Sicherheitskonzept für das IAM aus der Cloud

Transkript

1 bi-cube anywhere - Sicherheitskonzept für das IAM aus der Cloud Mit bi-cube anywhere können aus der Internetanwendung heraus einfach Kapazitäten schonend und kostengünstig Benutzer sowie deren Berechtigungen und Ressourcen verwaltet werden. bi-cube anywhere ist ein leistungsfähiges Identity & Access Management von einem deutschen Hersteller, der Experte auf dem Gebiet IT-Sicherheit ist. bi-cube anywhere ist eine Lösung aus der Cloud mit der Sie IT-Risiken minimieren und die Sicherheit im Unternehmen erhöhen. Sicherheit und Cloud ein Widerspruch? Die Chancen des Cloud Modells sind offenkundig. Halten sich Unternehmen gegenwärtig mit dem Einsatz von Cloud Computing und Software als Service noch zurück, so liegt der Grund dafür in erster Linie in der Sorge um die Sicherheit ihrer Daten. Natürlich ist ein geschlossenes, abgeschottetes Firmen-Netzwerk in punkto Sicherheit kaum zu übertreffen. Wer aber entsprechende Schutzmaßnahmen ergreift, die auf die speziellen Risiken in Cloud-Umgebungen zugeschnitten sind, kann ein Sicherheitsniveau erreichen, das die meisten Unternehmen eigenständig so nicht erzielen und dauerhaft aufrechterhalten können. Die grundsätzlichen Anforderungen an Compliance, Informationssicherheit und Datenschutz haben sich durch Cloud Computing nicht verändert, müssen aber in Cloud-Infrastrukturen anders gemanagt werden. Es geht darum, die Unterschiede zur Inhouse-IT und die neuen Risiken im Cloud-Umfeld zu identifizieren, zu analysieren und dann zu reduzieren bzw. zu eliminieren. WARUM IN DIE CLOUD? Nutzungsabhängige bzw. transaktionsbezogene Bezahlung Hohe Flexibilität in der Nutzung der Komponenten Höhere Sicherheitsstandards Weniger starke Herstellerbindung Ressourcenschonend Abgesehen davon, dass die Unternehmen natürlich primär ein großes Eigeninteresse daran haben, ihre sensiblen Unternehmensdaten in der Cloud vor unberechtigtem Zugriff zu schützen, so bleiben sie bei der Auslagerung, Verarbeitung und Speicherung ihrer Daten durch Dritte außerhalb des Firmennetzwerks auch weiterhin für die Corporate Governance, Compliance und Einhaltung der Datenschutzbestimmungen verantwortlich. Ein wesentlicher Baustein und Garant für die Durchsetzung und Einhaltung von Gesetzen, Richtlinien und unternehmensspezifischen Sicherheitsvorschriften, egal ob nun im Firmennetz oder in der Cloud, ist der Einsatz einer leistungsfähigen Security Softwarelösung für das Identity und Access Management. Mit diesem Werkzeug weiß der Anwender jederzeit, wer, wann, warum, welchen Zugang zu welchen Anwendungen besitzt und wer ihm dies genehmigt hat. Kurze Implementierungszeit Nutzung stets aktueller Anwendungen und Technik Erhöhung der Transparenz der IT-Kosten - 1 -

2 Vorbehalte gegenüber einer Cloud Lösung? Im Prinzip bietet eine IAM- Cloud-Lösung dem Nutzer nur Vorteile. Dennoch bestehen Vorbehalte gegenüber dieser Nutzungsform, die sich insbesondere in zwei Argumenten manifestieren: Unterschwellig wird diese Nutzungsform als Sicherheitsproblem gesehen Vielen Verantwortlichen ist ein festes Budget lieber als eine variable, wenn wahrscheinlich auch geringere, nutzungsabhängige Vergütung. Wobei eine feste Nutzungsgebühr (Flatrate) für das IAM natürlich auch bei einer SaaS - Lösung möglich ist. Das besagte Sicherheitsproblem stellt sich häufig als ein ungutes Bauchgefühl heraus, die Verwaltung der Berechtigungen aller wichtigen Zielsysteme auszulagern. Identity & Access Management aus der Cloud erhöht die Sicherheit Tatsächlich steht diesem Bedenken eine Vielzahl an Sicherheitsgewinnen entgegen, die es dem Unternehmen ermöglichen, mit einem IAM aus der Cloud das bestehende Sicherheitsniveau zu verbessern. Ein IAM aus der Cloud kann wesentlich dazu beitragen, die IT-Risiken zu minimieren. Risiko Schadens-Art Image- Verlust Relevanz für IAM Verlust von Daten Verringerte Betriebsfähigkeit mittel IAM hat wenig Einfluss Missbräuchliche Nutzung von Daten Verstöße gegen Gesetze z.b. Datenschutz Wird durch ein IAM verringert Schäden im Wettbewerb durch Verlust von Betriebsgeheimnissen Missbräuchliche Nutzung von IT- Funktionen Manipulation von Sachverhalten (z.b. Bilanz) Ist mit den SoD 1 -Regeln des IAM eindeutig zu verhindern. Beim IAM aus der Cloud ist ein höheres Maß an Sicherheit gegeben als beim Eigenbetrieb. Kriminelle Manipulationen (z.b. Bereicherung) Kann durch SoD-Regeln und funktionsbezogene Rechte verringert werden Verringerte Verfügbarkeit Mitarbeiter können nicht die für Ihre Arbeit erforderlichen IT- Ressourcen nutzen. => Opportunitätskosten mittel Ein IAM sorgt dafür, dass die Mitarbeiter (rechtzeitig) alle zur Erledigung ihrer Aufgaben erforderlichen Rechte (und nur diese) haben. Geringe Performance Verlust von Arbeitszeit gering Bei einem IAM aus der Cloud kann dies durch den Kanal Internet negative Auswirkungen auf die Performance haben. 1 SoD Segregation of Duties - 2 -

3 bi-cube anywhere - Cloud Sicherheit Made in Germany Die IAM Cloud-Lösung bi-cube anywhere wird von einem deutschen Hersteller als Service zur Verfügung gestellt. Somit bewegt sich der Kunde und Nutzer der Lösung im vertrauten juristischen, sprachlichen und organisatorischen Umfeld: 1. Das Unternehmen des Cloud Service Betreibers wurde in Deutschland gegründet und hat dort seinen Hauptsitz. 2. Der Cloud-Service-Betreiber schließt mit seinen Cloud-Service-Kunden Verträge mit Service Level Agreements (SLA) nach deutschem Recht. 3. Der Gerichtsstand für alle vertraglichen und juristischen Angelegenheiten liegt in Deutschland. 4. Der Cloud Service-Betreiber stellt für Kundenanfragen einen lokal ansässigen, deutschsprachigen Service und Support zur Verfügung. Es wird weiterhin garantiert, dass sich die Daten des Kunden in einem Rechenzentrum in Deutschland befinden. Außerhalb dieses territorialen Raumes werden keine Backups erstellt und gespeichert. Der Kunde ist jederzeit berechtigt und in der Lage, seine Daten zu übernehmen und hat die Sicherheit, dass diese keine Spuren beim Dienstleister hinterlassen, d.h. alle Sicherungen, Logfiles und Reports werden ebenfalls nachweislich übergeben bzw. gelöscht

4 Das Sicherheitskonzept beginnt schon mit der Architektur der Lösung bi-cube anywhere das IAM aus der Cloud verfügt über ein mehrdimensionales Sicherheitskonzept, das dem Kunden das geforderte Maß an Sicherheit garantiert. Dieses Konzept umfasst viele verschiedene technische und organisatorische Komponenten, die einen maßgeblichen Teil zur Erhöhung der Sicherheit beitragen. Mandantentrennung Ein IAM aus der Cloud bedient typischerweise mehrere Kunden als Mandanten einer Installation. bi- Cube anywhere stellt dies mit einer sauberen juristischen Mandantenverwaltung inkl. entsprechender Exportfunktionen sicher. Es gibt keine Funktionen, die die Grenzen zwischen den Mandanten überschreiten. Segregation of Duties (SoDs) Kein Administrator verfügt über Rechte, die es ihm gestatten, einerseits Modelländerungen vorzunehmen und andererseits auch noch einem Nutzer Rechte/Rollen zuzuweisen. Ein Nutzer mit Administratorrechten darf sich nicht selbst administrieren. Sicherheitsgewinn mit Kennwortmanagement Das Kennwort Management erlaubt es dem Kunden, flexible Kennwortregeln einfach umzusetzen. Dazu gehören auch der automatische Kennwortwechsel und die Verwendung von sicheren Kennwörtern. Starke Authentifikation Innerer Kern des IAM aus der Cloud ist die gesicherte Authentifizierung der Person. Deshalb haben die Administratoren oft ausschließlich mittels Biometrie oder anderen gesicherten Authentifizierungen Zugang zu den Kundensystemen. Im Zusammenhang mit der Dokumentation der Aktivitäten ist eine umfassende personenbezogene Nachvollziehbarkeit garantiert. Für einen Zugriff in der Cloud steht die duale Authentifikation zur Verfügung. Hier wird neben Benutzername und Kennwort auch ein Token zur Authentifizierung des Nutzers abverlangt. Auch Nutzer, die im System mit einer hohen Sicherheitsklasse versehen sind, müssen sich ebenfalls dual authentifizieren. Automatisierung als Beitrag zur Sicherheit Jeder automatisierte IAM-Prozess aus der Cloud ist ein Beitrag zur Sicherheit, da jeglicher manueller Eingriff mit gewollten oder ungewollten Verstößen gegen die Security-Richtlinien vermieden wird. Datenschutz und Schutz vor Datendiebstahl Dem Schutz vor Verlust von Kunden- oder auch Personaldaten kommt eine hohe Bedeutung zu. Datendiebstahl erfolgt in der Regel durch direkten Zugriff auf Datenbanken. Diese Zugriffsebene steht nur Administratoren zur Verfügung. bi-cube anywhere gewährleistet eine saubere und transparente Verwaltung der Administratorenrechte. Das Sicherheitskonzept sieht vor, dass kein Admin alle Rechte vereint. Außerdem kann über eine Sicherheitseinstufung (Security Classification)reglementiert werden, wer welche Daten zu einem Nutzer sehen und bearbeiten darf. Aufgabenbezogenes Berechtigungsmanagement Nach der gesicherten Authentifizierung eines Nutzers, sind ihm die für seine Tätigkeit erforderlichen Kompetenzen (IT-Berechtigungen) im Prozess der Autorisierung bereitzustellen. Dies ist vornehmlich über ein Fachrollenmodell in Verbindung mit den notwendigen Prozessmodellen effektiv lösbar. Reporting und Compliance-Sicherung Ein IAM bietet eine systemübergreifende Kenntnis aller Berechtigungen, sowie die Nachweisbarkeit aller Freigaben. Aber ein IAM ist in seiner zentralen Position - über allen Nutzern und deren - 4 -

5 Berechtigungen in den Zielsystemen des Kunden - ein System mit einem hohen Risikopotential. Dem wird entsprechend Rechnung getragen. Die wichtigste Rolle spielen hierbei der Compliance Monitor und das Interne Kontrollsystem (IKS). Der Compliance-Monitor überwacht in Verbindung mit dem IKS permanent das IAM aus der Cloud. Alle Regeln zur SoD und sonstigen Security-Richtlinien sind die Basis dieser beiden Komponenten des Risiko- Managements. Über die Report-Funktionen von bi-cube kann der Kunde jederzeit prüfen, ob die Vorgaben auch eingehalten werden. bi-cube anywhere bietet damit geeignete Werkzeuge und Funktionen, mit deren Hilfe sich Arbeitsschritte zum Beispiel im Rahmen einer Betriebsprüfung schnell nachvollziehen und nachprüfen lassen. Das Regelwerk des Internen Kontrollsystems wird ständig erweitert und ermöglicht eine Online- Überwachung insbesondere der direkten Administratoren-Tätigkeiten und deckt auch auffällige Vorgänge (nicht nur in Bezug auf die Administratoren- Tätigkeit) auf. Sicherheit auch beim Betrieb Der IAM-Betrieb erfolgt nach den Grundsätzen des gesicherten Betriebskonzepts. Das Ziel dieses Konzeptes besteht darin, die Modellierung von dem Produktiv-System zu trennen, um Modellierungsfehler, die gravierende Auswirkungen haben könnten, zu verhindern. Diese Methode hat für ein IAM aus der Cloud eine hohe Bedeutung erlangt. Mit einem leistungsfähigen IAM sind die Modellierungsmöglichkeiten so vielfältig und komplex, dass es ohne ausgiebige Tests nicht ratsam ist, Modellierungen gleich nach jedem Schritt in der Produktion wirksam werden zu lassen. Außerdem lässt sich auf diesem Weg eine freigebende Instanz einschalten, die bestimmte Modellierungen freigibt, bevor diese produktiv wirksam werden. Vorteile einer IAM-Lösung aus der Cloud Dass die Nutzung von Software aus der Cloud (SaaS) diverse Vorteile bietet, ist unbestritten. Diese Betriebsweise ermöglicht es vor allem dem Mittelstand, komplexe Lösungen wie ein IAM zu nutzen, wozu sie vor allem aus Sicht des erforderlichen fachlichen IT-Betreuungspersonals in der Regel nicht in der Lage sind. Ferner entfällt bei einer Cloud-Lösung die Bereitstellung von Hard- und Systemsoftware und damit deren Kostenfaktor. Starke IAM-Funktionalitäten ohne Bindung von Kapital und personellen Ressourcen Einsparung von Lizenzkosten durch nutzungsbasierte Abrechnung Dynamische Erweiterung des Produkt- und Serviceangebots Geringerer Support- und Administrationsaufwand Implementierung, Integration, fachliche Begleitung und Betreuung durch IAM-Experten mit langjähriger Erfahrung im Bereich Security, Software-Entwicklung, Projektmanagement Nachvollziehbarkeit, Transparenz und Verlässlichkeit Sichere Verarbeitung und Speicherung der Daten in geschützter Umgebung - 5 -

6 Für weitere Fragen stehen wir Ihnen gerne zur Verfügung ism - Institut für System-Management GmbH Oldendorfer Str. 12 D Rostock Tel: Fax: Mail: ism@secu-sys.de Web: Web: