Zu Abschnitt

Was ist Identitäts- und Zugriffsmanagement (IAM)?

URL kopieren

Identitäts- und Zugriffsmanagement (Identity and Access Management, IAM) ist eine zentralisierte und konsistente Methode zur Verwaltung von Benutzeridentitäten (also von Personen, Services und Servern) zur Automatisierung von Zugriffskontrollen und zur Erfüllung von Compliance-Anforderungen in herkömmlichen und containerisierten Umgebungen. Ein Beispiel für eine IAM-Lösung in der Praxis ist die Verwendung eines VPNs durch Beschäftigte, die im Homeoffice auf Unternehmensressourcen zugreifen.

IAM ist Bestandteil der Lösung, bei der die richtigen Personen den richtigen Zugriff auf die richtigen Ressourcen haben – vor allem bei Verwendung mehrerer Cloud-Instanzen. IAM-Frameworks sind für das Management von Identitäten in Bare Metal-, Hybrid Cloud-, Edge-Computing- und virtuellen Umgebungen von einem zentralen Standort aus unerlässlich, um Sicherheits- und Compliance-Risiken zu minimieren.

Authentifizierung ist der Prozess der Bestätigung oder Überprüfung der Identität einer Person. Eine Nutzeridentität (oder digitale Identität) ist die Menge an Informationen, die verwendet wird, um eine Person, einen Service oder sogar IoT-Geräte für bestimmte Unternehmensdaten oder Netzwerke zu authentifizieren. Das einfachste Beispiel für eine Authentifizierung ist die Anmeldung einer Person bei einem System mit einem Passwort. Das System kann die angegebene Identität überprüfen, indem es die angegebenen Informationen (Passwort) kontrolliert.

Der Authentifizierungsprozess erfasst nicht nur Anmeldeinformationen, sondern ermöglicht IT-Administrationsteams auch die Überwachung und Verwaltung von Aktivitäten in der gesamten Infrastruktur und den verschiedenen Services. 

Es gibt verschiedene Ansätze zur Implementierung einer Sicherheitsrichtlinie, die dazu beitragen können, die Sicherheit Ihrer Umgebung zu erhöhen und gleichzeitig die Nutzerfreundlichkeit zu erhalten. Zwei häufige Beispiele sind SSO (Single Sign-On) und MFA (Multi-Faktor-Authentifizierung).

  • SSO: Verschiedene Services, Geräte und Server erfordern alle eine separate Authentifizierung, um darauf zugreifen zu können. SSO konfiguriert einen zentralen Identitätsservice, den konfigurierte Services auf verifizierte Nutzende überprüfen können. Die Nutzenden müssen sich nur einmal authentifizieren und können auf mehrere Services zugreifen.

  • MFA: Eine zusätzliche Sicherheitsschicht, die eine mehrfache Überprüfung der Identität erfordert, bevor der Zugang gewährt wird. Für diese Methode sollten Sie kryptografische Geräte wie Hardware-Token und Smartcards verwenden oder Authentifizierungstypen wie Passwörter, Radius, Passwort-OTP, PKINIT und gehärtete Passwörter konfigurieren.

Sie können auch andere Tools innerhalb Ihrer Infrastruktur verwenden, um die Identitätsverwaltung zu vereinfachen, insbesondere in komplexen oder verteilten Umgebungen wie der Cloud oder CI/CD-Pipelines, in denen eine effektive Implementierung der Nutzerauthentifizierung schwierig sein kann. Systemrollen können besonders in einer DevSecOps-Umgebung von Vorteil sein. Mit konsistenten und wiederholbaren automatisierten Konfigurations-Workflows können IT-Administratoren Zeit und Ressourcen sparen und den Aufwand und die manuellen Aufgaben im Zusammenhang mit dem Deployment, der Identitätsverwaltung und der Provisionierung/Deprovisionierung im Laufe der Zeit reduzieren.

Bei der Authentifizierung wird festgestellt, wer versucht, auf einen Service zuzugreifen. Bei der Autorisierung wird festgelegt, was Nutzende mit dem Service ausführen dürfen, beispielsweise Informationen bearbeiten, erstellen oder löschen.  

Zugriffskontrollen gehen noch einen Schritt weiter, indem sie einer Nutzeridentität eine Reihe vordefinierter Zugriffsrechte zuweisen. Diese Kontrollen werden häufig bei der Einrichtung von Accounts oder der Nutzerbereitstellung zugewiesen und arbeiten nach dem Least Privilege-Prinzip, einer Grundlage des Zero-Trust-Modells.

Beim Least Privilege-Prinzip erhält ein Nutzer nur Zugriff auf die Ressourcen, die er für einen bestimmten Zweck (wie ein Projekt oder eine Aufgabe) benötigt, und er darf nur die Aktionen (Berechtigungen) ausführen, die erforderlich sind. Die Zugriffsrichtlinien können auch die Zeitspanne begrenzen, die für bestimmte Ressourcen zur Verfügung steht. 

Beschäftigte können beispielsweise Zugriffsrechte auf ein breiteres Spektrum von Ressourcen haben als Dritte wie Auftragnehmer, Partner, Lieferanten und Kunden. Wenn Nutzende für eine andere Zugriffsebene zugelassen werden, kann das IT-Administrationsteam die Identitätsdatenbank aufrufen und bei Bedarf Nutzeranpassungen vornehmen.

Zu den Systemen des Zugriffsmanagements, die dem Least Privilege-Prinzip folgen, gehören das Privileged Access Management (PAM) und das Role-Based Access Management (RBAC). 

PAM ist die zentrale Art der Zugangskontrolle. Administrations- und DevOps-Teams, die diese Zuweisungen erhalten, haben in der Regel unbeschränkten Zugriff auf sensible Daten und können Änderungen an Unternehmensanwendungen, Datenbanken, Systemen oder Servern vornehmen. 

RBAC definiert Rollen oder Gruppen von Nutzenden und erteilt dann diesen Rollen Berechtigungen für Ressourcen oder Funktionen auf der Basis ihrer Aufgabenbereiche. RBAC macht die Anwendung von Zugriffsrechten konsistent und klar, was die Verwaltung und das Onboarding vereinfacht und die schleichende Ausweitung von Berechtigungen reduziert. Mit RBAC können Sie Zeit und Ressourcen sparen, indem die Zuweisung von Zugriffsrechten auf der Basis der Rolle von Nutzenden innerhalb einer Organisation automatisiert wird.

IAM bietet ein bestimmtes Maß an integrierter Sicherheit in der App-Entwicklungs-Pipeline und ist für die Implementierung von DevSecOps in Ihrem Unternehmen von entscheidender Bedeutung. IAM ist einer der Bausteine für die Erstellung eines mehrschichtigen Sicherheitsansatzes für Bare Metal-, Container-, Cloud- und virtuelle Umgebungen. 

Es ist wichtig, dass Ihr IAM-System Lösungen für mehrere Umgebungen und Workloads unterstützen kann. Dazu gehört die Implementierung von IAM beim Entwickeln, Testen, Ausführen und Überwachen von Anwendungen.

Da es eine breite Palette von IAM-Lösungen gibt, können Unternehmen ihre Optionen anhand der folgenden Punkte eingrenzen: 

  • Führen Sie ein Audit von Neu- und Altsystemen durch, vor allem wenn Ihre Anwendungen sich sowohl in lokalen Umgebungen als auch in der Cloud befinden.

  • Ermitteln Sie alle Sicherheitslücken für interne und externe Stakeholder.

  • Definieren Sie Nutzertypen und deren spezifische Zugriffsrechte.

Sobald Sie die Sicherheitsanforderungen Ihres Unternehmens definiert haben, können Sie mit der Bereitstellung Ihrer IAM-Lösung beginnen. Sie können sich für eine Standalone-Lösung, einen gemanagten Identitätsservice oder einen Cloud-Subskriptionsservice – wie Identity as a Service (IDaaS) – von einem Drittanbieter entscheiden.

Red Hat® Enterprise Linux® bietet eine vereinfachte, zuverlässige und konsistente Authentifizierungslösung in einer Open Hybrid Cloud-Umgebung. Es umfasst zentralisierte IdM-Funktionen (Identitätsmanagement), mit denen Sie Nutzer authentifizieren und RBAC über eine einzige, skalierbare Schnittstelle implementieren können, die sich über Ihr gesamtes Rechenzentrum erstreckt.

Identitätsmanagement in Red Hat Enterprise Linux kann:

  • Ihre Identitätsmanagement-Infrastruktur erheblich vereinfachen

  • moderne Compliance-Anforderungen wie PCI DSS, USGCB, STIG erfüllen 

  • das Risiko eines unbefugten Zugriffs oder einer Eskalation der Zugriffsrechte verringern

  • eine Basis für eine hoch dynamische und skalierbare, cloud- und containerfähige Betriebsumgebung schaffen

  • Zugriffskontrollen für neue Systeme, virtuelle Maschinen (VMs) und Container vorkonfigurieren

  • die Kosten für den laufenden Betrieb und die Sicherheitsbelastung für die IT-Abteilung reduzieren

Das Identitätsmanagement in Red Hat Enterprise Linux lässt sich auch mit Microsoft Active Directory, LDAP (Lightweight Directory Access Protocol) und anderen IAM-Lösungen von Drittanbietern über standardmäßige APIs (Application Programming Interfaces) integrieren. Sie können auch die Authentifizierung und Autorisierung für Services mit zertifikatsbasierten Authentifizierungs- und Autorisierungsmethoden zentral verwalten.

Mit den grundlegenden Automatisierungs-, Sicherheits- und Lifecycle-Management-Funktionen von Red Hat Enterprise Linux können darauf aufbauende Produkte wie Red Hat OpenShift® dieselben Sicherheitstechnologien übernehmen und die integrierte Cybersicherheit auf die containerbasierte Anwendungsentwicklung ausweiten.

Weiterlesen

ARTIKEL

Was ist DevSecOps?

Wenn Sie die Agilität und Reaktionsfähigkeit von DevOps vollständig ausschöpfen möchten, muss die IT-Sicherheit im gesamten Lifecycle Ihrer Apps eine Rolle spielen.

ARTIKEL

Was ist das Besondere an der Cloud-Sicherheit?

Die wichtigsten Sicherheitslücken gefährden sowohl traditionelle IT- als auch Cloud-Systeme. Lernen Sie die Unterscheidungsmerkmale kennen.

ARTIKEL

Was ist SOAR?

SOAR umfasst drei wichtige Software-Funktionen, die Sicherheits-Teams verwenden: Case- und Workflow-Management, Aufgabenautomatisierung sowie eine zentrale Methode, um Bedrohungsinformationen (die so genannte Threat Intelligence) aufzurufen, zu durchsuchen und zu teilen.

Mehr über Sicherheit erfahren

Produkte

Ein Sicherheits-Framework, in dem Nutzeridentitäten verwaltet werden und Kommunikation verschlüsselt wird.

Eine unternehmensfähige, Kubernetes-native Lösung für Container-Sicherheit, mit der Sie cloudnative Anwendungen zuverlässiger entwickeln, bereitstellen und ausführen können.

Ein Service für prädiktive Analytik, mit dem sich Probleme mit der Sicherheit, Performance und Verfügbarkeit Ihrer Red Hat Infrastruktur erkennen und beheben lassen.

Eine zentrale Konsole mit integrierten Sicherheitsrichtlinien, mit der Sie Kubernetes-Cluster und -Anwendungen verwalten können.

Ressourcen