Vom On-Prem IAM zum «Cloud IAM»

Der Reifegrad von Unternehmen in Bezug auf das Identity & Access Management (IAM) ist sehr unterschiedlich. Grosse oder regulierte Unternehmen blicken bereits auf einen langjährigen Einsatz von IAM-Lösungen zurück, die sich häufig als komplex und schwer anpassbar erweisen. In diesem Artikel werden Best Practices für eine erfolgreiche Cloud-Migration von IAM-Lösungen vorgestellt und verschiedene Ansätze – Brownfield, Greenfield und Orangefield – zur Verlagerung des IAM in die Cloud diskutiert.

Erfahren Sie alles über:

• Migration von Identity & Access Management (IAM) Lösungen in die Cloud
• Vorteile: Skalierbarkeit, Kosteneffizienz, Fachkräftemangel entgegenwirken, Flexibilität und Automatisierung
• Best Practices für erfolgreiche Migration: sorgfältige Planung und Analyse, Auswahl des passenden Cloud-Modells (IaaS, PaaS oder SaaS), kontinuierliches Monitoring
• Brownfield-, Greenfield-, Orangefield-Ansatz zur Verlagerung des IAM in die Cloud
• Herausforderungen: Datenschutz, Sicherheit und Integration mit bestehender IT-Landschaft

Diese Lösungen zeichnen sich erfahrungsgemäss dadurch aus, dass viel Eigenentwicklung und Customizing betrieben wurde, um den laufend wachsenden Anforderungen gerecht zu werden. Die eingesetzten Produkte, oft IAM-Lösungen der ersten Generation, wurden so über die Jahre immer komplexer in Bezug auf den Betrieb. Weitere funktionale Anpassungen sind oft nur sehr umständlich möglich. 
Unternehmen mit solch sogenannten «Dinosauriern» im Einsatz sehen sich mehr und mehr mit der Frage eines Technologie- oder Herstellerwechsels konfrontiert. Denn meist werden diese Produkte nicht mehr weiterentwickelt oder das Wissen für den Betrieb fehlt. Damit bietet sich gleichzeitig auch die Chance, die IAM-Applikationen in die Cloud zu verlagern.

Um eine erfolgreiche Migration von IAM-Lösungen in die Cloud zu gewährleisten, sollten Unternehmen folgende Best Practices und Strategien berücksichtigen.

• Sorgfältige Vorbereitung und Planung: Eine gründliche Analyse der bestehenden IAM-Infrastruktur sowie der technischen, funktionalen und rechtlichen Anforderungen ist unerlässlich. Dabei müssen auch organisatorische Aspekte berücksichtigt werden, wie zum Beispiel die Bereitschaft des Unternehmens für den Umstieg auf die Cloud.
• Auswahl des passenden Cloud-Modells: Entscheiden Sie sich zwischen Infrastructure as a Service (IaaS), Platform as a Service (PaaS) oder Software as a Service (SaaS), je nach Ihren spezifischen Sicherheits-, Leistungs- und Funktionsanforderungen.
• Bereitstellung/Transformation: Abhängig vom gewählten Migrationsansatz sollten entsprechende Umgebungen bereitgestellt, konfiguriert und angepasst werden.
• Kontinuierliches Monitoring: Überwachen Sie die Leistung Ihrer Cloud-basierten IAM-Lösung regelmäßig hinsichtlich Sicherheit sowie Compliance-Anforderungen und optimieren Sie diese gegebenenfalls.

In der Vorbereitungs- oder Planungsphase werden zusammen mit dem Kunden seine bestehende IAM-Infrastruktur analysiert, die Anforderungen und Ziele für die Cloud-Migration geklärt und das geeignete Cloud-Modell ausgewählt. Dies alles wird in der Cloud-Journey, dem kundenindividuellen Migrationsplan, zusammengefasst.

Zur sorgfältigen Planung gehört die detaillierte Analyse der bestehenden IAM-Infrastruktur. Ebenso müssen die technischen und funktionalen Anforderungen an die Lösung beschrieben werden und die Anforderungen an die Cloud formuliert sein. Zentral ist die Bewertung der «Cloud-Readiness», d.h. es muss auch berücksichtigt werden, inwieweit die Organisation bereit ist, den Weg in die Cloud zu gehen. Das Verständnis für die Auswirkungen der Migration für die Anwender, die Prozesse aber auch für die IT-Sicherheit, Compliance und den Datenschutz müssen zwingend berücksichtigt werden. Die Auswahl des passenden Cloud-Modells respektive des Anbieters ist der nächste Schritt.

Unternehmen sollten das passende Cloud-Modell (IaaS, PaaS, SaaS) für ihre IAM-Anforderungen auswählen, um eine optimale Leistung und Sicherheit zu gewährleisten.

Es gibt drei verschiedene Cloud-Modelle: Infrastructure as a Service (IaaS), Platform as a Service (PaaS) und Software as a Service (SaaS). Jedes Modell hat unterschiedliche Anforderungen an IAM-Lösungen. IaaS-Anbieter stellen dem Kunden lediglich die Infrastruktur zur Verfügung, während der Kunde für den Betrieb und die Wartung verantwortlich ist. Dies bedeutet, dass der Kunde eine eigene IAM-Lösung in der Cloud betreiben respektive dies an einen externen Partner auslagert. Bei PaaS-Anbietern stellt dieser die Infrastruktur und die Middleware bereit, während der Kunde für die Anwendungsentwicklung und die Implementierung der IAM-Lösung verantwortlich ist. Bei SaaS-Anbietern wird die gesamte Anwendung von einem Drittanbieter gehostet, einschließlich der IAM-Lösung.

Bereitstellung/Transformation
Die Tätigkeiten zur Bereitstellung ergeben sich aus der gewählten Strategie. Bei dem Greenfield-Ansatz wird im ersten Schritt die Umgebung bereitgestellt und gemäss dem Standard konfiguriert. Anschliessend werden die kundenspezifischen Konfigurationen oder Entwicklungen vorgenommen. 

Operation
Nach der Migration sollten Unternehmen die Leistung und Sicherheit der Cloud-basierten IAM-Lösung kontinuierlich überwachen und gegebenenfalls optimieren. Darüber hinaus empfiehlt es sich regelmäßige Sicherheits- und Compliance-Überprüfungen durchzuführen.

In der Praxis werden in der Cloud-Journey verschiedene Ansätze beurteilt und daraufhin bewertet, welche Methode für die Verlagerung des IAM in die Cloud am besten geeignet ist.

1.       Brownfield-Ansatz

Mit dem Brownfield-Ansatz ist die rein technische Migration eines On-Premises-Systems in die Cloud gemeint. Im Wesentlichen werden die bestehenden Komponenten in die Cloud verlagert. Diese Art der Migration lässt sich schnell umsetzen. Die Prozesse und historischen Daten bleiben in der Cloud unverändert bestehen, wodurch sowohl Kosten als auch Aufwand für die Migration tief gehalten werden. Spielraum für Verbesserungen hingegen bieten sich nur begrenzt. Durch die weitere Verwendung bestehender Daten und Prozesse ändert sich für die Anwender nichts. Die Vermeidung der Übertragungskosten von Daten auf ein neues System verringert zudem die Risiken gegenüber einer Implementierung eines neuen Systems. Dennoch kann der Ansatz Herausforderungen mit sich bringen. Die Integrität alter Daten, die Überwindung technischer Hindernisse und die Übereinstimmung mit aktuellen Sicherheitsstandards und Gesetzen sind mögliche Stolpersteine auf der Cloud-Journey.

2.       Greenfield-Ansatz

Der Greenfield-Ansatz erlaubt es, ein IAM-System von Grund auf neu in der Cloud zu gestalten. Historische Daten können auf Wunsch ebenfalls übernommen werden, was jedoch meist mit größerem Aufwand verbunden ist. Ein Projekt mit diesem Ansatz dauert grundsätzlich länger als eine Migration nach dem Brownfield-Ansatz und erfordert eine höhere Anfangsinvestition. Sie bietet im Umkehrschluss jedoch das beste Optimierungspotenzial und kann langfristig kostenschonender sein. Der Greenfield-Ansatz bietet sich dann an, wenn im Zuge der Cloud-Journey veraltete Bestandslösungen durch eine moderne Cloud-Native Variante eines neuen Anbieters abgelöst oder alte Restanzen erledigt werden sollen. Für Steakholder bringt das kurzfristig mehr Arbeit, angepasste Prozesse, neue Portale und Anwendungen. Nur Unternehmen die bereit sind bestehende Prozesse und Funktionalitäten kritisch zu hinterfragen und gegebenenfalls Vereinfachungen zu Gunsten von Produktstandards einzugehen, werden mit einem Cloud-Native Produkt glücklich sein. Für Unternehmen ohne IAM-Legacy sollte ein Cloud-IAM immer die erste Wahl sein, da die Entwicklung ganz klar in SaaS-Lösungen und -Modelle geht.

3.       Orangefield-Ansatz

Der dritte und letzte Ansatz besteht aus einer Mischform, die das Beste aus Brown- und Greenfield vereint. Anhand der vorliegenden Gegebenheiten im Ursprungssystem wird individuell entschieden, welche Variante gewählt wird. Der Orangefield-Ansatz bezieht sich auf eine Methode, bei der eine Organisation Teile eines bestehenden Systems beibehält, aber andere Teile durch neue Technologien ersetzt. Dies ermöglicht einer Organisation, bestehende Investitionen zu schützen, aber gleichzeitig ihre IT-Systeme zu modernisieren. In beiden Fällen ist eine sorgfältige Überprüfung der bestehenden Systeme wichtig, um sicherzustellen, dass relevante Teile beibehalten und nicht notwendige Teile ersetzt werden. Damit werden die Geschäftsanforderungen optimal erfüllt.

Die Migration von IAM-Lösungen in die Cloud bietet alle Vorteile, einer generellen Verlagerung in die Cloud. Dazu gehören:

• Skalierbarkeit: Cloud-basierte IAM-Lösungen können leicht skaliert werden, um den wachsenden Anforderungen von Unternehmen gerecht zu werden. Insbesondere bei Access Management Lösungen und für Customer Identity & Access Management Infrastrukturen (CIAM) ist dies ein grosser Vorteil, da sofort auf grosse Schwankungen bei der Nutzung oder Peaks (z.B. E-Commerce) reagiert werden kann. 
• Kosteneffizienz: Unternehmen sparen sich interne, teure IT-Kosten für den Applikations-Betrieb der Lösung, zahlen nur für tatsächlich genutzte Ressourcen (Subscription) und sparen auch an Investitionen in Hardware und Wartung. 
• Fachkräftemangel: Hoch spezialisiertes IAM-Wissen kann mit dem IAM as a Service (IAMaaS) eingekauft werden. 
• Flexibilität: Cloud-basierte IAM-Lösungen ermöglichen den Zugriff auf Ressourcen von überall und zu jeder Zeit. Das fördert die Zusammenarbeit und Produktivität.
• Automatisierung: Viele Prozesse in der Cloud können automatisiert werden. Das steigert die Effizienz und reduziert menschliche Fehler.

Trotz aller Vorteile sind bei der Migration von IAM-Lösungen in die Cloud auch Herausforderungen und Risiken zu berücksichtigen:

• Datenschutz: Die Einhaltung von Datenschutzgesetzen und -standards ist Voraussetzung. Auch die Anforderungen der DSGVO sind bei der Cloud-Migration nicht zu vernachlässigen und von grosser Bedeutung. 
• Sicherheit: Die Sicherheit der Cloud-Umgebung ist entscheidend, um unautorisierten Zugriff auf Unternehmensdaten zu verhindern. Unternehmen müssen sicherstellen, dass der Cloud-Anbieter angemessene Sicherheitsmassnahmen implementiert hat. Dies liegt aber schon im Interesse der Anbieter, einmal schlechte Presse und tatsächliche Security-Vorfälle würden den Unternehmen nachhaltig schaden. Trotzdem, Risiken bleiben, wie verschiedene Vorfälle gezeigt haben.
• Integration: Die Integration von Cloud-basierten IAM-Lösungen in die bestehende IT-Infrastruktur kann komplex sein und erfordert sorgfältige Planung und Koordination. Cloud-basierte Systeme interagieren hervorragend mit Cloud-Anwendungen nach modernen Standards. Die Erschliessung von Legacy-Welten in der Unternehmens-Infrastruktur kann jedoch herausfordernd sein.

Eine erfolgreiche Migration von IAM-Lösungen in die Cloud hängt von einer sorgfältigen Planung, Auswahl des passenden Modells und kontinuierlichem Monitoring ab. Unternehmen sollten sich für einen Migrationsansatz entscheiden, der am besten zu ihren speziellen Bedürfnissen passt – sei es Brownfield, Greenfield oder Orangefield . Trotz möglicher Herausforderungen bietet eine solche Umstellung erhebliches Optimierungspotenzial sowie Kosteneinsparungen und Flexibilität für das Unternehmen.

Sprechen Sie uns an!

Als Business Partner bietet die IPG-Gruppe IAM-Leistungen aus einer Hand und stellt jederzeit eine Sicht aufs Ganze sicher. Wir begleiten Sie bei Ihrem Identity & Access Management Projekt von der ersten Planung, über die Implementierung bis zum Betrieb.