Identitäten in Multi-Cloud-Umgebungen im Griff behalten

Die Herausforderungen für IAM durch Multi-Cloud-Nutzung

Viele Cloud-Bereitstellungen mit Single Sign-On (SSO) erfordern mehrere Sätze von Anmeldedaten. Dies kann zu großen Sicherheitsherausforderungen führen, einschließlich Problemen mit Kontolebenszyklen, Überwachung und Durchsetzung von Nutzung und Verhalten, fehlender Unterstützung für MFA (Multifaktor-Authentifizierung) und vielem mehr.

Wenn Unternehmen mehrere IaaS- und PaaS-Clouds nutzen, hat jede davon ihre eigenen Rollen, Berechtigungen und Zugriffsmodelle. Für viele Sicherheits- und Betriebsteams kann sich die Verwaltung jeder einzelnen Cloud als schwierig, wenn nicht gar unmöglich erweisen. Die Überwachung von Benutzer-, Gruppen- und Rollenberechtigungen sowie Rollenzuweisungen kann ebenfalls schwierig sein.

Die Herausforderungen des Multi-Cloud-Identitätsmanagements bewältigen

Unternehmen, die mehrere Clouds nutzen, sollten die folgenden Best Practices für das Multi-Cloud-Identitätsmanagement berücksichtigen.

1. Branchenübliche IAM-Standards und -Technologien verwenden

Stellen Sie sicher, dass Cloud-Anwendungen keine anderen Standards und Technologien verwenden als andere Anwendungen und die allgemeine Infrastruktur. Vermeiden Sie individuelle Tools oder Plattformen für das Identitäts- und Zugriffsmanagement (IAM), die nicht auf Standards wie Security Assertion Markup Language (SAML) oder OAuth beruhen, da dies zu Problemen mit der Anbieterbindung führen kann. Ein weiterer Standard, der sich zunehmender Beliebtheit erfreut, ist System for Cross-Domain Identity Management (SCIM).

2. Cloud Identitätsrollen und -Privilegien über mehrere Clouds hinweg überwachen

Überprüfen Sie die Kontrollen und Services in IaaS- und PaaS-Umgebungen, um Identitätsrollen und Berechtigungszuweisungen zu verfolgen und zu überwachen. AWS IAM Access Analyzer erkennt beispielsweise alle Identitäten und Ressourcen, auf die von außerhalb eines AWS-Kontos zugegriffen werden kann, und validiert den öffentlichen und kontoübergreifenden Zugriff, bevor Berechtigungsänderungen bereitgestellt werden. Andere Cloud- Anbieter, darunter Microsoft und Google, bieten ähnliche Dienste an.

Mit der Möglichkeit, Ressourcen in der Cloud schnell zu skalieren, müssen Unternehmen schnell Assets entdecken, Ressourcenrichtlinien bewerten und alle Cloud-Ressourcen mit unbeabsichtigtem öffentlichen oder kontenübergreifenden Zugriff identifizieren, die neue Risiken für die Umgebung darstellen könnten. Erwägen Sie den Einsatz integrierter Tools zum Scannen und Analysieren von Identitäten, die kontinuierlich auf neue oder aktualisierte Richtlinien achten und die für zahlreiche Ressourcentypen in der jeweiligen Cloud-Umgebung erteilten Berechtigungen analysieren. Testen Sie auch Tools von Drittanbietern, die über diese Funktionen hinausgehen und eine erweiterte Visualisierung, Angriffspfadanalyse und mehr bieten.

3. Die Verwendung interner Identitätsstandards evaluieren

Das Hinzufügen neuer Dienste mit Standards, mit denen die internen Anwendungsentwicklungsteams nicht vertraut sind, kann zu Leistungsproblemen führen. Bei der Evaluierung von Cloud-IAM-Diensten, wie beispielsweise Identity as a Service (IDaaS), sollten Sie mit den Anwendungsentwicklungsteams besprechen, ob sie alle Standards unterstützen können, die für die Integration von Anwendungen und Daten in die Cloud-IAM-Umgebung erforderlich sind.

4. Die Sicherheit des IAM-Dienstleisters überprüfen

Untersuchen Sie die Sicherheitskontrollen bei IAM-Anbietern gründlich. Vergewissern Sie sich, dass sie strenge Sicherheitskontrollen aufrechterhalten, einschließlich Verschlüsselung, Protokollierung und Überwachung sowie rollenbasierte Zugriffskontrolle (RBAC), insbesondere wenn Benutzeridentitätsdaten in ihrer Umgebung gespeichert sind oder die Vertrauensgrenzen in ihre eigene Cloud reichen. Prüfen Sie, ob der Anbieter auch alle branchenspezifischen Compliance-Anforderungen im Zusammenhang mit Identitätsdaten erfüllen kann.

5. IDaaS einführen und wo immer möglich umsetzen

Die meisten Unternehmen, die auf Multi-Cloud umsteigen, benötigen mindestens eine Identitätsquelle, wie Active Directory, Microsoft Entra ID oder ein anderes zentrales Repository, sowie eine Art von föderiertem SSO für Endbenutzer. Um diese Ziele zu erreichen, wenden sich viele an IDaaS-Anbieter, die Identitätstransaktionen im Zusammenhang mit Zero-Trust-Evaluierung, Authentifizierung, Autorisierung sowie Protokollierung und Überwachung aller Aktivitäten und Verhaltensweisen vermitteln.

Informationsverantwortliche sollten die IDaaS-Interaktion in den Softwareentwicklungszyklus (SDLC) integrieren, insbesondere für Partner. Dies erfordert eine Verpflichtung zur Nutzung von IDaaS während der Anforderungsentwicklungsphase des SDLC, um sicherzustellen, dass es keine Probleme in der Folgezeit gibt.

6. Multi-Cloud-IAM in andere Maßnahmen integrieren

Berücksichtigen Sie aktuelle und geplante Benutzerszenarien, in denen Cloud-IAM-Funktionen verwendet werden oder verwendet werden können, und wie sich diese Szenarien auf die Cloud-IAM-Bereitstellung auswirken werden. Zum Beispiel könnten BYOD-Initiativen, die eine breite Palette von mobilen Geräten unterstützen, besondere Überlegungen zur Einführung von Multi-Cloud-IAM erfordern.

Prüfen Sie auch, wie sich andere Sicherheitskonzepte in das Multi-Cloud-Identitätsmanagement integrieren lassen. Ein Zero-Trust-Netzwerkzugriff kann beispielsweise einer Vielzahl von Endbenutzern den Zugriff auf Cloud-Ressourcen durch eine vermittelte Validierung der Benutzer-/Maschinenidentität und ein Richtlinienkontrollmodell ermöglichen.