18 Min. Lesezeit

Lernziele

Am Ende dieses Moduls werden Sie in der Lage sein:

  • Das IONOS-Rollenbasierte-Zugriffs-Kontrollmodell (RBAC) und seine drei Kernrollen erklären
  • Beschreiben, wie Benutzer und Gruppen eine skalierbare Berechtigungsverwaltung ermöglichen
  • Bestimmen, wann Token Manager für API-Authentifizierung verwendet wird
  • Erklären, wie IAM Federation und Single-Sign-On (SSO) in IONOS Cloud funktionieren
  • Den Grundsatz der Mindestprivilegien anwenden, um den Zugriff auf Cloud-Ressourcen zu kontrollieren

Einheit 3.2: Identitäts- und Zugriffsverwaltung

Einführung

Stellen Sie sich die Verwaltung des Zugriffs auf Cloud-Ressourcen wie die Verwaltung eines großen Bürogebäudes vor. Sie benötigen einige Personen, die Master-Schlüssel haben (Administratoren), andere, die nur bestimmte Etagen zugänglich machen (Abteilungsteams), und Besucher, die vorübergehende Ausweise für begrenzte Bereiche benötigen. Ohne ein System, das kontrolliert, wer welche Räume betreten darf, bricht die Sicherheit zusammen. Identity and Access Management (IAM) bietet genau diese Art von Kontrolle für Ihre Cloud-Umgebung.

In dieser Einheit werden Sie lernen, wie IONOS Cloud IAM durch rollenbasierte Zugriffskontrolle (Role-Based Access Control), Benutzer- und Gruppenverwaltung, Authentifizierungstoken und Identitätsföderation umsetzt. Ob Sie die Ressourcen eines kleinen Teams sichern oder den Zugriff über mehrere Organisationen hinweg verwalten, das Verständnis von IAM ist für die Aufrechterhaltung von Sicherheit, Compliance und betrieblicher Effizienz unerlässlich.

1. IONOS Rollenbasierte Zugriffskontrolle (RBAC) Modell

IONOS Cloud verwendet ein Rollenbasiertes Zugriffskontrollmodell (RBAC), um zu steuern, wer welche Aktionen innerhalb eines Cloud-Vertrags ausführen kann. Der Zugriff wird durch Rollen, Privilegien und Gruppen gewährt, sodass Sie das Prinzip der Mindestprivilegien über die gesamte Plattform hinweg umsetzen können.

1.1 Die drei Kernrollen

IONOS Cloud definiert drei primäre Rollen, jede mit unterschiedlichen Zugriffsebenen:

Rolle Zugriffsebene Wichtige Fähigkeiten Einschränkungen
Kontoinhaber Vollzugriff (unbeschränkt) - Besitzt alle Privilegien und Berechtigungen (kann nicht entzogen werden)<br>- Erhält alle rechtlichen Mitteilungen und Rechnungen<br>- Kann jeden anderen Benutzer hinzufügen oder entfernen<br>- Kann Zahlungsmethoden ändern - Kann nicht aus dem Vertrag entfernt werden<br>- Diese Rolle wird automatisch dem Benutzer zugewiesen, der den Vertrag erstellt
Administrator Vollzugriff (fast unbeschränkt) - Gleiche Rechte wie der Kontoinhaber für die Ressourcenverwaltung<br>- Kann Benutzer hinzufügen oder entfernen (außer dem Kontoinhaber)<br>- Kann alle Cloud-Ressourcen verwalten (virtuelle Rechenzentren, Server, Speicher usw.) - Kann Zahlungsmethoden nicht ändern<br>- Kann den Kontoinhaber nicht entfernen
Benutzer Eingeschränkter Zugriff (explizit gewährt) - Kann nur Aktionen ausführen, die explizit durch Privilegien zugewiesen wurden<br>- Kann nur auf Ressourcen zugreifen, die mit ihren Gruppen geteilt werden<br>- Ideal für die Anwendung des Prinzips der Mindestprivilegien - Keine Standardberechtigungen<br>- Müssen explizite Privilegien für jede Aktion erhalten

Die Kontoinhaber-Rolle wird automatisch erstellt, wenn Sie sich zum ersten Mal für IONOS Cloud anmelden, und kann nicht übertragen oder entfernt werden. Dies stellt sicher, dass es immer einen Kontoinhaber gibt, der für Abrechnung und rechtliche Angelegenheiten verantwortlich ist.

1.2 Wie Privilegien funktionieren

Privilegien sind Aktionsebenen, die definieren, was ein Benutzer oder eine Gruppe tun kann. Beispiele umfassen "Erstellung eines virtuellen Rechenzentrums", "Lesen von Sicherungen", "Verwalten von Network File Storage" oder "Teilen von Snapshots". Anstatt einem Benutzer umfassenden administrativen Zugriff zu gewähren, weisen Sie ihm nur die spezifischen Privilegien zu, die er benötigt, um seine Aufgaben auszuführen.

Privilegien können auf zwei Arten zugewiesen werden:

  • Direkt an einzelne Benutzer - Nützlich für einmalige oder einzigartige Zugriffsanforderungen
  • An Gruppen - Empfohlen für die skalierbare Verwaltung von Teams mit gemeinsamen Verantwortlichkeiten

Beispielsweise kann ein Datenbankadministrator Privilegien erhalten, um "Zugriff auf und Verwaltung von Database as a Service" und "Erstellung von Snapshots" auszuführen, während ein Überwachungsspezialist nur "Zugriff auf und Verwaltung von Überwachungsressourcen" erhält, ohne die Möglichkeit, die Infrastruktur zu ändern.

1.3 Das Prinzip der Mindestprivilegien (PoLP)

Das Prinzip der Mindestprivilegien bedeutet, dass Benutzern nur die Mindestberechtigungen gewährt werden, die erforderlich sind, um ihre Aufgaben auszuführen. Diese Sicherheitsbest-Practice reduziert die Angriffsfläche, indem sie einschränkt, was ein kompromittiertes Konto zugreifen oder beschädigen kann.

IONOS ermöglicht die Umsetzung von PoLP durch:

  • Benutzerdefinierte Gruppenprofile - Vordefinierte Sets feingranularer Privilegien, die auf bestimmte Jobfunktionen zugeschnitten sind
  • Ressourcenbasierte Berechtigungen - Gewähren des Zugriffs auf bestimmte virtuelle Rechenzentren, Images, Snapshots oder IP-Blöcke anstelle aller Ressourcen
  • Regelmäßige Zugriffsprüfungen - Periodische Überprüfung von Benutzerkonten und Entzug unnötiger Privilegien
  • Multi-Faktor-Authentifizierung (MFA) - Erfordern eines zweiten Authentifizierungsfaktors für privilegierte Konten

Bei der Umsetzung von PoLP sollten Sie damit beginnen, jede Jobfunktion auf die minimal erforderlichen Aktionen zu kartieren. Verwenden Sie die Benutzerrolle mit expliziten Privilegien anstelle der Administratorrolle, wann immer möglich, und führen Sie quartalsweise Überprüfungen durch, um veraltete Zugriffsrechte zu identifizieren und zu entfernen.

2. Benutzer- und Gruppenverwaltung

Die Verwaltung des Zugriffs für Dutzende oder Hunderte von Benutzern individuell wäre zeitaufwendig und fehleranfällig. IONOS Cloud bietet die Funktionalität Benutzer und Gruppen, um die Berechtigungsverwaltung im großen Maßstab zu strukturieren.

2.1 Was sind Benutzer?

Ein Benutzer ist eine individuelle Identität, die sich bei der IONOS Cloud Data Center Designer (DCD)-Konsole anmelden kann. Jeder Benutzer wird durch eine eindeutige E-Mail-Adresse identifiziert und kann bestimmte Berechtigungen zugewiesen bekommen, die definieren, welche Aktionen er ausführen kann.

Wenn Sie einen Benutzer erstellen, geben Sie Folgendes an:

  • Vorname und Nachname
  • Eindeutige E-Mail-Adresse (diese wird zum Anmeldeidentifier)
  • Anfangspasswort (der Benutzer sollte dies beim ersten Anmelden ändern)

Unabhängig davon, ob ein Benutzer über die DCD-Schnittstelle oder über die API erstellt wird, beginnt er mit minimalen Standardberechtigungen und kann keine Ressourcen sehen, es sei denn, diese Ressourcen werden explizit mit einer Gruppe geteilt, der er angehört.

Nur der Vertragsinhaber und Administratoren können Benutzer erstellen und verwalten.

2.2 Was sind Gruppen?

Eine Gruppe ist eine logische Sammlung von Benutzern, die es Ihnen ermöglicht, Berechtigungen kollektiv anstatt individuell zuzuweisen. Gruppen vereinfachen die RBAC-Verwaltung für große oder dynamische Teams, indem Sie Berechtigungen einmal definieren und alle Gruppenmitglieder diese Rechte automatisch erben.

Beispielsweise könnten Sie Gruppen wie folgende erstellen:

Wenn Sie einen Benutzer einer Gruppe hinzufügen, erbt er sofort alle der Gruppe zugewiesenen Berechtigungen. Wenn Sie ihn aus der Gruppe entfernen, verliert er diese Berechtigungen ebenso schnell.

2.3 Erstellen und Verwalten von Gruppen

Um in IONOS Cloud eine Gruppe zu erstellen:

  1. Navigieren Sie zu Menü → Verwaltung → Benutzer & Gruppen
  2. Wechseln Sie zum Reiter Gruppen
  3. Klicken Sie auf Erstellen und geben Sie einen beschreibenden Gruppennamen an
  4. Fügen Sie Benutzer der Gruppe über den Reiter Mitglieder hinzu
  5. Weisen Sie Berechtigungen über den Reiter Berechtigungen zu (Änderungen werden sofort angewendet)
  6. Optional können Sie der Gruppe den Zugriff auf bestimmte Ressourcen über Zugriff gewähren

Gruppen sind besonders nützlich, wenn sich die Teamzusammensetzung häufig ändert. Anstatt die Berechtigungen für jeden einzelnen Benutzer zu ändern, fügen Sie ihn einfach der entsprechenden Gruppe hinzu oder entfernen ihn daraus. Dieser Ansatz wird für jede Berechtigung empfohlen, die von zwei oder mehr Benutzern geteilt wird.

2.4 Ressourcenbasierte Zugriffskontrolle

IONOS Cloud ermöglicht es Ihnen, den Zugriff auf Ressourcen zu kontrollieren, was bedeutet, dass Sie angeben können, welche Gruppen bestimmte Ressourcen wie VDCs, Images, Snapshots und IP-Blöcke anzeigen, bearbeiten oder teilen können.

Ressourcen können drei Berechtigungsstufen haben:

  • Anzeigen - Gruppenmitglieder können die Ressource anzeigen, aber nicht ändern
  • Bearbeiten - Gruppenmitglieder können die Ressourcenkonfiguration ändern
  • Teilen - Gruppenmitglieder können die Ressource mit anderen Gruppen teilen und ihnen Anzeigerechte gewähren

Wenn Sie als Vertragsinhaber eine Ressource erstellen, ist sie standardmäßig für andere Benutzer verborgen. Um sie sichtbar zu machen, müssen Sie sie mindestens einer Gruppe zuweisen. Dies stellt sicher, dass sensible Ressourcen (wie Produktionsimages oder Sicherungssnapshots) vertraulich bleiben, es sei denn, sie werden explizit geteilt.

2.5 Wann Gruppen anstelle von individuellen Berechtigungen verwenden

Situation Empfohlener Ansatz Warum
Standardrollen, die von mehreren Personen geteilt werden (z. B. Entwickler, Operatoren) Erstellen Sie eine Gruppe und weisen Sie Berechtigungen der Gruppe zu Skalierbar, konsistent, einfach zu überprüfen
Änderung der Teamzusammensetzung (Personen kommen oder gehen häufig) Verwenden Sie Gruppen - fügen Sie Mitglieder hinzu oder entfernen Sie sie, ohne Berechtigungen zu ändern Reduziert den administrativen Aufwand
Einmalige oder hochspezifische Zugriffsrechte (z. B. temporärer Lesezugriff auf eine einzelne Ressource) Weisen Sie Berechtigungen direkt dem einzelnen Benutzer zu Vermeidet die Erstellung unnötiger Gruppen für einzigartige Fälle
Administratoren und Vertragsinhaber Keine Gruppe erforderlich - sie haben automatisch vollen Zugriff Administratoren erben alle Berechtigungen standardmäßig
Feingranulierte Ressourcenfreigabe (z. B. bestimmte VDC oder Snapshot) Weisen Sie die Ressource einer Gruppe über Zugriff zu Nur Gruppenmitglieder können die Ressource anzeigen oder verwalten

Im Allgemeinen sollten Gruppen für jede Berechtigung verwendet werden, die von zwei oder mehr Benutzern geteilt wird, und individuelle Berechtigungen nur für einzigartige, temporäre oder einmalige Anforderungen.

3. Token Manager für API-Authentifizierung

Viele IONOS Cloud-Operationen können programmgesteuert mithilfe der IONOS Cloud API durchgeführt werden. Um API-Anfragen sicher zu authentifizieren, ohne Ihr Passwort zu senden, stellt IONOS Token Manager bereit.

3.1 Was ist Token Manager?

Token Manager ist ein Dienst, der Bearer-Tokens (JSON-Web-Tokens oder JWTs) generiert, die Ihre Benutzersitzung repräsentieren. Diese Tokens können anstelle Ihres Benutzernamens und Passworts bei der Ausführung von API-Aufrufen verwendet werden.

Ein Token ist ein kurzlebigesCredential, das Sie in den Autorisierungsheader jeder API-Anfrage einbeziehen. Anstelle der Authentifizierung mit Ihrem Passwort bei jeder Anfrage authentifizieren Sie einmal, indem Sie ein Token generieren, und verwenden dann dieses Token für alle nachfolgenden API-Aufrufe, bis es abläuft.

3.2 Warum Token Manager verwenden?

Token Manager bietet mehrere Vorteile gegenüber der passwortbasierten Authentifizierung:

  • Erforderlich für 2FA-Konten - Wenn Ihr Konto Two-Factor-Authentifizierung (2FA) aktiviert hat, können Sie keine passwortbasierte Authentifizierung für API-Aufrufe verwenden. Token Manager bietet die einzige Möglichkeit, API-Anfragen in diesem Szenario zu authentifizieren.
  • Verbesserte Sicherheit - Tokens sind zeitlich begrenzt und können sofort widerrufen werden, wenn sie kompromittiert werden, während das Ändern eines Passworts alle Ihre Zugriffsmethoden beeinflusst.
  • Trennung von Belangen - Sie können mehrere Tokens für verschiedene Anwendungen oder Automatisierungsskripte erstellen und einzelne Tokens widerrufen, ohne andere zu beeinflussen.
  • Überwachungsspur - Die Verwendung von Tokens kann getrennt von interaktiven Console-Anmeldungen verfolgt werden.

3.3 Wie funktioniert Token Manager?

Um Token Manager zu verwenden:

  1. Navigieren Sie im Data Center Designer zu Menü → Verwaltung → Token Manager
  2. Klicken Sie auf Token generieren
  3. Wählen Sie eine Time-To-Live (TTL) für das Token (Optionen reichen von 1 Stunde bis 365 Tage)
  4. Klicken Sie auf Erstellen - der Tokenwert wird einmalig angezeigt und kann nicht wieder abgerufen werden
  5. Kopieren Sie den Tokenwert und speichern Sie ihn sicher

Sobald Sie ein Token haben, fügen Sie es dem Autorisierungsheader Ihrer API-Anfragen hinzu:

Authorization: Bearer <your-token-value>

Jeder Benutzer kann bis zu 100 aktive Token haben. Sie können ein Token jederzeit über die Token Manager-Schnittstelle löschen, was es sofort ungültig macht, auch wenn die TTL noch nicht abgelaufen ist.

3.4 Token-Attribute

Jedes Token hat die folgenden Attribute:

  • Token-ID - Wird verwendet, um das Token in der API zu referenzieren (zum Beispiel beim Löschen)
  • Erstellungsdatum - Wann das Token generiert wurde
  • Ablaufdatum - Wann das Token automatisch abläuft (basierend auf der ausgewählten TTL)
  • TTL (Time-To-Live) - Die Lebensdauer des Tokens (wählbar von 1 Stunde bis 365 Tagen)
  • Token-Wert - Der tatsächliche geheime String, der für die Authentifizierung verwendet wird (wird nur einmal bei der Erstellung angezeigt)

Aus Sicherheitsgründen wird empfohlen, für Token, die in Produktionsumgebungen verwendet werden, kürzere TTLs (wie 1 Tag oder 1 Woche) zu verwenden und Token regelmäßig zu rotieren.

4. IAM Federation und Single Sign-On (SSO)

Für Organisationen, die bereits einen Unternehmens-Identity-Provider (IdP) wie Azure Active Directory, Okta oder OneLogin verwenden, unterstützt IONOS Cloud IAM Federation. Diese Funktion ermöglicht es Benutzern, sich mit ihren Unternehmensanmeldeinformationen zu authentifizieren, anstatt separate IONOS-Passwörter zu verwenden.

4.1 Was ist IAM Federation?

IAM Federation ist ein Dienst, der es Benutzern ermöglicht, sich bei IONOS Cloud mit Anmeldeinformationen von einem externen Identity-Provider zu authentifizieren. Er unterstützt zwei branchenübliche Protokolle:

  • SAML 2.0 - Ein weit verbreitetes XML-basiertes Protokoll für webbasiertes Single-Sign-On
  • OpenID Connect (OIDC) - Ein modernes JSON-basiertes Protokoll, das auf OAuth 2.0 aufbaut

Wenn IAM Federation aktiviert ist, können Benutzer sich bei der IONOS Data Center Designer anmelden, indem sie auf "Mit einem verknüpften Konto anmelden" klicken und zum Identity-Provider ihrer Organisation weitergeleitet werden. Nach erfolgreicher Authentifizierung beim IdP werden sie automatisch bei IONOS Cloud angemeldet, ohne dass sie ein IONOS-spezifisches Passwort eingeben müssen.

4.2 Vorteile von IAM Federation

IAM Federation bietet mehrere Vorteile:

Vorteil Beschreibung
Single Sign-On (SSO) Benutzer melden sich einmal an und erhalten Zugriff auf mehrere IONOS-Dienste (DCD, Control Panel, Reseller-Portal) ohne wiederholte Anmeldungen
Verbesserte Sicherheit Die Authentifizierung wird von Ihrem Unternehmens-IdP durchgeführt, oft mit Multi-Faktor-Authentifizierung und bedingten Zugriffsrichtlinien, die bereits vorhanden sind
Geringeres Phishing-Risiko Benutzerpasswörter werden nie in IONOS Cloud gespeichert, was einen Angriffspunkt für die Diebstahl von Anmeldeinformationen eliminiert
Zentrale Authentifizierung Die Anmeldung wird von Ihrem Unternehmens-IdP gehandhabt, sodass Benutzer sich über ein zentrales System anmelden, anstatt über eine separate IONOS-Anmeldung
Zentrale Anmeldeinformationen-Kontrolle Die Deaktivierung eines Benutzerkontos in Ihrem IdP blockiert sofort die verbundene Anmeldung bei IONOS Cloud. Das IONOS-Cloud-Konto und die zugewiesenen Berechtigungen bleiben bestehen und werden weiterhin innerhalb von IONOS verwaltet
Verbesserte Benutzererfahrung Nahtlose Anmeldung mit vertrauten Unternehmensanmeldeinformationen, ohne dass multiple Passwörter gemerkt werden müssen
Weniger separate Passwörter Benutzer melden sich mit ihren bestehenden Unternehmensanmeldeinformationen an, sodass sie kein separates IONOS-Cloud-Passwort erstellen oder merken müssen

4.3 Funktionsweise von IAM Federation

Die Einrichtung von IAM Federation umfasst die folgenden Schritte:

  1. Domain-Besitz-Verifizierung - Sie beweisen den Besitz Ihrer Unternehmensdomain (z. B. yourcompany.com), indem Sie einen TXT-Eintrag in Ihrem DNS erstellen
  2. Identity-Provider-Onboarding - Sie stellen IONOS die Informationen zum Entdeckungsendpunkt Ihres IdP (z. B. die SAML-Metadaten-XML-URL oder OIDC-Konfigurationsendpunkte) zur Verfügung
  3. Benutzerkonto-Verknüpfung - Jeder Benutzer verknüpft sein bestehendes IONOS-Cloud-Konto mit seiner Unternehmensidentität über das IAM Federation-Menü im DCD
  4. SSO-Anmeldung - Benutzer können sich nun bei IONOS Cloud anmelden, indem sie ihre Unternehmens-E-Mail-Adresse eingeben und "Mit einem verknüpften Konto anmelden" auswählen

Nach der Verknüpfung wird der Benutzer zum Anmeldebildschirm des Unternehmens-IdP weitergeleitet, authentifiziert sich dort (oft mit MFA) und wird dann vollständig authentifiziert zur IONOS Data Center Designer zurückgeleitet.

4.4 IAM-Berechtigungen und Verbund

Es ist wichtig zu verstehen, dass IAM Federation nur die Authentifizierung (Überprüfung, wer der Benutzer ist) und nicht die Autorisierung (Festlegung, was der Benutzer tun kann) handhabt. Die IONOS RBAC-Berechtigungen, die einem Benutzer zugewiesen sind, bleiben unverändert, wenn er sich mit einem externen IdP verbindet.

Zum Beispiel: Wenn ein Benutzer vor der Verbindung mit einem Verbund die Berechtigung "Zugriff auf und Verwaltung von Database as a Service" hat, behält er diese Berechtigung auch nach der Verbindung. Der Verbund bietet eine alternative Anmelde Methode, ändert aber nicht die zugrunde liegenden Berechtigungen.

5. Implementierung von IAM-Best-Praktiken

Eine effektive Implementierung von IAM geht über das Verständnis der technischen Funktionen hinaus. Sie erfordert die Einhaltung von Sicherheitsbest-Praktiken, um Ihre Cloud-Umgebung zu schützen.

5.1 Checkliste für Sicherheitsbest-Praktiken

Bei der Implementierung von IAM in IONOS Cloud sollten Sie folgende Richtlinien befolgen:

  1. Anwendung des Prinzips der Mindestprivilegien (PoLP) - Gewähren Sie Benutzern nur die Mindestberechtigungen, die für ihre Aufgaben erforderlich sind. Verwenden Sie die Benutzerrolle mit expliziten Berechtigungen anstelle der Administratorrolle, wenn immer möglich.

  2. Verwendung von Gruppen für teambasierten Zugriff - Erstellen Sie Gruppen, die organisatorische Rollen widerspiegeln (wie Entwickler, Betreiber, Prüfer), und weisen Sie Berechtigungen Gruppen zu, anstatt einzelnen Benutzern. Dies vereinfacht die Verwaltung und gewährleistet Konsistenz.

  3. Aktivieren von Multi-Faktor-Authentifizierung (MFA) - Erfordern Sie MFA für den Vertragsinhaber, alle Administratoren und alle Benutzer mit erhöhten Berechtigungen. Dies fügt eine kritische zweite Sicherheitsebene hinzu.

  4. Durchführung regelmäßiger Zugriffsprüfungen - Mindestens quartalsweise sollten Sie Benutzerkonten, Gruppenmitgliedschaften und zugewiesene Berechtigungen überprüfen. Entziehen Sie den Zugriff sofort, wenn Mitarbeiter ihre Rollen wechseln oder die Organisation verlassen.

  5. Rotieren von API-Tokens regelmäßig - Verwenden Sie kurze TTLs für Produktions-Tokens (1-7 Tage empfohlen) und rotieren Sie sie regelmäßig. Löschen Sie Tokens, die nicht mehr in Verwendung sind.

  6. Verwendung von IAM Federation, wenn verfügbar - Wenn Ihre Organisation bereits einen Unternehmens-IdP hat, verwenden Sie IAM Federation, um die Authentifizierung zu zentralisieren und Ihre bestehenden Sicherheitskontrollen zu nutzen.

  7. Dokumentieren Sie Ihre IAM-Richtlinien - Bewahren Sie schriftliche Dokumentationen auf, die Rollen, Gruppenstrukturen, Berechtigungszuweisungen und Prüfungspläne definieren. Dies gewährleistet Konsistenz und hilft bei Compliance-Prüfungen.

  8. Überwachung von Activity Logs - Verwenden Sie den Activity Logs-Dienst (beschrieben in Einheit 3.4), um zu verfolgen, wer welche Aktionen durchgeführt hat und wann. Dies bietet eine Audit-Spur für Sicherheits- und Compliance-Zwecke.

5.2 Häufige IAM-Fehler, die zu vermeiden sind

Mehrere häufige Fehler können die Sicherheit von IAM untergraben:

  • Über-Berechtigung von Benutzern - Die Gewährung von Administratorrechten, wenn spezifische Berechtigungen ausreichen würden, erhöht das Risiko, wenn ein Konto kompromittiert wird
  • Teilen von Anmeldeinformationen - Jeder Benutzer sollte sein eigenes Benutzerkonto und Anmeldeinformationen haben, die niemals mit Teamkollegen geteilt werden sollten
  • Ignorieren von veralteten Konten - Das Versäumnis, Benutzer zu entfernen, die die Organisation verlassen haben oder ihre Rollen gewechselt haben, lässt unnötigen Zugriff bestehen
  • Verwendung von langfristigen Tokens - Tokens mit 365-Tage-TTLs sind bequem, aber schaffen langfristige Sicherheitsrisiken, wenn sie kompromittiert werden
  • Vergessen, MFA zu aktivieren - Die alleinige Verwendung von Passwörtern lässt Konten anfällig für Phishing- und Credential-Stuffing-Angriffe
  • Nicht-Dokumentieren von Gruppenstrukturen - Ohne Dokumentation werden Berechtigungszuweisungen im Laufe der Zeit unklar, was Audits erschwert

Häufige Anwendungsfälle

Reale Szenarien, in denen Identity- und Access-Management unerlässlich sind:

  1. Multi-Team-Entwicklungsumgebung: Ein Software-Unternehmen hat separate Teams für Frontend, Backend und DevOps. Mit IONOS-Gruppen erstellen sie "Frontend-Entwickler" mit Berechtigungen, um Compute Engine und Lastverteilung (in Einheit 2.2 und 2.4 behandelt) zu verwalten, "Backend-Entwickler" mit Zugriff auf Database as a Service und Object Storage (in Einheit 2.5 und 2.3 behandelt) und "DevOps-Ingenieure" mit vollständigen Infrastruktur-Berechtigungen. Wenn Entwickler das Team wechseln, müssen Administratoren sie einfach in die entsprechende Gruppe verschieben, anstatt individuelle Berechtigungen neu zu konfigurieren.

  2. Föderierter Zugriff für Unternehmen: Ein großes Unternehmen verwendet bereits Azure Active Directory für die Authentifizierung von Mitarbeitern in allen internen Systemen. Durch die Implementierung von IAM Federation (Abschnitt 4) ermöglichen sie es Mitarbeitern, sich bei IONOS Cloud mit ihren Unternehmens-Anmeldeinformationen und MFA-Richtlinien anzumelden. Wenn ein Mitarbeiter das Unternehmen verlässt, wird durch die Deaktivierung seines Azure-AD-Kontos der föderierte Zugriff auf IONOS Cloud blockiert. Das Konto des Mitarbeiters bei IONOS Cloud sollte dennoch im Rahmen des normalen Entzugprozesses entfernt werden.

  3. API-Automatisierung mit Token Manager: Eine E-Commerce-Plattform verwendet automatisierte Skripte, um jeden Morgen Testumgebungen zu bereitstellen und sie jeden Abend wieder zu entfernen, um Kosten zu sparen. Mit Token Manager (Abschnitt 3) generieren sie ein 7-Tage-API-Token mit den minimal erforderlichen Berechtigungen ("Virtuelles Rechenzentrum erstellen", "Server erstellen", "Ressourcen löschen") und verwenden es in ihren Automatisierungsskripten. Das Token wird wöchentlich rotiert und bietet eine separate Audit-Spur zu den individuellen Benutzerkonten.

Zusammenfassung

Identity- und Access-Management ist das Fundament der Cloud-Sicherheit und bestimmt, wer auf Ihre Ressourcen zugreifen kann und was sie damit tun können. IONOS Cloud bietet ein umfassendes IAM-Rahmenwerk auf Basis von Role-Based Access Control, das es Ihnen ermöglicht, feingranulierte Sicherheitsrichtlinien zu implementieren, die sich von kleinen Teams bis hin zu großen Unternehmen skalieren lassen.

Sie haben gelernt, wie IONOS' dreistufiges Rollensystem (Besitzer, Administrator, Benutzer) Flexibilität bei der Zugriffskontrolle bietet, wie Benutzer und Gruppen eine skalierbare Berechtigungsverwaltung ermöglichen und wie 2FA die Authentifizierung von API sichert. Sie haben auch erforscht, wie API Gateway und Single Sign-On IONOS Cloud mit Ihrer bestehenden Unternehmens-Identitätsinfrastruktur integrieren können, wodurch die Authentifizierung gestreamt und die Sicherheit verbessert wird.

Eine effektive IAM-Implementierung erfordert mehr als nur technische Konfiguration. Sie erfordert ein Bekenntnis zum Prinzip der geringsten Privilegien, regelmäßige Zugriffsüberprüfungen, die Durchsetzung von Multi-Factor-Authentifizierung und eine klare Dokumentation von Richtlinien und Verfahren. Indem Sie diesen Best-Practices folgen, können Sie die Sicherheitsrisiken erheblich reduzieren, während Sie die betriebliche Effizienz aufrechterhalten.

Wichtige Punkte:

  • IONOS Cloud verwendet ein Role-Based Access Control (IAM)-Modell mit drei Rollen: Besitzer (vollständiger unbeschränkter Zugriff), Administrator (vollständiger Zugriff außer Zahlungsänderungen) und Benutzer (explizit gewährte Privilegien)
  • Gruppen ermöglichen eine skalierbare Berechtigungsverwaltung, indem Sie Privilegien kollektiv mehreren Benutzern zuweisen können, anstatt ihnen individuell zuzuweisen
  • API generiert Bearer-Tokens für eine sichere API-Authentifizierung, die für Konten mit aktivierter Zwei-Faktor-Authentifizierung erforderlich ist
  • API Gateway unterstützt OAuth 2.0 und OpenID Connect, wodurch Benutzer sich mit externen Identitätsanbietern für Single Sign-On authentifizieren können
  • Das Prinzip der geringsten Privilegien bedeutet, dass Benutzern nur die Mindestberechtigungen gewährt werden, die für ihre Aufgaben erforderlich sind, wodurch das Sicherheitsrisiko reduziert wird
  • Best-Practices umfassen die Aktivierung von MFA, die Durchführung quartalsmäßiger Zugriffsüberprüfungen, die regelmäßige Rotation von API-Tokens und die Dokumentation von IAM-Richtlinien

Wichtige Begriffe:

  • IAM (Role-Based Access Control): Ein Modell für die Zugriffsverwaltung auf Basis von vordefinierten Rollen mit spezifischen Privilegien
  • Privileg: Eine aktionsbasierte Gewährung, die definiert, was ein Benutzer oder eine Gruppe ausführen kann (z. B. VDCs erstellen, Datenbanken verwalten)
  • Gruppe: Eine logische Sammlung von Benutzern, die Privilegien kollektiv erben
  • API: Ein Dienst für die Generierung von Bearer-Tokens (JWTs) für die API-Authentifizierung
  • API Gateway: Ein Dienst, der es Benutzern ermöglicht, sich mit externen Identitätsanbietern über OAuth 2.0 oder OIDC zu authentifizieren
  • Single Sign-On (SSO): Eine Authentifizierungsmethode, die es Benutzern ermöglicht, sich einmal anzumelden und auf mehrere Dienste zuzugreifen, ohne ihre Anmeldedaten erneut eingeben zu müssen
  • Prinzip der geringsten Privilegien (PoLP): Eine Sicherheitspraxis, die darin besteht, Benutzern nur die Mindestberechtigungen zu gewähren, die für ihre Aufgaben erforderlich sind

Nächste Schritte

Weiterlernen: Einheit 3.3: Kostengeschäft und Abrechnung

Verwandte Themen: