Sicher in die Cloud mit modernen Authentifizierungsmechanismen Sichere Authentifizierung mit a2Cloud von Stonesoft

Autor / Redakteur: Torsten Jüngling / Florian Karlstetter

Trotz der Diskussion um Datensicherheit und Prism stellt die Cloud eine flexible Möglichkeit da, Datenmengen kostengünstig zu bearbeiten und zu verwalten. Damit sich Cyberkriminelle keinen Zugriff auf in der Cloud ausgelagerte Anwendungen und Informationen verschaffen können, sollten Unternehmen ihre Authentifizierungs- und Zugriffsabläufe mithilfe moderner Authentifizierungsmethoden absichern.

Sicherer Zugriff auf in die Cloud ausgelagerte Anwendungen und Informationen: die einzelnen Schritte des Authentifizierungsprozesses.
Sicherer Zugriff auf in die Cloud ausgelagerte Anwendungen und Informationen: die einzelnen Schritte des Authentifizierungsprozesses.
(Bild: Stonesoft)

Die Cloud bietet Unternehmen attraktive Alternativen für die Verwaltung ihrer Daten und zur Nutzung von Applikationen. Dadurch sind erhebliche Zeit- und Kosteneinsparungen möglich. Zugleich wird das Handling der Sicherheit auf operativer und technischer Ebene immer komplexer. Das liegt nicht zuletzt an der zunehmenden Nutzung von mobilen Geräten für Business-Zwecke. Dadurch überlagern sich beispielsweise Verantwortlichkeiten zwischen IT- und Fachabteilungen sowie den Endnutzern. Unternehmen benötigen deshalb neue IT-Sicherheitskonzepte, die Infrastruktur, Applikationen, Konnektivität und den sicheren Zugriff auf die Cloud mit einbeziehen.

Der Fokus sollte dabei insbesondere auf der Absicherung des Zugriffs auf in die Cloud verlagerte Daten und Applikationen liegen. Die Nutzung von Cloud Services führt dazu, dass die Grenzen der Unternehmens-IT verwischen. Häufig wird dabei auch die Trennung von Identity Provider und Service Provider aufgehoben. Sämtliche Authentifizierungsinformationen sowie Identity Federation über Standardprotokolle wie SAML oder ADLS können durch Cloud-Authentifizierungsmechanismen zur Verfügung gestellt werden.

Bildergalerie

Die Nutzer greifen über die Cloud aber auch auf die verschiedensten Applikationen zu. In diesem Fall ist die Wolke gleichzeitig Identity und Service Provider, der die Informationen des Identity Providers überprüft und Zugriff auf die Anwendungen erlaubt. Eine Authentifizierungslösung muss deshalb Identitäts- und Zugriffsmanagement mit klassischen Authentifizierungssystemen verknüpfen, um den Zugriff ausreichend abzusichern. Darüber hinaus muss sie flexibel sein und den Kontext des Zugriffs sowie verschiedene Endgeräte berücksichtigen können.

Eine wichtige Rolle bei der Entscheidung für eine Authentifizierungslösung spielen die verschiedenen Anforderungen von CEOs, CISOs, Admins und Mitarbeitern: Für CEOs stehen finanzielle Aspekte im Vordergrund, während sich CISOs in der Regel vor allem an ihrem Sicherheitsauftrag orientieren. Für sie muss eine Lösung gleichzeitig höchsten Sicherheitsstandards entsprechen, sich aber auch mit begrenztem Aufwand in die bestehende Infrastruktur einbinden lassen. Für Admins steht im Vordergrund, dass sie die Prozesse zentral monitoren können. Sie benötigen detaillierte Informationen über Sicherheitsvorfälle, Echtzeiterkennung, ausführliche Analysen von Erfolgs- und Fehlerraten sowie insbesondere die schnelle Eingriffsmöglichkeit bei Fehlerraten und Zwischenfällen. Für die Mitarbeiter ist dagegen der möglichst unkomplizierte Zugriff auf die Cloud am wichtigsten.

Sicherer Zugriff mithilfe bewährter Technologien

Diesen Anforderungen werden moderne Authentifizierungslösungen gerecht, indem sie bewährte Produkte und Technologien kombinieren und den sicheren Zugriff auf die Cloud über eine starke Authentifizierung ermöglichen. Den Kern einer solchen Lösung bilden ein Authentifizierungsserver, ein SSL-verschlüsseltes Virtual Private Network (VPN) und ein Management-System. Dabei erfolgen sämtliche Authentifizierungsprozesse über den beim Unternehmen gehosteten Authentifizierungsserver, der die zentrale Anlaufstelle für alle Authentifizierungsprozesse ist. Er bietet einen sicheren Remote Access auf kritische Daten und Anwendungen innerhalb eines Netzwerks.

Mithilfe verschiedener RADIUS-Server können unterschiedliche Authentifizierungsmethoden wie eine einfache Passwort, Zweifaktor- oder Dreifaktor-Authentifizierung hinterlegt werden. Damit lassen sich dann auf unterschiedliche Nutzergruppen zugeschnittene Sicherheitskonzepte entwickeln. Da diese Authentifizierungsmethoden softwarebasiert und ergonomisch sind, ist ihr Einsatz ohne weitere Investitionen in Hardware oder Schulungsmaßnahmen etwa über bereits vorhandene mobile Endgeräte möglich.

Sofern der Authentifizierungsserver in ein Managementsystem eingebunden ist, kann er zudem einfach konfiguriert, administriert und transparent in bestehende Datenbanken wie MS Active Directory, Novell eDirectory, OpenLDAP oder andere konstruierte Systeme integriert werden. Änderungen können so flexibel und schnell über die Standard-Benutzerverwaltung vorgenommen werden.

Sobald sich ein Nutzer dann zum Beispiel über ein mobiles Endgerät bei einer Cloud-Anwendung anmelden möchte, sendet der Service Provider eine ADFS-oder SAML-Anfrage an die entsprechende User-Domäne auf dem unternehmenseigenen Authentifizierungsserver. Der Authentifizierungsprovider agiert dabei als Identity Provider, prüft die Daten mit dem hinterlegten Nutzerprofil und fordert den Nutzer dann über das mobile Gerät zur Authentifizierung auf.

Unterschiedliche Authentifizierungsmethoden

Nur wenn die Authentifizierung erfolgreich ist, gibt der Authentifizierungsserver dem Service-Provider per SAML bzw. ADFS die Antwort, dass der Zugriff gewährt werden darf. Abhängig vom Kontext bzw. der Vertrauensebene einer User-Beziehung können unterschiedliche Authentifizierungsmethoden auch kombiniert werden. Greift ein Mitarbeiter etwa von seinem Desktop-PC aus dem Unternehmensnetzwerk auf die Cloud zu, ist ein einfaches Passwort ausreichend. Wenn er stattdessen über ein mobiles Endgerät aus einem externen WLAN auf Anwendungen in der Cloud zugreifen möchte, erkennt der Authentifizierungsserver automatisch das höhere Sicherheitsrisiko und verlangt die deutlich stärkere Zweifaktor-Authentifizierung. Wenn der Server eine Verbindung als nicht vertrauenswürdig einordnet, was zum Beispiel bei einer ungesicherten Verbindung aus dem Ausland der Fall sein kann, räumt er dem Nutzer hingegen nur Zugriff auf ausgewählte Daten ein.

Darüber hinaus übernimmt der Authentifizierungsserver auch beim Zugriff auf das bestehende Unternehmensnetz oder extern gehostete Private Clouds die entscheidende Rolle. Ähnlich wie beim Zugriff auf Public-Cloud-Applikationen überprüft er die Identität des Nutzers und legt automatisch die passende Authentifizierungsmethode fest. Per SSLVPN kann der Nutzer dann auf die Unternehmensanwendungen zugreifen. Aufgrund von Single Sign-on (SSO) ist dafür die einmalige Authentifizierung ausreichend. Der Zugriff ist dann von jedem Ort und internetfähigem Gerät aus möglich, da das Virtual Private Network als Hardware oder als virtuelle Applikation per Standard-Webbrowser zugänglich ist. Dadurch muss keine spezielle Client-Software installiert werden.

Die größte Gefahr für Daten und Anwendungen in der Cloud geht von menschlichen Fehlern und Nachlässigkeiten aus. Das Risiko dafür steigt mit der Anzahl der im Unternehmen zur Sicherung des Netzwerks eingesetzten Appliances. Denn so werden die Überwachung, Konfiguration und das Management der Netzwerksicherheit immer komplexer und unübersichtlicher.

Als Lösung dafür bietet sich ein zentrales Management Center an. Damit können alle eingesetzten physikalischen und virtuellen Lösungen einheitlich verwaltet, überwacht und konfiguriert werden. Es ermöglicht es dem Administrator, sich bei Sicherheitsvorfällen schnell einen Überblick zu verschaffen, indem beispielsweise statistische Informationen, getaggte Graphen und Karten bereitstehen. Der Admin kann dadurch wenn nötig unmittelbar reagieren. Er behält so die Kontrolle über den Authentifizierungsprozess und agiert selbst als interner Service Provider. Die Authentifizierung und damit einer der entscheidenden Sicherheitsfaktoren bleibt damit unter der Kontrolle des Unternehmens, auch wenn Anwendungen oder Daten in die Cloud verlagert werden.

Torsten Jüngling, Country Manager für Deutschland, Österreich & Schweiz von Stonesoft.
Torsten Jüngling, Country Manager für Deutschland, Österreich & Schweiz von Stonesoft.
(Bild: Stonesoft)

Der Autor

Torsten Jüngling ist Country Manager für Deutschland, Österreich & Schweiz von Stonesoft.

(ID:40328700)