Identity Management macht Cloud Computing sicher
Erstmals fand die European Identity Conference (EIC) & Cloud 2011 in Unterschleißheim bei München statt. Im Ballhausforum gaben sich IT-Entscheider, CIOs, Software-Entwickler sowie Analysten und IT-Experten ein Stelldichein zum viertätigen Wissensaustausch. In der zum 5. Mal stattfindenden Jahresveranstaltung von KuppingerCole gab es an die 20 Keynotes und 50 Workshops. Hier wurden die neuesten Entwicklungen und Konzepte bei den Themen Identity Management, Governance, Risk Management und Compliance (GRC) sowie Service-orientierte Architektur (SOA) – sowohl in klassischen Umgebungen wie auch in der Private, Public und Hybrid Cloud präsentiert. Angesichts der jüngsten Datenskandale und gefährlicher Malware wie Stuxnet verwundert es nicht, dass bei vielen Vorträgen auch Cloud Security und Information Security angesprochen wurden.
Da stellt sich die Frage, ob es in der Cloud überhaupt sichere Umgebungen geben kann. Die klare Botschaft, die von vielen Expertenvorträgen ausging: die Sicherheit der persönlichen Daten bei Online-Angeboten muss stets im Vodergrund stehen. Stellt sich laut Tim Cole nur die Frage, ob sich durch Cloud Computing das ganze Spiel ändern könnte. Ein Weg zurück zum Zustand vor der Cloud wird von den Analysten ausgeschlossen. Viel zu stark hat sich zwischenzeitlich schon Cloud Computing verbreitet. Nach Meinung von Martin Kuppinger wird Cloud Computing jedoch die Bedingungen für das IT-Management stark verändern.
Cloud Services müssen europäische Compliance erfüllen
Prof. Dr. Friedrich Holl, Senior Analyst bei KuppingerCole, stellte in seiner Keynote die Frage, ob Clouds von Europa aus legal betrieben werden. Dies hänge von der Position ab. Anbieter wie Amazon wollen sich von US-amerikanischen Rechenzentren und deren weicher Auslegung von Datensicherheit frei machen und etablieren nun in Europa (in diesem Fall Dublin) neue Rechenzentren für Cloud-Anwendungen, die die strengeren Compliance-Richtlinien erfüllen. Wie Prof. Holl mehrfach verdeutlicht, achten die meisten Anbieter darauf, in ihren SLAs keine Garantie von Datensicherheit zu geben.
Auf die Frage von Tim Cole, was die wichtigsten drei Kriterien für Anwender zur Umsetzung einer perfekten Datensicherheit sind, gab Prof. Holl zur Antwort: Datensicherheit an erster Stelle, an zweiter Stelle ein holistisches Sicherheitskonzept für Cloud und drittens den Betreiber genau anschauen.
Maurizio Griva von Reply S.p.A. stellte anhand zweier Beispiele vor, wie man Enterprise-Anwendungen in die Cloud bringen kann: Zum einen mit der Public Cloud, zum anderen mit der Private-Cloud-Plattform. Globale Spieler überdenken ihre Prozesse und Systeme, Applikationen und Plattformen, um diese zu reorganisieren. Die Cloud sieht Riva als Architekturbrücke. Schwerpunkt liegt auf der Infrastructure as a Service (IaaS), wie sie Amazon mit seinen Web Services anbietet. Weitere standardisierte Anwendungen sind Plattform as a Service wie von Google und Software as a Service wie Oracle CRM on Demand
Als Delivery-Modelle kommen generell Public und Private Cloud in Frage, in den Bereichen SaaS, PaaS, IaaS, jeweils mit eigenen Vor- und Nachteilen. Public-Cloud-Lösungen lassen sich schnell implementieren und sind preisgünstig. Private-Cloud-Umgebungen bedürfen hingegen einer aufwendigeren Integration. Die hohe Abhängigkeit von Cloud-Technologien erfordert auch tiefes Verständnis der Anwendungen. Cloud Computing kann zudem immer nur so sicher wie die Anwendungen selbst. Eine Performance-Kontrolle können Anwender mithilfe von SLA-Vereinbarungen erreichen.
In einem Gespräch mit Tim Cole ging Kim Cameron, Urheber der »Laws of Identity« und Identity Architect bei Microsoft, der Frage nach: Wo trifft man Identitäten in Cloud-Umgebungen an? Zur Gesprächsrunde kam dann noch Drummond Reed von Connect.Me, einem Anbieter von Services im Social Web. Reed stellt die Respect Trust-Offensive vor. Hierbei sind vor allem die Stichworte Promission, Protection und Portability wichtig. Cameron erklärte hierzu: »Wenn Du erster bist, willst Du diese Punkte alle nicht, wenn Du zweiter bist, willst Du das umsetzen. Welches Unternehmen will schon Anwalt für die Anwender sein?«
Jackson Shaw, Active Directory und Identity Management Expert bei Quest Software, kündigte seinen Vortrag damit an, dass die Wälder hübsch, dunkel und tief seien, aber er habe ein Versprechen zu halten und würde Meilen laufen, bevor er schlafen gehen würde. In seiner Zeitreise ging er 20 Jahre zurück: 3Com, Novell, Microsoft who?, E-Mail: X.400 und SMTP, Protokolle: OSI, TCP/IP,Tokenring, Sicherheit. RSA/OTP. 1999: Identity Management: Synochronisation der E-Mail-Adressen, RSA/OTP, das Jahr der PKI, Identity Lifecycle Management. 2011: Novell von Attachmate übernommen, Networking: Microsoft, Active Directory, LDAP, Sicherheit: OTP, PKI, TPM. In 10 Jahren: Mobile Computing ist stark verbreitet, 1 Milliarde neue mobile Geräte werden vorhanen sein.
Immer beliebter: »Bring your own Device!«
Im Vortrag von Jörg Asma, Partner bei KPMG, ging es um die Zukunft der Sicherheit. So würden Public Cloud Services und deren Nutzung stark ansteigen. Ein weiterer Trend: »Bring your own Device!« (BYOD). Laut IDC geben 95 Prozent der befragten Mitarbeiter, dass sie mindestens ein privates Gerät auch für geschäftliche Zwecke nutzen. Auch 2011 wird dies ein ganz heißes Thema für IT-Abteilungen sein. Wird Facebook das künftige Identity Management Tool sein? Wird unsere IT-Ausstattung von den Unternehmen gestellt? Welche Informationen werden in Cloud Services gespeichert?
Henk van der Heijden, VP Solution Sales Security bei CA Technologies thematisierte das Thema Risiko-basierte Authentifizierung und Zugangskontrolle. Die Ansprüche an die Authentifizierung und Zugangs-Kontrolle seien ganz verschieden und abhängig vom jeweiligen Anwendungsfall. Grundsätzlich bestehe die Sicherheit aus zwei verschiedenen Stufen: Unsichtbare Authentifizierung, die sicherer und einfacher sei als ein Passwort. Sehr starke Authentifizierung, die auch sichere Transaktionen mit einem unsicheren Gerät ermögliche.