1. Die Modernisierung der Geschäftsprozesse des Unternehmens führt zu Problemen bei der Datensicherheit, da neue Cloud-Fähigkeiten die Anzahl der Datenzugriffspunkte, Benutzer und privilegierten Konten erhöhen.

2. Unternehmen benötigen eine IGA-Lösung, die Cloud- und Betrieb vor Ort ermöglicht.

Die Digitalisierung erfordert von Unternehmen die Einführung eines neuen Geschäftsmodells.

Dabei geht es nicht nur darum, neue Mitarbeiter einzustellen, sondern neue Anwendungen in ihre IT-Umgebung und neue Kanäle in ihre Kommunikationsmodelle zu integrieren, die alle an einem einzigen Ort zusammengefasst sind.

Dies führt zu einem dramatischen Anstieg der internen- und externen Identitäten.

Die traditionellen Methoden zur Speicherung in einem lokalen Verzeichnis bieten in Cloud- oder Hybridumgebung nicht mehr die notwendige Flexibilität oder Sicherheit. Unternehmen müssen die Risiken der Cloud-Migration und der Zugriffskontrolle auf diese Umgebungen hin überprüfen, insbesondere in Bezug auf Mitarbeiter, Auftragnehmer, Lieferanten, Tochtergesellschaften und Kunden.

Um effektive, risikobasierte Zugangs- und Identitätsmanagementprogramme zu schaffen, müssen sie die Risiken, die jede Identität darstellt, überprüfen:

  • Wer hat Zugriff auf kritische Unternehmensanwendungen (Legacy & Cloud)?
  • Welches Risiko stellt dieser Zugriff für das Unternehmen dar?
  • Warum haben sie den Zugang erhalten und ist er angemessen?
  • Gibt es einen Audit-Trail des Antrags- und Überprüfungsprozesses?
  • Wie wird der Zugang im Hinblick auf das Geschäftsrisiko genutzt?

Die meisten Implementierungen sind an ein Berechtigungsmodell innerhalb von Active-Directory-Gruppen gebunden. Es ist bekannt, wie dies in der Praxis funktioniert. Viele Unternehmen haben daher Probleme mit der Notwendigkeit, eine Vielzahl von Anwendungen zu managen, die Identitäten kontrollieren, verwalten und Benutzer autorisieren. Häufig sind diese Lösungen und Anwendungen nicht miteinander integriert, und das Identitäts- und Zugriffsmanagement versagt aufgrund der fehlenden Überschneidungen und Transparenz beim Schutz der Informationen.

Die meisten CSPs bieten beispielsweise eine integrierte IAM-Lösung.

Die meisten Cloud ERP-Anbieter (SAP, Oracle, Salesforce) verfügen über ein eigenes IAM, ebenso wie Microsoft mit AzureAD.

Einige Desktop-Anwendungen verwenden Lightweight Directory Access Protocols, während webbasierte Anwendungen oft Security Assertion Markup Language (SAML) oder Open Authentication (OAuth) verwenden.

Noch anspruchsvoller ist der Wunsch vieler Unternehmen, ihre Legacy-Systeme in ihre Modernisierungsprojekte zu integrieren.

Leider konzentriert sich die Datensicherheit für diese Systeme traditionell auf Perimeterabwehrmaßnahmen, die allerdings die Daten nicht mehr vollständig schützen, wenn Unternehmen mehr Anwendungen und Zugriffsrechte hinzufügen.

Da sich Legacy-Systeme auf die Abwehr externer Infiltrationen über unsichere Netzwerke konzentrieren, scheitern sie beim Schutz vor internen Akteuren oder gestohlenen Zugangsdaten. Um über die grundlegende Zugangsfunktionen älterer IGA- und IdM-Systemen hinauszugehen, müssen Unternehmen Daten, Infrastrukturen, Supply Chain Management, Cloud-basiertes Privileged Access Management (Cloud PAM) und Server/Container-basierte Lösungen absichern.

IAAS KANN RISIKEN BERGEN

Während Unternehmen ihre kritischen Aktivitäten modernisieren und von internen Rechenzentren auf IaaS-Anbieter wie z.B. Amazon Web Services (AWS) migrieren, stehen Sicherheits- und Compliance-Bedenken im Mittelpunkt.

Einer der oft übersehenen Punkte ist die Verwaltung von AWS-Accounts und DevOps-Prozessen. Die schiere Menge an Audit-, Policy- und Konfigurationsdaten macht eine manuelle Überprüfung von anfälligen Workloads äußerst schwierig.

Die Kompromittierung eines privilegierten AWS-Accounts reicht aus, um die gesamte Cloud-Infrastruktur lahmzulegen.

  • Die Verwaltung dieser "Generalschlüssel" ist von größter Bedeutung.
  • Das Management von IAM-Instanzen ist komplex und umfasst Elemente wie VPCs, Subnets, DBs, Data Objects etc. Die Vereinfachung von IAM-Prozessen, die diese Instanzen mit Unternehmenssystemen (HRMS, DLP usw.) verknüpfen, ist der Schlüssel für eine erfolgreiche hybride IT. 
  • Sicherheitskontrollen und automatisierte Fehlerbehebung sind entscheidend für "Get Compliant" und "Stay Compliant".
  • Eine kontinuierliche Überwachung ist unerlässlich, um die Cloud-Infrastruktur vor Cyberangriffen zu schützen.

Um Transparenz zu erlangen, müssen mindestens 5 Audit-Quellen korreliert werden.