Kontaktieren
Konto Anmelden
Zu Abschnitt

Was ist Identitäts- und Zugriffsmanagement (IAM)?

URL kopieren

Identitäts- und Zugriffsmanagement (Identity and Access Management, IAM) ist eine zentralisierte und konsistente Methode zur Verwaltung von Benutzeridentitäten (also von Personen, Services und Servern) zur Automatisierung von Zugriffskontrollen und zur Erfüllung von Compliance-Anforderungen in herkömmlichen und containerisierten Umgebungen. Ein Beispiel für eine IAM-Lösung in der Praxis ist die Verwendung eines VPNs durch Beschäftigte, die im Homeoffice auf Unternehmensressourcen zugreifen.

IAM ist Bestandteil der Lösung, bei der die richtigen Personen den richtigen Zugriff auf die richtigen Ressourcen haben – vor allem bei Verwendung mehrerer Cloud-Instanzen. IAM-Frameworks sind für das Management von Identitäten in Bare Metal-, Hybrid Cloud-, Edge-Computing- und virtuellen Umgebungen von einem zentralen Standort aus unerlässlich, um Sicherheits- und Compliance-Risiken zu minimieren.

IAM-Methoden kontrollieren sowohl lokal als auch in der Cloud den Zugriff auf Assets, Anwendungen und Daten basierend auf der Nutzer- oder Anwendungsidentität sowie auf administrativ festgelegten Richtlinien. Sie sind in allen Phasen des DevOps-Lifecycles zu finden und können unautorisierte Systemzugriffe und Lateral Movements verhindern. 

IAM-Konzepte umfassen:

  • Authentifizierung: Prüft die Identität von Nutzern, Services und Anwendungen.

  • Autorisierung: Gewährt authentifizierten Nutzern Zugriff auf bestimmte Ressourcen oder Funktionen. 

  • Identity Providers, Secret Vaults und HSMs (Hardware Security Modules): Ermöglichen DevOps-Teams das Verwalten und Schützen von Zugangsdaten, Sicherheitsschlüsseln und -zertifikaten sowie Secrets sowohl bei Inaktivität als auch während der Übertragung. 

  • Provenienz: Prüft die Identität oder Authentizität von Code oder Images, in der Regel durch eine digitale Signatur oder einen Zertifizierungseintrag.

Da sich die Sicherheitsarchitektur ständig weiterentwickelt, kann IAM auch zusätzliche Funktionen wie künstliche Intelligenz (KI), maschinelles Lernen (ML) und biometrische Authentifizierung umfassen.

Authentifizierung ist der Prozess der Bestätigung oder Überprüfung der Identität einer Person. Eine Nutzeridentität (oder digitale Identität) ist die Menge an Informationen, die verwendet wird, um eine Person, einen Service oder sogar IoT-Geräte für bestimmte Unternehmensdaten oder Netzwerke zu authentifizieren. Das einfachste Beispiel für eine Authentifizierung ist die Anmeldung einer Person bei einem System mit einem Passwort. Das System kann die angegebene Identität überprüfen, indem es die angegebenen Informationen (Passwort) kontrolliert.

Der Authentifizierungsprozess erfasst nicht nur Anmeldeinformationen, sondern ermöglicht IT-Administratoren auch die Überwachung und Verwaltung von Aktivitäten in der gesamten Infrastruktur und den Services. 

Es gibt verschiedene Ansätze zur Implementierung einer Sicherheitsrichtlinie, die dazu beitragen können, die Sicherheit Ihrer Umgebung zu erhöhen und gleichzeitig die Nutzerfreundlichkeit zu erhalten. Zwei häufige Beispiele sind Single Sign-On (SSO) und Multi-Faktor-Authentifizierung (MFA).

  • SSO: Verschiedene Services, Geräte und Server erfordern alle eine separate Authentifizierung, um darauf zugreifen zu können. SSO konfiguriert einen zentralen Identitätsservice, den konfigurierte Dienste auf verifizierte Nutzer überprüfen können. Die Nutzer müssen sich nur einmal authentifizieren und können auf mehrere Services zugreifen.

  • MFA:  Eine zusätzliche Sicherheitsschicht, die eine mehrfache Überprüfung der Identität erfordert, bevor der Zugang gewährt wird. Für diese Methode sollten Sie kryptografische Geräte wie Hardware-Token und Smartcards verwenden oder Authentifizierungstypen wie Passwörter, Radius, Passwort-OTP, PKINIT und gehärtete Passwörter konfigurieren.

Sie können auch andere Tools innerhalb Ihrer Infrastruktur verwenden, um die Identitätsverwaltung zu vereinfachen, insbesondere in komplexen oder verteilten Umgebungen wie der Cloud oder CI/CD-Pipelines, in denen eine effektive Implementierung der Nutzerauthentifizierung schwierig sein kann. Systemrollen können besonders in einer DevSecOps-Umgebung von Vorteil sein. Mit konsistenten und wiederholbaren automatisierten Konfigurations-Workflows können IT-Administratoren Zeit und Ressourcen sparen und den Aufwand und die manuellen Aufgaben im Zusammenhang mit dem Deployment, der Identitätsverwaltung und der Provisionierung/Deprovisionierung im Laufe der Zeit reduzieren.

Bei der Authentifizierung wird festgestellt, wer versucht, auf einen Service zuzugreifen. Bei der Autorisierung wird festgelegt, was der Nutzer mit dem Service ausführen darf, beispielsweise das Bearbeiten, Erstellen oder Löschen von Informationen. 

Zugriffskontrollen gehen noch einen Schritt weiter, indem sie einer Nutzeridentität eine Reihe vordefinierter Zugriffsrechte zuweisen. Diese Kontrollen werden häufig bei der Einrichtung von Accounts oder der Nutzerbereitstellung zugewiesen und arbeiten nach dem Least Privilege-Prinzip, einer Grundlage des Zero-Trust-Modells.

Beim Least Privilege-Prinzip erhält ein Nutzer nur Zugriff auf die Ressourcen, die er für einen bestimmten Zweck (wie ein Projekt oder eine Aufgabe) benötigt, und er darf nur die Aktionen (Berechtigungen) ausführen, die erforderlich sind. Die Zugriffsrichtlinien können auch die Zeitspanne begrenzen, die für bestimmte Ressourcen zur Verfügung steht. 

Ein Beschäftigter kann beispielsweise Zugriffsrechte auf ein breiteres Spektrum von Ressourcen haben als Dritte wie Auftragnehmer, Partner, Lieferanten und Kunden. Wenn ein Nutzer für eine andere Zugriffsebene zugelassen wird, können IT-Administratoren die Identitätsdatenbank aufrufen und bei Bedarf Nutzeranpassungen vornehmen.

Zu den Systemen des Zugriffsmanagements, die dem Least Privilege-Prinzip folgen, gehören das Privileged Access Management (PAM) und das Role-Based Access Management (RBAC). 

PAM ist die zentrale Art der Zugangskontrolle. Administratoren und DevOps-Mitarbeiter, die diese Aufgaben erhalten, haben in der Regel unbeschränkten Zugriff auf sensible Daten und können Änderungen an Unternehmensanwendungen, Datenbanken, Systemen oder Servern vornehmen. 

RBAC definiert Rollen oder Gruppen von Nutzern und erteilt dann diesen Rollen Berechtigungen für Ressourcen oder Funktionen auf der Basis ihrer Aufgabenbereiche. RBAC macht die Anwendung von Zugriffsrechten konsistent und klar, was die Verwaltung und das Onboarding vereinfacht und die schleichende Ausweitung von Berechtigungen reduziert. Mit RBAC können Sie Zeit und Ressourcen sparen, indem die Zuweisung von Zugriffsrechten auf der Basis der Rolle eines Nutzers innerhalb einer Organisation automatisiert wird.

IAM bietet ein bestimmtes Maß an integrierter Sicherheit in der App-Entwicklungs-Pipeline und ist für die Implementierung von DevSecOps in Ihrem Unternehmen von entscheidender Bedeutung. IAM ist einer der Bausteine für die Erstellung eines mehrschichtigen Sicherheitsansatzes für Bare Metal-, Container-, Cloud- und virtuelle Umgebungen. 

Es ist wichtig, dass Ihr IAM-System Lösungen für mehrere Umgebungen und Workloads unterstützen kann. Dazu gehört die Implementierung von IAM beim Entwickeln, Testen, Ausführen und Überwachen von Anwendungen.

Da es eine breite Palette von IAM-Lösungen gibt, können Unternehmen ihre Optionen anhand der folgenden Punkte eingrenzen: 

  • Führen Sie ein Audit von Neu- und Altsystemen durch, vor allem wenn Sie Anwendungen sowohl lokal als auch in der Cloud haben.

  • Ermitteln Sie alle Sicherheitslücken für interne und externe Stakeholder.

  • Definieren Sie Nutzertypen und deren spezifische Zugriffsrechte.

Sobald Sie die Sicherheitsanforderungen Ihres Unternehmens definiert haben, können Sie mit der Bereitstellung Ihrer IAM-Lösung beginnen. Sie können sich für eine Standalone-Lösung, einen gemanagten Identitätsservice oder einen Cloud-Subskriptionsservice – wie Identity as a Service (IDaaS) – von einem Drittanbieter entscheiden.

Red Hat® Enterprise Linux® bietet eine vereinfachte, zuverlässige und konsistente Authentifizierungslösung in einer Open-Hybrid-Cloud-Umgebung. Es umfasst zentralisierte IdM-Funktionen (Identitätsmanagement), mit denen Sie Nutzer authentifizieren und RBAC über eine einzige, skalierbare Schnittstelle implementieren können, die sich über Ihr gesamtes Rechenzentrum erstreckt.

Identitätsmanagement in Red Hat Enterprise Linux kann:

  • Ihre Identitätsmanagement-Infrastruktur erheblich vereinfachen

  • moderne Compliance-Anforderungen wie PCI DSS, USGCB, STIG erfüllen

  • das Risiko eines unbefugten Zugriffs oder einer Eskalation der Zugriffsrechte verringern

  • eine Basis für eine hoch dynamische und skalierbare, cloud- und containerfähige Betriebsumgebung schaffen

  • Zugriffskontrollen für neue Systeme, virtuelle Maschinen (VMs) und Container vorkonfigurieren

  • die Kosten für den laufenden Betrieb und die Sicherheitsbelastung für die IT-Abteilung reduzieren

Das Identitätsmanagement in Red Hat Enterprise Linux lässt sich auch mit Microsoft Active Directory, LDAP (Lightweight Directory Access Protocol) und anderen IAM-Lösungen von Drittanbietern über standardmäßige APIs (Application Programming Interfaces) integrieren. Sie können auch die Authentifizierung und Autorisierung für Services mit zertifikatsbasierten Authentifizierungs- und Autorisierungstechniken zentral verwalten.

Mit den grundlegenden Automatisierungs-, Sicherheits- und Lifecycle-Management-Funktionen von Red Hat Enterprise Linux können darauf aufbauende Produkte wie Red Hat OpenShift® dieselben Sicherheitstechnologien übernehmen und die integrierte Cybersicherheit auf die containerbasierte Anwendungsentwicklung ausweiten.

Weiterlesen

ARTIKEL

Was ist DevSecOps?

Wenn Sie die Agilität und Reaktionsfähigkeit von DevOps vollständig ausschöpfen möchten, muss die IT-Sicherheit im gesamten Lifecycle Ihrer Apps eine Rolle spielen.

ARTIKEL

Was ist das Besondere an der Cloud-Sicherheit?

Die wichtigsten Sicherheitslücken gefährden sowohl traditionelle IT- als auch Cloud-Systeme. Lernen Sie die Unterscheidungsmerkmale kennen.

ARTIKEL

Was ist SOAR?

SOAR umfasst drei wichtige Software-Funktionen, die Sicherheits-Teams verwenden: Case- und Workflow-Management, Aufgabenautomatisierung sowie eine zentrale Methode, um Bedrohungsinformationen (die so genannte Threat Intelligence) aufzurufen, zu durchsuchen und zu teilen.

Mehr über Sicherheit erfahren

Produkte

Red Hat Certificate System

Ein Sicherheits-Framework, in dem Nutzeridentitäten verwaltet werden und Kommunikation verschlüsselt wird.

Red Hat Advanced Cluster Security Kubernetes

Eine unternehmensfähige, Kubernetes-native Lösung für Container-Sicherheit, mit der Sie cloudnative Anwendungen zuverlässiger entwickeln, bereitstellen und ausführen können.

Red Hat Insights

Ein Service für prädiktive Analytik, mit dem sich Probleme mit der Sicherheit, Performance und Verfügbarkeit Ihrer Red Hat Infrastruktur erkennen und beheben lassen.

Red Hat Advanced Cluster Management Kubernetes

Eine zentrale Konsole mit integrierten Sicherheitsrichtlinien, mit der Sie Kubernetes-Cluster und -Anwendungen verwalten können.

Ressourcen

Illustration - mail

Möchten Sie mehr zu diesen Themen erfahren?

Abonnieren Sie unseren kostenlosen Newsletter, Red Hat Shares.

Red Hat logo LinkedInYouTubeFacebookTwitter

Produkte

Tools

Testen, kaufen und verkaufen

Kommunizieren

Über Red Hat

Als weltweit größter Anbieter von Open-Source-Software-Lösungen für Unternehmen stellen wir Linux-, Cloud-, Container- und Kubernetes-Technologien bereit. Wir bieten robuste Lösungen, die es Unternehmen erleichtern, plattform- und umgebungsübergreifend zu arbeiten – vom Rechenzentrum bis zum Netzwerkrand.

Abonnieren Sie unseren Newsletter, Red Hat Shares

Jetzt anmelden

Wählen Sie eine Sprache

© 2022 Red Hat, Inc.