Gartner IAM Summit 2019 – die Highlights aus Sicht der iC Consult

Für Professionals aus dem Bereich Identity & Access Management gibt es weltweit nur eine Handvoll wirklich wichtiger Konferenzen, die sich fokussiert mit diesem Themenfeld befassen. Der Gartner IAM Summit mit seinen über 40 Research-basierten Sessions, präsentiert von visionären Sprechern und Experten, ist eine davon. Auch dieses Jahr hatte ich die Gelegenheit, in London dabei zu sein und während der beiden Konferenztage tief in die Technologie einzutauchen sowie neue Trends zu identifizieren. Gerade für uns als herstellerunabhängiger Systemintegrator im Bereich Identity und Access Management (IAM) ist es wichtig, technologisch immer einen Schritt voraus zu sein, einen objektiven Marktüberblick sowie Einschätzungen zu aktuellen Themen zu erhalten und auch den inhaltlichen Austausch mit Analysten und Herstellern zu pflegen. Gerade Letzteres gelingt auf der Londoner Konferenz mit mehr als 600 teilnehmenden Fachkollegen und dem exklusiven Zugang zu führenden Technologie-Herstellern besonders gut. So bietet der Gartner Summit für mich persönlich auch eine ideale Möglichkeit zur Reflexion der eigenen Ansichten und zum intensiven Austausch unter Fachkollegen.

Marktüberblick und Trends

Im Hinblick auf die Marktsituation fühle ich mich in meiner Beobachtung bestätigt, dass mittelfristig für IAM-Lösungen nicht mit einer Marktkonsolidierung hin zu nur noch einigen wenigen, großen Software-Anbietern zu rechnen ist. Vielmehr werden wir auch zukünftig von einem sehr fragmentierten Markt profitieren, mit vielen Anbietern, die technologisch fokussierte Lösungen anbieten und teilweise viel Potenzial vorweisen. Gut hat mir ein israelisches Startup gefallen, welches sich auf flexible Authentisierungsverfahren in Mobile Apps konzentriert.

Hybrid Cloud und DevOps – die zwei wichtigsten Trends

Die beiden aus meiner Sicht wichtigsten Trends, die einen entscheidenden Einfluss auf die Weiterentwicklung von IAM-Strategien haben, sind Hybrid Cloud Computing und DevOps.

Die hybride Cloud ist die Realität, mit der wir uns die nächsten Jahre abfinden müssen. Weder wird in absehbarer Zeit alles in der Cloud passieren noch wird irgendein Unternehmen ohne die intensive Nutzung von Cloud-Diensten wettbewerbsfähig bleiben können. Für uns bedeutet das bei der Konzeption von IAM-Lösungen: Weder die Positionierung der Anwendung noch die des Anwenders darf eine wesentliche Rolle spielen.

Das zweite große Trendthema ist DevOps. Unter den 2.000 größten Unternehmen der Welt richtet mittlerweile jedes vierte seine Software-Entwicklung nach den Prinzipien von DevOps aus – Tendenz steigend. Für die IT-Sicherheit ist diese Umstellung mit Herausforderungen, aber auch mit Chancen verbunden. DevOps, das bedeutet vor allem mehr Agilität und verspricht höhere Flexibilität, mehr Dynamik, schnellere Reaktionszeiten, um auf Kundenwünsche, Veränderungen im Markt oder regulatorische Anforderungen zu reagieren. Doch um die Agilität und Reaktionsfähigkeit des DevOps-Ansatzes vollständig auszuschöpfen, muss auch die IT-Sicherheit nicht nur eine integrierte Rolle im gesamten App-Lifecycle spielen, sondern insgesamt flexibler und schneller anpassbar werden. Und genau hierin liegt die Schwierigkeit, denn Agilität war noch nie eine besondere Stärke von IAM – aus verschiedenen Gründen heraus. IAM-Software muss sich an das beschleunigte Entwicklungstempo anpassen, andernfalls kommt es zum Konflikt zwischen Bereitstellungsgeschwindigkeit und Sicherheit der Software. Wenn IAM bei DevOps nicht mitspielt, wird es zwangsläufig zum Bremsklotz und in Zeiten der Digitalisierung, neuer Geschäftsmodelle und disruptiver Veränderung ist das mehr als nur ein kleiner Schönheitsfehler. Hier freue ich mich besonders darüber, von den Gartner-Analysten sehr gutes Feedback zu unserem Service Layers-Ansatz bekommen zu haben, der DevOps und IAM aus einer Hand bietet.

Gerade das Privileged Account Management steht mit der Cloud und DevOps vor besonderen Herausforderungen. Hier gibt es noch erheblichen Verbesserungsbedarf bei den etablierten Anbietern, die nun im Wettbewerb mit ganz anderen Herangehensweisen an das Thema „Credentials für privilegierte Operationen“ konfrontiert sind. Nicht ohne Grund sieht Gartner den Aufgabenbereich CI/CD-Automation, eine Basis für DevOps, als höchste Stufe des PAM-Reifegrads.

The Power of Networking – Pflege der existierenden Partnerschaften, Austausch mit potenziellen Kunden und Reflexion der eigenen Ansichten

Neben einer objektiven Markteinschätzung und Trendbeobachtung bietet der IAM Summit, angesichts der vielen IAM-Experten vor Ort, immer auch eine ideale Plattform für ein hochklassiges Networking mit führenden Herstellern, Fachkollegen und Analysten. Gerade wir als Systemintegrator sind – trotz der guten Produkte unserer Partner – auch immer darauf angewiesen, dass unsere Empfehlung und Wünsche bzgl. der Weiterentwicklung berücksichtigt werden, um Projekte erfolgreich abzuschließen. Und natürlich ist das ungefilterte Feedback aus den Projekten heraus für die Hersteller wichtig, um ihrerseits die Produkte besser zu machen. Für uns ging es hierbei vor allem darum, auch für in der Cloud gehostete IAM-Lösungen ein sehr hohes Sicherheitsniveau gewährleisten zu können und die Betreibbarkeit von IAM-Lösungen in Containern weiter zu verbessern.

Der inhaltliche Austausch mit Anwendern und Analysten sowie die strategischen Diskussionen über neue Ideen und Lösungen sorgen zudem für die manchmal notwendige Reflexion der eigenen Ansichten. Denn für eine effiziente Projektdurchführung ist es zwar wichtig, etablierte Best-Practice-Prozesse und Erfahrungen einfließen zu lassen, nichtsdestotrotz gilt aber auch, von Zeit zu Zeit zu reflektieren und sich auch kritisch zu hinterfragen, ob die Prämissen noch richtig sind.

Hier möchte ich gerne den Vortrag von Erik Wahlstrom erwähnen, der seine Analyse zum Thema OAuth 2.0 und OpenID Connect vorgestellt hat – aufgrund des herausragenden Erfolgs dieser Protokolle bei vielen Unternehmen. Er hat Erfahrungen aus der Praxis gut auf den Punkt gebracht, besondere Herausforderungen identifiziert und Neuerungen und Weiterentwicklungen genannt:

  • Das OAuth 2.0 Framework entwickelt sich weiter. Es gibt Fortschritte in einem Standard, um OAuth auf ein wesentlich höheres Sicherheitsniveau zu heben, das sowohl Clients sicher authentisiert als auch den Missbrauch von Access Tokens deutlich erschwert: OAuth Mutual TLS Client Authentication and Certificate-Bound Access Tokens/ https://datatracker.ietf.org/doc/draft-ietf-oauth-mtls
  • OAuth lässt auf protokollarischer Ebene viele Freiheiten, aber nicht alles sollte genutzt werden. So ist der direkte Zugriff auf das Passwort mit einer App (OAuth Resource Owner Password Credential Grant) absolut nicht mehr zeitgemäß, aber es gibt für Native Apps (z. B. auf Mobilgeräten) bereits eine sehr gute Leitlinie (https://tools.ietf.org/html/rfc8252) und dies ist nun auch für Browser-based-Apps in Arbeit (https://tools.ietf.org/html/draft-ietf-oauth-browser-based-apps-00). Wichtig hierbei: Die Verwendung vom Implicit-Flow wird generell nicht mehr empfohlen, sondern auch für Public Clients ist der Code-Flow inzwischen das Mittel der Wahl, zusätzlich abgesichert über PKCE.

Alles in allem war der Gartner IAM Summit 2019 aus unserer Sicht so gelungen, dass wir nächstes Jahr als Sponsor mit dabei sein werden.