Cloud Computing ist das Trend-Thema der IT; und in einer Welt, in der die Grenzen zwischen der Firmen-IT und externen Dienstanbietern verschwimmen, wird Sicherheit zum Kernthema. Auch auf der European Identity Conference 2010 wurde die Cloud heiß diskutiert – keine Überraschung, denn das Identitätsmanagement ist Grundvoraussetzung für sichere Cloud-Computing-Umgebungen.

Cloud Computing birgt kein unkalkulierbares Sicherheitsrisiko. Es gibt Risiken, genauso wie es auch in der internen IT Risiken gibt. Manche dieser Risiken sind spezifisch für das Cloud Computing, weil man externe Dienste nutzt und damit Daten eben nicht mehr nur auf internen Systemen liegen.

Viele Risiken gibt es aber genauso in der internen IT. Ein wichtiger Unterschied ist aber, dass man manche Risiken bei der Einbindung externer Dienstleister nicht mehr so einfach ignorieren kann, wie man es in internen Umgebungen oft gemacht hat.

Die wichtigste Voraussetzung für sicheres Cloud Computing hat aber auf den ersten Blick nichts mit IT-Sicherheit zu tun. Die Basis bildet ein IT Service Management, bei dem alle Dienste standardisiert beschrieben sind – und zwar nicht nur mit den funktionalen Anforderungen, sondern auch mit den Anforderungen an Sicherheit und Governance.

Zu diesen Anforderungen gehören die im Bereich Identity- und Access-Management (IAM). Ein Grundprinzip dabei ist, dass man die Zugriffe von Benutzern auf Dienste einheitlich steuern können muss. Dabei ist es völlig gleich, ob es sich um interne oder externe Dienste und interne oder externe Benutzer handelt.

Identity- und Access-Management beim Cloud Computing

Das IAM muss also auf die Cloud-Dienste erweitert werden; für die Administration von Benutzern und ihren digitalen Identitäten ebenso wie für die Authentifizierung, die Autorisierung und das Auditing. Das bedeutet auf der anderen Seite, dass Cloud-Dienste die entsprechenden Schnittstellen bieten müssen.

Für die ersten beiden der 4 As (Administration, Authentifizierung, Autorisierung, Auditing) ist man zumindest bei SaaS (Software as a Service) schon auf einem guten Weg. Mit der Identity Federation auf Basis von SAML v2 kann man Benutzer zentral verwalten und authentifizieren. Die externen Cloud-Dienste vertrauen dieser Authentifizierung dann.

Dagegen werden die Standards für eine verteilte Autorisierung wie XACML (Extensible Access Control Markup Language) kaum von Cloud-Anbietern unterstützt. Und beim Auditing fehlen brauchbare Standards noch weitgehend. Diese Externalisierung der Sicherheit aus den Cloud-Diensten heraus im Sinne einer externen Steuerbarkeit ist aber unverzichtbar.

Einheitliche Sicht auf interne und externe Services

Man muss die Sicherheit zwingend nach außen verlagern, um ein konsistentes Sicherheitskonzept für alle Dienste umsetzen zu können; also unabhängig davon, ob die Services intern oder bei einem Cloud-Anbieter laufen. Ein solches Modell ist auch eine Grundvoraussetzung dafür, dass man flexibel zwischen verschiedenen Dienstanbietern wechseln kann.

Übrigens ist diese Sicherheitsverlagerung eines der Beispiele dafür, dass man in der klassischen internen IT etwas einfacher ignorieren kann als beim Cloud Computing. Denn grundsätzlich ist die Externalisierung der Sicherheit auch bei internen Anwendungen der richtige Ansatz, um Sicherheit zentral steuern und nachvollziehen zu können.

Ein weiteres vieldiskutiertes Thema auf der EIC 2010 war in diesem Zusammenhang auch PAM (Privileged Access Management, auch als PUM oder PIM bezeichnet) für die Cloud. Das Thema ist auch in der internen IT ganz weit oben auf der Liste der wichtigsten IT-Sicherheitsthemen angesiedelt. Es geht darum, dass man die Zugriffe und Aktivitäten privilegierter Benutzer wie Administratoren, Operatoren oder Systemkonten, aber auch von technischen Benutzerkonten steuern und überwachen kann.

Das ist auch in der Cloud ein Thema, und zwar gleich zweifach. Zum einen muss man die eigenen privilegierten Benutzer für Cloud-Dienste besser managen. Es gibt interne Benutzer, die administrative Berechtigungen für den gebuchten Service bei salesforce.com, Microsoft BPOS oder der Amazon EC2. Es gibt aber auch Administratoren und Operatoren dieser Dienstanbieter.

Heute fehlen PAM-Konzepte, die nicht nur die internen privilegierten Benutzer abdecken, sondern auch Cloud-Dienste einbeziehen, noch weitgehend. Es ist aber nur eine Frage der Zeit, bis entsprechende Angebote auf den Markt kommen, weil die Hersteller das Thema erkannt haben – ebenso wie es nur eine Frage der Zeit ist, bist auch die Wirtschaftprüfer nachfragen, wie es um PAM für die Cloud steht.

Als Quintessenz der EIC 2010 setzt sicheres Cloud Computing voraus, dass man seine Hausaufgaben beim IAM macht und Services strukturiert, standardisiert und umfassend verwaltet – einheitlich für die interne und die externe IT. Dann bietet der Schritt zum Cloud Computing mehr Chancen und weniger Risiken. Und dann werden einige der Lücken, die man intern vielleicht noch hat, auch adressiert werden – weil man sie in der Cloud nicht mehr ignorieren kann.