Was ist Identitäts- und Zugriffsverwaltung (Identity and Access Management oder IAM)?

Was ist Identitäts- und Zugriffsverwaltung (Identity and Access Management oder IAM)?

Identitäts- und Zugriffsverwaltung (kurz IAM oder IdAM) ist eine Methode, mit der sich bestimmen lässt, wer ein Benutzer ist und was er tun darf. IAM ist vergleichbar mit einem Rausschmeißer an der Tür eines Nachtclubs, der eine Liste der Personen hat, die hineindürfen, die nicht hineindürfen und die den VIP-Bereich betreten dürfen. IAM wird auch als Identitätsverwaltung (IdM oder Identity Management) bezeichnet.

Präziser ausgedrückt ist IAM eine Methode zur Verwaltung einer bestimmten Menge von digitalen Identitäten von Nutzern und den jeder Identität zugeordneten Berechtigungen. Es ist ein umfassender Begriff, der eine Reihe unterschiedlicher Produkte abdeckt, die alle diese Grundfunktion erfüllen. Innerhalb eines Unternehmens kann IAM ein einziges Produkt sein, oder es kann sich um eine Kombination von Prozessen, Softwareprodukten, Clouddiensten und Hardware handeln, die Administratoren Sichtbarkeit und Kontrolle über die Unternehmensdaten verschaffen, auf die einzelne Nutzer zugreifen können.

Was ist Identität im Computing-Kontext?

Die gesamte Identität einer Person kann nicht auf einen Computer hochgeladen und gespeichert werden. Daher bedeutet „Identität“ in einem Computing-Kontext eine bestimmte Menge von Eigenschaften, die sich digital einfach messen und aufzeichnen lassen. Denken Sie an einen Personalausweis oder Reisepass: Auf einem Personalausweis werden nicht alle Angaben zu einer Person vermerkt, er enthält jedoch genug persönliche Merkmale, damit die Identität einer Person dem Ausweis schnell zugeordnet werden kann.

Zur Überprüfung der Identität bewertet ein Computersystem einen Benutzer nach Merkmalen, die spezifisch für ihn sind. Wenn die Merkmale übereinstimmen, wird die Identität des Benutzers bestätigt. Diese Merkmale sind auch als „Authentifizierungsfaktoren“ bekannt, weil sie authentifizieren können, dass ein Benutzer derjenige ist, der er zu sein vorgibt.

Die drei am häufigsten benutzten Authentifizierungsfaktoren sind:

• Etwas, was der Benutzer weiß
• Etwas, was der Benutzer hat
• Etwas, was der Benutzer ist

Etwas, was der Nutzer weiß: Dieser Faktor ist eine Information, die nur ein einziger Nutzer haben sollte, z. B. eine bestimmte Kombination von Nutzername und Kennwort.

Stellen Sie sich vor, dass John seine Arbeits-E-Mail von Zuhause aus überprüfen möchte. Dafür muss er sich zuerst bei seinem E-Mail-Konto anmelden und seine Identität bestätigen, denn falls jemand, der nicht John ist, auf Johns E-Mail zugreifen würde, würden Unternehmensdaten kompromittiert werden.

Um sich anzumelden, gibt John seine E-Mail-Adresse john@company.com und das Kennwort ein, das nur er kennt, zum Beispiel „5jt*2)f12?y“. Vermutlich kennt niemand außer John dieses Kennwort, weswegen das E-Mail-System John erkennt und auf sein E-Mail-Konto zugreifen lässt. Falls eine andere Person versuchen würde, sich als John auszugeben, und ihre E-Mail-Adresse als „john@company.com“ eingeben würde, wäre sie nicht erfolgreich, ohne zu wissen, dass „5jt*2)f12?y“ als Kennwort eingegeben werden muss.

Etwas, was der Nutzer hat: Dieser Faktor bezieht sich auf den Besitz eines physischen Tokens, der an autorisierte Nutzer ausgegeben wird. Ein einfaches Beispiel für diese Art von Authentifizierungsfaktor ist die Verwendung eines Haustürschlüssels, um ein Haus betreten zu können. Dabei wird davon ausgegangen, dass nur jemand, der das Haus besitzt, mietet oder sonstwie berechtigt ist, das Haus zu betreten, über einen Schlüssel verfügt.

In einem Computing-Kontext kann es sich bei dem physischen Objekt um einen Schlüsselanhänger, ein USB-Gerät oder sogar ein Smartphone handeln. Nehmen wir an, dass Johns Unternehmen extra sicher sein will, dass es sich bei allen Nutzer wirklich um die Personen handelt, die sie zu sein vorgeben, und deshalb zwei Authentifizierungsfaktoren anstelle eines einzigen überprüft. Jetzt muss John nicht nur einfach sein geheimes Kennwort eingeben (der Faktor „Etwas, was der Nutzer weiß“), sondern er muss dem E-Mail-System außerdem zeigen, dass er ein Objekt besitzt, das sonst niemand hat. John ist der einzige Mensch der Welt, der sein persönliches Smartphone hat. Daher sendet ihm das E-Mail-System per SMS einen einmaligen Code, den er eingibt, um zu beweisen, dass er im Besitz des Smartphones ist.

Etwas, was der Nutzer ist: Dieser Faktor bezieht sich auf eine körperliche Eigenschaft. Ein allgemeines Beispiel für diesen Authentifizierungsfaktor ist Face ID, ein Feature, das von vielen neueren Smartphones angeboten wird. Ein anderes Beispiel sind Fingerabdruckscans. Zu den weniger häufigen Methoden, die von einigen Organisationen mit hoher Sicherheit verwendet werden, gehören Netzhautscans und Blutproben.

Stellen Sie sich vor, dass Johns Unternehmen beschließt, die Sicherheit noch weiter zu verschärfen und von seinen Benutzern zu verlangen, drei Faktoren anstelle von zweien zu bestätigen (was selten vorkommt). Jetzt muss John sein Kennwort eingeben, den Besitz seines Smartphones bestätigen und einen Fingerabdruck scannen, bevor das E-Mail-System bestätigt, dass es sich tatsächlich um John handelt.

Fassen wir zusammen: In der realen Welt ist die Identität einer Person eine komplexe Mischung aus persönlichen Merkmalen, Vergangenheit, Standort und anderen Faktoren. In der digitalen Welt setzt sich die Identität eines Benutzers aus einigen oder allen der drei Authentifizierungsfaktoren zusammen, die digital in einer Identitätsdatenbank gespeichert sind. Um Betrüger daran zu hindern, sich als echte Benutzer auszugeben, kontrollieren Computersysteme die Identität eines Benutzers anhand der Angaben in der Identitätsdatenbank.

Was ist Zugriffsverwaltung?

„Zugriff“ bezieht sich darauf, welche Daten ein Benutzer sehen und welche Aktionen er ausführen kann, sobald er sich angemeldet hat. Sobald John sich bei seinem E-Mail-Konto anmeldet, kann er alle E-Mails sehen, die er gesendet und empfangen hat. Er sollte jedoch nicht die von Tracy – seiner Kollegin – gesendeten und empfangenen E-Mails sehen dürfen.

Anders ausgedrückt: Nur weil die Identität eines Benutzers kontrolliert wurde, bedeutet das nicht, dass er innerhalb eines Systems oder Netzwerks auf alles zugreifen kann, was er will. Zum Beispiel sollte ein einfacher Angestellter in einem Unternehmen auf sein Unternehmens-E-Mail-Konto zugreifen können, er sollte aber nicht in der Lage sein, auf Gehaltslisten oder vertrauliche Informationen der Personalabteilung zuzugreifen.

Zugriffsverwaltung ist der Prozess der Regelung und Überwachung von Zugriffen. Jeder Benutzer innerhalb eines Systems hat je nach seinen persönlichen Anforderungen unterschiedliche Privilegien innerhalb des Systems. Ein Buchhalter muss tatsächlich auf Gehaltslisten zugreifen und sie bearbeiten können. Sobald er also seine Identität bestätigt hat, sollte er in der Lage sein, diese Listen zu sehen und zu aktualisieren, und natürlich auch auf sein E-Mail-Konto zuzugreifen.

Warum ist IAM so wichtig für das Cloud Computing?

Beim Cloud Computing werden Daten entfernt gespeichert und über das Internet erreicht. Da sich Nutzer von nahezu jedem beliebigen Standort und Gerät aus mit dem Internet verbinden können, sind die meisten Clouddienste geräte- und standortunabhängig. Nutzer brauchen nicht mehr im Büro oder an einem firmeneigenen Gerät zu sein, um auf die Cloud zuzugreifen. Und tatsächlich wird Remote-Arbeit immer üblicher.

Infolgedessen wird die Identität zum wichtigsten Punkt bei der Zugriffskontrolle – nicht der Netzwerkperimeter.* Die Identität des Benutzers – nicht sein Gerät oder Standort – bestimmt, auf welche Clouddaten er zugreifen kann und ob er überhaupt Zugriff haben soll.

Hier ist ein Beispiel, um besser zu verstehen, warum die Identität so wichtig ist. Nehmen wir an, ein Cyberverbrecher will auf vertrauliche Dateien im Rechenzentrum eines Unternehmens zugreifen. In der Zeit vor Cloud Computing hätte er an der Firewall des Unternehmens vorbeikommen müssen, die das interne Netzwerk schützt, oder er hätte physisch auf den Server zugreifen müssen, indem er in das Gebäude eingebrochen wäre oder einen Mitarbeiter bestochen hätte. Das Hauptziel des Verbrechers wäre gewesen, hinter den Netzwerkperimeter zu gelangen.

Dagegen werden beim Cloud Computing vertrauliche Dateien in einem Remote-Cloudserver gespeichert. Da Mitarbeiter des Unternehmens auf die Dateien zugreifen müssen, melden sie sich dafür über einen Browser oder eine App an. Wenn ein Cyberverbrecher auf die Dateien zugreifen will, braucht er dafür jetzt lediglich die Anmeldeinformationen eines Mitarbeiters (wie Benutzername und Kennwort) und eine Internetverbindung. Er muss den Netzwerkperimeter nicht mehr überwinden.

IAM hilft, identitätsbasierte Angriffe und Datenschutzverletzungen zu verhindern, die aus Berechtigungsausweitungen resultieren (wenn ein unautorisierter Nutzer zu viel Zugriff hat). IAM-Systeme sind daher wesentlich für das Cloud Computing.

*Mit dem Begriff Netzwerkperimeter werden die Ränder eines internen Netzwerks bezeichnet. Dabei handelt es sich um eine virtuelle Grenze, die das sichere, verwaltete interne Netzwerk vom ungesicherten, unkontrollierten Internet trennt. Alle Computer in einem Büro sowie angeschlossene Geräte wie Bürodrucker liegen innerhalb dieses Perimeters, aber ein Remoteserver in einem Rechenzentrum irgendwo in der Welt gehört nicht dazu.

Wie passt IAM in eine Cloud-Architektur?

IAM ist oft ein Clouddienst, den Nutzer durchlaufen müssen, um den Rest der Cloud-Infrastruktur eines Unternehmens zu erreichen. Sie kann auch in den Räumlichkeiten eines Unternehmens in einem internen Netzwerk bereitgestellt werden. Manche Anbieter von öffentlichen Clouds bieten IAM auch in einem Paket zusammen mit anderen Diensten an.

Unternehmen, die eine Multicloud- oder Hybrid-Cloud-Architektur verwenden, können sich stattdessen an einen separaten Anbieter für IAM wenden. Wenn IAM von anderen öffentlichen oder privaten Clouddiensten getrennt wird, bekommen Unternehmen mehr Flexibilität: Sie können ihre Identität beibehalten und immer noch auf ihre Datenbank zugreifen, wenn sie zu einem anderen Cloud-Anbieter wechseln.

Was ist ein Identitätsanbieter (Identity Provider oder IdP?)

Ein Identitätsanbieter (IdP) ist ein Produkt oder Dienst zur Identitätsverwaltung. Ein IdP handhabt oft den eigentlichen Anmeldevorgang. Zu dieser Kategorie gehören Provider für einmaliges Anmelden (Single Sign-On oder SSO). IdPs können Teil eines IAM-Frameworks sein, aber gewöhnlich helfen sie nicht bei der Verwaltung des Benutzerzugriffs mit.

Was ist Identität als Dienst (Identity-as-a-Service oder IDaaS)?

Identität als Dienst (IDaaS) ist ein Clouddienst zur Identitätsüberprüfung. Es handelt sich um ein SaaS-Anbebot eines Cloud-Anbieters, eine Methode zum teilweisen Outsourcing der Identitätsverwaltung. In manchen Fällen sind IDaaS und IdP im Wesentlichen untereinander austauschbar, aber in anderen Fällen bietet der IDaaS-Anbieter neben Identitätsüberprüfung und -verwaltung zusätzliche Funktionen an. Abhängig von den vom IDaaS-Anbieter angebotenen Funktionen kann IDaaS Teil eines IAM-Frameworks sein, oder es kann das komplette IAM-System ausmachen.

Zero Trust-Identität und IAM

Zero Trust-Sicherheit ist ein Modell mit einer strikten Identitätsüberprüfung für jeden Nutzer und jedes Gerät, das sich mit Ressourcen in einem privaten Netzwerk verbindet. Dabei spielt es keine Rolle, ob sich der Nutzer oder das Gerät innerhalb oder außerhalb des Netzwerkperimeters befindet. Zero Trust ist eng verknüpft mit IAM, da es sich auf die Identitätsprüfung und Zugriffsbeschränkung stützt.

Zero Trust verwendet Multi-Faktor-Authentifizierung (MFA), bei der zwei oder drei der oben genannten Identitätsfaktoren überprüft werden, anstatt nur einer. Außerdem muss das Prinzip des minimalen Zugangs für die Zugriffskontrolle umgesetzt werden. Am wichtigsten ist, dass Zero Trust auch nachdem die Identität einer Person bestätigt wurde, den Handlungen dieser Person nicht automatisch vertraut. Stattdessen wird jede Anfrage überwacht und einzeln auf kompromittierte Aktivitäten untersucht. Erfahren Sie mehr über Zero Trust.

Wie hilft Cloudflare mit IAM und der Cloud?

Cloudflare Access ist ein IAM-Produkt zur Überwachung des Nutzerzugriffs auf jede Domain, jede Anwendung oder jeden Pfad, die auf Cloudflare gehostet werden. Es wird mit SSO-Providern integriert und ermöglicht es Administratoren, Nutzerberechtigungen zu ändern und anzupassen. Cloudflare Access hilft bei der Durchsetzung von Sicherheitsrichtlinien sowohl für interne Mitarbeiter vor Ort als auch für Remote-Mitarbeiter.

Cloudflare kann vor jedem Cloud-Infrastruktursetup bereitgestellt werden, wodurch Unternehmen mit einer Multicloud- oder Hybrid-Cloud-Bereitstellung, die einen IAM-Provider umfasst, mehr Flexibilität erhalten.