Rundum sicherer Zugriff auf Ihre private Cloud
Transcription
Rundum sicherer Zugriff auf Ihre private Cloud
pingidentity.com Cloud-Readiness Rundum sicherer Zugriff auf Ihre private Cloud Inhaltsübersicht Einleitung 3 Warum es sich lohnt, Ihre Enterprise-Apps in die Cloud zu verlagern 4 Wie Sie sich auf die Umstellung auf IaaS vorbereiten 5 Security-Readiness-Checkliste: die 4 As 6 Authentifizierung 7 Autorisierung 8 Account-Management 9 Auditing 10 Erfahrungen eines Fortune-500-Unternehmens 11 Fazit 12 Quellen 451 Research, TheInfoPro: Cloud Computing Study, September 2013 1 IDC, The Business Value of Amazon Web Services Accelerates Over Time, von Randy Perry und Stephen D. Hendrick, Dezember 2013 2 Netskope, European Countries – Cloud Multiplier Effect On the Cost of a Data Breach Infographic, 2014 3 Ponemon Institute, Data Breach: The Cloud Multiplier Effect, Juni 2014 4 2 EINLEITUNG Cloud-basierte Services sind nichts Neues. Viele Unternehmen nutzen die Wolke bereits seit längerem für ihre Daten. Die am weitesten verbreitete Form von Cloud-Computing im Unternehmen sind möglicherweise Cloud-basierte SaaS-Anwendungen. Eine kürzlich CLOUDREADINESS durchgeführte Studie ergab, dass 69 Prozent der Unternehmen planten, ihre Ausgaben für Cloud-Computing 2014 zu erhöhen, und dass der weltweite Cloud-Computing-Markt 2016 voraussichtlich um 36 Prozent jährlich wachsen wird1. Ein neuer Trend in vielen Unternehmen ist die Verlagerung von lokalen Anwendungen in Cloud-Umgebungen. In den meisten Fällen handelt es sich dabei um virtuelle private Cloud-Umgebungen, auch bekannt als Infrastructure-as-a-Service (IaaS). Für die meisten Organisationen, die diesen Schritt hin zur Cloud in Betracht ziehen, rangiert das Thema Sicherheit an vorderster Stelle. In diesem E-Book beschäftigen wir uns mit den Vorteilen, die eine Migration Ihrer Anwendungen in die Cloud mit sich bringt. Darüber hinaus stellen wir Ihnen auch eine Readiness-Checkliste zur Verfügung, die Ihnen dabei helfen soll, die Sicherheit Ihrer Unternehmensanwendungen und -daten in der Cloud zu gewährleisten. 3 WARUM ES SICH LOHNT, IHRE ENTERPRISE-APPS IN DIE CLOUD ZU VERLAGERN Immer mehr Unternehmen weltweit erkennen, welche Vorteile eine Migration ihrer Anwendungen in die Cloud bietet. Positive Die wichtigsten geschäftlichen Vorteile: Anwendungen auf AWS2 Erfahrungen werden mittlerweile aus praktisch allen Branchen berichtet. Die meisten Organisationen nannten folgende Hauptgründe für TCO-Einsparungen innerhalb von 5 Jahren: die Verlagerung von Anwendungen in eine virtuelle private CloudUmgebung wie Amazon Web Services™ (AWS): ROI innerhalb von 5 Jahren: • Kosten • Flexibilität • Skalierbarkeit Reduzierung der Ausfallzeit: Für die meisten Organisationen sind die Kosten ganz klar der wichtigste Grund. So führte IDC eine Studie im Auftrag von Amazon Web Services durch und stellte dabei Einsparungen in Höhe von Steigerung der Produktivität bei der Softwareentwicklung: 518.990 $ für jede in die AWS-EC2-Umgebung verlagerte EnterpriseAnwendung fest. Die Amortisationsdauer betrug rund 7,1 Monate2. Es wurden auch viele weitere Vorteile identifiziert. Diese sind in der nebenstehenden Grafik dargestellt. **Produktivitätssteigerung der IT: 52 % 4 WIE SIE SICH AUF DIE UMSTELLUNG AUF IAAS VORBEREITEN vorbereitet sind. Experten wie Gartner® empfehlen, eine Checkliste zu Ist Ihr derzeitiger Identitäts- und AccessManagement-Stack in der Lage, Ihre IaaSUmgebung zu schützen? verwenden. So können Sie überprüfen, inwieweit Ihre Anwendungen Unseren Kunden zufolge sind herkömmliche IAM-Systeme nicht bereit für die Migration sind. Ein wesentliches Thema, das in allen guten imstande, die Anforderungen einer virtuellen privaten Cloud- Leitfäden besprochen wird, ist die Sicherheit. Wichtig ist, dass Ihre Umgebung zu erfüllen. Die Gründe hierfür sind3: Unternehmensanwendungen sind nicht alle gleich. Dies gilt auch für ihre „Cloud-Readiness“, also für die Frage, inwieweit sie auf die Cloud Anwendungen und Daten während der Verlagerung von Ihrem aktuellen Datencenter in eine Cloud-basierte Umgebung geschützt sind. Eine vor kurzem vom Ponemon Institute, einem führenden Experten für Datenpannen, durchgeführte Studie ergab, dass das Risiko einer • ExtremlangsameAuthentifizierungundlangsamerZugriffüber das VPN • Anfällige IAM-Architekturen • Hohe Kosten für eine IAM-Replizierung in der Cloud Datenpanne in der Cloud um ca. das Dreifache4 höher ist. Daher könnten die bereinigten Kosten für Ihre Organisation aufgrund einer Panne womöglich ohne Weiteres in die Millionen gehen (s. unten stehende Grafik). Erhöhtes Risiko einer Datenpanne 3,1x 2,9x Diese europäische Statistik wird mit einem um 3,1-mal höheren Risiko in den USA verglichen. Den Befragten in Europa zufolge kann das Risiko – je nach Szenario – um 2,9-mal höher liegen. 5 READINESS-CHECKLISTE ZUR IAASSICHERHEIT Um die Sicherheit Ihrer Anwendungen und Daten zu gewährleisten, verwenden Sie am besten unsere Cloud-Security-Checkliste. Sie unterscheidet sich nicht wesentlich von einer standardmäßigen Sicherheits-Checkliste für das Identitäts- und Access-Management (IAM). Wichtig ist vor allem, dass Sie grundlegende Konzepte für Ihre neue Cloud-Umgebung verwenden. Die Checkliste umfasst folgende Bereiche: □ Authentifizierung □ Autorisierung □ Account-Management □ Auditing 6 1. AUTHENTIFIZIERUNG ImRahmenderAuthentifizierungwirdüberprüft, und einem einzigen Passwort auf sämtliche AuthentifizierungfürIhreIAM-Umgebung ob ein Nutzer tatsächlich die Person ist, die er Anwendungen zugreifen kann, egal ob lokal überaus empfehlenswert. vorgibt zu sein. Ein gutes Alltagsbeispiel für oder in der Cloud. Federation ist auch wichtig, dieAuthentifizierungistdasVorzeigeneines weil der Großteil der Unternehmen über Schließlich sollten Sie eine Lösung in Betracht Führerscheins oder Personalausweises, um die komplexe Verzeichnisstrukturen verfügt und ziehen, die sowohl ein Proxy- als auch Identität einer Person bei der Sicherheitskontrolle ein Federated-Ansatz in diesen Szenarien Agent-basiertesZugriffsmanagementfürIhre zu überprüfen. füreinenahtloseAuthentifizierungmittels Anwendungen bietet. Der Proxy-basierte Ansatz Unternehmensanmeldedaten sorgt. Sie sollten lässt sich ohne Weiteres für viele Anwendungen InderGeschäftswelterfolgtdieAuthentifizierung daher auf jeden Fall darauf achten, dass Ihre implementieren und verwalten, während der in der Regel durch Angabe einer Benutzer-ID und Lösung Federation unterstützt. Agent-basierteZugrifffüreinzelneAnwendungen eines Passworts. Für die meisten Organisationen ausgelegt ist, gleichzeitig aber eine höhere ist dies allerdings aufgrund der Komplexität ihrer Viele Organisationen haben heute auch Umgebung nicht unbedingt so einfach, wie es Bedenken, dass Passwörter alleine für die scheint. Authentifizierungnichtausreichen.Dahersuchen Regelkontrolle bietet. Authentifizierungs-Checkliste sie aktiv nach Lösungen für eine MultifaktorFederation ist für die meisten Unternehmen oderstarkeAuthentifizierungbeziehungsweise ein entscheidendes Sicherheitskriterium, da implementieren diese bereits. Um Ihre Cloud- man mit einem einzigen Benutzernamen Ressourcen zu schützen, ist eine Multifaktor- Federation Multifaktor-Authentifizierung Proxy- und Agent-basierte Unterstützung 7 2. AUTORISIERUNG Die Autorisierung ist ein Prozess, bei dem Webanwendungen, bieten allerdings nur Add- einemBenutzerderZugriffaufAnwendungen ons oder separate Anwendungen für mobile und Informationen gewährt wird. Um den Apps und APIs. Stellen Sie sicher, dass Ihre administrativenZugriffaufIhreprivateCloud Lösung ohne Weiteres Web-Apps, mobile Apps sollte sich Ihr IaaS-Provider kümmern. Ihr und APIs unterstützt. Unterstützung von Web-Apps, mobilen Apps und APIs Darüber hinaus sollte Ihre Lösung sowohl Rollen- und attributbasierte Unterstützung primäres Anliegen sollte der Benutzerzugriff auf Anwendungen und APIs sein. eine rollen- als auch eine attributbasierte In der heutigen Welt der Web-Apps, Autorisierung erlauben. Obwohl beide mobilen Apps und APIs sollten Sie auf jeden Ansätze ihre Vorteile haben, tendieren die Fall eine IAM-Lösung wählen, die eine meisten Experten zur attributbasierten Autorisierung für alle unterstützt. Die meisten Autorisierung, da sie eine umfassende herkömmlichen WAM-Systeme unterstützen Flexibilität und Skalierbarkeit bietet. Autorisierungs-Checkliste Benutzerzugriff auf Apps und APIs 8 3. ACCOUNT-MANAGEMENT Beim Account-Management werden Benutzer ist. Dies ist ein weiterer wichtiger Grund bzw.einentsprechenderZugrifferstellt, für eine Federated-IAM-Lösung: Benutzer aktualisiert und deaktiviert. Das Account- könnenauthentifiziertwerden,indemsieihre Management muss nicht eine separate Lösung Firmenanmeldedaten in Ihrer Active-Directory- für Ihre IaaS-Umgebung sein. Sie sollten Instanz verwenden, die sich gewöhnlich an allerdings die zusätzlichen Anwendungsfälle einemlokalenStandortbefindet. in Betracht ziehen, die Ihre Cloud-Umgebung Account-Management-Checkliste Unterstützung für alle Anwendungsszenarien Federation Account-Management über das zentrale Verzeichnis bieten könnte, sowie deren mögliche Ihre Cloud-IAM-Lösung sollte auch in der Auswirkung auf das Account-Management. Lage sein, Benutzer und Gruppen mithilfe Standardbasiert Ihres zentralen Verzeichnisses zu erstellen, zu Unterstützung für SCIM Die meisten Funktionen, die in den Bereich aktualisieren und zu deaktivieren. Darüber des Account-Managements fallen, werden hinaus sollte sie standardbasiert sein und u. a. in der Regel durch ein zentrales Verzeichnis Unterstützung für den neuen Standard SCIM durchgeführt, was sehr empfehlenswert bieten. 9 4. AUDITING Beim Auditing handelt es sich um eine AmeffizientestenlassensichdieseDaten offizielleÜberprüfung–inderRegeldurch durch Berichte überprüfen, die auf Grundlage eineunabhängigeStelle–derZugriffeund derZugriffsinformationenausgeführtwerden. Aktivitäten von Benutzern. Das Auditing Daher nutzen die meisten Organisationen lässtsicheinfachundeffizientdurchführen, standardmäßige Berichtstools für die sofern die Informationen zur Anfrage und Erstellung von Auditberichten. Mit IAM- zumZugriffdesBenutzersaufzuverlässige, Lösungen, die diese Daten in einem Format standardmäßige Weise gesammelt werden. sammeln, auf das standardisierte Tools für Ein weiteres wichtiges Kriterium ist, dass die Reportingzwecke ohne Weiteres zugreifen InformationenzurAnfrageundzumZugriff können, lässt sich der Reportingprozess auf gleiche Weise für den Web-, API- oder effektiverundeffizientergestalten. Auditing-Checkliste Standardmäßige und zuverlässige Erfassung von Informationen zur AnfrageundzumZugriff Analoge Erfassung von CloudZugriffsdatenfürdenWeb-,API-und mobilenZugriff Erfassungsformate für standardisierte Berichtstools mobilenZugriffaufIhreCloud-Umgebung gesammelt werden. 10 FORTUNE-500-UNTERNEHMEN SCHÜTZT AWS MIT EINER EINFACHEN UND SICHEREN IAMLÖSUNG SaaS-Apps Mobile Apps APIs PRIVATE/ÖFFENTLICHE CLOUDS & ANWENDUNGEN Interne und ältere Apps NEXT GEN IDENTITY™ Föderierte Architektur Cloud-zentriert Mobile, Web- und SelfserviceAPI-Sicherheit Implementierung Einheitliches Management Standardbasiert GERÄTE COMMUNITYS Mitarbeiter Kunden Ein Fortune-500-Unternehmen nahm vor kurzem an einem Pilotprogramm teil, um die beste Lösung für den Schutz seiner AWS-Umgebung zu ermitteln. Das Unternehmen wählte einen repräsentativen Anzahl von 50 Anwendungen für seine private Cloud. Zunächstversuchtees,seinenbestehendenlokalenIAM-Stacküber ein VPN zu verwenden. Dieser Versuch schlug vor allem deswegen fehl, weil die Performance nicht akzeptabel war. Die bestehende Lösung kam nicht mit der Latenz zurecht, die durch den Transfer von Daten über das VPN zur AWS-Umgebung verursacht wurde. Partner Verbraucher Herausforderung • Reduzierung der IT-Kosten durch Migration von Apps nach AWS • Schutz der AWS-Umgebung • FindeneinereffizientenLösung,dadiebestehendenStack-Tools unbrauchbar, viel zu komplex und teuer zu implementieren waren Lösung • Einfache Federated-Lösung für die private oder öffentliche Cloud Als Nächstes versuchte das Unternehmen, seine lokalen IAMLösungen in der Cloud zu replizieren – ohne Erfolg. Das Replizieren der extrem anfälligen Architektur war nicht nur äußerst komplex, sondern auch mit hohen Kosten verbunden. Schließlich setzte das Unternehmen ein Federated-AccessManagement-System mit Unterstützung für eine Proxy- und AgentbasierteAuthentifizierungundAutorisierungein.Zudemunterstützte diesesSystemauchdenWeb-,API-undmobilenZugriff. • Unterstützung für native und Web-Apps sowie APIs • SSO-Pilotprogramm mit über 50 Apps Ergebnisse • Wesentlich einfachere Wartung • Hoher Grad an Skalierbarkeit 11 FAZIT Um die Time-to-Value zu beschleunigen und die wirtschaftlichen Vorteile Ihrer Migration in die Cloud zu maximieren, sollten Sie: • Die IaaS-Funktionen Ihrer bestehenden IAM-Systeme mithilfe der Sicherheits-Checkliste und den 4 As evaluieren • Über Ihre traditionellen IAM-Systeme hinausschauen, um die Kosteneinsparungen durch IaaS zu realisieren • Mögliche Kosteneinsparungen mit einer Next Gen Identity™Managementlösung realisieren Wenn Sie weitere Informationen darüber wünschen, wie Sie Ihre Unternehmensanwendungen und -daten sicher in die Cloud migrieren können, kontaktieren Sie Ping Identity unter der kostenlosen Nummer 0800-0005096, senden Sie eine E-Mail an [email protected] oder besuchen Sie uns unter www.pingidentity.de. Ping Identity | Die Identity Security Company Identity Security-Pionier Ping Identity ist einer der größten unabhängigen Dienstleister von modernen Identity-Security-Lösungen. Über 1.500 Unternehmen, darunter die Hälfte der Fortune 100, verlassen sich auf diese Lösungen, damit sich Hunderte von Millionen Menschen sicher in der digitalen Welt bewegen und so erst deren volles Potenzial nutzen können. Ping Identity bietet Mitarbeitern in Unternehmen sowie deren Kunden und Partnern mit einem Klick sicheren Zugriff auf jede Anwendung von jedem Gerät aus. Weitere Informationen erhalten Sie auf pingidentity.de sowie unter der kostenlosen Nummer 0800-0005096. © 2014 Ping Identity Corporation. Alle Rechte vorbehalten. Ping Identity, PingFederate, PingOne, PingAccess, PingID, die jeweiligen Produktmarken, das Logo von Ping Identity und Cloud Identity Summit sind Handels- und Dienstleistungsmarken der Ping Identity Corporation. Alle anderen Produkt- und Dienstleistungsnamen sind Handelsmarken ihrer jeweiligen Unternehmen. 12