Web Single Sign-On in Cloud- und mobilen Umgebungen. agility made possible

Transkript

1 Web Single Sign-On in Cloud- und mobilen Umgebungen agility made possible

2 Das Online-Geschäft entwickelt sich in einem rasanten Tempo In den vergangenen Jahren näherten sich die Kunden nur vorsichtig dem Online Banking und anderen Internet-basierten Geschäften an. Heute dagegen führen Millionen Anwender ihre Transaktionen online durch und dabei verlassen sie sich darauf, dass die damit beauftragten Unternehmen ihnen eine sichere Umgebung bereitstellen. Das hat dazu geführt, dass Unternehmen die Bereitstellung von Online- Services für Kunden, Mitarbeiter und Partner immer weiter ausgebaut haben, um ihnen den Zugriff unabhängig von Zeit, Standort oder Gerät als neuen Standard anzubieten. Und mit welchem Ziel? Um Effizienz und Reaktionsfähigkeit zu steigern und die User Experience zu verbessern. Dazu gehört auch die Bereitstellung sicherer Services durch: Browser-basierte Anwendungen Mobile Anwendungen Offene Schnittstellen für Web-Services Aber ganz gleich, auf welche Weise und wie viele Benutzer auf Online-Services zugreifen, eine fundamentale Anforderung wird immer wichtiger: Den Schutz der stetig wachsenden Anzahl sensibler Daten zu gewährleisten, ohne dabei die Geschäfte von Benutzern zu erschweren. 02

3 ... und ebenso schnell entwickelt sich das Single Sign-On (SSO) Kunde Online Banking-Website Eigenständiges Finanzinstitut Finanzplanungs-Website Selbst eine einfache Transaktion erfordert umfassenden Schutz. Beim Einsatz des herkömmlichen Web Single Sign-On (SSO) im Webzugriffsmanagement (WAM) ist die Kontrolle über den Zugriff auf Ressourcen genauso wichtig wie die nahtlose und sichere User Experience für die Benutzer. Benutzer können dabei einfach von einer webgestützten Transaktion zur anderen wechseln und gleichzeitig reibungslos mit anderen Anwendungen oder externen Sites interagieren. Die oben dargestellte einfache Transaktion erfordert beispielsweise mehrere Sicherheitsschritte, um die Identität des Benutzers festzustellen, bis die gewünschten Aktionen beim Online Banking durchgeführt werden können. Der Kunde braucht sich nur einmal mit seinen Anmeldeinformationen anzumelden, um auf seine persönlichen Account- Daten auf einer externen Finanzplanungs-Website zugreifen zu können. 03

4 ... und ebenso schnell entwickelt sich das Single Sign-On (SSO) Fortsetzung Kunde Online Banking-Website Eigenständiges Finanzinstitut Die Schritte in einem typischen Online Banking-Szenario: Finanzplanungs-Website Selbst eine einfache Transaktion erfordert umfassenden Schutz. 1. Zuerst muss die Identität eines Benutzers bestätigt werden. Bei den heutigen Methoden wird der Kunde dabei aufgefordert, eine Grafik mit einem Account zu verknüpfen oder Fragen zu beantworten, die in den Einstellungen des Accounts zuvor festgelegt wurden. 2. Ist die Identität eines Benutzers bestätigt, kann ihm die Durchführung einer Transaktion gestattet werden. Dazu müssen Sicherheitsfunktionen in die Website integriert sein, die die Einhaltung damit verbundener Sicherheitsrichtlinien gewährleisten und die die Aktionen des Benutzers nach der Anmeldung überprüfen. 3. Auch die Sicherheit von Back End-Transaktionen muss gewährleistet werden. Die Verbindung zu den Anwendungen einer Bank, unter Umständen sogar zu einem eigenständigen Finanzinstitut, muss abgesichert sein. 4. Und schließlich muss die Verbindung zum Finanzplanungspartner einer Bank, auch über SSO, abgesichert werden. Wird ein Bankkunde gezwungen, sich bei der Verbindung zur Website des Finanzplaners erneut anzumelden, könnte er oder sie dies lästig finden und zu einer anderen Bank wechseln. Aber wenn Ihr Unternehmen diese frühen webgestützten Operationen hinter sich lassen will und zu mobilen und Cloud-basierten Initiativen wechseln möchte, muss das SSO erweitert werden, um die Sicherheit dieser neuen Services und damit verbundenen Zugriffsverfahren sicherzustellen. Dabei müssen Sie auch gleichzeitig die einzigartigen Anforderungen eines sich stetig wandelnden Portfolios von Anwendungen erfüllen, wie z. B. Microsoft SharePoint Server und SAP, und sich den verschiedenen damit interagierenden Benutzertypen anpassen. Als Teil eines fortlaufenden Prozesses erfordern Veränderungen dieser Art eine flexible Lösung, die Ihnen eine schnelle Reaktionsfähigkeit bietet, um neue Anforderungen zügig erfüllen zu können. 04

5 Aufbau auf den Grundlagen Obgleich Sie zunehmend komplexere Zugriffsanforderungen erfüllen müssen, bleiben Ihre grundlegenden Sicherheitsanforderungen, und damit auch SSO, dieselben. Sie müssen wissen, wer Ihre Benutzer sind und ihre Aktionen entsprechend ihrer individuellen Berechtigungen überwachen und überprüfen können. Das Verständnis dieser Grundlagen hilft Ihnen dabei, ein solides Sicherheitsfundament zu errichten. Aber die neuen technologischen Anforderungen verändern die SSO-Landschaft. Insbesondere gibt es drei wichtige Bereiche, die einen großen Einfluss darauf haben: Erweiterte Services Cloud-Einführung Mobile Technologien und die Kundenorientierung der IT Die Zugriffsanforderungen wachsen und verändern sich stetig und proaktive Unternehmen implementieren zusätzliche Sicherheitsfunktionen, aber sie behalten dabei die grundlegenden Sicherheitsaspekte im Blick. Dadurch schützen sie sich vor bösartigen Angriffen und Bedrohungen durch interne Benutzer, die sich nicht an Sicherheitsrichtlinien und -prozeduren halten. 05

6 Erweiterte Services für die erweiterte Authentifizierung Zur Sicherstellung ihrer Wettbewerbsfähigkeit ergänzen immer mehr Unternehmen ihre bestehenden Geschäftsmodelle mit Online Services, um die Vorteile der neuesten Technologien für sich zu nutzen. Dabei müssen sie den Einsatz unterschiedlicher Gerätetypen, wie Laptops, Tablets und Smartphones sowie auch neuer mobiler Infrastrukturen und Cloud-basierter Infrastrukturen unterstützen. Es entsteht eine Vielzahl von Herausforderungen an die Authentifizierung: Erfüllung spezieller Anforderungen auf Nutzungs- und Zugriffsebene für alle End User Unterstützung einer situations- oder risikobasierten Authentifizierung Bereitstellung eines bequemen Online-Zugriffs mit umfassendem Schutz für Benutzeridentität und sensible Anwendungsdaten Schutz von On-Premise- und Cloud-basierten Anwendungen Schutz kritischer Transaktionen vor Online-Betrug Was können Sie also tun, um all diese Risiken bei der Vergabe von Zugriffsrechten zu minimieren, während Sie gleichzeitig Ihre Daten schützen und Online-Aktivitäten attraktiv gestalten möchten? Das herkömmliche Web SSO verlässt sich auf eine risikogerechte Authentifizierung, um Transaktionen, die auf vordefinierten Regeln und Modellen basieren, zu schützen. Aber die Komplexität von Benutzertransaktionen in heutigen IT-Umgebungen macht es erforderlich, erweiterte Formen der Authentifizierung einzusetzen. Die Lösungen für erweiterte Services bieten durch die risikobasierte Bewertung einen effektiven Ansatz dazu. Durch die Verwendung einer risikobasierten Bewertung können anpassungsfähige Authentifizierungsverfahren eingesetzt werden, um Benutzer zu bewerten und für sie einen angemessenen Risikowert auf Basis verschiedener Zugriffsfaktoren zu ermitteln. Die gleichen Funktionen, die die Benutzerfreundlichkeit fördern Unterstützung für verschiedene Geräte- und Benutzertypen sowie mehrere Zugriffspunkte für Anwendungen erhöhen auch potenzielle Sicherheitsrisiken, wenn keine angemessenen Authentifizierungs- und Autorisierungsmechanismen eingesetzt werden. 06

7 Erweiterte Services für die erweiterte Authentifizierung Fortsetzung Durch die noch stärker erweiterte Authentifizierung mit einer risikobasierten Bewertung können Sie umfassend ermitteln, welches Risiko von einzelnen Benutzern ausgeht. Wenn Sie das typische Verhalten bei Zugriff und Nutzung von Anwendungen durchgängig überwachen, sind Sie in der Lage, auffällige Verhaltensweisen, z. B. das Anmelden von einem Café und nicht von Zuhause aus, schnell zu erkennen. Sie können dann zusätzliche Anmeldeinformationen verlangen, bevor Sie Benutzern Zugriffsrechte gewähren oder beliebige andere erforderliche Schritte einleiten, um eine nicht autorisierte Nutzung zu verhindern. Dies ist besonders wichtig, wenn Benutzer versuchen, risikoreiche Aktionen durchzuführen. Eine der wichtigsten Funktionen der erweiterten Authentifizierung ist die Fähigkeit, Benutzerprofile auf Basis vergangener Verhaltensweisen zu erstellen, um so Auffälligkeiten zu erkennen, die ernsthafte Sicherheitsrisiken darstellen können. 07

8 Best Practices in erweiterten Serviceumgebungen: Federated SSO und mehr Federated SSO ermöglicht es, dass Benutzeranmeldeinformationen auf mehreren IT-Systemen oder Anwendungen als vertrauenswürdig eingestuft werden können und unterstützt damit Branchenstandards, wie z. B. die Security Assertion Markup Language (SAML) und ihren Identity Cookie Approach, um eingehende Daten zu authentifizieren. In erweiterten Serviceumgebungen könnten Benutzer aber auch über verschiedene Authentifizierungsmethoden auf Systeme zugreifen, einschließlich Smartcards, biometrischen Geräten und der Zwei-Faktor- Authentifizierung. Daher ist es sinnvoll, eine Authentifizierungslösung einzusetzen, die über eine Session Management-Funktion verfügt, weil diese sowohl Hardware- als auch Software-basierte Token übersetzen kann. 08

9 Best Practices in erweiterten Serviceumgebungen: Federated SSO und mehr Fortsetzung Das Session Management bietet andere, ausgeklügelte Funktionen, um die Sicherheit bei Identitätszugriffen und Verwaltungsprozessen zu verbessern. Je nach den Anforderungen Ihrer erweiterten Serviceumgebung, könnten folgende Implementierungen für Sie sinnvoll sein: SSO-Zonen zur teilweisen oder vollständigen Isolierung und Sperrung von Hochsicherheitsanwendungen Wahlmöglichkeit der Authentifizierung, damit Benutzer zwischen unterschiedlichen Anmeldeverfahren wählen können Verzeichnisverkettung zur Verknüpfung mehrerer Benutzerverzeichnisse, um die Zugriffsrechteverwaltung zu vereinfachen und zu vermeiden, dass Benutzer ihre Anmeldeinformationen während einer Sitzung erneut eingeben müssen Vertrauensstufen für die Step-up- Authentifizierung auf Basis einer zuvor etablierten Einstufung Zentralisierte Prüfung alle Benutzeranmeldungen und darauf folgenden Aktivitäten, um eine bessere Überwachung und Einhaltung von Vorschriften zu erreichen Unternehmen, die ein Session Management zur erweiterten Authentifizierung und verbesserten SSO-Federation nutzen, sind besser auf den Umgang mit erweiterten Serviceanforderungen vorbereitet. 09

10 Neue Sicherheitsaspekte auf dem Weg in die Cloud Private Clouds, öffentliche Clouds und Angebote von Software-as-a-Service (SaaS). Ohne die Notwendigkeit, eine physische Infrastruktur verwalten zu müssen, können diese und andere Variationen der Cloud Unternehmen einen günstigen, flexiblen Weg zur Bereitstellung von Services bieten. Aus diesem Grund, und weil die Zahl auf Online- Anwendungen zugreifender interner und externer Benutzer ständig anwächst, ist der Gang in die Cloud so beliebt. Obgleich dies eine zusätzliche Vergabeebene von Zugriffsrechten erfordert, müssen Cloud-basierte Services weiterhin bequem und sicher bereitgestellt werden. Bei ihrer Implementierung müssen die bestehenden SSO-Mechanismen zum Schutz Ihrer Daten mit strengeren Authentifizierungsverfahren ausgestattet werden, ohne dass diese die User Experience beeinträchtigen. 10

11 Integration mobiler Benutzer Durch die Nachfrage von Mitarbeitern und Kunden sind mobile Technologien immer populärer geworden. Das Ergebnis? Forrester Research gibt dazu an: Die Ausgaben für mobile Technologien werden bis 2016 auf 1,3 Bio. USD ansteigen und der Markt für mobile Apps wird einen Umsatz von 55 Mrd. USD erreichen. Und weiter heißt es: Bis dahin werden 350 Mio. Mitarbeiter Smartphones verwenden, von denen 200 Mio. eigene Geräte mitbringen werden. * Geht man von diesen Annahmen aus, ist es kaum verwunderlich, dass sich mobile Technologien wie ein Lauffeuer verbreiten. Unternehmen wie Ihres sehen darin einen höchst effizienten Weg, ihren Kundenstamm zu binden und erstklassige Umsatzergebnisse zu erzielen. Beim Aufbau mobiler Anwendungen wird der Zugriff auf Produkte und Services für mobile Vertriebsteams vereinfacht, damit sowohl Kunden als auch Mitarbeiter Transaktionen schneller und einfacher ausführen können. Aber für eine dauerhafte Kundenbindung muss eine konsistente und sichere User Experience sichergestellt werden. Große Browser, kleine Browser und mobile Anwendungen PC/Laptop Browser Browser auf Telefonen/ Tablets Web Services Welche mobilen Anwendungen und Browsertypen Unternehmen auch unterstützen, sie müssen sowohl die Benutzerfreundlichkeit als auch die Zugriffssicherheit immer im Blick behalten. * Mobile is the New Face of Engagement, Forrester Research Inc., 13. Februar Unkonventionelle Geräte Native Apps auf Telefonen/ Tablets 11

12 Mobile Anforderungen und Schutz mobiler Daten Um Benutzern den gewünschten mobilen Zugriff zu gewähren und dabei gleichzeitig sensible Daten zu schützen, müssen Sie angemessene geräte- und anwendungsspezifische Sicherheitsstufen einrichten. Dabei gilt es, für Kunden unnötige oder unbequeme Schritte oder Verzögerungen bei Transaktionen zu vermeiden. So eine Lösung sollte folgende Anforderungen erfüllen: 3 Standortbezogene Anforderungen: Der Zugriff über VPNs (Virtual Private Networks) kann im Gegensatz zu den durch Betreiber zugewiesenen IP-Adressen zu Problemen bei der Standortbestimmung führen. Dadurch wird es unmöglich, den Standort eines Benutzers festzustellen und es erfordert die Überprüfung mehrerer Faktoren, um die Identität eines Benutzers, der Zugriff verlangt, zu ermitteln. 3 Mehrere Formfaktoren für die Anmeldeinformationen: Da mobile Geräte leicht verlegt oder gestohlen werden können, müssen Sie zusätzliche Sicherheitsmaßnahmen anbieten, um das Risiko bei Transaktionen zu verringern. So kann beispielsweise ein Einmal-Passwort zur Verifizierung gültiger Anmeldeinformationen bei Online-Einkäufen verwendet werden. In anderen Situationen kann auch eine zusätzliche biometrische Stimmerkennung sinnvoll sein. 3 Integration der Authentifizierung: Bei der Entwicklung mobiler Anwendungen müssen Integrationspunkte für Authentifizierungsverfahren eingebettet werden, damit Sicherheitsanforderungen für die Vergabe von Zugriffsrechten erfüllt werden können. Alternativ dazu können Sie auch, sofern es ein mobiles Gerät erlaubt, Cookies verwenden, um Anmeldeinformationen von einem zugelassenen Gerät zu einer angeforderten Anwendung zu übertragen. Und wenn mobile Benutzer mit einer externen Anwendung interagieren, möchten Sie ihnen auch gestatten, ihre Sessions nahtlos und sicher auf andere Anwendungen zu erweitern. 12

13 Bewerten Sie Ihre eigenen Fähigkeiten Bei einer umfassenden Evaluierung Ihrer derzeitigen Bereitstellung von Benutzerzugriffen werden Sie deutlich erkennen, an welchen Stellen moderne Authentifizierungs- und Autorisierungsmethoden eingesetzt werden sollten, um die Sicherheit von mobilen Transaktionen oder Web- oder Cloud-basierten Transaktionen zu verbessern. Dabei sollten Sie beachten, dass sich eine einzelne, solide Sicherheitslösung zur Erfüllung aller Anforderungen bei der Vergabe von Zugriffsrechten an Benutzer am besten eignet. Dieser Ansatz verhindert fragmentierte Sicherheitspraktiken und erhöht die Kontrolle über das Zugriffsmanagement. Gleichzeitig bietet dies eine kostengünstigere Implementierung einer Sicherheitslösung, um den unternehmensweiten Schutz sensibler Daten und Anwendungen sicherzustellen. Und schließlich können Sie dadurch auch die Benutzerfreundlichkeit verbessern, während Sie vor allen Bedrohungssituationen bei der Vergabe von Zugriffsrechten zusätzlichen Schutz erhalten. Mit der richtigen Lösung können Sie unterschiedliche IT-Anforderungen erfüllen, während Sie gleichzeitig Ihre Onlinepräsenz zu Ihrem geschäftsstrategischen Vorteil sicher ausbauen. 13

14 CA-Sicherheitslösungen Wir bei CA Technologies haben verstanden, wie wichtig es ist, ein ausgewogenes Verhältnis zwischen der Sicherheit von Unternehmensdaten und dem bequemen Benutzerzugriff zu finden. Und wir haben Lösungen entwickelt, die die hohen Sicherheitsanforderungen bei der Zugriffsvergabe im Netz sowie in mobilen Umgebungen und Cloud-Umgebungen erfüllen. CA SiteMinder CA SiteMinder stellt Ihnen eine wichtige Grundlage sowohl für Benutzerauthentifizierungen, SSO und Browser-Autorisierungen sowie mobile Autorisierungen als auch Funktionen zur Berichterstellung bereit. Diese Lösung ermöglicht Ihnen die Erstellung differenzierter Richtlinien, mit denen Sie den Zugriff auf wichtige Anwendungen anhand eines flexiblen Satzes statischer oder dynamischer Kriterien wie Benutzerattribute, Rollen, Zeit, Standort oder Vertraulichkeit von Daten steuern können. Eine Lösung für die standardbasierte Identity Federation ist CA SiteMinder Federation, mit der die Benutzer in einem Unternehmen auf einfache und sichere Weise auf Daten und Anwendungen von Partnerunternehmen zugreifen können Diese Lösung kann integriert in CA SiteMinder oder als eigenständige Lösung bereitgestellt werden. Weitere Informationen über Sicherheitslösungen von CA Technologies finden Sie unter CA RiskMinder CA RiskMinder bietet mittels einer risikobasierten, anpassungsfähigen Authentifizierung Echtzeitschutz vor Identitätsdiebstahl und Onlinebetrug. Die Lösung bewertet das Betrugspotenzial versuchter Onlinezugriffe (von Web Services des Unternehmens bis hin zu E-Commerce- Transaktionen von Verbrauchern) und berechnet anhand zahlreicher Variablen die Risikobewertung. All dies erfolgt transparent, ohne legitime Benutzer, die kein wesentliches Risiko darstellen, zu beeinträchtigen. CA AuthMinder CA AuthMinder umfasst zahlreiche unterschiedliche Methoden für die Betrugserkennung und die mehrstufige Authentifizierung, um das Risiko von Onlinebetrug für E-Commerce, Webportale und den Fernzugriff zu reduzieren. CA AuthMinder und CA RiskMinder werden als Authentifizierungsservices in der CA SiteMinder- Oberfläche dargestellt. Zur Authentifizierung Initiale und Step-up-Benutzerauthentifizierung Einsatz in speziellen SSO-Zonen Einsatz in Verbindung mit den Authentifizierungsstufen von CA SiteMinder und zur Autorisierung Der Risikowert wird an CA SiteMinder übergeben und während der gesamten Benutzer- Session gespeichert, damit er bei weiteren Zugriffsanforderungen oder Transaktionen geprüft werden kann. Mit CA AuthMinder kann eine richtliniengestützte Step-up-Authentifizierung unter Berücksichtigung des Risikowertes umgesetzt werden. 14

15 CA Technologies (NASDAQ: CA) ist ein Unternehmen für IT-Management-Software und -Lösungen mit Erfahrung in allen IT-Umgebungen, von Mainframes und verteilten Systemen bis hin zu virtuellen Systemen und Cloud Computing. CA Technologies verwaltet und schützt IT-Umgebungen und ermöglicht Kunden die Bereitstellung flexiblerer IT- Services. Die innovativen Produkte und Services von CA Technologies bieten den Überblick und die Kontrolle, die IT-Organisationen zur Unterstützung geschäftlicher Flexibilität benötigen. Die meisten Fortune Global 500-Unternehmen nutzen Lösungen von CA Technologies für ihre wachsenden IT-Ökosysteme. Weitere Informationen finden Sie auf der Website von CA Technologies unter ca.com. Copyright 2012 CA. Alle Rechte vorbehalten. Microsoft und SharePoint sind eingetragene Markenzeichen von Microsoft Corporation in den USA und/oder anderen Ländern. Alle Markenzeichen, Markennamen, Dienstleistungsmarken und Logos, auf die hier verwiesen wird, sind Eigentum der jeweiligen Unternehmen. Dieses Dokument dient ausschließlich zu Informationszwecken. CA Technologies übernimmt keine Gewähr für die Richtigkeit oder Vollständigkeit der Informationen. In dem durch das anwendbare Recht gestatteten Umfang stellt CA dieses Dokument wie besehen zur Verfügung, ohne Garantien jedweder Art. Dies umfasst ohne Einschränkungen jedwede konkludenten Garantien der Handelsüblichkeit, Eignung für einen bestimmten Zweck oder Nichtverletzung von Rechten. In keinem Fall haftet CA für Verluste oder unmittelbare oder mittelbare Schäden, die aus der Verwendung dieses Dokumentes entstehen; dazu gehören insbesondere entgangene Gewinne, Betriebsunterbrechung, Verlust von Goodwill oder Datenverlust, selbst wenn CA über die Möglichkeit solcher Schäden informiert wurde.