Bevorrechtete Accounts in hybriden Clouds absichern

Privileged Access Management in einer Cloud-Umgebung

| Autor / Redakteur: Stefan Rabben* / Elke Witmer-Goßner

PAM-Lösungen sorgen mit zentraler Steuerung der Zugriffskontrolle für mehr Sicherheit in allen Umgebungsszenarien.
PAM-Lösungen sorgen mit zentraler Steuerung der Zugriffskontrolle für mehr Sicherheit in allen Umgebungsszenarien. (Bild: gemeinfrei © Moshe Harosh / Pixabay)

Cloud- und hybride Infrastrukturen bringen besondere Herausforderungen mit sich. Sie abzusichern, ist auf Grund der unterschiedlichen Zugriffswege und Systemmerkmale schwierig. Doch beim Betrieb in einer Hybrid-Cloud-Umgebung ist die Absicherung insbesondere privilegierter Accounts – also Benutzern, die aufgrund ihrer Tätigkeit über erweiterte Berechtigungen verfügen müssen –unerlässlich.

Sowohl Cloud- als auch hybride Infrastrukturen weisen jeweils erhebliche Sicherheitsrisiken auf. Hierzu gehören beispielsweise Fernwartungsschnittstellen oder gemeinsam genutzte Ressourcen. Auf den ersten Blick scheint die beste Methode zum Schutz von Firmeninhalten die Isolation der Cloud-Umgebung und die Minimierung potenzieller Angriffsoberflächen zu sein. Doch vor dem Hintergrund der angestrebten digitalen Vernetzung der Wertschöpfungskette ist diese Lösung nicht praktikabel.

Management und IT müssen sich also die Frage stellen, wie sie der Herausforderung „Sicherheit in der Cloud mit den speziellen Anforderungen privilegierter Zugriffe“ am effizientesten begegnen können. Dazu zunächst eine Definition: Ein Benutzer mit erweiterten Zugriffsprivilegien hat mittels seiner Login-Daten Zugriff auf geschäftskritische Prozesse und vertrauliche Bereiche der IT-Infrastruktur. Privilegierte Benutzer können Systemadministratoren in der IT-Abteilung, höhere Führungskräfte, externe Dienstleister, Zulieferer, Entwickler oder auch Applikationen (wie Cloud-basierte Steuerungssysteme oder IoT-Devices) sein.

Absicherung des Fernzugriffs

Als nächstes müssen die unterschiedlichen Aspekte des privilegierten Zugriffs betrachtet werden. Es liegt in der Natur der Cloud, Fernzugriffe auf Schlüsselinhalte zu ermöglichen, egal ob sich die Benutzer in der Unternehmenszentrale befinden oder von einem entfernt liegenden Standort aus einloggen. Die Anzahl der Personen, die einen privilegierten Zugriff für ihre tägliche Arbeit benötigen, kann beliebig groß sein. Hieraus ergibt sich jedoch auch eine beliebig große Anzahl an neuen Sicherheitslücken.

Wenn aber Zugriffsprivilegien gewährt werden, wird jedes Mal ein neues Sicherheitsrisiko geschaffen, da Login und Passwort eines Benutzers verloren gehen, gestohlen (Identitätsdiebstahl) oder unbedacht geteilt werden könnten. Identitätsdiebstahl – also das Ausspionieren von Zugangsdaten – ist mittlerweile die am häufigsten verwendete Methode von Cyber-Kriminellen, da ein erfolgreicher Passwort-Diebstahl unmittelbar einen „legalen“ Zugang zum internen Netz öffnet.

Mandantenfähigkeit gewährleisten

Die Migration in die Cloud erfordert einen Cloud-Serviceanbieter (CSP). Dieser CSP hostet Daten für – möglicherweise – hunderte Kunden, die auf dieselben Ressourcen zugreifen. Selbige haben alle privilegierte Zugangsdaten, um auf die jeweils eigene Cloud-Infrastruktur zuzugreifen. Diese mandantenfähige Umgebung hat natürlich eine erhöhte Verwundbarkeit. Wie Bewohner eines Mehrparteienhauses müssen alle Kunden das gleiche Gebäude betreten, von den Privatwohnungen der anderen aber isoliert bleiben. Die Trennung zwischen den Mietern und die Schlösser für jede Einheit müssen solide sein, um versehentliche oder böswillige Sicherheitsverletzungen zu verhindern. Hierfür Sorge zu tragen, ist Aufgabe des Hausbesitzers. Wünscht ein einzelner Mieter zusätzliche Sicherheitsmaßnahmen, steht es ihm frei, selbige selbstständig zu installieren – oder eben auch nicht.

Obwohl die CSPs ihre eigenen Sicherheitsmaßnahmen haben, muss dies nicht für die Kunden gelten, wodurch die Nutzung gemeinsamer Cloud-Ressourcen ein hohes Risiko darstellen kann. Als Kunde eines Cloud-Service-Anbieters, der mit Mandantenfähigkeit arbeitet, wird es für Unternehmen, die in die Cloud migrieren, zwingend notwendig, Schichten der Zugriffskontrolle hinzuzufügen.

Entwicklerteams erhöhen Sicherheitsrisiko

Doch nicht nur menschliche Zugriffe sind potenziell eine Gefahr. Auch die Interaktion zwischen Anwendungen muss berücksichtigt werden. So sind die für die Softwareentwicklung verantwortlichen DevOps-Teams eine besondere Herausforderung für die IT-Sicherheit. Während viele Lösungen wie Puppet, Ansible Tower, Octopus oder RapidDeploy darauf abzielen, DevOps-Team bei der Erstellung und dem Einsatz von Anwendungen und Codes in der Cloud zu unterstützen, überlassen die meisten die Sicherheit dem Entwickler. Viele Cloud- oder Hybrid-Funktionen laufen im unbeaufsichtigten Modus, öffnen Anwendungen und geben Daten zwischen der Cloud und Anwendungen am Firmenstandort mittels Skripten weiter. Das ist einfach und hocheffizient, da es sicherstellt, dass die Jobs wie benötigt laufen. Andererseits erhöht es in den meisten Fällen das Sicherheitsrisiko.

Um effizienter zu arbeiten, programmieren DevOps-Entwickler oft statische Passwörter in die Skripte. So kann jeder das Passwort sehen, der Zugriff auf das Skript bekommt. Hierbei handelt es sich häufig um Konten mit „Zugriff auf alle Bereiche“ oder mit Privilegien, die einen weitreichenden Zugriff auf Daten und Ressourcen im gesamten Netzwerk erlauben. Um die Sicherheit zu maximieren, brauchen DevOps-Entwickler eine Lösung, die statische Passwörter in Skripts durch ein dynamisches Verfahren ersetzt, ohne die Produktivität negativ zu beeinflussen.

PAM für sichere Cloud-Infrastruktur

Diese drei Beispiele verdeutlichen die Risiken im Bereich der privilegierten Zugriffe in Cloud- und Hybrid-Umgebungen. Um selbigen möglichst effizient zu begegnen, sollten sich die IT-Verantwortlichen mit Privileged-Access-Management-Lösungen (PAM) auseinandersetzen. PAM-Lösungen bieten eine sichere, effiziente und vor allem schlanke Methode, um alle privilegierten Benutzer für alle relevanten Systeme zu authentifizieren, zu autorisieren, aktiv in Echtzeit zu überwachen und zu auditieren – sowohl on-Premise als auch in der Cloud. Diese Technologie schützt sowohl vor fahrlässigem als auch vor absichtlichem Missbrauch privilegierter Zugänge.

Ein modernes PAM-System bietet eine zentrale Management-Konsole, die schnelle, schlanke Verwaltung aller Benutzer in unterschiedlichen Systemen ermöglicht, inklusive und insbesondere in Hybrid-Cloud-Umgebungen. Definitionsgemäß erlaubt eine PAM-Lösung dem IT-Sicherheitsteam Privilegien zu gewähren, zu entziehen und zu definieren. Dies spielt unter anderem deshalb eine wichtige Rolle, weil viele Organisationen mit häufigen Personalwechseln, sich ändernden Verantwortlichkeiten oder externen Dienstleistern konfrontiert sind, die privilegierten Zugang zu den Systemen benötigen. Die zentrale Management-Konsole erlaubt auch in komplexen hybriden und mandantenfähigen Umgebungen eine einfache System-, Zugangs- und Passwortverwaltung.

Zentralisierte Zugriffsverwaltung und sichere Kennwortverwaltung

Die erforderlichen Zugriffsprivilegien werden ausschließlich für die jeweilige Aufgabe erteilt. Ist die jeweilige Aufgabe abgeschlossen oder es wurde ein festgesetztes Zeitlimit erreicht, werden den Nutzern erteilten Zugriffsprivilegien automatisch wieder entzogen. Vergessene oder inaktive Benutzerkonten können somit nicht mehr missbraucht werden. Ein zentrales Passwort Management System beseitigt die Notwenigkeit, dass Benutzer, die jeweiligen Zugangsdaten auf sensible Systeme zu besitzen. Dadurch wird der Diebstahl von Identitäten deutlich erschwert. Passwörter können automatisch generiert werden und somit eine beliebig hohe Komplexität erreichen. Passwort- und Schlüsselrotation sowie vollautomatisierte Passwortwechsel nach jeder Session erhöhen die Systemsicherheit weiter. Der Benutzer muss sich nur noch einmal stark authentifizieren (Multi-Faktor-Authentifizierung) und der Zugriff auf das jeweilige Zielsystem erfolgt über Single Sign-On. Auch dies erhöht die Schwierigkeit des Identitätsdiebstahls.

Wie zuvor erwähnt, betten DevOps-Entwickler, denen keine PAM-Lösung Verfügung steht, oftmals ihre Passwörter direkt in ihre Skripte ein. Während das die bequeme, unbeaufsichtigte Erledigung des Jobs erlaubt, stellt dies jedoch ein gewaltiges Sicherheitsrisiko dar. Die ideale Lösung dieses Problems besteht aus zwei Komponenten: Einem sicheren Kennworttresor und einer Anwendungs-zu-Anwendungs-Kennwortverwaltung (AAPM), um Passwörter zwischen Cloud-Anwendungen zu authentifizieren. Die AAPM entsperrt den sicheren Tresor, um das korrekte Passwort abzufragen, das dem Skript während der Dauer dieses Vorgangs zur Verfügung gestellt wird. Durch AAPM müssen statische Anmeldedaten nicht mehr fest im Skript eingebunden sein, was das Sicherheitsrisiko weiter reduziert.

Audit & Beaufsichtigung

Privileged Access Management ermöglicht vollständige und unveränderliche Auditierbarkeit für jede privilegierte Sitzung. Das IT-Sicherheitsteam kann somit sämtliche Aktivitäten aller privilegierten Benutzer verfolgen, überwachen und bewerten. Ob für Schulungszwecke, als Reaktion bei Störungen oder bei einem konkreten Sicherheitsvorfall – die Audit-Funktionen sind ein wertvoller Bestandteil einer PAM-Lösung. Das IT-Sicherheitsteam kann anhand von vollständigen, verschlagworteten Videoaufzeichnungen – entweder im Nachhinein oder in Echtzeit – nachvollziehen, welche Handlungen jeder privilegierte Benutzer durchführt und bei Bedarf die Sitzung unmittelbar beenden. Und auch rechtliche Aspekte sind hier von Bedeutung: Die Einhaltung gesetzlicher Bestimmung ist für jede Organisation eine Notwendigkeit. Cloud oder Hybrid-Systeme machen die Erfüllung von Cybersicherheitsstandards komplex. PAM-Lösungen machen die Konformität einfach. Sie reagieren auf die kritischen Aspekte aller IT-Sicherheitsregulierungen der Regierung oder der Branche und bieten für Prüfungszwecke einen Nachweis, dass die Anforderungen eingehalten wurden.

Stefan Rabben, Wallix Group.
Stefan Rabben, Wallix Group. (Bild: Wallix)

Deshalb sollte jedes Unternehmen, ob es in lokaler IT, in der Cloud oder einer Hybrid-Umgebung arbeitet, eine PAM-Lösung in Erwägung ziehen. Für diejenigen, die ihre Migration in die Cloud gerade beginnen, ist PAM der erste Schritt für eine umsichtige Umstellung. Diejenigen, die bereits in der Cloud arbeiten, werden bemerken, dass die richtige PAM-Lösung dabei hilft, viele ihrer laufenden Herausforderungen hinsichtlich Sicherheit und Zugriffsverwaltung zu lösen. Eine zentralisierte Verwaltungskonsole bietet einen einzigen Steuerungspunkt für alle Ressourcen, egal ob das Unternehmen mit vorhandenen Systemen vor Ort, in einer reinen Cloud-Umgebung oder in einer Hybrid-Infrastruktur arbeitet, die Altes und Neues vermischt. Privilegierten Administratorzugang zu sensiblen Ressourcen zu gewähren, zu überwachen und zu entziehen, wird verschlankt, sicher gemacht und zentralisiert. Das verbessert die Produktivität und Effizienz der IT, ohne die Sicherheit der Organisation zu beeinträchtigen.

* Der Autor Stefan Rabben ist Area Sales Director DACH and Eastern Europe der Wallix Group.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46184938 / Identity & Access Management)