Verwenden einer Identity-as-a-Service-Plattform

Fast jede Cloudanwendung muss mit Benutzeridentitäten arbeiten. Identität ist die Grundlage moderner Sicherheitspraktiken wie Zero Trust, und die Benutzeridentität für Anwendungen ist ein wichtiger Bestandteil der Architektur Ihrer Lösung.

Für die meisten Lösungen wird dringend die Verwendung einer IDaaS-Plattform (Identity as a Service) – also einer von einem spezialisierten Anbieter gehosteten und verwalteten Identitätslösung – empfohlen, anstatt eine eigene zu entwickeln und zu betreiben. In diesem Artikel werden die Herausforderungen bei der Entwicklung und beim Betrieb eines eigenen Identitätssystems beschrieben.

Empfehlungen

Wichtig

Mithilfe einer IDaaS-Plattform wie Microsoft Entra ID, Azure AD B2C oder einem anderen ähnlichen System lassen sich viele der in diesem Artikel beschriebenen Probleme entschärfen. Es empfiehlt sich, nach Möglichkeit immer diesen Ansatz zu verwenden.

Aufgrund Ihrer Lösungsanforderungen verwenden Sie möglicherweise ein Framework oder eine vorgefertigte Identitätslösung, das bzw. die Sie selbst hosten und betreiben. Die Verwendung einer vorgefertigten Identitätsplattform entschärft zwar einige der in diesem Artikel beschriebenen Probleme, bei einer solchen Lösung müssen Sie sich aber weiterhin um die Behandlung vieler dieser Probleme kümmern.

Wir raten davon ab, ein von Grund auf neu aufgebautes Identitätssystem zu verwenden.

Vermeiden der Speicherung von Anmeldeinformationen

Wenn Sie ihr eigenes Identitätssystem betreiben, benötigen Sie eine Datenbank zum Speichern von Anmeldeinformationen.

Anmeldeinformationen sollten weder als Klartext noch als verschlüsselte Daten gespeichert werden. Stattdessen sollten vor dem Speichern von Anmeldeinformationen kryptografische Hashing- und Salting-Methoden angewendet werden, um Angriffe auf die Anmeldeinformationen zu erschweren. Aber selbst nach dem Hashing/Salting sind Anmeldeinformationen noch für mehrere Angriffstypen anfällig.

Ganz gleich, wie Sie die einzelnen Anmeldeinformationen schützen: Eine Datenbank mit Anmeldeinformationen stellt immer ein Angriffsziel dar. In den letzten Jahren wurden sowohl in großen als auch in kleinen Organisationen Datenbanken mit Anmeldeinformationen ins Visier genommen.

Die Speicherung von Anmeldeinformationen ist somit kein Vorteil, sondern eine Belastung. Durch die Verwendung einer IDaaS-Plattform lagern Sie das Problem der Speicherung von Anmeldeinformationen an Experten aus, die Zeit und Ressourcen in die sichere Verwaltung von Anmeldeinformationen investieren können.

Implementieren von Identitäts- und Verbundprotokollen

Moderne Identitätsprotokolle sind komplex. Branchenexperten haben OAuth 2, OpenID Connect und andere Protokolle entwickelt, um realen Angriffen und Sicherheitsrisiken entgegenzuwirken. Die Protokolle werden außerdem weiterentwickelt, um sie an Veränderungen bei Technologien, Angriffsstrategien und Benutzererwartungen anzupassen. Identitätsexperten, die mit den Protokollen und deren Verwendung vertraut sind, haben die besten Voraussetzungen, um Systeme zu implementieren und zu überprüfen, die diese Protokolle nutzen. Weitere Informationen zu den Protokollen und zur Plattform finden Sie unter OAuth 2.0 und OpenID Connect (OIDC) auf der Microsoft Identity Platform.

Es ist auch üblich, Identitätssysteme in einem Verbund zu nutzen. Die Einrichtung, Verwaltung und Pflege von Identitätsverbundprotokollen ist komplex und erfordert spezielles Fachwissen und Erfahrung. In der Regel stellen IDaaS-Anbieter in ihren Produkten Verbunddienste bereit, die Sie verwenden können. Weitere Informationen zum Verbund finden Sie im Muster Verbundidentität.

Einführen moderner Identitätsfeatures

Benutzer erwarten von einem Identitätssystem eine Reihe fortschrittlicher Features wie etwa:

  • Kennwortlose Authentifizierung mit sicheren Ansätzen für die Anmeldung, bei denen Benutzer keine Anmeldeinformationen eingeben müssen Passkeys sind ein Beispiel für eine kennwortlose Authentifizierungstechnologie.

  • Einmaliges Anmelden (Single Sign-On, SSO), sodass Benutzer sich mit einer Identität ihres Arbeitgebers, ihrer Bildungseinrichtung oder einer anderen Organisation anmelden können

  • Multi-Faktor-Authentifizierung (MFA), bei der Benutzer aufgefordert werden, sich auf mehrere Arten zu authentifizieren. Beispielsweise kann sich ein Benutzer mithilfe eines Kennworts anmelden und auch eine Authentifizierungs-App auf einem mobilen Gerät oder einen per E-Mail gesendeten Code verwenden.

  • Überwachung, um jedes Ereignis nachzuverfolgen, das auf der Identitätsplattform auftritt – einschließlich erfolgreicher, nicht erfolgreicher und abgebrochener Anmeldeversuche. Diese detaillierten Protokolle werden später für die forensische Untersuchung eines Anmeldeversuchs erfordert.

  • Bedingter Zugriff, um ein auf verschiedenen Faktoren basierendes Risikoprofil für einen Anmeldeversuch zu erstellen. Mögliche Faktoren sind beispielsweise die Identität des Benutzers, der Ort des Anmeldeversuchs, vorherige Anmeldeaktivitäten und die Vertraulichkeit der Daten oder Anwendung, auf die der Benutzer zuzugreifen versucht.

  • Just-In-Time-Zugriffssteuerung: Hierbei können sich Benutzer vorübergehend basierend auf einem Genehmigungsprozess anmelden, und die Autorisierung wird anschließend automatisch wieder entfernt.

Wenn Sie eine Identitätskomponente als Teil Ihrer Geschäftslösung selbst erstellen, ist es unwahrscheinlich, dass Sie den Aufwand für die Implementierung (und Pflege) dieser Features rechtfertigen können. Für einige dieser Features sind zudem zusätzliche Schritte erforderlich – etwa die Integration in Messaginganbieter zum Senden von MFA-Codes sowie das Speichern und Aufbewahren von Überwachungsprotokollen für einen ausreichenden Zeitraum.

IDaaS-Plattformen können auch eine Reihe verbesserter Sicherheitsfeatures bieten, die auf dem Volumen der eingehenden Anmeldeanforderungen basieren. Die folgenden Features funktionieren beispielsweise am besten, wenn eine einzelne Identitätsplattform von einer großen Anzahl von Kunden genutzt wird:

  • Erkennung von Risikoanmeldungsereignissen wie etwa Anmeldeversuche von Botnets
  • Erkennung unmöglicher Ortswechsel zwischen den Aktivitäten eines Benutzers
  • Erkennung gängiger Anmeldeinformationen wie etwa Kennwörter, die häufig von anderen Benutzern verwendet werden und somit einem erhöhten Kompromittierungsrisiko unterliegen
  • Klassifizierung von Anmeldeversuchen als gültig oder ungültig mithilfe von Machine Learning-Techniken
  • Überwachung des sogenannten Darknets auf kompromittierte Anmeldeinformationen und Verhinderung ihrer Verwendung
  • Kontinuierliche Überwachung der Bedrohungslandschaft und der aktuell von Angreifern genutzten Vektoren

Wenn Sie Ihr eigenes Identitätssystem entwickeln oder betreiben, stehen Ihnen diese Features nicht zur Verfügung.

Verwenden eines zuverlässigen, leistungsstarken Identitätssystems

Da Identitätssysteme ein so wichtiger Bestandteil moderner Cloudanwendungen sind, müssen sie zuverlässig sein. Wenn Ihr Identitätssystem nicht verfügbar ist, beeinträchtigt dies unter Umständen Ihre restliche Lösung, sodass diese nur noch eingeschränkt verwendbar ist oder gar nicht mehr funktioniert. Durch die Verwendung einer IDaaS-Plattform mit einer Vereinbarung zum Servicelevel erhöht sich die Wahrscheinlichkeit, dass Ihr Identitätssystem funktionsfähig bleibt, wenn Sie es benötigen. Microsoft Entra ID bietet beispielsweise eine Uptime-SLA für die Tarife „Basic“ und „Premium“, die sowohl Anmeldungen als auch Tokenausgabeprozesse abdeckt. Weitere Informationen finden Sie unter Service Level Agreements (SLA) for Online Services (Vereinbarungen zum Servicelevel (Service Level Agreements, SLAs) für Onlinedienste).

Ein Identitätssystem muss außerdem leistungsfähig und auf das mögliche Wachstum Ihres Systems skalierbar sein. Je nach Anwendungsarchitektur ist möglicherweise bei jeder Anforderung eine Interaktion mit Ihrem Identitätssystem erforderlich, sodass Leistungsprobleme von Ihren Benutzern wahrgenommen werden. Das Ziel der IDaaS-Anbieter ist es, ihre Plattformen so zu skalieren, dass große Benutzerlasten berücksichtigt werden. Sie sind dafür konzipiert, große Datenverkehrsmengen zu absorbieren – einschließlich Datenverkehr, der durch verschiedene Angriffsformen generiert wird.

Testen Ihrer Sicherheit und Anwenden strenger Kontrollen

Wenn Sie ein Identitätssystem betreiben, sind Sie auch für dessen Schutz verantwortlich. Im Anschluss finden Sie einige Beispiele für Kontrollen, die ggf. implementiert werden müssen:

  • Regelmäßige Penetrationstests. (Hierzu sind spezielle Kenntnisse erforderlich.)
  • Überprüfung von Mitarbeitern und allen anderen Personen mit Zugriff auf das System
  • Strenge Kontrolle aller Änderungen an Ihrer Lösung und Prüfung sämtlicher Änderungen durch Experten

Diese Kontrollen sind häufig teuer und schwierig zu implementieren.

Verwenden cloudnativer Sicherheitskontrollen

Wenn Sie Microsoft Entra ID als Identitätsanbieter Ihrer Lösung verwenden, können Sie cloudnative Sicherheitsfeatures wie verwaltete Identitäten für Azure-Ressourcen nutzen.

Bei Verwendung einer separaten Identitätsplattform müssen Sie sich überlegen, wie verwaltete Identitäten und andere Microsoft Entra-Features von Ihrer Anwendung genutzt werden können und wie sich Ihre Anwendung in Ihre eigene Identitätsplattform integrieren lässt.

Konzentrieren auf Ihre Kernkompetenz

Der Betrieb einer sicheren, zuverlässigen und schnell reagierenden Identitätsplattform ist teuer und komplex. In den meisten Fällen ist ein Identitätssystem keine Komponente, die einen Mehrwert für Ihre Lösung schafft oder durch die Sie sich von Ihren Wettbewerbern abheben können. Es empfiehlt sich, Ihre Identitätsanforderungen in ein von Experten entwickeltes System auszulagern. Dadurch können Sie sich auf das Entwerfen und Erstellen der Komponenten Ihrer Lösung konzentrieren, die einen geschäftlichen Mehrwert für Ihre Kunden darstellen.

Beitragende

Dieser Artikel wird von Microsoft gepflegt. Er wurde ursprünglich von folgenden Mitwirkenden geschrieben:

Hauptautor:

Andere Mitwirkende:

Melden Sie sich bei LinkedIn an, um nicht öffentliche LinkedIn-Profile anzuzeigen.

Nächste Schritte