Bundesamt für Sicherheit in der Informationstechnik

M 2.519 Geregelte Benutzer- und Berechtigungsverwaltung im Cloud Computing

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Fachverantwortliche

Sowohl für die Benutzer des Cloud-Diensteanbieters als auch für diejenigen des Cloud-Anwenders (Cloud-Mandanten) sollten ein zentrales Identitäts- und ein rollenbasiertes Berechtigungsmanagement benutzt werden.

Generell sollten immer nur so viele Zugriffsrechte auf Daten und Informationen vergeben werden, wie es für die Aufgabenwahrnehmung in der Anwendung notwendig ist (Prinzipien Need to know und Least privilege).

Neben den Prozessen für die Einrichtung von Benutzern und Berechtigungen müssen auch geregelte Prozesse eingerichtet werden, wie Benutzer und Berechtigungen entfernt (de-provisioniert) werden. Dies kann durch Sperrung oder Löschung geschehen. Der Cloud-Diensteanbieter muss gewährleisten, dass die zu sperrenden oder zu löschenden Konten ("Identitäten") und Berechtigungen von Cloud-Benutzern auf allen betroffenen Ebenen der Cloud-IT-Infrastruktur entfernt werden. Mit einem zentralen System für die Berechtigungsverwaltung können Rechte zuverlässig aus allen betroffenen Bereichen entfernt werden, z. B. Betriebssystemkonten, Speicherbereiche (Cloud Storage), Konten im Self-Service-Portal, Datenbanken.

Benutzerkonten und Berechtigungen sollten regelmäßig ( z. B. zwei Mal im Jahr) verifiziert werden. Dabei sollte geprüft werden, ob der angelegte Benutzer noch als aktiver Benutzer registriert ist (andernfalls muss er gesperrt oder gelöscht werden) und ob die Rollen und Berechtigungen, die ihm zugewiesen sind, noch korrekt sind. Hierbei sind auch Vertretungsregelungen zu beachten.

Benutzer des Cloud-Diensteanbieters und des Cloud-Anwenders

Die Benutzerverwaltung (Management der Identitäten) beim Cloud-Diensteanbieter ist prinzipiell in zwei Bereiche aufzuteilen. Zum einen sind dies die Mitarbeiter des Cloud-Diensteanbieters selbst und auf der anderen Seite die Cloud-Benutzer des Cloud-Anwenders (Cloud-Mandanten). Hier ist noch zu unterscheiden, ob die Verwaltung der Cloud-Benutzer in der Hand des Cloud-Diensteanbieters liegt oder ob dieser (wie bei IaaS ) nur die technischen Mittel bereitstellt und die Verwaltung der Cloud-Benutzer beim Cloud-Anwender liegt.

Bei der Benutzerverwaltung kann ein über Organisationsgrenzen hinweg arbeitendes Identitätsmanagement (englisch Federated Identity Management, FIDM) einbezogen oder angebunden werden, sofern gängige Standards ( z. B. Security Assertion Markup Language SAML) und sichere Authentisierungsverfahren eingesetzt werden.

Die Berechtigungsverwaltung (Management der Berechtigungen) ist ähnlich aufgeteilt wie die Benutzerverwaltung: Man kann die Berechtigungen einerseits der Mitarbeiter des Cloud-Diensteanbieters und andererseits der Cloud-Benutzer des Cloud-Anwenders unterscheiden. Der Cloud-Anwender kann den Cloud-Benutzern dabei nur in dem Maß Rechte zur Verfügung stellen, wie es ihm der Cloud-Diensteanbieter im genutzten Cloud-Servicemodell ermöglicht.

Benutzer, Rollen und Rechte beim Cloud-Diensteanbieter

Der Cloud-Diensteanbieter sollte die Rechtevergabe rollenbasiert organisieren, wobei jede Rolle bestimmte Berechtigungen erhält. Den Benutzern werden dann über die Zuordnung zu Rollen die entsprechenden Rechte gewährt.

Hierbei sind z. B. Rollen für folgende Bereiche hilfreich, die Personen oder Systemen zugeordnet werden können:

  • Cloud-Diensteprofile
  • Virtualisierungs-Hosts (Starten, Stoppen und Migrieren der virtuellen IT-Systeme, Zuweisung von physischen Ressourcen)
  • Netz
  • Storage-System
  • Self-Service-Portal
  • Rechnungsstellung (englisch Billing)
  • Berichtswesen (englisch Reporting)
  • Middleware (Datenbanken, Webserver)

Eine Person oder ein System kann bzw. muss je nach Aufgabe mehrere Rollen nutzen können, um die zur Erfüllung der Aufgabe notwendigen Rechte zu erhalten. So muss der automatisiert ablaufende Prozess zum Provisionieren eines neuen Cloud-Mandanten mehrere Rollen haben, da er über weitreichende Rechte verfügen muss. Super-User, die alle Rechte in allen Bereichen haben, sind zu vermeiden.

Benutzer, Rollen und Rechte beim Cloud-Anwender

Die Rollen zur Nutzung von SaaS - und PaaS -Angeboten werden vom Cloud-Diensteanbieter definiert und dem Cloud-Anwender zur Verfügung gestellt. Sie sind an die verschiedenen Angebote des Cloud-Diensteanbieters angepasst, auf die die Cloud-Benutzer des Cloud-Anwenders Zugriff haben. Bei IaaS -Angeboten hat der Cloud-Anwender auf der virtuellen Maschine alle Freiheiten und kann/muss seine eigene Benutzer-, Rollen- und Berechtigungsverwaltung aufbauen.

In der Regel gibt es mindestens zwei verschiedene Arten von Rollen: privilegierter und normaler Benutzer.

  • Der privilegierte Benutzer verwaltet die Nutzung des Cloud-Dienstes durch die Mitarbeiter (Cloud-Benutzer) des Cloud-Mandanten. Er kann in der Regel neue Benutzer hinzufügen oder löschen, Rollen zuweisen oder entziehen. Stellt der Cloud-Diensteanbieter dem Cloud-Anwender verschiedene Optionen der Cloud-Dienste oder unterschiedliche Cloud-Dienste zur Verfügung, so kann der privilegierte Benutzer den normalen Benutzern die Dienste oder Optionen freischalten. Hierzu stellt der Cloud-Diensteanbieter eine Schnittstelle (als Webservice oder als Webanwendung im Self-Service-Portal) zur Verfügung. Die Benutzerinformationen werden auf diesem Weg an das Cloud-Management beim Cloud-Diensteanbieter weitergegeben, durch das die entsprechenden Berechtigungen gesetzt werden. Ob und welche Rechte ein Cloud-Benutzer erhält, liegt in der Hand des Cloud-Anwenders. Der Cloud-Anwender muss diese Rechte verwalten und dafür bei sich intern die entsprechenden Prozesse aufsetzen. Der Cloud-Diensteanbieter muss dafür die Rahmenbedingungen setzen und hinterlegen, wie viele Benutzer angelegt und wie viele Ressourcen vergeben werden dürfen, damit Missbrauch verhindert werden kann.
  • Der normale Benutzer ist der eigentliche Anwender des Cloud-Dienstes. Er hat in der Regel keine oder nur sehr geringe Möglichkeiten zur Verwaltung von Identitäten oder Rechten von Cloud-Diensten. Insbesondere darf ein normaler Benutzer seine eigenen Rechte (und damit seine Zugriffsmöglichkeiten) nicht selbst ändern können. Im Fall eines Privatanwenders, der hier nicht betrachtet wird, sind die beiden Rollen privilegierter und normaler Benutzer in einer Person vereint, was aber bei Business-Anwendungen möglichst zu vermeiden ist, da die Cloud-Dienste sonst unkontrolliert sind und somit nicht mehr gesteuert genutzt werden können.

Übernimmt der Cloud-Diensteanbieter die Benutzer- und Berechtigungsverwaltung für einen Cloud-Anwender, so sind geeignete Prozesse zwischen den beiden Parteien zu etablieren. Diese Prozesse müssen gewährleisten, dass der Cloud-Diensteanbieter nachweislich im Sinne des Cloud-Mandanten handelt.

Trennung unterschiedlicher Cloud-Mandanten

In manchen Fällen und bei sehr großen Kunden kann der Cloud-Diensteanbieter mit der Forderung konfrontiert werden, dass nur bestimmte Administratoren den angebotenen Cloud-Dienst verwalten. Dann muss das Rollen- und Rechtemanagement (Berechtigungsverwaltung) des Cloud-Diensteanbieters zusätzlich noch mandantenfähig sein, um zu verhindern, dass unberechtigte Personen die Dienste eines Mandanten verwalten.

Zugriff von Cloud-Administratoren auf Kundendaten

Die Administratoren des Cloud-Diensteanbieters sollen möglichst keinen Einblick in die Daten und Anwendungen des Cloud-Mandanten erhalten und nicht in die Berechtigungsverwaltung einer SaaS - bzw. PaaS -Anwendung eingreifen, sofern diese von privilegierten Cloud-Benutzern verwaltet wird.

Zur Problemlösung kann es aber erforderlich sein, dass Administratoren des Cloud-Diensteanbieters auf Daten von Cloud-Mandanten Zugriff haben müssen. Hierzu sind technische Maßnahmen zu etablieren, die den Zugriff möglichst auf die zur Problemlösung relevanten Bereiche beschränken. Ferner sollte die Ausübung dieser Berechtigung nur für eine fest definierte Zeit möglich sein.

Dokumentation

Die folgenden Informationen zum Benutzer- und Berechtigungsmanagement müssen nachvollziehbar (Historie) dokumentiert werden:

  • welche Funktion unter Beachtung der Funktionstrennung mit welchen Zugriffsrechten ausgestattet wird,
  • welche Gruppen und/oder Profile eingerichtet werden,
  • welche Person welche Funktion wahrnimmt,
  • welche Zugriffsrechte eine Person im Rahmen welcher Rolle erhält.

Prüffragen:

  • Ist ein rollenbasiertes Berechtigungskonzept für die Administratoren des Cloud-Diensteanbieters und für die Cloud-Benutzer des Cloud-Anwenders umgesetzt?

  • Wurden Super-User vermieden?

  • Sind alle angelegten Benutzer und deren Berechtigungen inklusive der Änderungshistorie dokumentiert?

  • Ist ein Prozess vorhanden, in dem regelmäßig die vorhandenen Benutzerkonten geprüft werden?

Stand: 14. EL Stand 2014