Bob

Chief Security Architect, RSA

Mehr Sicherheit für die Hybrid Cloud

Wie können Unternehmen die Herausforderungen der Hybrid Cloud meistern?

Auf dem Cloud Security Alliance (CSA) EMEA-Kongress Ende November in Rom sprach ich in meinem Vortrag Grand Challenges of Hybrid Cloud insbesondere über Aspekte des Risikomanagements, der Identity Governance und der Security Analytics. Beim Thema Identity Governance für die Hybrid Cloud griff ich auf die Erfahrung der Deutschen Bank AG zurück. Sie erhielt 2013 den European Identity & Cloud Award von Kuppinger Cole in der Kategorie „Best Access Governance and Intelligence Project“.  Die Deutsche Bank AG hat komplexe Zugriffsregeln auch über die Grenzen von Geschäftsbereichen realisiert und damit eine Führungsrolle in der weltweiten Finanzindustrie übernommen.

Identity Governance ist besonders wichtig. Bei allen Diskussionen über Identity und Cloud geht es in erster Linie um Probleme mit Passwörtern, die Verwaltung von Passwörtern und Alternativen zu Passwörtern. Eine spannende Diskussion erlebte ich zum Beispiel auf der Veranstaltung von Paul Simmonds zum Thema Cloud Identity „Getting Cloud Identity Right“. Es wurde sehr ausführlich über risikobasierte Zugangskontrolle diskutiert – eine Sichtweise, die wir bei RSA seit langem vertreten.

Risikobasierte Zugangskontrolle ist jedoch nur eine Seite der Medaille. Das haben Paul und ich in unseren Vorträgen erläutert. Betrachten wir das Projekt der Deutschen Bank AG: hier ging es nicht nur darum, die Regeln für die Aufgabentrennung (Separation of Duties) zu formalisieren und zu vereinfachen. Das übergreifende Ziel des Projektes war Identity Governance: „Die Umsetzung wird fortlaufend in allen Anwendungen, Geschäftsabläufen oder ganzen Abteilungen in einem komplexen, heterogenen und globalen Umfeld überprüft und überwacht.“

© RSA 2014
© RSA 2014

In ihrem Bericht kam Kuppinger Cole zu folgendem Schluss: „Mit diesem Programm hob die Deutsche Bank AG die Umsetzung von Regeln für die Aufgabentrennung (SoD) auf eine neue Ebene, weit über die IT-Sicht hinaus mit Fokus auf den geschäftlichen Nutzen für eine globale Organisation.“ Darum geht es bei Identity Governance. Es gilt nicht nur die Aufgaben- und Funktionstrennung zu bewältigen. Es geht vielmehr um „One Brain für IAM“, wie Matt Kane es ausgedrückt hat.