Identity and Access Management in der Cloud

Die ersten Schritte: Aufbau eines dedizierten Cloud-IAM-Teams

Falls Sie bereits über ein internes IAM-Team verfügen, dann fangen Sie dort an, wenn Sie ein auf die Cloud ausgerichtetes IAM-Team erstellen wollen. Im Idealfall nutzen Sie für ein solches Team also bereits vorhandene Abteilungen und Mitarbeiter, da diese Ihr Unternehmen und ihre geschäftlichen Ziele bereits kennen.

Bestehende IAM-Teams in den Unternehmen sind meist auf klassische Verzeichnisdienste wie Active Directory, Bereiche wie Cloud Federation (Verbünde mehrerer Public- und Private-Clouds) und Single Sign-On (SSO) sowie auf das Einrichten und Deaktivieren von Nutzerkonten konzentriert. Auch bei einer Cloud-IAM-Strategie spielen diese Punkte natürlich eine wesentliche Rolle. Unternehmen benötigen allerdings zusätzliche IAM-Kenntnisse, um Windows- und Unix-basierte Berechtigungen auf Cloud-Images und -Umgebungen anwenden zu können. Das gilt auch für das Konfigurieren und Verwalten der von den Cloud-Providern bereitgestellten Richtlinien und Rollen.

IAM-Teams, die sich auf das Thema Cloud fokussieren, sollten daher über Spezialisten aus verschiedenen Bereichen verfügen. So werden weiterhin Kenntnisse zur Konfiguration und dem Management von Verzeichnisdiensten benötigt. Domain-Administratoren und Netzwerkspezialisten sind daher geeignete Kandidaten für Ihr Team. Zusätzlich werden Erfahrungen im Aufbau von Cloud-Verbünden und bei der Integration von SSO-Diensten in Verbindung mit SAML (Security Assertion Markup Language), OAuth oder OpenID benötigt. Ebenso wichtig sind Experten, die sich mit den IAM-Frameworks der wichtigsten Cloud-Provider auskennen, seien es Google Cloud Platform (GCP) IAM, AWS IAM oder Azure Role-based Access Control.

Schwieriger ist es, wenn Sie noch über kein internes IAM-Team verfügen, das Sie erweitern können, oder wenn die vorhandenen Mitarbeiter nicht die benötigten Kenntnisse haben. Dann müssen Sie sich wohl oder übel auf die Suche nach externen Spezialisten machen, um ein Cloud-IAM-Team aufzustellen.

Verantwortlichkeiten in einem Cloud-IAM-Team

Die meisten Firmen nutzen eine Vielzahl von unterschiedlichen SaaS-Anwendungen (Software-as-a-Service). Zu den ersten Bereichen, auf die sich ein Cloud-IAM-Team daher konzentrieren muss, gehören Single Sign-On sowie die Verbindung der Cloud-Dienste zu den internen Datenspeichern. Mit Hilfe von SAML ist es in der Regel leicht möglich, eine bereits vorhandene interne SSO-Lösung mit den gewünschten Cloud-Anwendungen zu verknüpfen. Allerdings erfordert dieser Ansatz, dass die Endanwender sich zuerst über ein Virtual Private Network (VPN) mit der lokalen IT-Umgebung verbinden, um von dort aus dann auf das SSO-Portal zugreifen zu können. Dieser Weg funktioniert, ist aber alles andere als optimal.

Einige Unternehmen nutzen deshalb bereits IDaaS-Dienste (Identity-as-a-Service) von Anbietern wie Okta, Ping Identity, Azure AD oder OneLogin. Diese Dienste fungieren als eine Art zentraler SSO- und Federation-Vermittler, der für die Anwender immer verfügbar ist, egal wo sie sich gerade befinden. Dieses Vorgehen setzt ebenfalls auf einem internen Verzeichnis wie Active Directory auf, das mit dem Dienstleister zuerst synchronisiert werden muss. Im nächsten Schritt sollte das Cloud-IAM-Team Gruppen, Rollen und Berechtigungen sowie alle weiteren benötigten Attribute festlegen, damit die Nutzer auf die SaaS-Angebote zugreifen können. Dieser Ansatz wird auch genutzt, um auf PaaS- und IaaS-Umgebungen zuzugreifen.

Da das Management der Identitäten alle Cloud-Nutzer in einer Enterprise-Umgebung betrifft, muss Ihr Cloud-IAM-Team damit rechnen, mit nahezu jedem betroffenen Anwender im Unternehmen in Verbindung treten zu müssen. Prüfen Sie daher, welche Abteilungen wie Personalwesen, Buchhaltung oder die EDV auf sensible Anwendungen und Daten zugreifen müssen. Außerdem sollte ein Modell entwickelt werden, das auf dem Prinzip der geringsten benötigten Berechtigungen basiert, wenn es um die Zugriffe auf Cloud-Anwendungen und -Infrastrukturen geht. Es ist zudem eine gute Idee, eine Gruppe mit betroffenen Personen und Abteilungen aufzubauen, die sich regelmäßig trifft, um ihre jeweiligen Bedürfnisse und Anforderungen zu diskutieren.

Zu den wichtigsten und am meisten Zeit benötigenden Aufgaben des Cloud-IAM-Teams gehört jedoch, sich mit den Berechtigungen auseinandersetzen, die für die Richtlinien und Rollen der Provider gelten sollen. Die meisten Policies der Cloud-Anbieter sind in der Regel sehr komplex aufgebaut. In vielen Unternehmen werden sich zudem relativ schnell Hunderte oder gar Tausende von Richtlinien ansammeln, die bestimmen, wie Objekte und Dienste in der Cloud miteinander interagieren sollen.

Viele der größeren Cloud-Provider unterstützen Sie dabei, fehlerhafte oder auch riskante Policies zu identifizieren. Dazu wurden Werkzeuge wie GCP Cloud Identity, AWS IAM Access Analyzer sowie Azure Security Center and Privileged Identity Management entwickelt. Das ändert aber nichts daran, dass Sie trotzdem einen nicht zu vernachlässigenden Aufwand betreiben müssen, um Ihre Richtlinien dauerhaft zu kontrollieren und kontinuierlich zu verbessern.