Wie „Der Herr der Ringe“ moderne IAM-Herausforderungen vorhersagte

Druckfreundlich, PDF & E-Mail

Dies ist der zweite Teil einer dreiteiligen Reihe über Identity-as-a-Service, Zero Trust und Security in Depth.  

In unserem letzten Blog-Artikel haben wir uns moderne Identitäts- und Zugriffsmanagementlösungen (IAM), genauer gesagt IDaaS-Lösungen (Identity-as-a-Service) angesehen. Diese können Benutzer sicher authentifizieren und überprüfen, ob sie diejenigen sind, die sie vorgeben zu sein. Noch wichtiger ist, dass diese Lösungen überprüfen, ob Benutzer berechtigt sind, die Dienste oder Anwendungen zu verwenden, für die sie Zugriff anfordern. IAM und IDaaS können kontextbezogene Sicherheit bieten, externe Faktoren berücksichtigen und sogar kompromittierte Benutzer identifizieren, nachdem ihnen Zugriff gewährt wurde.

Was hat das mit „Der Herr der Ringe“ zu tun? In seinem Meisterwerk stellt sich Tolkien eine Reihe von Ringen vor. Die Ringe der Macht werden Männern, Zwergen und Elfen gegeben, der Eine Ring, der Meisterring, wird geschmiedet, um sie alle zu beherrschen. Okta, Azure Active Directory (AAD), Google Suite – sie alle können als Ringe der Macht betrachtet werden. AAD ermöglicht es Administratoren beispielsweise, die Benutzer und den Zugriff auf Microsoft 365 zu kontrollieren, bietet jedoch keine IAM außerhalb dieser streng kontrollierten Umgebung an.

Die Ringe der Macht können auch als die Geschichte unserer Geräte – Computer, Smartphones, Tablets, IoT-Geräte – gesehen werden. Genauso wie wir mehrere Geräte haben, haben wir mehrere IDaaS-Lösungen. Google Suite – ein solcher Verzeichnisdienst – ist bei Unternehmen beliebt, insbesondere bei denen, die Google-Apps nutzen. Fast alle diese Unternehmen nutzen jedoch auch Microsoft 365 (Word, PowerPoint, Excel, Teams usw.), und Azure Active Directory ist der bevorzugte Verzeichnisdienst dieser geschäftlichen Anwender.

Deshalb streben alle IDaaS-Lösungen danach, der Eine Ring zu werden – der eine Master-IDaaS, der Identifizierungsdienste für ALLE Anwendungen, Workloads, Benutzer und Identitäten bereitstellen kann. Viele IDaaS-Lösungen versprechen das, aber die Realität sieht etwas anders aus.

Okta hat in gewisser Weise einen mutigen Ansatz gewählt. Die Risk Engine von Okta verwendet die Konto-Zugangsdaten des lokalen Benutzers in Kombination mit Cloud-basierten Faktoren wie Gerätezustand, Standort und Verhaltensmuster, um ein sogenanntes Assurance Level zu erreichen. Auf diese Weise kann Okta das mit der Gewährung des Zugriffs verbundene Risiko voraussagen.

Das Problem der vielen Ringe

Lösungen wie die Risk Engine können IDaaS um Kontextsensitivität erweitern, sie gehen jedoch nicht auf das Problem der vielen Ringe ein. Unternehmen verfügen über mehrere Verzeichnisse, die oft stark auf bestimmte Anwendungsfälle zugeschnitten sind, etwa AAD. Es ist noch viel mehr nötig.

Die Idee des Einen Rings stellt einen einzigen IDaaS vor diese anderen Verzeichnisse und bietet theoretisch das, was die einzelnen Verzeichnisse nicht können — einen einzigen „Beweis“ für das Identitäts- und Zugriffsmanagement. IDaaS-Lösungen erweitern ihre Vision um APIs und Management für andere Verzeichnisse. Es gibt jedoch berechtigte Bedenken, ob sich die IDaaS-Lösungen so schnell weiterentwickeln werden wie die von ihnen unterstützten Verzeichnisse. Wenn die IDaaS-Lösungen nicht mithalten können, können sie zu Hindernissen für Innovationen und eine frühe Einführung neuer Technologien werden. Dies wird als „Technology Lock-In“ oder „technologische Pfadabhängigkeit“ bezeichnet und kann zu Ineffizienzen in den Arbeitsabläufen beitragen.

Risiko gibt es immer — es ist ein Wettlauf zwischen Unternehmen und Angreifern.   So kann es sein, dass immer ausgefeiltere Authentifizierungstools zwischen dem Benutzer und den Workloads zu dieser Eskalation beitragen. Hier kommt Zero Trust ins Spiel. Zero Trust ist ein Sicherheitsmodell, das dazu beiträgt, IDaaS-Lösungen zu vereinheitlichen, ohne zu einer potenziellen Technologiebindung und anderen erheblichen Risiken beizutragen.

In unserem nächsten Blog-Artikel werden wir uns ansehen, wie Zero Trust mit IDaaS funktioniert. Bis dahin können Sie sich die CloudGen Access-Lösung von Barracuda ansehen. Zero Trust arbeitet gut mit IDaaS zusammen, ohne unnötig aufwändig und komplex zu sein.

 

Dies ist der zweite Teil einer dreiteiligen Reihe über Identity-as-a-Service, Zero Trust und Security in Depth.  

Nach oben scrollen
Twittern
Teilen
Teilen