Das Dokument erläutert die Notwendigkeit neuer Sicherheitsansätze für Cloud-IT, insbesondere durch Identity and Access Management (IAM), um den Schutz vor verschiedenen Bedrohungen und die Einhaltung von Compliance-Vorgaben zu gewährleisten. Es wird betont, dass Unternehmen nicht nur über Cloud Computing, sondern über Cloud IT nachdenken sollten, um neue Organisationsformen und Sicherheitsstrategien zu integrieren. Die Wettbewerbslandschaft im Bereich Cloud Security wird analysiert, wobei Microsoft und IBM als führende Anbieter hervorgehoben werden.

1. Securingthe CloudWarum die Wolken-IT neue Ansätze für Sicherheit brauchtTim ColeKuppinger Cole + Partner

2. Ziele von IT-SecuritySchutz vor technischem SystemausfallSchutz vor Sabotage oder SpionageSchutz vor Betrug und DiebstahlSchutz vor Systemmissbrauch, durch illegitime Ressourcennutzung, Veränderung von publizierten Inhalten, etc.Quelle: Wikipedia, Stichwort „Informationssicherheit“

3. SCHUTZ

4. Ziele von Identity ManagementKonsistenz und Aktualität der Nutzerdaten Erleichterung bei der Einführung von neuen Diensten und Methoden (z.B. Single Sign-on) Vereinfachung der Datenhaltung dauerhafte Kosteneinsparungen in der Administration bessere Kontrolle über die Ressourcen optimale Unterstützung von internationalen Projekten im Bereich Cloud Computing höhere Sicherheit

5. KONTROLLE

6. Klassischer Security-Ansatz: Perimeter DefenseInternetcorporationdatacenter

7. Eine Wolke hat keinen „Perimeter“

8. ???????Internet/Extranet/Intranetdatacenter

9. applicationsIdentity-Ansatz: Lückenlose KontrolleAUDITcompanycustomerssupplier„extendedenterprise“(things)products / servicesIT systems(machines)(people)usersSo whoisallowedto do whatwithinyourbusinessprocesses?

10. 3 Thesen zu Identity & Security:„Kunden wollen ihre Security Policies mit Benutzer- und Rollen-Management sowie mit Business-Prozessen in Einklang bringen.“„Technische Lösungen müssen heute Identity & Access Management (IAM) auf allen Ebenen gewährleisten: Netzwerk-Infrastruktur, Anwendungen und Daten.“ „Das ist nur durch die Kombination von IAM und IT Security möglich.“

11. „Identitäts-basierte Security und effektives Rollenmanagement in der Cloud ist Voraussetzung für nachhaltige Sicherheit.“

12. IAM ist die Grundlage für sicheres Cloud ComputingIAM adressiertALLEAspekte von Cloud SecurityDLP (Data Leakage Prevention)Attestierung von ZugriffsberechtigungenSchutz vor Insider-AngriffenMissbrauch privilegierter Benutzerkonten („EvilAdmins“)Fazit: Investitionen in Cloud Computing dürfen nicht zu Lasten von IAM gehen

13. Cloud Governance

14. CloudGovernance steckt noch in den KinderschuhenSegregation of Duties in der CloudStandard-basierte Bewertung von Risiken in der CloudAuditing über Systemgrenzen hinwegIdentifizierung von Benutzung, Steuerung von Berechtigungen über verschiedene Cloud Services hinwegMit Cloud Computing sind Compliance-Konflikte vorprogrammiertUSA/Homeland Security vs.EU-Datenschutzrichtlinie)Welches Gericht ist zuständig?Wer soll es machen?„Governance-as-a-Service“?

15. „Cloud-Universum 2009“Cloud Service Provider/Reseller„Cloud fortheMasses“Google AppsNovellvieleMozyAmazonMicrosoftAzureIndustryCloudMicrosoftS+SRM5KundenSaaSClassicOutsourcingHPIBM„cloud“SalesForceSAPEMCIBM „classic“wenigegenerischspezifischWiederverwendbarkeit des Angebots

16. Der Markt für Cloud SecurityMicrosoft und IBM sind am besten positioniert, um diese gesamtheitliche Sicht auf Identity und Security zu liefern. Sie haben als einzige ein genügend breitgefächertes PortfolioCA, HP, Google sind die großen Herausforderer. Oracle könnte durch die Sun-Übernahme seinen Rückstand in Security ausgleichen und wäre ein weiterer Kandidat. Novell konzentriert sich auf den „Nischenmarkt“ ProviderReinen Security-Anbieter wie Symantec, Trend Micro oder McAfee haben kaum IAM-KompetenzSie könnten dieses Manko aber durch Akquisitionen (Juniper, Courion?) schnell ausgleichen.

17. „Questions to ask your IT people“Was bringt Cloud Computing für unser Unternehmen?KostenvorteileNachhaltigkeitSicherheit (Zertifizierung!)Firmenwert („was passiert bei M&As?“) Welche Cloud-Strategie ist für unser Unternehmen die richtige?Muss ich mich ganz entscheiden, oder kann ich Cloud für einzelne IT-Aufgaben verwenden und ansonsten weitermachen wie bisher?Was sagen unsere Wirtschaftsprüfer?Was sagen unsere Kunden? Fühlen die sich wohl bei dem Gedanken, dass wir mit ihren Daten Cloud Computing betreiben?Binde ich mich an einen bestimmten Provider, oder bin ich frei zwischen Providern zu wechseln?

18. Fazit:Unternehmen sollten nicht über „Cloud Computing“ sondern über „Cloud IT“ nachdenken. Die setzt neue Organisationsformen und neue Ansätze in Sicherheit, Identity Management, GRC(Governance, Risk Management & Compliance), Business ProcessDevelopment & Prozess-Management voraus und erzwingt damit eine völlig neue IT-Kultur im Unternehmen. Cloud ist ein ganz neues Spiel, und keiner kommt daran vorbei!

19. Vielen Dank!tc@kuppingercole.de