So sieht modernes Identity and Access Management aus
Die Cloud und die Digitale Transformation verändern das Identity and Access Management. So besteht ein modernes IAM aus mehr als nur dem klassischen Modell von Nutzer und Maschine.
Identity and Access Management, oder abgekürzt IAM, gilt mittlerweile als die wichtigste Cyber-Security-Technik, über die Unternehmen 2019 verfügen sollten.
Aber was steckt dahinter, wie wird IAM durch aktuelle Trends verändert und warum sollten Unternehmen in der heutigen Zeit unbedingt auf diese Technik setzen? Was sind die aktuellen Herausforderungen und was die Risiken beim Einstieg in IAM? Und wie können IT-Abteilungen sicherstellen, dass ihre IAM-Implementierung ein Erfolg wird?
Gehen wir die Fragen in der Reihenfolge durch, in der sie gestellt wurden. Identity and Access Management bedeutet auf Deutsch Identitäts- und Zugriffsmanagement. Wie der Name bereits nahelegt, sollen IAM-Lösungen dafür sorgen, dass nur die richtigen Personen Zugriff auf die richtigen Daten, Anwendungen und anderweitigen Ressourcen im Unternehmen erhalten.
Das erscheint einfach genug, aber der erste Eindruck kann täuschen. Viele Anwender stellen sich IAM als eine vergleichsweise simple Datenbank vor, die Daten über die einzelnen Nutzer und die verschiedenen Ressourcen enthält, auf die sie zugreifen dürfen. Wenn Sie das an Active Directory (AD) von Microsoft erinnert, dann aus gutem Grund. Für die meisten IT-Profis ist AD der erste Kontakt mit dem hinter IAM stehenden Konzept. Ähnlich wie eine vollwertige IAM-Lösung stellt AD Zugriffs- und Authentifizierungsdienste zur Verfügung, die es den Anwendern erlauben, auf bestimmte Maschinen und Anwendungen zuzugreifen.
Das Ganze hat aber einen gewichtigen Haken: Dieses Nutzer-Maschine-Paradigma ist schon lange überholt. Die heutigen IT-Umgebungen in Unternehmen basieren zunehmend auf dem Einsatz von Diensten aus der Cloud. Ende dieses Jahres wird nach Erkenntnissen des Marktforschungsunternehmens Nemertes Research voraussichtlich schon die Hälfte aller Workloads aus der Cloud stammen.
Selbst das lange Zeit geltende Konzept von Anwendungen gilt in Anbetracht der sich durchsetzenden Container nicht mehr in allen Fällen. Container entwickeln sich zu einer der wichtigsten Techniken bei der Entwicklung von Applikationen. Viele Unternehmen nutzen darüber hinaus bereits Microservices und DevOps (Development and IT Operations). Dazu kommt, dass immer mehr Mitarbeiter in Unternehmen mobile Endgeräte einsetzen. Auch die Definition des „Nutzers“ weicht immer mehr auf. Durch Automatisierung und das Internet der Dinge kommen neue „Nutzer“ hinzu. Der Begriff steht deswegen nicht mehr nur für Menschen, sondern kann auch für Bots, ein IoT-Device (Internet of Things) oder einen Dienst gelten.
Das führt dazu, dass sich Daten und Anwendungen heute nahezu überall befinden können. Eine Beschränkung auf einzelne Maschinen wie früher ergibt deswegen keinen Sinn mehr. In aktuellen IT-Umgebungen werden Anwendungen immer dynamischer. Manche Container werden nur noch weniger als eine Sekunde lang eingesetzt.
Einfluss von Zero-Trust und aktuellen IAM-Trends
Es ist deswegen nötig, über eine neue Definition für das Identity and Access Management nachzudenken. In der heutigen Zeit ist IAM mehr als nur eine technische Möglichkeit, um sicherzustellen, dass nur bestimmte Anwender, gleichgültig ob menschlich oder maschinell, auf für sie freigegebene Ressourcen zugreifen können. Dabei darf es auch keine Rolle mehr spielen, für wie lange dieser Zugriff benötigt wird und wo er erfolgen soll.
Unternehmen benötigen IAM in der Regel aus den folgenden drei Gründen:
- Das Festlegen und Durchsetzen von Zugriffsregeln auf bestimmte Daten ist die Grundlage der modernen IT-Security. Bei den meisten Datendiebstählen verschaffen sich Nutzer oder Bots Zugriff auf ihnen nicht zustehende Ressourcen. Das muss unbedingt verhindert werden.
- Aus Compliance-Gründen ist es heute zudem unverzichtbar, genau zu dokumentieren, wer wann auf was zugegriffen hat. Weil der Großteil der Unternehmen heute zahlreichen Compliance-Vorgaben unterliegt, müssen IAM-Lösungen nicht nur in Echtzeit Zugriffe regeln können, sondern auch Aufzeichnungen darüber führen, wer Zugriff erhalten hat und wer nicht. Diese Log-Dateien können sowohl zur Kontrolle der verschiedenen Vorgaben verwendet werden, aber auch um nachhaltiger auf IT-Vorfälle reagieren zu können.
- Auf dem Weg zu einer effektiven Zero-Trust-Strategie ist ein modernes IAM-System ein wesentlicher Meilenstein. Weil sich viele Unternehmen nach und nach vom früher geltenden On-Premises-Modell verabschieden, verlieren Firewalls ihre entscheidende Rolle beim Schutz von Ressourcen. Wenn es um Cloud-Dienste geht, kann man nicht mehr von „innerhalb des Perimeters“ sprechen. Eine Absicherung rein auf Basis von Firewalls macht deswegen immer weniger Sinn. Stattdessen gewinnt das Zero-Trust-Modell an Bedeutung. Entgegen dem Namen bedeutet das Zero-Trust-Modell aber nicht, dass man „niemals Irgendjemanden oder Irgendetwas vertrauen darf“. Hinter dem Begriff steht dagegen ein Modell, bei dem es stattdessen um ein äußerst detailliertes Vertrauen geht. Bei Zero Trust handelt es sich also um fein justierte Zugriffsrechte auf bestimmte Ressourcen, die in den heute üblichen verteilten, sehr dynamischen Umgebungen benötigt werden. Das erinnert stark an IAM und das ist auch richtig so.
Strategisches Vorgehen beim Einstieg in IAM
Die größte Herausforderung beim Evaluieren von Trends im Bereich Identity and Access Management ist daher, strategisch und bedacht vorzugehen. Die Auswahl und der Einsatz einer bestimmten IAM-Lösung sollte nicht von einer Recherche im Web und einem reinen Funktionsvergleich abhängig gemacht werden.
Ein IAM muss sich weiterentwickeln können, genauso wie das Unternehmen, das es einsetzt. Viele Betriebe befinden sich derzeit mitten in der digitalen Transformation. Wie bereits erwähnt, werden viele Anwendungen in die Cloud migriert, die Nutzer verwenden immer mehr Mobilgeräte, neue Anwendungsmodelle wie Container, Microservices und DevOps setzen sich immer mehr durch. Das ändert die Art und Weise, wie Anwendungen heutzutage ausgespielt und eingesetzt werden. Gleichzeitig sorgen Automatisierung und das IoT dafür, dass sich das traditionelle Bild des Nutzers ändert.
Um für einen Erfolg Ihrer IAM-Einführung zu sorgen, sollten Sie zuerst ein ausführliches Assessment durchführen. Viele Cyber-Security-Beratungsfirmen und IAM-Anbieter sind gerne dazu bereit, eine Evaluierung Ihres aktuellen Status Quos durchzuführen, um Lücken aufzudecken und um in manchen Fällen auch auf künftige Gefahren hinzuweisen. Auf Basis dieser Einschätzung können Sie Ihre Bedürfnisse bestimmen und wichtige Kriterien definieren. Anschließend können Sie Kontakt zu interessanten Anbietern aufnehmen, um die verschiedenen Angebote besser miteinander vergleichen zu können.
Wenn Sie über den Einsatz einer modernen IAM-Lösung nachdenken, sollten Sie außerdem unbedingt eine ganzheitliche Sicht auf Ihr Unternehmen einnehmen. Verwenden Sie eher allgemeine und breite Definitionen für Ihre Nutzer (natürlich die Mitarbeiter, aber auch Maschinen und Dienste) und Ihre Ressourcen (diese können von Anwendungen und Containern bis zu Cloud-Diensten und anderen Komponenten reichen). Beziehen Sie auch die künftigen Pläne Ihres Unternehmens mit ein, um dafür zu sorgen, dass sie auch wirklich ein zukunftssicheres Produkt auswählen.
