Identity- und Access-Management für die Cloud
Kontrollierter Zugang
Immer mehr Unternehmen nutzen immer mehr Cloud-Dienste. Bestimmte Anforderungen an eine Zugangsverwaltung umzusetzen ist aber schwierig, weil viele der Dienste externes Identity- und Access-Management allenfalls rudimentär unterstützen.
Cloud-Dienste sind aus vielen guten Gründen populär. Sie sind schnell einzuführen, haben (meist) ein vorhersagbares Preismodell, stellen auch kleineren Unternehmen Funktionen bereit, die bisher unerschwinglich waren, skalieren mit wachsenden Anforderungen, werden (hoffentlich) mit viel Aufwand von den Betreibern besser abgesichert, als es die meisten Unternehmen in ihren eigenen Rechenzentren könnten, und erfordern weniger administrativen Aufwand – und das sind nur einige der Argumente für die Cloud.
Bei der Risikobewertung von Cloud-Diensten unterscheidet man in gängigen Modellen zwischen der Zuständigkeit des Cloud-Providers („Provider Responsibility“) und der Zuständigkeit des Kunden oder Mandanten („Tenant Responsibility“). Letztere umfasst in jedem Fall die Dateneigentümerschaft und damit die Zuständigkeit und Verantwortlichkeit für die Verwaltung der Benutzer sowie ihrer Berechtigungen innerhalb des Mandanten. Dabei sind die gleichen Maßstäbe anzulegen wie an interne Systeme und das Identity- und Access-Management (IAM) in der internen IT.