Rundum sicherer Zugriff auf Ihre private Cloud

Transcription

Rundum sicherer Zugriff auf Ihre private Cloud
pingidentity.com
Cloud-Readiness
Rundum sicherer Zugriff auf Ihre
private Cloud
Inhaltsübersicht
Einleitung
3
Warum es sich lohnt, Ihre Enterprise-Apps in die Cloud zu verlagern
4
Wie Sie sich auf die Umstellung auf IaaS vorbereiten
5
Security-Readiness-Checkliste: die 4 As
6
Authentifizierung
7
Autorisierung
8
Account-Management
9
Auditing
10
Erfahrungen eines Fortune-500-Unternehmens
11
Fazit
12
Quellen
451 Research, TheInfoPro: Cloud Computing Study, September 2013
1
IDC, The Business Value of Amazon Web Services Accelerates Over Time, von Randy Perry und Stephen D. Hendrick, Dezember 2013
2
Netskope, European Countries – Cloud Multiplier Effect On the Cost of a Data Breach Infographic, 2014
3
Ponemon Institute, Data Breach: The Cloud Multiplier Effect, Juni 2014
4
2
EINLEITUNG
Cloud-basierte Services sind nichts Neues. Viele Unternehmen nutzen
die Wolke bereits seit längerem für ihre Daten. Die am weitesten
verbreitete Form von Cloud-Computing im Unternehmen sind
möglicherweise Cloud-basierte SaaS-Anwendungen. Eine kürzlich
CLOUDREADINESS
durchgeführte Studie ergab, dass 69 Prozent der Unternehmen planten,
ihre Ausgaben für Cloud-Computing 2014 zu erhöhen, und dass der
weltweite Cloud-Computing-Markt 2016 voraussichtlich um 36 Prozent
jährlich wachsen wird1.
Ein neuer Trend in vielen Unternehmen ist die Verlagerung von lokalen
Anwendungen in Cloud-Umgebungen. In den meisten Fällen handelt
es sich dabei um virtuelle private Cloud-Umgebungen, auch bekannt
als Infrastructure-as-a-Service (IaaS). Für die meisten Organisationen,
die diesen Schritt hin zur Cloud in Betracht ziehen, rangiert das Thema
Sicherheit an vorderster Stelle.
In diesem E-Book beschäftigen wir uns mit den Vorteilen, die
eine Migration Ihrer Anwendungen in die Cloud mit sich bringt.
Darüber hinaus stellen wir Ihnen auch eine Readiness-Checkliste
zur Verfügung, die Ihnen dabei helfen soll, die Sicherheit Ihrer
Unternehmensanwendungen und -daten in der Cloud zu
gewährleisten.
3
WARUM ES SICH LOHNT, IHRE
ENTERPRISE-APPS IN DIE CLOUD ZU
VERLAGERN
Immer mehr Unternehmen weltweit erkennen, welche Vorteile
eine Migration ihrer Anwendungen in die Cloud bietet. Positive
Die wichtigsten geschäftlichen Vorteile:
Anwendungen auf AWS2
Erfahrungen werden mittlerweile aus praktisch allen Branchen
berichtet.
Die meisten Organisationen nannten folgende Hauptgründe für
TCO-Einsparungen
innerhalb von 5 Jahren:
die Verlagerung von Anwendungen in eine virtuelle private CloudUmgebung wie Amazon Web Services™ (AWS):
ROI innerhalb von 5 Jahren:
• Kosten
• Flexibilität
• Skalierbarkeit
Reduzierung
der Ausfallzeit:
Für die meisten Organisationen sind die Kosten ganz klar der
wichtigste Grund. So führte IDC eine Studie im Auftrag von Amazon
Web Services durch und stellte dabei Einsparungen in Höhe von
Steigerung der Produktivität
bei der Softwareentwicklung:
518.990 $ für jede in die AWS-EC2-Umgebung verlagerte EnterpriseAnwendung fest. Die Amortisationsdauer betrug rund 7,1 Monate2.
Es wurden auch viele weitere Vorteile identifiziert. Diese sind in der
nebenstehenden Grafik dargestellt.
**Produktivitätssteigerung der IT: 52 %
4
WIE SIE SICH AUF DIE UMSTELLUNG
AUF IAAS VORBEREITEN
vorbereitet sind. Experten wie Gartner® empfehlen, eine Checkliste zu
Ist Ihr derzeitiger Identitäts- und AccessManagement-Stack in der Lage, Ihre IaaSUmgebung zu schützen?
verwenden. So können Sie überprüfen, inwieweit Ihre Anwendungen
Unseren Kunden zufolge sind herkömmliche IAM-Systeme nicht
bereit für die Migration sind. Ein wesentliches Thema, das in allen guten
imstande, die Anforderungen einer virtuellen privaten Cloud-
Leitfäden besprochen wird, ist die Sicherheit. Wichtig ist, dass Ihre
Umgebung zu erfüllen. Die Gründe hierfür sind3:
Unternehmensanwendungen sind nicht alle gleich. Dies gilt auch für
ihre „Cloud-Readiness“, also für die Frage, inwieweit sie auf die Cloud
Anwendungen und Daten während der Verlagerung von Ihrem aktuellen
Datencenter in eine Cloud-basierte Umgebung geschützt sind.
Eine vor kurzem vom Ponemon Institute, einem führenden Experten
für Datenpannen, durchgeführte Studie ergab, dass das Risiko einer
• ExtremlangsameAuthentifizierungundlangsamerZugriffüber
das VPN
• Anfällige IAM-Architekturen
• Hohe Kosten für eine IAM-Replizierung in der Cloud
Datenpanne in der Cloud um ca. das Dreifache4 höher ist. Daher könnten
die bereinigten Kosten für Ihre Organisation aufgrund einer Panne
womöglich ohne Weiteres in die Millionen gehen (s. unten stehende
Grafik).
Erhöhtes Risiko einer Datenpanne
3,1x
2,9x
Diese europäische Statistik wird mit
einem um 3,1-mal höheren Risiko in
den USA verglichen.
Den Befragten in Europa zufolge
kann das Risiko – je nach Szenario
– um 2,9-mal höher liegen.
5
READINESS-CHECKLISTE ZUR IAASSICHERHEIT
Um die Sicherheit Ihrer Anwendungen und Daten zu gewährleisten,
verwenden Sie am besten unsere Cloud-Security-Checkliste. Sie
unterscheidet sich nicht wesentlich von einer standardmäßigen
Sicherheits-Checkliste für das Identitäts- und Access-Management (IAM).
Wichtig ist vor allem, dass Sie grundlegende Konzepte für Ihre neue
Cloud-Umgebung verwenden. Die Checkliste umfasst folgende Bereiche:
□ Authentifizierung
□ Autorisierung
□ Account-Management
□ Auditing
6
1. AUTHENTIFIZIERUNG
ImRahmenderAuthentifizierungwirdüberprüft,
und einem einzigen Passwort auf sämtliche
AuthentifizierungfürIhreIAM-Umgebung
ob ein Nutzer tatsächlich die Person ist, die er
Anwendungen zugreifen kann, egal ob lokal
überaus empfehlenswert.
vorgibt zu sein. Ein gutes Alltagsbeispiel für
oder in der Cloud. Federation ist auch wichtig,
dieAuthentifizierungistdasVorzeigeneines
weil der Großteil der Unternehmen über
Schließlich sollten Sie eine Lösung in Betracht
Führerscheins oder Personalausweises, um die
komplexe Verzeichnisstrukturen verfügt und
ziehen, die sowohl ein Proxy- als auch
Identität einer Person bei der Sicherheitskontrolle
ein Federated-Ansatz in diesen Szenarien
Agent-basiertesZugriffsmanagementfürIhre
zu überprüfen.
füreinenahtloseAuthentifizierungmittels
Anwendungen bietet. Der Proxy-basierte Ansatz
Unternehmensanmeldedaten sorgt. Sie sollten
lässt sich ohne Weiteres für viele Anwendungen
InderGeschäftswelterfolgtdieAuthentifizierung
daher auf jeden Fall darauf achten, dass Ihre
implementieren und verwalten, während der
in der Regel durch Angabe einer Benutzer-ID und
Lösung Federation unterstützt.
Agent-basierteZugrifffüreinzelneAnwendungen
eines Passworts. Für die meisten Organisationen
ausgelegt ist, gleichzeitig aber eine höhere
ist dies allerdings aufgrund der Komplexität ihrer
Viele Organisationen haben heute auch
Umgebung nicht unbedingt so einfach, wie es
Bedenken, dass Passwörter alleine für die
scheint.
Authentifizierungnichtausreichen.Dahersuchen
Regelkontrolle bietet.
Authentifizierungs-Checkliste
sie aktiv nach Lösungen für eine MultifaktorFederation ist für die meisten Unternehmen
oderstarkeAuthentifizierungbeziehungsweise
ein entscheidendes Sicherheitskriterium, da
implementieren diese bereits. Um Ihre Cloud-
man mit einem einzigen Benutzernamen
Ressourcen zu schützen, ist eine Multifaktor-
Federation
Multifaktor-Authentifizierung
Proxy- und Agent-basierte Unterstützung
7
2. AUTORISIERUNG
Die Autorisierung ist ein Prozess, bei dem
Webanwendungen, bieten allerdings nur Add-
einemBenutzerderZugriffaufAnwendungen
ons oder separate Anwendungen für mobile
und Informationen gewährt wird. Um den
Apps und APIs. Stellen Sie sicher, dass Ihre
administrativenZugriffaufIhreprivateCloud
Lösung ohne Weiteres Web-Apps, mobile Apps
sollte sich Ihr IaaS-Provider kümmern. Ihr
und APIs unterstützt.
Unterstützung von Web-Apps, mobilen
Apps und APIs
Darüber hinaus sollte Ihre Lösung sowohl
Rollen- und attributbasierte
Unterstützung
primäres Anliegen sollte der Benutzerzugriff
auf Anwendungen und APIs sein.
eine rollen- als auch eine attributbasierte
In der heutigen Welt der Web-Apps,
Autorisierung erlauben. Obwohl beide
mobilen Apps und APIs sollten Sie auf jeden
Ansätze ihre Vorteile haben, tendieren die
Fall eine IAM-Lösung wählen, die eine
meisten Experten zur attributbasierten
Autorisierung für alle unterstützt. Die meisten
Autorisierung, da sie eine umfassende
herkömmlichen WAM-Systeme unterstützen
Flexibilität und Skalierbarkeit bietet.
Autorisierungs-Checkliste
Benutzerzugriff auf Apps und APIs
8
3. ACCOUNT-MANAGEMENT
Beim Account-Management werden Benutzer
ist. Dies ist ein weiterer wichtiger Grund
bzw.einentsprechenderZugrifferstellt,
für eine Federated-IAM-Lösung: Benutzer
aktualisiert und deaktiviert. Das Account-
könnenauthentifiziertwerden,indemsieihre
Management muss nicht eine separate Lösung
Firmenanmeldedaten in Ihrer Active-Directory-
für Ihre IaaS-Umgebung sein. Sie sollten
Instanz verwenden, die sich gewöhnlich an
allerdings die zusätzlichen Anwendungsfälle
einemlokalenStandortbefindet.
in Betracht ziehen, die Ihre Cloud-Umgebung
Account-Management-Checkliste
Unterstützung für alle
Anwendungsszenarien
Federation
Account-Management über das
zentrale Verzeichnis
bieten könnte, sowie deren mögliche
Ihre Cloud-IAM-Lösung sollte auch in der
Auswirkung auf das Account-Management.
Lage sein, Benutzer und Gruppen mithilfe
Standardbasiert
Ihres zentralen Verzeichnisses zu erstellen, zu
Unterstützung für SCIM
Die meisten Funktionen, die in den Bereich
aktualisieren und zu deaktivieren. Darüber
des Account-Managements fallen, werden
hinaus sollte sie standardbasiert sein und u. a.
in der Regel durch ein zentrales Verzeichnis
Unterstützung für den neuen Standard SCIM
durchgeführt, was sehr empfehlenswert
bieten.
9
4. AUDITING
Beim Auditing handelt es sich um eine
AmeffizientestenlassensichdieseDaten
offizielleÜberprüfung–inderRegeldurch
durch Berichte überprüfen, die auf Grundlage
eineunabhängigeStelle–derZugriffeund
derZugriffsinformationenausgeführtwerden.
Aktivitäten von Benutzern. Das Auditing
Daher nutzen die meisten Organisationen
lässtsicheinfachundeffizientdurchführen,
standardmäßige Berichtstools für die
sofern die Informationen zur Anfrage und
Erstellung von Auditberichten. Mit IAM-
zumZugriffdesBenutzersaufzuverlässige,
Lösungen, die diese Daten in einem Format
standardmäßige Weise gesammelt werden.
sammeln, auf das standardisierte Tools für
Ein weiteres wichtiges Kriterium ist, dass die
Reportingzwecke ohne Weiteres zugreifen
InformationenzurAnfrageundzumZugriff
können, lässt sich der Reportingprozess
auf gleiche Weise für den Web-, API- oder
effektiverundeffizientergestalten.
Auditing-Checkliste
Standardmäßige und zuverlässige
Erfassung von Informationen zur
AnfrageundzumZugriff
Analoge Erfassung von CloudZugriffsdatenfürdenWeb-,API-und
mobilenZugriff
Erfassungsformate für standardisierte
Berichtstools
mobilenZugriffaufIhreCloud-Umgebung
gesammelt werden.
10
FORTUNE-500-UNTERNEHMEN SCHÜTZT AWS
MIT EINER EINFACHEN UND SICHEREN IAMLÖSUNG
SaaS-Apps
Mobile Apps
APIs
PRIVATE/ÖFFENTLICHE
CLOUDS &
ANWENDUNGEN
Interne und
ältere Apps
NEXT GEN IDENTITY™
Föderierte
Architektur
Cloud-zentriert
Mobile, Web- und
SelfserviceAPI-Sicherheit Implementierung
Einheitliches
Management
Standardbasiert
GERÄTE
COMMUNITYS
Mitarbeiter
Kunden
Ein Fortune-500-Unternehmen nahm vor kurzem an einem
Pilotprogramm teil, um die beste Lösung für den Schutz seiner
AWS-Umgebung zu ermitteln. Das Unternehmen wählte einen
repräsentativen Anzahl von 50 Anwendungen für seine private Cloud.
Zunächstversuchtees,seinenbestehendenlokalenIAM-Stacküber
ein VPN zu verwenden. Dieser Versuch schlug vor allem deswegen
fehl, weil die Performance nicht akzeptabel war. Die bestehende
Lösung kam nicht mit der Latenz zurecht, die durch den Transfer von
Daten über das VPN zur AWS-Umgebung verursacht wurde.
Partner
Verbraucher
Herausforderung
• Reduzierung der IT-Kosten durch Migration von Apps nach AWS
• Schutz der AWS-Umgebung
• FindeneinereffizientenLösung,dadiebestehendenStack-Tools
unbrauchbar, viel zu komplex und teuer zu implementieren
waren
Lösung
• Einfache Federated-Lösung für die private oder öffentliche
Cloud
Als Nächstes versuchte das Unternehmen, seine lokalen IAMLösungen in der Cloud zu replizieren – ohne Erfolg. Das Replizieren
der extrem anfälligen Architektur war nicht nur äußerst komplex,
sondern auch mit hohen Kosten verbunden.
Schließlich setzte das Unternehmen ein Federated-AccessManagement-System mit Unterstützung für eine Proxy- und AgentbasierteAuthentifizierungundAutorisierungein.Zudemunterstützte
diesesSystemauchdenWeb-,API-undmobilenZugriff.
• Unterstützung für native und Web-Apps sowie APIs
• SSO-Pilotprogramm mit über 50 Apps
Ergebnisse
• Wesentlich einfachere Wartung
• Hoher Grad an Skalierbarkeit
11
FAZIT
Um die Time-to-Value zu beschleunigen und die wirtschaftlichen
Vorteile Ihrer Migration in die Cloud zu maximieren, sollten Sie:
• Die IaaS-Funktionen Ihrer bestehenden IAM-Systeme mithilfe
der Sicherheits-Checkliste und den 4 As evaluieren
• Über Ihre traditionellen IAM-Systeme hinausschauen, um die
Kosteneinsparungen durch IaaS zu realisieren
• Mögliche Kosteneinsparungen mit einer Next Gen Identity™Managementlösung realisieren
Wenn Sie weitere Informationen darüber wünschen, wie Sie Ihre
Unternehmensanwendungen und -daten sicher in die Cloud
migrieren können, kontaktieren Sie Ping Identity unter der
kostenlosen Nummer 0800-0005096, senden Sie eine E-Mail an
[email protected] oder besuchen Sie uns unter
www.pingidentity.de.
Ping Identity | Die Identity Security Company
Identity Security-Pionier Ping Identity ist einer der größten unabhängigen Dienstleister von modernen Identity-Security-Lösungen. Über 1.500 Unternehmen, darunter
die Hälfte der Fortune 100, verlassen sich auf diese Lösungen, damit sich Hunderte von Millionen Menschen sicher in der digitalen Welt bewegen und so erst deren
volles Potenzial nutzen können. Ping Identity bietet Mitarbeitern in Unternehmen sowie deren Kunden und Partnern mit einem Klick sicheren Zugriff auf jede
Anwendung von jedem Gerät aus. Weitere Informationen erhalten Sie auf pingidentity.de sowie unter der kostenlosen Nummer 0800-0005096.
© 2014 Ping Identity Corporation. Alle Rechte vorbehalten. Ping Identity, PingFederate, PingOne, PingAccess, PingID, die jeweiligen Produktmarken, das Logo von Ping Identity und Cloud Identity
Summit sind Handels- und Dienstleistungsmarken der Ping Identity Corporation. Alle anderen Produkt- und Dienstleistungsnamen sind Handelsmarken ihrer jeweiligen Unternehmen.
12