LÖSUNG IM ÜBERBLICK CA CloudMinder Wie kann ich Identity and Access Management als Cloud Service bereitstellen? agility made possible
Mit den Leistungsmerkmalen von CA CloudMinder können Sie Identity and Access Management als gehosteten Cloud Service bereitstellen. Auf diese Weise verfügen Sie umgehend über Sicherheitsfunktionen, ohne eine große IT-Infrastruktur aufbauen und verwalten zu müssen, die typischerweise mit der Bereitstellung von Sicherheitslösungen für Unternehmen verbunden ist. 2
Kurzfassung Ausgangssituation Unternehmen sind einem spezifischen Zusammenwirken von Marktzwängen ausgesetzt, darunter einem erhöhten Druck auf IT-Abteilungen, mehr mit weniger zu erreichen und dabei die Agilität des Unternehmens auf einem Niveau zu halten, das die Ausschöpfung von Marktchancen erlaubt. Gleichzeitig multiplizieren sich mit wachsenden und zunehmend heterogenen Benutzergruppen, Anwendungen und Zugriffsmethoden die Sicherheitsbelange. Folgende Frage hat für viele mittlerweile eine zentrale Bedeutung erreicht: Wie können wir die Flexibilität des Unternehmens aufrechterhalten und gleichzeitig die Sicherheitsrisiken minimieren? Chance Die Cloud verändert die Perspektive auf Unternehmenssoftware, die heute die Option auf Ausgliederung der Infrastruktur und der damit verbundenen Maintenance für Bereitstellungen bietet. Wenn Unternehmen den Schritt der Beschaffung von Hardware und Standorten, der Installation und Konfiguration von Software und der Maintenance für Software-Patches und Upgrades hinter sich lassen, eröffnen sich ihnen neue Freiheiten. So können Ressourcen besser auf die Kernkompetenzen ausgerichtet werden, die das Alleinstellungsmerkmal des Unternehmens ausmachen. Nutzen Die Kombination betrieblicher Vorteile von Cloud-Bereitstellungsmodellen mit Sicherheitsfunktionen der Enterpriseklasse führt das Beste von beidem zusammen. Unternehmen können so schnell flexible Sicherheitsservices bereitstellen und verfügen gleichzeitig über die erforderliche Kontrolle über Benutzer und deren Zugriff auf Cloud- und On-Premise-Anwendungen. 3
Abschnitt 1: Ausgangssituation Steigerung der Geschäftsflexibilität und Verkürzung der Time-to-Value In bestimmten Hinsichten haben sich die IAM-Herausforderungen für Unternehmen in den letzten Jahren kaum verändert. Die Anzahl und Heterogenität der Benutzer, die mit den IT-Infrastrukturen von Unternehmen interagieren, ist weiter im Wachsen begriffen. Auch die Verfahren und Bedingungen für die Interaktion von Benutzern mit den Websites, Anwendungen und Servern von Unternehmen multiplizieren sich. Dabei verlassen sich Unternehmen immer stärker auf die IT-Infrastruktur, um sensible Daten und Transaktionen sicher zu unterstützen. Unternehmen stehen insgesamt vor der Herausforderung, Benutzeridentitäten, Benutzerzugriffe und die verwendeten Informationen kontrollieren zu müssen. Aber auch andere dramatische Änderungen, die sich auf IAM-Anforderungen und Strategien auswirken, stehen der IT-Landschaft bevor. Der Bedarf an einer gesteigerten Effizienz des IT-Betriebs ist so groß wie nie zuvor. Die Märkte verändern sich mit rasanter Geschwindigkeit, und die Fähigkeit von Unternehmen zur Aufrechterhaltung ihrer Agilität gegenüber diesen Veränderungen steht unter hohem Druck. Dabei sind die Unternehmensgrenzen außerdem nicht länger scharf gezogen. Die Externalisierung und Entgrenzung von Unternehmen bringen neue Sicherheitsbelange mit sich. Eintritt in die Cloud Das traditionelle Modell für die Bereitstellung von Unternehmenssoftware bestand in der Installation, Konfiguration und Verwaltung der Lösungen on-premise, meist unter Aufsicht der IT-Abteilung. Aufgrund der Vorteile bei Effizienz und Agilität ziehen viele Unternehmen jedoch mittlerweile verstärkt cloudbasierte Bereitstellungsmodelle als Alternative in Betracht. Wenn ein vertrauenswürdiger Anbieter in der Lage ist, die benötigte Softwarelösung zusammen mit den erforderlichen Hardware-, Netzwerkund Infrastrukturressourcen bereitzustellen, können Unternehmen die laufenden Kosten senken und Lösungen schneller implementieren. Ein Hindernis für die breite Einführung der Cloud sind Bedenken hinsichtlich der Sicherheit von Anwendungen und Informationen, die in der Cloud gespeichert sind. Cloud-Hosting-Anbieter begegnen diesen Bedenken mit Maßnahmen wie sicheren und geprüften Hosting-Einrichtungen und mandantenfähigen Umgebungen, bei denen die Daten und Systeme der einzelnen Unternehmen getrennt werden. Jedes Unternehmen muss sein individuelles Gleichgewicht bestimmen: Viele sind der Ansicht, dass der Bedarf des Unternehmens an Agilität ab einem bestimmten Punkt den Sicherheitsbedenken gegenüber überwiegt. Die Einführung der Cloud ist dabei keine Entscheidung um alles oder nichts, und die Realität gestaltet sich für jedes Unternehmen anders. Für Unternehmen ohne bereits bestehende Sicherheitsinfrastruktur stellt die Cloud eine leicht zugängliche Möglichkeit dar, die Vorteile von IAM der Enterpriseklasse zu nutzen. Unternehmen mit hochsensiblen Daten und umfassenden IT-Ressourcen dagegen entscheiden sich möglicherweise dafür, die Kontrolle über Sicherheitsanwendungen on-premise zu belassen. Viele Unternehmen folgen einem hybriden Modell und stehen damit zwischen diesen beiden Extremen. Sie möchten manche Sicherheitslösungen on-premise belassen, bestimmte neue Technologien in der Cloud nutzen und schrittweise umstellen, wenn sich das Modell in ihrem Fall als tragfähig erweist. Unabhängig von der Ausrichtung ist der Nutzen, den die Cloud bietet, für die meisten Unternehmen eine Überlegung wert. 4
Abschnitt 2: Lösung Bereitstellung gehosteter Sicherheitsservices mit CA CloudMinder CA CloudMinder stellt einen Satz solider Funktionen für das Identity and Access Management in Form gehosteter Cloud Services bereit. Diese Services basieren auf dem bestehenden Portfolio von CA Technologies an marktführenden IAM-Sicherheitslösungen. Darüber hinaus wird die Serviceinfrastruktur für CA CloudMinder rund um die Uhr das gesamte Jahr über von CA Technologies gehostet, unterstützt und überwacht. Die Lösungen können unabhängig voneinander oder in Kombination mit On-Premise- Sicherheitsbereitstellungen eingesetzt werden und so hybride Cloud-Strategien unterstützen. CA AuthMinder-as-a-Service Die Haustür vieler Anwendungen ist die Authentifizierungsmethode, mit der sich Benutzer anmelden und ihre Identität nachweisen. Viele Unternehmen müssen einen heterogenen Bestand an Anwendungen mit unterschiedlichen Vertraulichkeitsgraden und damit eine Vielzahl von Authentifizierungsmethoden verwalten. Das kann zu erheblichen Komplikationen führen. CA AuthMinder-as-a-Service stellt einen zentralisierten, vielseitigen Authentifizierungsservice bereit, der die Verwaltung der Authentifizierungsmethoden für heterogene IT-Umgebungen konsolidiert. Der Service unterstützt ein breites Spektrum an Authentifizierungsmethoden, darunter Passwörter, Sicherheitsfragen, Einmal- Passwörter per SMS/E-Mail und OATH-Tokens. Darüber hinaus bietet der Service eine Reihe eindeutiger Zweifach-Authentifizierungsinformationen, die kostengünstiger und benutzerfreundlicher als traditionelle Methoden sind: CA ArcotID : CA ArcotID ist eine sichere Softwareanmeldeinformation mit eindeutiger Zuordnung zu jedem Benutzer. Durch die Kombination von Benutzerpasswort und CA ArcotID wird eine Zweifach- Authentifizierung mit Schutz vor Brute-Force- and Man-in-the-Middle-Angriffen erreicht. Die Methode ist für den Benutzer transparent, und das gewohnte Anmeldeverfahren ändert sich nicht. CA ArcotOTP: CA ArcotOTP ist ein sicherer Softwaregenerator für Einmal-Passwörter (One-Time Password, OTP), der auf fast allen mobilen Geräten, PDAs und Systemen ausgeführt werden kann. CA ArcotOTP umfasst patentierten Schlüsselschutz und die Sicherheit der OTP-Authentifizierung, ohne dass Benutzer ein gesondertes Hardwaregerät verwenden müssen. Abbildung A. CA AuthMinder-as-a- Service bietet Management und Zuweisung von Authentifizierungsmethoden von zentraler Stelle aus, darunter auch Optionen für eindeutige Software- Tokens 5
CA RiskMinder-as-a-Service Das Risiko von identitätsbasiertem Onlinebetrug nimmt weiter zu Angreifer haben es auf Identitätsinformationen abgesehen, um damit auf sensible Systeme zuzugreifen. Unternehmen sind fortlaufend bemüht, ein Gleichgewicht zwischen einem ausreichenden Grad an Sicherheit bei der Authentifizierung und der Benutzerfreundlichkeit herzustellen. CA RiskMinder-as-a-Service schützt vor Onlinebetrug, indem Onlinezugriffsversuche überwacht und anhand eines umfangreichen Variablensatzes Risikobewertungen berechnet werden. Anhand der Risikobewertung lässt sich dann entscheiden, ob der Zugriff gewährt wird oder weitere Aktionen erforderlich sind. Regel-Engine: CA RiskMinder-as-a-Service umfasst eine programmierbare Regel-Engine, mit der ein breites Spektrum an Transaktions- und Sitzungskriterien für die Bestimmung des Risikograds einer Aktivität bewertet werden kann. Die Risikobewertung wird anschließend anhand eines vordefinierten Satzes an Unternehmensrichtlinien bewertet, um die empfohlene Aktion zu ermitteln. Potenzielle Ergebnisse sind die Gewährung des Zugriffs, die Gewährung des Zugriffs bei gleichzeitiger Versendung einer Warnmeldung, die Verweigerung des Zugriffs und die Anforderung zusätzlicher Authentifizierungsinformationen. Modeling-Engine: CA RiskMinder-as-a-Service umfasst eine selbstlernende Analyse-Engine, die für die Risikobewertung Ereignisse und Verhalten aus der Vergangenheit untersucht. Die Bewertungs- Engine basiert auf analytischen Modellierungsverfahren. Die Modelle werden auf Grundlage statistischer Analysen von Daten zu Transaktionen und Betrugsversuchen entwickelt. Die Modelle verwenden multivariate Analysen und Bayessche Verfahren zur Berechnung von Bewertungen anhand der relativen Werte einer Vielzahl von Parametern. Wenn beispielsweise ein Mitarbeiter während der Geschäftszeiten zu 99 % der Zeit über seinen Bürocomputer beim Finanzsystem des Unternehmens angemeldet ist, weist die Engine einem nächtlichen Authentifizierungsversuch über ein unbekanntes System ein hohes Risiko zu. Integrierte Authentifizierung: CA AuthMinder-as-a-Service und CA RiskMinder-as-a-Service sind eng miteinander integriert und bieten so einen leistungsstarken, umfassenden Authentifizierungsservice. Wenn zum Beispiel ein Benutzer einen verdächtigen Zugriffsversuch unternimmt, berechnet CA RiskMinder-as-a-Service die Risikobewertung und ruft die Richtlinie für zusätzliche Authentifizierung auf. Anschließend kann CA AuthMinder-as-a-Service die erforderliche Authentifizierungsmethode nahtlos erzwingen und den Erfolg bzw. Misserfolg des Zugriffsversuchs bestimmen. 6
CA FedMinder-as-a-Service Die Unternehmensgrenzen dehnen sich beschleunigt über die IT-Domänen hinaus aus, die der direkten Kontrolle durch das Unternehmen unterliegen: Benutzer müssen heute regelmäßig auf Anwendungen von Partnern und in der Cloud zugreifen. Viele diese Websites sind gesichert und erfordern ordnungsgemäße Anmelde- und Authentifizierungsinformationen. Andererseits sollen Benutzer nicht mit der Verwaltung vieler unterschiedlicher Anmeldeinformationen für verschiedene Anwendungen belastet werden. Die höchste Benutzerfreundlichkeit bietet nahtloses Single Sign-On (SSO), das unabhängig vom Application Owner funktioniert. Federated Single Sign-On: CA FedMinder-as-a-Service bietet domänenübergreifendes Single Sign-On für Identity Provider und Service Provider. Dieser standardbasierte Service verwendet die Security Assertion Markup Language (SAML) 1.1 und 2.0, um die Federation eines breiten Spektrums an Partnerwebsites zu ermöglichen. Sobald sich Benutzer ordnungsgemäß authentifiziert haben, werden die Anmeldeinformationen mit den zugehörigen Attributen sicher freigegeben, um die Authentifizierung bei Partnerwebsites ohne zusätzliche Benutzeraktionen zu erlauben. Just-in-Time-Provisionierung (JIT): CA FedMinder-as-a-Service stellt zusammen mit CA IdentityMinder-as-a-Service die JIT-Provisionierung sicher. JIT-Provisionierung erlaubt es Benutzern ohne Konto bei einer bestimmten Anwendung, mit einem einzigen, nahtlosen Schritt Konto und SSO dafür zu erstellen. Dabei wird die Zugehörigkeit des Benutzers zu einer bestimmten Gruppe oder seine Rolle genutzt, um die Berechtigungen für die Zielsysteme zuzuweisen. Abbildung B. CA FedMinder-as-a- Service bietet standardbasierte Funktionen für Identity Federation und Single Sign-On 7
CA IdentityMinder-as-a-Service Wachsende Zahlen von Benutzern sowie Systemen, auf die diese zugreifen müssen, zieht die Explosion digitaler Identitäten nach sich, die verwaltet werden müssen. Die Identitätsverwaltung über den gesamten Lebenszyklus beinhaltet eine Vielzahl von Aspekten wie die Kontoerstellung, die Zuweisung von Zugriffsrechten, die Verarbeitung von Zugriffsanforderungen und die Verwaltung zugehöriger Identitätsattribute. Unternehmen benötigen eine Lösung, die ihnen die zentrale Zusammenführung und Kontrolle von Identitäten für die gesamte IT- und Cloud-Umgebung erlaubt. Benutzerverwaltung: Viele Unternehmen haben Kunden und Partner, die mit ihnen kooperieren möchten und Zugriff auf Onlineportale benötigen. CA IdentityMinder-as-a-Service lässt sich in diese Anwendungen integrieren und kann auf diese Weise cloudbasierte Funktionen für die Identitätsverwaltung wie Benutzer-Self-Service, Profilerstellung, Passwortzurücksetzung und Verteilung vergessener Benutzernamen bereitstellt. Provisionierung: CA IdentityMinder-as-a-Service automatisiert die Vorgänge zum Hinzufügen, Ändern und Löschen von Benutzerkonten einschließlich der Benutzerattribute und Rollenverknüpfungen, die für die Zuweisung von Berechtigungen für Zielsysteme verwendet werden können. Der Service kann gleichermaßen für die Kontoprovisionierung für cloudbasierte und für On-Premise-Anwendungen bzw. bei hybriden Modellen für beide Typen verwendet werden. Verwaltung von Zugriffsanforderungen: Wenn Benutzer Zugriff auf Unternehmensanwendungen benötigen, wenden sie sich dafür häufig direkt an die IT oder den Help-Desk. Das ist oft teuer und ineffizient. CA IdentityMinder-as-a-Service bietet Benutzern die Möglichkeit, solche Anforderungen online zu senden. Der Cloud Service leitet die Anforderungen dann anhand definierter Richtlinien durch den Genehmigungsworkflow und kann den Benutzer gegebenenfalls automatisch für diese Systeme provisionieren. Abbildung C. CA IdentityMinder-asa-Service bietet Identitätsservices mit Cloud-Zugriff einschließlich Provisionierung, Benutzerverwaltung und Self-Service 8
Abschnitt 3: Nutzen Cloud-Agilität und Unternehmenssicherheit Die Nutzung von Sicherheitsservices über die Cloud bietet Unternehmen einen breit gefächerten Nutzen, unter anderem in folgenden Hinsichten: Elastizität: Die Identitätsservices, die Ihr Unternehmen benötigt, lassen sich je nach Ihren aktuellen Anforderungen erweitern oder verkleinern. Darüber hinaus bedeuten Cloud-Lizenzierungsmodelle, dass Sie nur für das zahlen, was Sie auch wirklich nutzen. Geringe Einführungskosten: Das cloudbasierte Modell beseitigt die Notwendigkeit der Beschaffung von Hardware, Standorten und anderen teuren IT-Infrastrukturelementen, die in vielen Fällen Voraussetzung für Sicherheitslösungen sind. Geringe Gesamtbetriebskosten: Die kontinuierliche Unterstützung und Maintenance der Lösung übernehmen vertrauenswürdige Service Provider. Das erlaubt es Ihnen, Ressourcen auf Initiativen zur Differenzierung des Unternehmens auszurichten. Durch die Elastizität des Cloud-Modells entsprechen die Gebühren in Ihrer Kostenübersicht außerdem genau der tatsächlichen Nutzung des Service. Beschleunigte Bereitstellung: Installation und Konfiguration der Cloud Services, auf denen die Softwarelösung basiert, werden vom Service Provider übernommen. Das bedeutet, dass Sie Services schnell und denkbar einfach erwerben und implementieren können. Abschnitt 4 Vorteile CA CloudMinder nutzt marktführende Lösungen für Identity and Access Management von CA Technologies wie CA SiteMinder und CA Identity Manager. Diese Lösungen haben sich bei Tausenden Kunden weltweit in einer Vielzahl von Branchen, Unternehmen aller Größen und unterschiedlichsten Nutzungsmodellen bewährt. Die Kombination der Leistungsfähigkeit bewährter Lösungen für Identity and Access Management mit der Benutzerfreundlichkeit eines gehosteten, cloudbasierten Service bietet höhere Flexibilität, niedrigere Kosten und schnellere Ergebnisse. Mit den CA CloudMinder-Services für die erweiterte Verwaltung von Authentifizierung, Federation und Identitäten senkt Ihr Unternehmen die Sicherheitsrisiken bei gleichzeitig hoher Benutzerfreundlichkeit. CA CloudMinder wird rund um die Uhr das ganze Jahr über von CA Technologies gehostet und unterstützt und bietet höchste Gewissheit, dass die Services von Produktexperten eingerichtet und verwaltet werden. Die CA CloudMinder-Services können einzeln, miteinander integriert oder in Verbindung mit einem Spektrum von On-Premise-IAM-Lösungen von CA Technologies bereitgestellt werden. Und da es sich um einen Cloud Service handelt, zahlen Sie ausschließlich für Ihren jeweils aktuellen Bedarf. So halten Sie sich die Möglichkeit offen, Services mit der Agilität zu erweitern, die zu Ihrem Unternehmen passt. 9
CA Technologies ist Anbieter von IT-Management-Software und -Lösungen mit Erfahrung in allen IT-Umgebungen, von Mainframes und verteilten Systemen bis zu virtuellen Systemen und Cloud Computing. CA Technologies verwaltet und schützt IT-Umgebungen und ermöglicht Kunden die Bereitstellung flexiblerer IT-Services. Die innovativen Produkte und Services von CA Technologies bieten den Überblick und die Kontrolle, die IT-Abteilungen zur Unterstützung geschäftlicher Flexibilität benötigen. Die meisten Fortune Global 500-Unternehmen nutzen Managementlösungen von CA Technologies für ihre wachsenden IT-Ökosysteme. Weitere Informationen finden Sie auf der Website von CA Technologies unter ca.com/de, ca.com/at und ca.com/ch/de. Copyright 2011 CA Technologies. Alle Rechte vorbehalten. Alle Markenzeichen, Markennamen, Dienstleistungsmarken und Logos, auf die hier verwiesen wird, sind Eigentum der jeweiligen Unternehmen. Dieses Dokument dient ausschließlich zu Informationszwecken des Nutzers. CA Technologies übernimmt keine Haftung für die Genauigkeit oder Vollständigkeit der Informationen. CA Technologies stellt dieses Dokument im Rahmen geltender Gesetze ohne Mängelgewähr bereit und übernimmt keinerlei Gewährleistung, insbesondere in Bezug auf die stillschweigende Gewährleistung der Marktgängigkeit, der Eignung für einen bestimmten Zweck und der Nichtverletzung von Schutzrechten Dritter. CA Technologies haftet in keinem Fall für Verluste oder unmittelbare oder mittelbare Schäden, die aus der Verwendung dieses Dokumentes entstehen; dazu gehören insbesondere entgangene Gewinne, Betriebsunterbrechungen, Verlust von Goodwill und Datenverlust, selbst wenn CA Technologies ausdrücklich von der Möglichkeit solcher Schäden in Kenntnis gesetzt wurde. CS1837_1111