Der Ausdruck „zwischen Baum und Borke stecken“ kommt einem direkt in den Sinn, wenn man die zwei Probleme beschreibt, mit denen das IBM Office of the CIO zu kämpfen hatte. Stellen Sie sich zunächst vor, Sie müssten Identity- und Access-Managemenent-Dienste für mehr als eine halbe Million IBM-Mitarbeiter auf der ganzen Welt bereitstellen, und zwar mit einer hochgradig angepassten, lokalen Single-Tenant-Plattformt. Und gleichzeitig müssen ähnliche Identity- und Access-Managemenent-Dienste für über 26 Millionen IBM-Kunden weltweit mit einer separaten, veralteten IDaaS-Lösung (Identity as a Service) der ersten Generation bereitgestellt werden.
Jetzt verstehen Sie vielleicht, womit das IBM Office of the CIO konfrontiert war: zwei separate Plattformen für Identity und Access Management (IAM) mit unterschiedlichen Technologien und unterschiedlichem Reifegrad, Zuverlässigkeit und Funktionalität.
Das Ausmaß der Herausforderung kann man sich kaum vorstellen. Das Team für Assured Identity and Cybersecurity Operations von IBM unterstützte 5.000 Anwendungen, mehr als 600 föderierte Kundenunternehmen und deren Belegschaft sowie über 150.000 Autorisierungsgruppen. In einem Quartal im Jahr 2021 unterstützten die IBM Authentifizierungsdienste 35,7 Millionen Anmeldungen.
Und das aktuelle, von Konkurrenz geprägte Umfeld war stets im Wandel. Daniel Opoku-Frempong, Leiter des Teams für Assured Identity und Cybersecurity Operations, betont: „Die IBM CIO-Organisation stellt kritische Identitätsdienste für die gesamte IBM-Belegschaft bereit, für Millionen von Kunden und jetzt auch für Kyndryl.“
Die Transformation der Authentifizierungsdienste von IBM würde eine erhebliche Modernisierung und Konsolidierung der Infrastruktur erfordern, um Zuverlässigkeit und Sicherheit in großem Umfang zu gewährleisten. Opoku-Frempong beschreibt, warum diese Aufgabe so schwierig war: „Wir mussten die Art und Weise ganz grundlegend verändern, wie wir die Identität und den Zugang von Millionen Nutzern auf der ganzen Welt erfassen, einbinden, verwalten und administrieren. Die schlechte Kapitalrendite und die langsame Markteinführung, die jeden Workflow behinderten, der auf die alten Lösungen angewiesen war, ließen sich nicht mehr rechtfertigen.“
Verbesserte Skalierbarkeit
Skalierbar auf über 27 Millionen interne und externe Identitäten
Erweiterte Funktionalitäten
Bereitstellung passwortloser QR- oder FIDO2-Funktionen für über 800.000 Authentifizierungen seit der Migration
Ed Klenotiz, Assured Identity Architect, und seine Kollegen brachten den Stein ins Rollen. „Wir haben eine Wettbewerbsanalyse der führenden Anbieter von Identitätsdiensten für Business-to-Employee und Business-to-Business durchgeführt“, sagt er. „Die Nutzung einer standardisierten, cloudbasierten Authentifizierungsplattform sollte ein wichtiger erster Schritt zur Modernisierung der Identitätsservices sowohl für IBM Mitarbeiter als auch für unsere Kunden auf breiter Basis sein.“
Und genau so, wie IBM es seinen eigenen Kunden empfehlen würde, hat das Team von Assured Identity and Cybersecurity Operations alle Identitäts- und Zugangsanforderungen zusammengetragen und verschiedene Lösungen auf dem Markt miteinander verglichen.
Nach der Erfassung der Anforderungen und der Abwägung aller Optionen entschied sich das Assured Identity and Cybersecurity Operations-Team für IBM Security™ Verify (SaaS) für seine Millionen von internen und externen Benutzern. Der Hauptgrund? Ganz oben auf ihrer Liste stand, dass die APIs eine nahtlose Anwendungsmigration ermöglichten. Und zweitens? Sie wären in der Lage, die Benutzeroberfläche genau an ihre Anforderungen anzupassen, ohne ihre Entwicklungsressourcen zu sehr zu belasten.
Durch die Einführung von IBM Security Verify als Standard-Plattform für Cloud-IAM-Services für alle B2E- und B2B-Identitäten könnte IBM modernere Identitätsfunktionen mit verbesserter Sicherheit, Skalierbarkeit und Benutzerfreundlichkeit bereitstellen.
„Mit der neuen Lösung konnten wir die internen Benutzeroptionen für die Authentifizierung erweitern“, sagt Opoku-Frempong. „Die Zwei-Faktor-Authentifizierung (2FA) bietet zwar einen erheblichen Schutz vor einer Kompromittierung von Passwörtern, ist aber für die Benutzer oft sehr umständlich. Daher haben wir adaptive 2FA-Funktionen implementiert, die mithilfe von Backend-Analysen bestimmen, wann und wo eine zusätzliche Authentifizierung erforderlich ist. Der Wechsel zu den 2FA-Funktionen von IBM Security Verify bietet den Mitarbeitern von IBM die Möglichkeit, sich über passwortlose Optionen wie QR-Codes und FIDO2 für TouchID und Windows Hello zu authentifizieren. Das allein war schon eine große Veränderung.“
Aber es gab noch andere Probleme. In der Vergangenheit hatte das CIO-Team von IBM in die Entwicklung seines Unternehmensverzeichnisses investiert, um mit der International Traffic in Arms Regulations (ITAR) konform zu sein – einer US-Vorschrift zur Beschränkung und Kontrolle der Ausfuhr von Rüstungs- und Militärtechnologien. Es kam nicht in Frage, die alte IAM-Lösung überall auf der Welt gleichzeitig einzustellen und zu ersetzen. Die Ingenieure von IBM Security Verify waren bereits von dieser Anforderung ausgegangen. Die Security Verify Bridge in Verbindung mit der Bridge for Directory Sync ermöglichte es dem IBM CIO-Team, seine Altinvestitionen und die damit verbundenen Prozesse einzusetzen. Ein weiterer Vorteil war, dass sie dadurch einen sorgfältig gestaffelten Migrationsplan mit minimalen negativen Auswirkungen entwickeln konnten.
Opoku-Frempong erläutert weiter: „Es gab andere Migrationsfunktionen, die den Übergang reibungsloser machten. Die erweiterte API-Bibliothek von IBM Security Verify ermöglichte die Self-Service-Anwendungsmigration durch unsere Verantwortlichen und minimierte die Auswirkungen auf andere Workloads. Darüber hinaus ermöglicht uns die erweiterte Kontrollebene für den privilegierten API-Zugriff eine strengere Sicherheitskontrolle der Umgebung, was die Angriffsvektoren weiter minimiert. Das ist definitiv eine Win-Win-Situation für uns.“
Opoku-Frempong und sein Team hatten ziemlich viel zu feiern. Durch die Einführung von IBM Security Verify konnte das Unternehmen die Benutzerfreundlichkeit verbessern und gleichzeitig die Sicherheit für die Benutzer sowie für das Netzwerk, die Daten und die Anwendungen des Unternehmens in großem Umfang erhöhen. Lee Ann Rodgers, IBMid Program Manager, drückt es folgendermaßen aus: „Die Funktionen von IBM Security Verify ermöglichten es uns, unseren Kunden erweiterbare Funktionen für optimierte Sicherheit mit flexiblen MFA-Methoden, einer verbesserten Passwortverwaltung, einer Verwaltung des Lebenszyklus von Benutzer-IDs und Selbstverwaltung, einer Anwendungsverwaltung, einer flexiblen Benachrichtigung der Benutzer über Änderungen und einem Ereignisbenachrichtigungsdienst zu bieten.“
Außerdem gibt es jetzt eine Vision für die Zukunft, ein Wertversprechen. Während die IBM im Bereich Identitäts- und Zugriffsauthentifizierung weiter seinen Weg geht, können die IBM Mitarbeiter und Kunden weitere Vorteile erwarten:
- Eine neue Benutzererfahrung ohne Passwörter
- Verbesserter Schutz für privilegierte Benutzer in Multicloud-Umgebungen
- Flexible Multi-Faktor-Authentifizierungsmethoden (MFA), verbesserte Passwortverwaltung und Selbstverwaltung von Benutzer-IDs sowie Lebenszyklusmanagement
- Integration mit Geräten und Lösungen für Mobile Device Management zur Unterstützung der Zero-Trust-Strategie von IBM
- IBM Security Verify-Microservices-Architektur für verbesserte Fehlertoleranz und Skalierbarkeit der Lösung
- Pläne für mehrere Standorte für mehr Zuverlässigkeit
- Kontinuierlicher Fokus auf das Benutzer- und Markenerlebnis mit verstärkter Ausrichtung auf Sicherheit und Datenschutz
Gary Schmader, Senior Manager von Assured Identity, bringt es auf den Punkt: „Wir verwenden im großen Stil unsere eigene, frei erhältliche Lösung für eine geschäftskritische Anforderung. Mit IBM Security Verify können wir jedem, der mit IBM interagiert, einen reibungslosen und sicheren Zugang zu Informationsressourcen nach dem neuesten Stand der Technik bieten ... und wir stehen erst am Anfang.“
IBM ist der weltweit führende Anbieter von Hybrid Cloud und KI und betreut Kunden in mehr als 170 Ländern. Mehr als 3.500 Kunden nutzen unsere Hybrid-Cloud-Plattform, um ihre digitale Transformation zu beschleunigen. Insgesamt haben sich mehr als 30.000 von ihnen an IBM gewandt, um den Wert ihrer Daten zu nutzen – diese Kundenliste umfasst neun von zehn der weltweit größten Banken. Mit dieser Grundlage nutzen wir Red Hat OpenShift weiterhin als führende Plattform, um die geschäftlichen Anforderungen unserer Kunden zu erfüllen: eine Hybrid-Cloud-Plattform, die offen, flexibel und sicher ist. Basierend auf den Grundsätzen des Vertrauens, der Transparenz und der Unterstützung einer inklusiveren Gesellschaft hat sich IBM auch dazu verpflichtet, Technologie verantwortungsvoll zu verwalten und sich für das Gute in der Welt einzusetzen.
Fußnoten
© Copyright IBM Corporation 2022. IBM Corporation, IBM Security, New Orchard Road, Armonk, NY 10504
Hergestellt in den Vereinigten Staaten von Amerika, Januar 2022.
IBM, das IBM Logo, ibm.com und IBM Security sind eingetragene Marken der IBM Corporation in zahlreichen Gerichtsbarkeiten in aller Welt. Weitere Produkt‐ und Servicenamen können Marken von IBM oder anderen Unternehmen sein. Eine aktuelle Liste der IBM Marken ist im Web unter "Copyright- und Markeninformationen" auf https://www.ibm.com/de-de/legal/copytrade verfügbar.
Red Hat und OpenShift sind Marken oder eingetragene Marken von Red Hat, Inc. oder dessen Tochtergesellschaften in den Vereinigten Staaten und anderen Ländern.
Das vorliegende Dokument ist ab dem Datum der Erstveröffentlichung aktuell und kann jederzeit von IBM geändert werden. Nicht alle Angebote sind in allen Ländern verfügbar, in denen IBM tätig ist.
Die genannten Leistungsdaten und Kundenbeispiele dienen ausschließlich zur Veranschaulichung. Tatsächliche Leistungsergebnisse hängen von den jeweiligen Konfigurationen und Betriebsbedingungen ab. DIE INFORMATIONEN IN DIESEM DOKUMENT WERDEN OHNE JEGLICHE AUSDRÜCKLICHE ODER STILLSCHWEIGENDE GARANTIE ZUR VERFÜGUNG GESTELLT, EINSCHLIESSLICH DER GARANTIE DER MARKTGÄNGIGKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK UND DER GARANTIE ODER BEDINGUNG DER NICHTVERLETZUNG VON RECHTEN. Die Garantie für Produkte von IBM richtet sich nach den Geschäftsbedingungen der Vereinbarungen, unter denen sie bereitgestellt werden.
Erklärung zu bewährten Sicherheitsverfahren: IT-Systemsicherheit umfasst den Schutz von Systemen und Informationen durch Prävention, Erkennung und Reaktion auf unzulässigen Zugriff innerhalb und außerhalb Ihres Unternehmens. Unbefugter Zugriff kann dazu führen, dass Informationen verändert, vernichtet, veruntreut oder unsachgemäß gebraucht werden. Er kann auch zu Schäden an Ihrem System oder zum Missbrauch davon, einschließlich der Verwendung bei Angriffen auf Dritte, führen. Kein IT-System oder -Produkt darf als vollkommen sicher betrachtet werden und es gibt kein Produkt, keine Dienstleistung und keine Sicherheitsmaßnahme, das bzw. die vollständig vor einer unsachgemäßen Verwendung oder unbefugtem Zugriff schützen kann. Die Systeme, Produkte und Dienstleistungen von IBM werden als Teil eines rechtmäßigen, umfassenden Sicherheitsansatzes konzipiert. Daran sind notwendigerweise weitere Betriebsverfahren beteiligt und es können weitere Systeme, Produkte oder Dienstleistungen erforderlich sein, um eine möglichst hohe Effektivität zu erzielen. IBM GEWÄHRLEISTET NICHT, DASS SYSTEME, PRODUKTE ODER DIENSTLEISTUNGEN GEGEN SCHÄDLICHES ODER RECHTSWIDRIGES VERHALTEN JEGLICHER PARTEIEN IMMUN SIND ODER IHR UNTERNEHMEN IMMUN MACHEN