Was ist Identitäts- und Zugriffsmanagement (IAM)?

Identitäts- und Zugriffsmanagement (Identity and Access Management, IAM) ist eine zentralisierte und konsistente Methode zur Verwaltung von Benutzeridentitäten (also von Personen, Services und Servern) zur Automatisierung von Zugriffskontrollen und zur Erfüllung von Compliance-Anforderungen in herkömmlichen und containerisierten Umgebungen. Ein Beispiel für eine IAM-Lösung in der Praxis ist die Verwendung eines VPNs durch Beschäftigte, die im Homeoffice auf Unternehmensressourcen zugreifen.

IAM ist Bestandteil der Lösung, bei der die richtigen Personen den richtigen Zugriff auf die richtigen Ressourcen haben – vor allem bei Verwendung mehrerer Cloud-Instanzen. IAM-Frameworks sind für das Management von Identitäten in Bare Metal-, Hybrid Cloud-, Edge-Computing- und virtuellen Umgebungen von einem zentralen Standort aus unerlässlich, um Sicherheits- und Compliance-Risiken zu minimieren.

IAM-Methoden kontrollieren sowohl lokal als auch in der Cloud den Zugriff auf Assets, Anwendungen und Daten basierend auf der Nutzer- oder Anwendungsidentität sowie auf administrativ festgelegten Richtlinien. Sie sind in allen Phasen des DevOps-Lifecycles zu finden und können unautorisierte Systemzugriffe und Lateral Movements verhindern. 

IAM-Konzepte umfassen:

• Authentifizierung: Prüft die Identität von Nutzern, Services und Anwendungen.

• Autorisierung: Gewährt authentifizierten Nutzern Zugriff auf bestimmte Ressourcen oder Funktionen. 

• Identity Providers, Secret Vaults und HSMs (Hardware Security Modules): Ermöglichen DevOps-Teams das Verwalten und Schützen von Zugangsdaten, Sicherheitsschlüsseln und -zertifikaten sowie Secrets sowohl bei Inaktivität als auch während der Übertragung. 

• Provenienz: Prüft die Identität oder Authentizität von Code oder Images, in der Regel durch eine digitale Signatur oder einen Zertifizierungseintrag.

Da sich die Sicherheitsarchitektur ständig weiterentwickelt, kann IAM auch zusätzliche Funktionen wie künstliche Intelligenz (KI), maschinelles Lernen (ML) und biometrische Authentifizierung umfassen.

Authentifizierung ist der Prozess der Bestätigung oder Überprüfung der Identität einer Person. Eine Nutzeridentität (oder digitale Identität) ist die Menge an Informationen, die verwendet wird, um eine Person, einen Service oder sogar IoT-Geräte für bestimmte Unternehmensdaten oder Netzwerke zu authentifizieren. Das einfachste Beispiel für eine Authentifizierung ist die Anmeldung einer Person bei einem System mit einem Passwort. Das System kann die angegebene Identität überprüfen, indem es die angegebenen Informationen (Passwort) kontrolliert.

Der Authentifizierungsprozess erfasst nicht nur Anmeldeinformationen, sondern ermöglicht IT-Administrationsteams auch die Überwachung und Verwaltung von Aktivitäten in der gesamten Infrastruktur und den verschiedenen Services. 

Es gibt verschiedene Ansätze zur Implementierung einer Sicherheitsrichtlinie, die dazu beitragen können, die Sicherheit Ihrer Umgebung zu erhöhen und gleichzeitig die Nutzerfreundlichkeit zu erhalten. Zwei häufige Beispiele sind SSO (Single Sign-On) und MFA (Multi-Faktor-Authentifizierung).

• SSO: Verschiedene Services, Geräte und Server erfordern alle eine separate Authentifizierung, um darauf zugreifen zu können. SSO konfiguriert einen zentralen Identitätsservice, den konfigurierte Services auf verifizierte Nutzende überprüfen können. Die Nutzenden müssen sich nur einmal authentifizieren und können auf mehrere Services zugreifen.

• MFA: Eine zusätzliche Sicherheitsschicht, die eine mehrfache Überprüfung der Identität erfordert, bevor der Zugang gewährt wird. Für diese Methode sollten Sie kryptografische Geräte wie Hardware-Token und Smartcards verwenden oder Authentifizierungstypen wie Passwörter, Radius, Passwort-OTP, PKINIT und gehärtete Passwörter konfigurieren.

Sie können auch andere Tools innerhalb Ihrer Infrastruktur verwenden, um die Identitätsverwaltung zu vereinfachen, insbesondere in komplexen oder verteilten Umgebungen wie der Cloud oder CI/CD-Pipelines, in denen eine effektive Implementierung der Nutzerauthentifizierung schwierig sein kann. Systemrollen können besonders in einer DevSecOps-Umgebung von Vorteil sein. Mit konsistenten und wiederholbaren automatisierten Konfigurations-Workflows können IT-Administratoren Zeit und Ressourcen sparen und den Aufwand und die manuellen Aufgaben im Zusammenhang mit dem Deployment, der Identitätsverwaltung und der Provisionierung/Deprovisionierung im Laufe der Zeit reduzieren.

Bei der Authentifizierung wird festgestellt, wer versucht, auf einen Service zuzugreifen. Bei der Autorisierung wird festgelegt, was Nutzende mit dem Service ausführen dürfen, beispielsweise Informationen bearbeiten, erstellen oder löschen.  

Zugriffskontrollen gehen noch einen Schritt weiter, indem sie einer Nutzeridentität eine Reihe vordefinierter Zugriffsrechte zuweisen. Diese Kontrollen werden häufig bei der Einrichtung von Accounts oder der Nutzerbereitstellung zugewiesen und arbeiten nach dem Least Privilege-Prinzip, einer Grundlage des Zero-Trust-Modells.

Beim Least Privilege-Prinzip erhält ein Nutzer nur Zugriff auf die Ressourcen, die er für einen bestimmten Zweck (wie ein Projekt oder eine Aufgabe) benötigt, und er darf nur die Aktionen (Berechtigungen) ausführen, die erforderlich sind. Die Zugriffsrichtlinien können auch die Zeitspanne begrenzen, die für bestimmte Ressourcen zur Verfügung steht. 

Beschäftigte können beispielsweise Zugriffsrechte auf ein breiteres Spektrum von Ressourcen haben als Dritte wie Auftragnehmer, Partner, Lieferanten und Kunden. Wenn Nutzende für eine andere Zugriffsebene zugelassen werden, kann das IT-Administrationsteam die Identitätsdatenbank aufrufen und bei Bedarf Nutzeranpassungen vornehmen.

Zu den Systemen des Zugriffsmanagements, die dem Least Privilege-Prinzip folgen, gehören das Privileged Access Management (PAM) und das Role-Based Access Management (RBAC). 

PAM ist die zentrale Art der Zugangskontrolle. Administrations- und DevOps-Teams, die diese Zuweisungen erhalten, haben in der Regel unbeschränkten Zugriff auf sensible Daten und können Änderungen an Unternehmensanwendungen, Datenbanken, Systemen oder Servern vornehmen. 

RBAC definiert Rollen oder Gruppen von Nutzenden und erteilt dann diesen Rollen Berechtigungen für Ressourcen oder Funktionen auf der Basis ihrer Aufgabenbereiche. RBAC macht die Anwendung von Zugriffsrechten konsistent und klar, was die Verwaltung und das Onboarding vereinfacht und die schleichende Ausweitung von Berechtigungen reduziert. Mit RBAC können Sie Zeit und Ressourcen sparen, indem die Zuweisung von Zugriffsrechten auf der Basis der Rolle von Nutzenden innerhalb einer Organisation automatisiert wird.

IAM bietet ein bestimmtes Maß an integrierter Sicherheit in der App-Entwicklungs-Pipeline und ist für die Implementierung von DevSecOps in Ihrem Unternehmen von entscheidender Bedeutung. IAM ist einer der Bausteine für die Erstellung eines mehrschichtigen Sicherheitsansatzes für Bare Metal-, Container-, Cloud- und virtuelle Umgebungen. 

Es ist wichtig, dass Ihr IAM-System Lösungen für mehrere Umgebungen und Workloads unterstützen kann. Dazu gehört die Implementierung von IAM beim Entwickeln, Testen, Ausführen und Überwachen von Anwendungen.

Da es eine breite Palette von IAM-Lösungen gibt, können Unternehmen ihre Optionen anhand der folgenden Punkte eingrenzen: 

• Führen Sie ein Audit von Neu- und Altsystemen durch, vor allem wenn Ihre Anwendungen sich sowohl in lokalen Umgebungen als auch in der Cloud befinden.

• Ermitteln Sie alle Sicherheitslücken für interne und externe Stakeholder.

• Definieren Sie Nutzertypen und deren spezifische Zugriffsrechte.

Sobald Sie die Sicherheitsanforderungen Ihres Unternehmens definiert haben, können Sie mit der Bereitstellung Ihrer IAM-Lösung beginnen. Sie können sich für eine Standalone-Lösung, einen gemanagten Identitätsservice oder einen Cloud-Subskriptionsservice – wie Identity as a Service (IDaaS) – von einem Drittanbieter entscheiden.

Red Hat® Enterprise Linux® bietet eine vereinfachte, zuverlässige und konsistente Authentifizierungslösung in einer Open Hybrid Cloud-Umgebung. Es umfasst zentralisierte IdM-Funktionen (Identitätsmanagement), mit denen Sie Nutzer authentifizieren und RBAC über eine einzige, skalierbare Schnittstelle implementieren können, die sich über Ihr gesamtes Rechenzentrum erstreckt.

Identitätsmanagement in Red Hat Enterprise Linux kann:

• Ihre Identitätsmanagement-Infrastruktur erheblich vereinfachen

• moderne Compliance-Anforderungen wie PCI DSS, USGCB, STIG erfüllen 

• das Risiko eines unbefugten Zugriffs oder einer Eskalation der Zugriffsrechte verringern

• eine Basis für eine hoch dynamische und skalierbare, cloud- und containerfähige Betriebsumgebung schaffen

• Zugriffskontrollen für neue Systeme, virtuelle Maschinen (VMs) und Container vorkonfigurieren

• die Kosten für den laufenden Betrieb und die Sicherheitsbelastung für die IT-Abteilung reduzieren

Das Identitätsmanagement in Red Hat Enterprise Linux lässt sich auch mit Microsoft Active Directory, LDAP (Lightweight Directory Access Protocol) und anderen IAM-Lösungen von Drittanbietern über standardmäßige APIs (Application Programming Interfaces) integrieren. Sie können auch die Authentifizierung und Autorisierung für Services mit zertifikatsbasierten Authentifizierungs- und Autorisierungsmethoden zentral verwalten.

Mit den grundlegenden Automatisierungs-, Sicherheits- und Lifecycle-Management-Funktionen von Red Hat Enterprise Linux können darauf aufbauende Produkte wie Red Hat OpenShift® dieselben Sicherheitstechnologien übernehmen und die integrierte Cybersicherheit auf die containerbasierte Anwendungsentwicklung ausweiten.