Suchen

IT-Security mit Blick auf Webservices Ohne Identity Management keine Sicherheit beim Cloud Computing

| Autor / Redakteur: Martin Kuppinger / Stephan Augsten

Cloud Computing ist das Trend-Thema der IT; und in einer Welt, in der die Grenzen zwischen der Firmen-IT und externen Dienstanbietern verschwimmen, wird Sicherheit zum Kernthema. Auch auf der European Identity Conference 2010 wurde die Cloud heiß diskutiert – keine Überraschung, denn das Identitätsmanagement ist Grundvoraussetzung für sichere Cloud-Computing-Umgebungen.

Firma zum Thema

Who is who: Die Sicherheit beim Cloud Computing wird durch das Identity- und Access-Management maßgeblich gestärkt.
Who is who: Die Sicherheit beim Cloud Computing wird durch das Identity- und Access-Management maßgeblich gestärkt.
( Archiv: Vogel Business Media )

Cloud Computing birgt kein unkalkulierbares Sicherheitsrisiko. Es gibt Risiken, genauso wie es auch in der internen IT Risiken gibt. Manche dieser Risiken sind spezifisch für das Cloud Computing, weil man externe Dienste nutzt und damit Daten eben nicht mehr nur auf internen Systemen liegen.

Viele Risiken gibt es aber genauso in der internen IT. Ein wichtiger Unterschied ist aber, dass man manche Risiken bei der Einbindung externer Dienstleister nicht mehr so einfach ignorieren kann, wie man es in internen Umgebungen oft gemacht hat.

Die wichtigste Voraussetzung für sicheres Cloud Computing hat aber auf den ersten Blick nichts mit IT-Sicherheit zu tun. Die Basis bildet ein IT Service Management, bei dem alle Dienste standardisiert beschrieben sind – und zwar nicht nur mit den funktionalen Anforderungen, sondern auch mit den Anforderungen an Sicherheit und Governance.

Zu diesen Anforderungen gehören die im Bereich Identity- und Access-Management (IAM). Ein Grundprinzip dabei ist, dass man die Zugriffe von Benutzern auf Dienste einheitlich steuern können muss. Dabei ist es völlig gleich, ob es sich um interne oder externe Dienste und interne oder externe Benutzer handelt.

Identity- und Access-Management beim Cloud Computing

Das IAM muss also auf die Cloud-Dienste erweitert werden; für die Administration von Benutzern und ihren digitalen Identitäten ebenso wie für die Authentifizierung, die Autorisierung und das Auditing. Das bedeutet auf der anderen Seite, dass Cloud-Dienste die entsprechenden Schnittstellen bieten müssen.

Für die ersten beiden der 4 As (Administration, Authentifizierung, Autorisierung, Auditing) ist man zumindest bei SaaS (Software as a Service) schon auf einem guten Weg. Mit der Identity Federation auf Basis von SAML v2 kann man Benutzer zentral verwalten und authentifizieren. Die externen Cloud-Dienste vertrauen dieser Authentifizierung dann.

Dagegen werden die Standards für eine verteilte Autorisierung wie XACML (Extensible Access Control Markup Language) kaum von Cloud-Anbietern unterstützt. Und beim Auditing fehlen brauchbare Standards noch weitgehend. Diese Externalisierung der Sicherheit aus den Cloud-Diensten heraus im Sinne einer externen Steuerbarkeit ist aber unverzichtbar.

Seite 2: Einheitliche Sicht auf interne und externe Services

(ID:2045131)