Identität wird zum neuen Perimeter: Unternehmen verlassen sich immer seltener auf die traditionelle Perimeter-Verteidigung und forcieren den Umstieg auf Zero-Trust-Umgebungen. Sicherer Zugriff und Identity Management bilden die Grundlage jeder Cybersicherheitsstrategie. Gleichzeitig sorgt die Art und Weise, wie sich Menschen, Anwendungen und Systeme anmelden und miteinander vernetzt sind, auch dafür, dass sich neue, sichtbare Touchpoints für Business-Stakeholder herausbilden. Die Sicherheitsexperten bewegen sich dabei auf einem schmalen Grat zwischen Benutzerfreundlichkeit und Security: Laxe Kontrollen und Authentifizierungsmechanismen machen Unternehmen angreifbar - zu strenge Kontrollmaßnahmen stören den Geschäftsfluss.
IAM: Tools im Wandel
Die gute - und gleichzeitig schlechte - Nachricht für Unternehmen, die im Bereich Identity & Access Management tätig werden wollen: In Sachen Tools zeigt sich dieser Sektor inzwischen differenzierter und leistungsfähiger als je zuvor. IAM-Tools können die Komplexität verschiedener Aufgaben inzwischen deutlich reduzieren. Dazu gehören zum Beispiel:
Identitäten in hybriden und Multi-Cloud-Umgebungen zu managen,
privilegierte Konten zu kontrollieren,
Login-Muster zu analysieren,
auf Grundlage von Risikofaktoren zu authentifizieren oder
Provisioning und andere Elemente des Benutzerlebenszyklus zu automatisieren.
"Egal, ob es um fortschrittliche Analysen der Prozesse, die Integration mit Cloud-Service-Providern für ein verbessertes Workload-Management geht oder darum, die Benutzererfahrung per KI zu vereinheitlichen - den Unternehmen bieten sich heute so viele Funktionalitäten wie nie zuvor, um robuste IAM-Initiativen aufzubauen", meint Naresh Persaud, Managing Director bei Deloitte.
Diese Entwicklung habe dazu geführt, dass sich viele kleine Teilmärkte gebildet haben - auf denen sich teils eigenständige Produkte und teils Features, die Teil einer breiteren Plattform sind, tummelten. Da sich die Anbieter in diesem Bereich rasch annäherten, sei zu erwarten, dass diese sich in hohem Maß gegenseitig befruchten und übergreifende Funktionalitäten entstehen. Kurz gesagt: Es gibt eine Vielzahl von Optionen, die in eine IAM-Analyse-Paralyse führen können.
"Einige Anbieter konzentrieren sich ausschließlich auf Identity Governance und Administration (IGA), andere auf Privileged Access Management (PAM) - beides sind kritische Elemente eines effektiven Identity-Programms. Der Bereich Authentifizierung ist wahrscheinlich derjenige mit der größten Produktvielfalt, wobei viele Anbieter in der Branche Lösungen im Bereich Multi-Faktor-Authentifizierung (MFA) anbieten", erklärt JR Cunningham, CSO beim Managed Service Provider Nuspire. "Deshalb ist es für Unternehmen essenziell, seine aktuellen Fähigkeiten und Anforderungen zu definieren, um sicherzustellen, dass die gewählten Produkte, diese auch erfüllen."
Identity & Access Management Tools: Top 9
Im folgenden Absatz haben wir einige der besten Anbieter im Bereich IAM für Sie zusammengestellt - dabei haben wir Einschätzungen der Analystenhäuser Gartner und Forrester einfließen lassen. Diese Identity-und-Access-Management-Anbieter und -Tools sollten CISOs auf dem Zettel haben.
Das Unternehmen Avatier blickt auf eine lange Geschichte im Bereich ITSM und Helpdesk zurück. Seine Identity-Governance-and-Administration (IGA)-Plattform basiert auf automatisierter Benutzerbereitstellung und Passwort-Management. Zuletzt hat der Anbieter massiv in die Modernisierung seines Portfolios investiert: Die Identity-Anwhere-Plattform ist eine containerisierte Lösung, die wahlweise auch in der Cloud gehostet werden kann. Inzwischen unterstützt sie auch passwortlose Authentifizierung per SSO und bietet einen universelle User Experience - auch über Collaboration-Plattformen wie Slack, Microsoft Teams oder ServiceNow.
Die IAM-Plattform von Avatier verfügt über Konnektoren zu mehr als 90 Unternehmens- und 5.000 Cloud-Anwendungen und -Plattformen sowie über einen generischen Low-Code/No-Code-Konnektor für individuelle Integrationen. Diese Plattform fliegt oft unter dem Radar der Analysten, da sie im Vergleich zu den Marktführern (in Forrester Wave und Gartners Magic Quadrant) als erschwinglichere Lösung positioniert ist.
Eine feste Größe in der Privileged-Access-Management (PAM) -Nische, hat BeyondTrust die Fähigkeiten und Funktionen seiner Plattform kontinuierlich ausgebaut. Neben PAM bietet die Plattform zentrales Management für Remote-Zugriffe sowie Endpoint Privilege Management für Windows und Mac - und über die "Active Directory Bridge"-Technologie auch für Unix und Linux.
Darüber hinaus hat der Anbieter mit seiner "Cloud Privilege Broker"-Technologie (Berechtigungsmanagement in Multi-Cloud-Umgebungen) nun auch im Bereich Cloud Infrastructure Entitlement Management (CIEM) Fuß gefasst - einem PAM-Ableger. Laut den Analysten von Gartner weist BeyondTrust einen starken Bezug zur Compliance- und Audit-Welt auf - ein Unterscheidungsmerkmal liegt dabei in den Reporting- und Visualisierungsfunktionen. Erweiterte Analysefähigkeiten können die Anwender über das Paket "BeyondInsight" zubuchen. Allerdings warnen die Auguren potenzielle Kunden hinsichtlich der Integrationsmöglichkeiten - sowohl bezogen auf externe Lösungen als auch auf sich überschneidende Funktionalitäten sei das der Schwachpunkt von BeyondTrust.
Laut Forrester Research ist CyberArk (nach Umsatz) der größte PAM-Anbieter und verbindet Privileged Access Management mit Identity-as-a-Service (IDaaS). Mit der Übernahme von Idaptive konnte CyberArk im Jahr 2020 seine SaaS-Kompetenz entscheidend ausbauen: Seitdem gehören SSO, MFA und Customer-Identity-Management-Funktionen genauso zum Programm wie Passwordless- und Self-Service-Optionen für das Account Management. Darüber hinaus bietet die Cyberark-Lösung auch leistungsstarke Analysefunktionen, die ausgereiftere Programme mit Security-Metriken füttern können. CyberArk bietet auch Risk-Based Authentication (RBA), die Administratoren entsprechend ihrer Bedürfnisse granular abstimmen können. Das Ganze kostet allerdings: Laut Gartner können die Preise für einige Anwendungsfälle im Bereich Workforce weit über dem Durchschnitt liegen.
CyberArk bietet - etwa für Multi-Cloud-Umgebungen - über seinen "Cloud Entitlements Manager" auch ausgereifte CIEM-Funktionen, einschließlich der Risikobewertung von Berechtigungen. An der IDaaS-Front ist CyberArk laut Forrester eine ernstzunehmende Alternative für alle, "einen risikobasierten Ansatz auf IDaaS" anwenden wollen und diesen mit Privilege-Management-Funktionen anreichen möchten. Auf der anderen Seite warnen die Analysten vor Performance-Problemen und verweisen dabei auf Service-Degradation-Vorfälle. Zudem fehle bislang der Nachweis über die Skalierbarkeit des Produkts.
Dieser IAM-Anbieter vereint Access Management für Mitarbeiter, Kunden und IoT-Gerätschaften in einem Paket, das als Identity Platform as a Service (IDPaaS) genutzt werden kann. Die Komponenten sind jedoch auch einzeln verfügbar. Die Plattform von ForgeRock enthält auch Identity-Governance-Komponenten für Anwender, die IGA-Funktionen wie Identity Lifecycle Management benötigen.
Die ForgeRock-Plattform ist bei Entwicklern und DevOps-Teams beliebt - nicht nur wegen ihres Cloud-First-Ansatzes, sondern auch wegen ihres REST-API-Frameworks, der Entwickler-Tools, der Community und der API-Zugriffskontrolle. Gartner hat Forgerock allerdings wegen seiner unterdurchschnittlichen Analysefähigkeiten (im Vergleich zur IAM-Konkurrenz) getadelt. Das liegt vor allem daran, dass der Anbieter weiterhin die seit 2020 in Aussicht gestellten Funktionen im Bereich User and Entity Behavior Analytics (UEBA) vermissen lässt.
Microsoft Azure Active Directory
Geht es nach Forrester, spielt Microsoft mit Azure Active Directory (das mit über 300.000 zahlenden Kunden die größte IDaaS-Installationsbasis aufweist) im Identity-and-Access-Management-Bereich ganze vorne mit. Gartner führt das rasante Wachstum von Azure AD vor allem darauf zurück, dass das Produkt im Jahr 2020 mit Microsoft 365 und Microsoft Enterprise Mobility and Security (EMS) gekoppelt wurde, wodurch sich die Installationsbasis verdoppelt hat. Das Hauptaugenmerk von Azure AD liegt auf Workforce IAM, insbesondere in Microsoft-lastigen IT-Umgebungen. Die Übernahme von CloudKnox Security im Jahr 2021 hat für zusätzliche PAM- und IGA-Features gesorgt.
Eine Schwachstelle sehen die Analysten von Gartner im Bereich Customer IAM, wo Azure AD ihrer Meinung nach noch hinter den anderen führenden Access-Management-Anbietern zurückbleibt.
Trotz einer im März 2022 bekannt gewordenen Datenpanne bleibt Okta eine der renommiertesten Optionen in Sachen Identity & Access Management. Schon seit seiner Gründung im Jahr 2009 ist das Unternehmen Cloud-zentriert - zu einer Zeit, als Cloud-Implementierungen in vielen Unternehmen noch eine Randerscheinung waren. Oktas SaaS-Plattform bietet eine ganze Reihe von gebündelten oder eigenständigen Funktionen, die in hybriden und komplexen Multi-Cloud-Umgebungen funktionieren, darunter SSO, MFA, API-Zugriffsmanagement, Lifecycle- und User Management, sowie Identity Automation und Workflow-Orchestrierung.
Der IAM-Anbieter verfügt über eines der robustesten API- und Konnektor-Ökosysteme auf dem Markt und hat sich durch die Übernahme von Auth0 im vergangenen Jahr einen festen Platz im Bereich Customer IAM erobert. Mit der Veröffentlichung von "Okta Privileged Access" hat das Unternehmen 2021 seine Fühler auch in Richtung PAM ausgestreckt. Die Innovationen müssen die Anwender allerdings auch teuer bezahlen: Laut Gartner sind die hohen Kosten der Okta-Lösung bei seinen Kunden "immer wieder" ein Thema.
Vor der Übernahme von OneLogin (Anbieter reiner IDaaS-Lösungen) im Jahr 2021 war One Identity ein PAM- und IGA-Anbieter, der stark in der On-Premises-IAM-Welt verwurzelt war.
Laut Forrester hat der Deal das Unternehmen den Einstieg ins IDaaS-Geschäft ermöglicht. Dabei unterscheide sich One Identity von anderen Anbietern insbesondere durch native PAM- und IGA-Funktionen. Allerdings ist es noch zu früh, um abzuschätzen, wie gut das Unternehmen die OneLogin-Technologie integrieren und die Stärken beider Seiten miteinander kombinieren kann. Auch ist nicht klar, was der Zusammenschluss für die Preisgestaltung von OneLogin und den bisherigen Fokus auf kleinere Unternehmen bedeutet.
Dieser Anbieter adressiert Unternehmen mit komplexen, hybriden Umgebungen und bildet mit der Kombination von Ping One (IDaaS-Plattform) und PingFederate (föderiertes SSO) eine Brücke zwischen SaaS und lokalem IAM. Zusätzlich zu den Standard-IAM-Funktionen für Mitarbeiter und Kunden (SSO, MFA, Cloud-Identitity-Funktionen) bietet die IDaaS-Plattform dank einiger Übernahmen intwische auch dezentrale Identity-Features. Darüber hinaus bereichert ein Low-Code-Flow-Designer die PingOne-Plattform - und auch Analysen (einschließlich API-Transparenz) und eine optimierteRBA gehören zum Paket.
Dabei handelt es sich allerdings nicht um eine vollständige IAM-Plattform aus einer Hand: Wie Gartner erklärt, bietet die Lösung von Ping Identity nur wenige Funktionen für das Identity Management, was es für kleinere Unternehmen oder solche, die eingebettete IGA- oder PAM-Funktionen suchen, weniger attraktiv macht.
SailPoint gehört auf dem IGA-Markt zu den Marktführern und richtet sich an verteilte Unternehmen mit komplexen IT-Umgebungen, die ausgefeilte Automatisierungs- und Integrationsfunktionen benötigen.
Laut Forrester schneidet die SailPoint-Plattform in den Bereichen User Lifecycle Management, Compliance Management und Integration am besten ab. SailPoint ist bestrebt, sein SaaS-Angebot auszubauen, um den sich ändernden Kundenbedürfnissen gerecht zu werden und genießt einen sehr guten Ruf bei den Kunden: Im Rahmen von Gartners Peer Insights Customers' Choice 2021 wurde das Unternehmen zu einem der besten IGA-Anbieter gewählt.
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.
