Die meisten Unternehmen besitzen Anwendungen und Daten On-Premise, in privaten Clouds und in einer oder mehreren öffentlichen Cloud-Umgebungen. Eine cloudbasierte Identity and Access Management (Cloud-IAM) Lösung löst viele der Herausforderungen, die mit diesen komplexen Umgebungen einhergehen, indem sie ein System für die Verwaltung des Benutzerzugriffs auf dezentrale Ressourcen bereitstellt, egal wo sich diese befinden.
Die beste cloudbasierte IAM-Lösung ist auf die anspruchsvollen Bedürfnisse moderner Unternehmen zugeschnitten und bietet eine intelligente, autonome Identitätsgrundlage, die dem Unternehmen einen sicheren Nährboden bietet.
Das von Cloud-IAM-Systemen bereitgestellte Framework umfasst die Tools, die zur Rationalisierung der Identitätsverwaltung über verteilte Systeme hinweg und zur Vereinfachung des sicheren Zugriffs auf verschiedene IT-Systeme und Anwendungen erforderlich sind.
Was ist Cloud-IAM?
Cloud-IAM ist eine Lösung, die die Tools, Richtlinien und Prozesse vereint, die für den Schutz des Zugriffs auf die kritischen Ressourcen eines Unternehmens (z. B. Systeme, Netzwerke, Daten) über Cloud-, SaaS- und On-Premise-Systeme und Anwendungsprogrammierschnittstellen (APIs) erforderlich sind. Sie verwaltet, wer systemübergreifend auf welche Ressourcen zugreifen kann, einschließlich Mitarbeiter, Partner und Kunden. Cloud-IAM kann Benutzer unabhängig von ihrem Standort authentifizieren und autorisieren und den sicheren Zugriff auf Ressourcen ermöglichen.
Cloud-IAM-Services können von einem Service-Anbieter bereitgestellt und verwaltet werden. Zusätzlich zur Identitäts- und Zugriffskontrolle können diese Lösungen auch Wartung, Support, Betriebsgarantien, verteilte und redundante Systeme sowie kurze SLAs umfassen. Darüber hinaus bieten Cloud-IAM-Lösungen Einblicke in verdächtige Anmeldeversuche, damit Sicherheitsteams Untersuchungen anstellen und schnell Maßnahmen ergreifen können.
Cloud-IAM unterstützt die Identity- und Access Governance in der Cloud, indem es Administratoren Strukturen und Prozesse an die Hand gibt, mit denen sie den gesamten Lebenszyklus von Benutzeridentitäten und Berechtigungen über alle Unternehmensressourcen hinweg verwalten können.
Dazu gehören die Zuweisung von Berechtigungen an Benutzergruppen und die Gewährung von system- und anwendungsübergreifendem Audit-Zugriff. Mithilfe von Automatisierungsfunktionen lassen sich Richtlinien durchsetzen, z. B. Änderungen an den Zugriffsrechten, wenn ein Benutzer aus dem Unternehmen ausscheidet oder seine Rolle ändert.
Durch den Wechsel zu Cloud-IAM entfallen die Einschränkungen und Kosten, die mit On-Premise-IAM-Systemen für die Identitätsüberprüfung und Zugriffskontrolle verbunden sind. Cloud-IAM bietet eine flexiblere, skalierbare Lösung, die mit einer Reihe von Funktionen auch außerhalb der Netzwerkgrenzen für Sicherheit sorgt, darunter:
- Zugriffsmanagement
- API-Sicherheit
- Authentifizierung
- Einwilligungseinholung
- Datenschutzverwaltung
- Verzeichnis
- Identitätsverifizierung
- Einrichtung und Verwaltung einer persönlichen Identität
- Risikomanagement
- Benutzer- und Entwicklerzugriff auf Self-Service-Tools
Wie Cloud-IAM funktioniert
Cloud-IAM-Lösungen stellen sicher, dass Benutzer auf die benötigten Daten zugreifen können und dass Systeme, Daten und Anwendungen vor unbefugten Entitäten (d. h. Personen oder Systemen) geschützt sind, indem sie bestätigen, dass der Benutzer, die Software oder Hardware auch wirklich der oder das ist, für den oder das sie sich ausgeben. Dazu werden die vorgelegten Zugangsdaten mit einer Datenbank abgeglichen und der Zugriff auf Basis von granularen Berechtigungsstufen gewährt. Es werden also nicht einfach nur Benutzernamen und Passwörter akzeptiert und ein uneingeschränkter Zugriff gewährt – mit Cloud-IAM-Lösungen können Administratoren den Zugriff auf bestimmte Komponenten mit fest definierten Rechten (z. B. Bearbeiten, Anzeigen, Kommentieren) beschränken.
Zu den wichtigsten Funktionen von Cloud-IAM-Systemen gehören:
- Erfassung und Aufzeichnung von Anmeldedaten
- Verwaltung der Datenbank für Identitäten, einschließlich Personen, Geräte und Anwendungen
- Ermöglichung der Zuweisung und des Entzugs von Zugriffsberechtigungen
- Kontrolle und Einsicht in alle Benutzerdetails
Die Richtlinien in Cloud-IAM-Systemen definieren:
- Wie Benutzer identifiziert werden
- Benutzern zugewiesene Rollen
- Welche Systeme, Informationen und Bereiche geschützt sind und welche Schutz- und Zugriffsstufen für sensible Daten, Systeme, Informationen und Standorte gelten
- Wie Benutzer, Gruppen und Rollen hinzugefügt, entfernt und geändert werden können
Cloud-IAM-Lösungen befassen sich auch mit IT-Komponenten, wie z. B.:
- Speicherung, Verarbeitungsleistung und Analysen
- Zugriff auf Verzeichnisse, Dateien oder Bereiche innerhalb einer Datenbank
- Granulare Berechtigungen, die Benutzern auf Basis ihrer Rollen zugewiesen werden
- Berechtigungen, die Zugriff auf eine ganze Gruppe von Benutzern gewähren (z. B. Geschäftseinheit, Abteilung)
Vorteile des Cloud-IAM
- Ermöglicht Benutzern den Remote-Zugriff auf Ressourcen von überall aus mit jedem beliebigen Gerät.
- Verbessert die Sicherheit durch die Überwachung und Zugriffskontrolle von IT-Umgebungen, unabhängig von ihrer Komplexität, um Bedrohungen durch Cyberangriffe und böswillige Insider-Akteure zu minimieren.
- Verbessert die Benutzererfahrung und steigert die Produktivität durch Single Sign-On-Funktionen, die den Anmeldeprozess straffen und einen schnelleren Benutzerzugriff auf benötigte Ressourcen ermöglichen.
- Bietet Flexibilität und Skalierbarkeit durch Cloud-Services, die je nach Bedarf erweitert oder eingeschränkt werden können.
- Bietet nahtlose Rollenwechsel, Onboarding und Offboarding mit robusten Tools für Administratoren sowie Self-Service-Funktionen.
- Reduziert die Kosten durch die Vermeidung von kostspieligen Anschaffungen, Installationen, Support und Wartung.
- Unterstützt die Compliance mit Gesetzen, Vorschriften und Verträgen durch höchste Sicherheitsstandards, Nachverfolgung und administrative Transparenz im Tagesgeschäft.
Cloud-IAM in einer hybriden Cloud
Hybride Cloud-Umgebungen erhöhen zwar die Flexibilität und Agilität der IT-Abteilung, können aber auch zu mehr Schwachstellen führen. Cloud-IAM ist bei der Implementierung hybrider Clouds von entscheidender Bedeutung, da die Ressourcen zunehmend über öffentliche und private Clouds verteilt werden.
Auch wenn es nicht einfach ist, müssen Benutzer identifiziert und ihnen der richtige Zugriff zur richtigen Zeit auf die richtigen Inhalte gewährt werden, um eine hohe Sicherheit zu gewährleisten. Mit hybridem Cloud-IAM können Sie Identity Management und Access Management bzw. Ressourcen und Identitäten integrieren und bereitstellen, unabhängig davon, wo sie gehostet werden – On-Premise oder in einem oder verschiedenen Cloud-Bereitstellungsmodellen.
Dies sind einige der Unternehmen, bei denen das hybride Cloud-IAM im Allgemeinen mit den Geschäfts- und IT-Anforderungen übereinstimmt:
- Große global tätige Unternehmen mit zahlreichen verteilten Ressourcen mit komplexen Anforderungen nutzen Cloud-IAM in einer hybriden Cloud. Viele dieser Unternehmen verfügen über On-Premise-Anwendungen und -Systeme, die nicht in die Cloud verlagert werden können, sowie über ein umfassendes Portfolio an Cloud-Lösungen. Dank Cloud-IAM in einer hybriden Cloud können sie ohne größere Umstrukturierungen oder eine Umgestaltung der Systeme die erforderliche Sicherheit bieten.
- Unternehmen, die regulatorischen Compliance-Anforderungen unterworfen sind, insbesondere weltweit tätige, profitieren von hybridem Cloud-IAM, da es die Datenhoheit unterstützt. Unternehmen können Identitätsdaten für mehrere Regionen lokal hosten und aufbewahren. Dadurch können sie die unzähligen Datenschutz- und anderen Vorschriften, die je nach Region und Land variieren, leichter einhalten (z. B. die Datenschutz-Grundverordnung (DSGVO), den California Consumer Privacy Act (CCPA) und die Consumer Data Rights (CDR)).
- Digital aufgestellte Unternehmen, die auf die Cloud umsteigen, aber noch über On-Premise-Ressourcen verfügen, nutzen hybrides Cloud-IAM, um die IAM-Infrastruktur und die Verwaltungskosten zu senken. So können sie die rapide ansteigenden Anfragen und ein breiteres Spektrum an Anforderungen unterstützen.
Vorteile des hybriden Cloud-IAM
- Ermöglicht die Migration von On-Premise-Ressourcen in die Cloud zum richtigen Zeitpunkt oder auch gar nicht
- Zentrale Erfassung von Identitäten zur Erleichterung von Audits und Untersuchungen
- Kosteneinsparungen durch Konsolidierung von IAM in einem einzigen System
- Eliminierung von Identitätssilos und Duplikaten in hybriden IT- und Cloud-Umgebungen
- Schnellere Einführung von Zero Trust-Strategien
- Einfache Identifizierung und Überwachung von riskanten Benutzerzugriffen über verschiedene Systeme hinweg
- Minimierung unbekannter Risiken, die zu negativen Ergebnissen führen können, einschließlich Datenverstöße, Ransomware, Reputationsschäden, Geldstrafen für die Nichteinhaltung von Vorschriften und andere finanzielle Folgen
- Bereitstellung nahtloser Benutzererfahrungen, die durch die Abschaffung mehrerer unzusammenhängender IAM-Systeme die Produktivität verbessern
- Sicherung aller digitalen Identitäten in hybriden IT- und Cloud-Umgebungen
- Zusammenführung von On-Premise-, Cloud- und SaaS-Umgebungen
Die verschiedenen Cloud-Typen für Cloud-IAM
Cloud-IAM kann in jedem der fünf Cloud-Modelle implementiert werden.
Öffentliche Cloud
Öffentliche Clouds werden extern von Service-Anbietern gehostet. Amazon Web Services (AWS), Microsoft Azure und Google Cloud Platform (GCP) sind die am meisten genutzten öffentlichen Clouds.
Private Cloud
Private Clouds werden in der Regel vor Ort vom Unternehmen gehostet.
Partner-Cloud
Partner-Clouds werden häufig in einer öffentlichen Cloud von einem Partner gehostet, der die Umgebung in einem für das Unternehmen spezifischen Tenant verwaltet oder auf die Anforderungen einer bestimmten Branche optimiert.
Multi-Cloud
Multi-Clouds bestehen aus den Lösungen mehrerer Anbieter von öffentlichen Clouds.
Hybride Clouds
Hybride Clouds sind Implementierungen, die einzelne oder alle Cloud-Modelle kombinieren.
Cloud-IAM-Lösungen
Bei der Beurteilung von Cloud-IAM-Lösungen sollten Sie die folgenden Leistungsmerkmale und Funktionen berücksichtigen:
- Möglichkeit der Umsetzung der Zero Trust-Prinzipien des Least Privilege-Prinzips
- Automatisierte Workflows für den Lebenszyklus von Benutzern und Richtlinien
- Dynamische Workflows, die eine Automatisierung des Lebenszyklus von Benutzern und Zugriffsrichtlinien ermöglichen
- Einfach zu bedienende Admin-Konsole zur Verwaltung von Benutzern, Richtlinien und Anwendungen
- Flexibilität bei der Auswahl der Bereitstellungsmodelle für die Cloud
- Codefreie und codearme Anpassungsmöglichkeiten
- Umfangreiche vorgefertigte Integrationen zur Unterstützung der meistgenutzten Standards
- Self-Service-Optionen für Benutzer zur Entlastung der IT-Abteilung
- Service Level Agreements (SLAs) zur Erfüllung der Betriebszeitanforderungen
- Unterstützung für alle offenen Authentifizierungsstandards
FAQ zum Cloud-IAM
Was ist der Unterschied zwischen IAM und Cloud-IAM?
Das Identity and Access Management wurde für On-Premise-Implementierungen mit Benutzern, Ressourcen und abgesicherten Perimetern innerhalb des Netzwerks entwickelt.
Cloud-IAM erweitert die Möglichkeiten von IAM auf verteilte Umgebungen, die Ressourcen umfassen können, die On-Premise und über verschiedene Cloud-Modelle (z. B. private, öffentliche, Multi-Cloud, hybrid, Partner) bereitgestellt und abgerufen werden.
Welchen Vorteil hat Cloud-IAM für Unternehmen?
Cloud-IAM bietet IT-Administratoren die Flexibilität, kostengünstig und effizient die Identity Management- und Zugriffskontroll-Services bereitzustellen, die zum Schutz komplexer Umgebungen erforderlich sind.
Welche Funktionen und Möglichkeiten sind typischerweise in Cloud-IAM enthalten?
- Access Management-Kontrollen mit einheitlichen Zugriffsrichtlinien, die Single Sign-On (SSO) und Multifaktor-Authentifizierung (MFA) umfassen können
- Single Sign-On (SSO) zur Konsolidierung von Benutzerpasswörtern und Zugangsdaten in einem einzigen Konto mit starker Passwortfunktion zur Optimierung des Zugriffs auf Services
- Multifaktor-Authentifizierung (MFA), die sekundäre Authentifizierungskontrollen erfordert, um die Authentizität der Benutzer sicherzustellen und die Risiken durch gestohlene Zugangsdaten zu begrenzen
- Automatisierung der Benutzerprovisionierung (d. h. Erstellung und Zuweisung neuer Benutzerkonten) und Deprovisionierung (d. h. Aufhebung von Zugriffsrechten)
- Verzeichnisdienste für die zentralisierte und konsolidierte Verwaltung und Synchronisierung von Zugangsdaten
- Identity Analytics unter Einsatz von maschinellem Lernen, um ungewöhnliche Identitätsaktivitäten zu erkennen und zu verhindern
- Identity Governance und Administration (IGA) zur Verwaltung des Lebenszyklus von Benutzerkonten, einschließlich Berechtigungen und Provisionierung
- Risikobasierte Authentifizierung unter Verwendung von Algorithmen zur Berechnung des Risikos missbräuchlicher Benutzer, Blockierung verdächtiger Aktivitäten und Meldung von Aktionen mit hohem Risiko-Score
- Privileged Access Management für die Integration mit der Mitarbeiterdatenbank und vordefinierten Jobrollen, um den Mitarbeitern den erforderlichen Zugriff für die Erfüllung ihrer Aufgaben zu gewähren.
Birgt Cloud-IAM auch Herausforderungen?
Cloud-IAM erfordert eine umfassende Planung und Zusammenarbeit über mehrere Gruppen und oft auch Regionen hinweg, um Strategien mit klaren Zielen, definierten Geschäftsprozessen und der Unterstützung der Stakeholder zu entwickeln. Hinzu kommt der technische Teil der Implementierung. Dies ist jedoch ein wesentlicher Bestandteil jeder IT-Unternehmenslösung, und erfahrene Teams wissen, wie sie die Details meistern und Projektpläne entwickeln, die eine effiziente und zeitgerechte Bereitstellung gewährleisten.
Mithilfe von Management-Tools in Cloud-IT-Lösungen lassen sich sowohl der Implementierungsprozess als auch die laufende Wartung optimieren. Über Cloud-IAM-Konsolen können Administratoren sämtliche Systembereiche verwalten, vom Onboarding und Offboarding von Benutzern über die Definition und Durchsetzung von Richtlinien bis hin zu Audits, Berichten, der Reaktion auf Warnmeldungen und Alarme sowie andere übliche Verwaltungs- und Betriebsanforderungen. Da Cloud-IAM-Systeme in hybriden und anderen kombinierten Cloud-Modellen ausgeführt werden können, lassen sie sich außerdem problemlos in bestehende Unternehmensumgebungen implementieren.
Was sind die Best Practices für Cloud-IAM?
Zu den Best Practices für Cloud-IAM gehören:
- Zentralisierung des Identity Managements mit dem Cloud-IAM-System durch die Migration von Benutzern aus anderen Systemen oder seine Synchronisierung mit anderen Benutzerverzeichnissen innerhalb des Unternehmens (z. B. Personalverzeichnisse).
- Bestätigung der Identitäten von Personen, die sich mit der MFA oder einer Kombination aus MFA und adaptiven Authentifizierungsmethoden anmelden, um den Anmeldekontext (z. B. Ort, Zeit, Gerät) zu berücksichtigen.
- Kopplung von SSO mit adaptiver MFA zum Schutz vor Bedrohungen durch einzelne Passwörter.
- Einrichtung von Zugriffsebenen, damit sensible Informationen privilegierten Zugriff mit zusätzlicher Sicherheitsstufe erfordern.
- Ausweitung von Sicherheitsprotokollen auf nichtmenschliche Benutzer und Erfordernis einer Identität und entsprechender Berechtigungen für nichtmenschliche Benutzer, wie APIs, Container und Anwendungen.
- Zusammenschluss mit Identity-Anbietern, um Benutzern mit einem einzigen Satz von Zugangsdaten Zugriff auf eine Anwendung zu gewähren.
- Implementierung von richtlinienbasierten Zugriffskontrollen auf Basis des Least Privilege-Prinzips.
- Integration von Zero Trust in alle Bereiche des Cloud-IAM zur kontinuierlichen Überwachung und Absicherung von Benutzern und zur Bestätigung ihrer Identitäten.
- Beschränkung der Administratorrechte durch die Einrichtung von Rollen mit den minimal erforderlichen Befugnissen und die Verteilung von Verantwortlichkeiten zur Vermeidung einzelner Fehlerquellen.
- Überwachung der Systemnutzung der einzelnen Benutzer, um sicherzustellen, dass Benutzer nicht auf Ressourcen zugreifen können, die ihre Rechte überschreiten.
- Schulungen für die Benutzer mit dem größten Umgang mit dem Cloud-IAM.
- Einrichtung von bedingtem Zugriff, bei dem das Gerät, der Standort und das Netzwerk des Benutzers überprüft und dann in Echtzeit eine Risikoeinstufung vorgenommen wird.
- Verfolgung, Überwachung und Kontrolle von Konten, die Zugriff auf sensible Daten haben.
Wie unterstützt Cloud-IAM die Compliance?
In den verschiedenen Bundesstaaten der USA und auf der ganzen Welt werden immer neue Datenschutzgesetze erlassen. Auch wenn diese Gesetze vieles gemeinsam haben, so verfügt doch jedes über seine eigenen differenzierten Datenschutzregeln.
Dank Cloud-IAM können Unternehmen dynamisch aktualisierte und geografisch verteilte IAM-Services einsetzen, um Compliance mit allen Vorschriften zu gewährleisten. Darüber hinaus bietet es die zur Unterstützung der Compliance erforderlichen Funktionen für Sicherheit, Nachverfolgung, administrative Transparenz, Audits und Berichte.
Cloud-IAM schützt über den Netzwerkrand hinaus
Als wichtige Sicherheitskomponente eines Unternehmens können Identity and Access Management-Systeme zu Problemen führen. Cloud-IAM-Lösungen lösen dieses Problem, indem sie optimierte Workflows zum Schutz von Ressourcen innerhalb und außerhalb der klassischen Unternehmensperipherie schaffen.
Cloud-IAM berücksichtigt die explosionsartige Zunahme an verknüpften Ressourcen, die mit der digitalen Transformation in das Ökosystem Einzug gehalten hat – von Remote- und Drittanbieter-Benutzern bis hin zu IoT-Geräten und gehosteten Anwendungen. Dank Cloud-IAM können Unternehmen die Vorteile dieser Entwicklung ausschöpfen und gleichzeitig eine hohe Sicherheitslage aufrechterhalten.