IAM-Strategie an Cloud und Software-defined-Ansätze anpassen

Lösungen für Identity und Access Management sind in vielen Unternehmen Standard. Aber sind diese auch fit für die Cloud und Software-defined-Ansätze?

Viele Unternehmen sind der Überzeugung, dass sie über eine solide Strategie für Identity und Access Management (IAM) verfügen. Die entsprechenden Lösungen und Funktionen gibt es immerhin seit Jahrzehnten.

Neue Techniken wie Cloud-Dienste, Software-defined-Ansätze oder das Internet of Things (IoT) fordern die etablierten IAM-Ansätze heraus. Dieser Artikel erläutert daher fünf Ansätze, mit denen Sicherheitsprofis ihre IAM-Strategie optimieren und anpassen können.

Rollen und Richtlinien kennen

Ihr erster Schritt sollte das Anpassen von Richtlinien und Rollen sein. Sollten Sie noch keine entsprechenden Einteilungen vorgenommen haben, ist jetzt ein exzellenter Zeitpunkt. Sollten Rollen und Richtlinien vorhanden sein, sind sie wahrscheinlich veraltet und noch nicht auf die aktuellen Umstände angepasst. Sind etwa die aktuellen Richtlinien konsistent über Cloud-Dienste und mobile Geräte anwendbar? Können sie nicht-menschliche Nutzer integrieren, etwa Sensoren oder andere Komponenten des Internet of Things?

Seien Sie bereit für neue Techniken

Überprüfen Sie ihre IAM-Tools regelmäßig, ob sie sich in neue Techniken und Lösungen integrieren lassen. Viele Unternehmen haben selbstentwickelten Code, der auf Verzeichnissen wie etwa Microsofts Active Directory beruht. Das hat vielleicht bislang funktioniert, aber kommt ihr Code auch mit, wenn Sie etwa auf Office 365 umstellen? Oder sind vielleicht die Lösungen eines Drittanbieters oder eine IAM-Cloud-Lösung der richtige Weg?

Wenn Sie beispielsweise Amazon Web Services (AWS) verwenden, werden Sie wahrscheinlich Amazon IAM nutzen – aber integriert sich IAM auch in Ihre restlichen Tools? Das Gleiche gilt für Lösungen zur Verwaltung mobiler Geräte, etwa Good Technology, Airwatch oder MobileIron. Lassen sich diese in eine bestehende IAM-Strategie einbinden?

Auch hier gilt: Falls Sie noch keine IAM im Unternehmen verwenden und den Einsatz künftig planen, setzen Sie Kriterien wie Cloud und mobile Techniken ganz oben auf Ihre Prioritätenliste. Es gibt zahlreiche Anbieter im IAM-Bereich. Neben der bereits genannten IAM Cloud gibt es Anbieter wie Avatier, Aveksa, Courion, Evidian, GlobalSign, SailPoint oder Varonis. Und das ist nur die Spitze des Eisbergs. Systemhersteller und Anbieter von Apps oder Cloud-Diensten mischen ebenfalls im IAM-Bereich mit, darunter etwa Amazon, CA, IBM, Microsoft, Oracle oder SAP.

Achten Sie auf Software-defined-Ansätze

Software-defined Everything (kurz SDE) ist ein starker Trend. In den meisten Unternehmen ist der Großteil der Systeme bereits virtualisiert. Nun kommen weitere virtuelle Trends hinzu, etwa in den Bereichen Netzwerk oder Storage. Es gibt wahrscheinlich eine Handvoll an Nutzern, die privilegierten Zugriff auf diese Geräte haben. Dieser Zugriff muss auf die virtualisierten Systeme übertragen werden. Wählen Sie also SDE-Tools, die die notwendigen Funktionen unterstützten. Anbieter wie BigSwitch, Cisco, Dell/Force10, F5, VMware und andere müssen zu Ihrer Strategie passen, nicht umgekehrt.

Multifaktor Authentifizierung für sensible Systeme

Wichtige Systeme und Nutzer mit weitreichenden Rechten sollten in ein Multifaktor-Authentifizierungs-System eingebunden werden. Viele Unternehmen fürchten den Overhead, den eine solche Lösung mitbringt. Spätestens jetzt sollte man aber einen zweiten Blick auf die MFA werfen. Nicht nur sind die Lösungen deutlich anwenderfreundlicher geworden – statt externer Token lassen sich etwa Apps auf Smartphones verwenden. Zudem sind die Risiken gestiegen: Angreifer setzen immer ausgefeiltere Techniken ein, um Ziele zu knacken. Das ist den zusätzlichen Aufwand für die Sicherung der Nutzerkonten durchaus wert.

Automatisieren Sie die Analyse

Schließlich sollten Sie sich überlegen, eine Lösung zur Advanced Security Analysis (ASA) einzusetzen, vor allem um das Verhalten der Nutzer zu analysieren. Damit lassen sich Zugriffsrechte weiter feintunen und anpassen. Die meisten Lösungen informieren die Verantwortlichen, wenn einzelne Nutzer über zu viele Rechte verfügen. Das geschieht etwa, indem einzelne Accounts mit anderen Nutzern oder den jeweiligen Aufgaben verglichen werden. Der wirkliche Wert einer ASA ist, dass dieser Abgleich automatisiert und ständig erfolgt. So müssen Sie sich nicht manuell durch Log-Einträge arbeiten, sondern können mit einem Blick sehen, wer welche Zugriffsrechte besitzt.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Artikel wurde zuletzt im Juni 2016 aktualisiert

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close