Was ist Identity-as-a-Service und warum sollten Sie sich darum kümmern?

Druckfreundlich, PDF & E-Mail

Dies ist der erste Teil einer dreiteiligen Reihe über Identity-as-a-Service, Zero Trust und Security in Depth.  

Die Cloud ist nicht mehr neu, und seit COVID-19 ist es eine extern arbeitende Belegschaft auch nicht mehr. Daher musste sich die klassische Arbeitswelt an eine räumlich verteilte Belegschaft anpassen, für die die Cloud im Allgemeinen eine große Rolle spielt. Aber all das ist nicht über Nacht passiert – sondern das Resultat einer Entwicklung.

Unternehmen haben in der Regel entweder Virtual Private Networks (VPN) oder Remote Desktop Sharing (RDS) zur Verbindung von externen Benutzern verwendet. Diese Zugänge sind sehr unterschiedlich und beide haben unterschiedliche Sicherheitseinschränkungen. Im Wesentlichen ermöglichen VPNs Benutzern den Zugriff auf sichere Netzwerke, während RDS Fernzugriff auf einen bestimmten Computer gewährt. Ja, sie sind nützlich und verschlüsselt – doch zugleich auch offene und grundsätzlich unsichere Systeme.

VPNs gewähren einem authentifizierten Benutzer Zugriff auf ein sicheres Netzwerk, aber dort ist die Sicherheit auch schon zu Ende. Es fehlen wichtige Funktionen: VPNs verfügen über eingeschränkte Zugriffskontrollen, haben keine Zugangsdatenverwaltung und keine Sitzungsüberwachung. Die meisten VPNs bieten auch keine Statusüberprüfung an, zum Beispiel die Überprüfung des Beschäftigungsverhältnisses.  Während ein VPN den Zugriff einrichten kann, geschieht dies jedoch mit erheblichem Risiko. Der Schutz von Zugangsdaten ist einfach nicht in VPN integriert – was bedeutet, dass der Passwortschutz davon unabhängig ist. Außerdem überwachen VPNs auch keine Aktivitäten im gesamten Netzwerk, was besonders problematisch ist, wenn es irgendeine Art von Vorfall gibt.

RDS hingegen bietet eine andere Möglichkeit des Fernzugriffs auf einen Desktop-Computer.  Es gibt Remote-Desktop-Lösungen, die eine Vielzahl von Protokollen verwenden, z. B. Independent Computing Architecture (ICA) oder Virtual Network Computing (VNC), aber RDS ist am gebräuchlichsten.

RDS verwendet Remote Desktop Protocol (RDP), um die Verbindung zwischen dem Benutzer und dem Remote-Desktop herzustellen. RDP bietet einen verschlüsselten Tunnel – ähnlich wie ein VPN – durch den die „Übernahme“ des Ziel-Desktops durch den Remote-Benutzer geschieht. Darin liegt das Risiko, und es entspricht dem Risiko bei VPNs: keine Zugriffskontrolle (wenn man einmal drin ist, ist man drin), kein Identitätsmanagement und minimale Sitzungsüberwachung.

Diese Risiken sind nicht neu, und Identify and Access Management (IAM) ist das Mittel, mit dem Unternehmen Benutzer dahingehend authentifizieren, dass sie diejenigen sind, für die sie sich ausgeben, und dass sie das Recht haben, auf bestimmte Anwendungen, Ressourcen und Dienste zuzugreifen. IAM- und Verzeichnis-Services funktionieren Hand in Hand: Während ein Verzeichnis ein Ort ist, an dem Informationen über Benutzer gespeichert werden, kann man mit dem IAM dieses Verzeichnis füllen und verwalten.

Wie DaaS/IDaaS zur Risikominimierung beitragen können

Üblicherweise stellt man das RDS oder VPN mit einer Form von IAM an das Front-End. In einigen Fällen wird dieses IAM mit einer bestimmten Workload oder Anwendung geliefert – das beste Beispiel dafür ist Azure Active Directory (AAD). Während IT-Administratoren Office-Benutzer on Premise verwalten können, optimiert und automatisiert AAD diesen Prozess. Auf diese Weise werden IAM- und Verzeichnisdienste im Wesentlichen zu einem Software-as-a-Service zusammengefasst, der als Directory-as-a-Service (DaaS) oder häufiger Identity-as-a-Service (IDaaS) bezeichnet wird.

Unter Einsatz von IDaaS lassen Unternehmen ihre Benutzer sich mit ihren Unternehmens-Zugangsdaten bei einem webbasierten Identitäts- und Zugriffsverwaltungsdienst anmelden und dann über das Internet auf SaaS-Apps wie Zoom oder Microsoft 365 zugreifen. Da praktisch alle Unternehmen in einer hybriden Welt tätig sind, würde der Fernzugriff auf lokale Anwendungen immer noch entweder VPN-, RDS- oder ähnlichen Zugriff erfordern. Durch die Verwendung eines Proxys könnte die IDaaS-Lösung auch Sicherheit für diese Verbindungsanforderungen bieten.

Da sowohl SaaS- als auch Nicht-SaaS-Anwendungen Zugriff benötigten, wurde die Nutzung von Proxys zu einer vereinenden Option. Lösungen wie Symantec Secure Access Cloud gewähren dem Benutzer nur Zugriff auf die vom Proxy veröffentlichte Anwendung anstelle des breiten Netzwerkzugriffs, der von einem VPN gewährt wird. Da der Datenverkehr über den IAM-Dienst von Symantec geleitet wird, kann die Sitzung über ausgeklügelte Zugriffskontrollen wie Geräteintegrität, Sitzungsrisiko oder Art der verwendeten Client-App verfügen.

Dennoch bestand immer noch eine Lücke – und aufgrund der Vielzahl von externen Mitarbeitern wäre eine Vereinheitlichung eine signifikante Lösung. In unserem nächsten Blog-Artikel beschäftigen wir uns mit diesem Problem und damit, wie eine neue Strategie namens Zero Trust eine bessere Alternative bieten könnte.

In der Zwischenzeit können Sie sich die Lösung Barracuda CloudGen Access ansehen. Sie stellt ein Beispiel für ein vereinfachtes, optimiertes Zero-Trust-Konzept als sichereren Ansatz für die Herausforderungen des Fernzugriffs dar.

 

Dies ist der erste Teil einer dreiteiligen, wöchentlichen Reihe über Security in Depth

 

Nach oben scrollen
Twittern
Teilen
Teilen