue Version seiner Lösung für das Identity-Management angekündigt: "eTrust Identity and Access-Management (IAM) r8 Suite" besteht aus den Komponenten "eTrust Admin r8.1", "Access Control r.8", "Single Sign-on r.8" und "Directory r.8". Nach Angaben des Herstellers greifen diese auf zentral bereitgestellte Infrastrukturmodule zu, sind über eine gemeinsame Oberfläche zu bedienen und verfügen über einheitliche Kontroll- und Berichtsfunktionen.
Virtuelles Verzeichnis
Ferner wurden die einzelnen Lösungen in sich verbessert: So spendierte CA der Admin-Lösung ein Workflow-Tool, mit dem sich existierende Verwaltungsabläufe mit Hilfe von Vorlagen in automatisierte Prozesse umwandeln lassen. Das Directory soll jetzt Virtualisierungsfunktionen bieten, indem es Daten aus verschiedenen Verzeichnissen nicht mehr zusammenführt und an einer Stelle zwischenspeichert, sondern eingehende LDAP-Anfragen direkt an die jeweiligen Verzeichnisse weiterleitet. (ave)