Da Unternehmen mehr und mehr Technologien wie die Cloud, Big Data, DevOps, Container oder Microservices auch aus „unsicheren Umgebungen“ wie etwa das Homeoffice nutzen, stellt diese wachsende Komplexität auch neue Herausforderungen an das Identitäts- und Zugriffsmanagement. Denn mit diesen aufkommenden Technologien wachsen die Workloads und Datenmengen und befinden sich zunehmend in der Cloud.

Die Anzahl menschlicher und maschineller Identitäten steigt vor modernen Einsatzszenarien exponentiell an. Um die damit verbundenen neuen Angriffsflächen einzudämmen, wird es unerlässlich, fragmentierte Identitäten über eine hybride Unternehmensinfrastruktur hinweg zu zentralisieren und ein konsistentes Sicherheitsmodell für privilegierte Zugriffe durchzusetzen.

Identitäts-Wildwuchs: Die Gefahren von Identity Sprawl

Bei Identity Sprawl wird die Identität eines Benutzers von mehreren isolierten Systemen oder Directorys verwaltet, die nicht miteinander synchronisiert sind, was zu mehreren Identitäten für jeden Benutzer führt und damit zu möglichen ungesicherten Angriffsflächen. Häufig entsteht diese Situation, wenn eine Anwendung oder ein System nicht in den zentralen Directory Service des Unternehmens integriert ist oder nicht integriert werden kann.

Dadurch muss ein weiterer Satz von Benutzeridentitäten verwaltet werden, um den Zugriff auf diese Anwendung oder dieses System zu unterstützen. Dies führt zu einem erhöhten Verwaltungsaufwand sowie damit verbundenen Kosten und kann die Durchsetzung von einheitlichen Sicherheits- und Compliance-Richtlinien erheblich erschweren. Zudem birgt Identity Sprawl auch die Gefahr, dass Benutzer ihre Passwörter für verschiedene Dienste wiederverwenden, wodurch Unternehmen anfällig für das Ausspähen von Zugangsdaten werden.

Privilegierte Benutzerkonten mit weitreichenden Berechtigungen stehen besonders im Fadenkreuz von Angreifern. Denn diese Konten bieten den Schlüssel zu wertvollen Daten und Unternehmensressourcen und ermöglichen es Cyber-Kriminellen, unter dem Deckmantel eines vertrauenswürdigen Benutzers unbemerkt zu agieren und gegebenenfalls monatelang unentdeckt zu bleiben. Durch die Begrenzung der Anzahl dieser privilegierten Konten in einem Unternehmen kann jedoch auch die Angriffsfläche verkleinert und das Risiko eines Missbrauchs durch böswillige Insider oder externe Bedrohungsakteure reduziert werden.

Um den heutigen Anforderungen von Infrastruktur- und Sicherheitsteams gerecht zu werden, benötigt es deshalb einen umfassenden Ansatz für das Management privilegierter Zugriffe, der sich auf die Konsolidierung von Identitäten konzentriert und auf Zero-Trust-Prinzipien basiert. Im Folgenden werden fünf Best Practices gezeigt, mit denen Unternehmen eine robuste Sicherheitsstrategie zur Identitätskonsolidierung und Privilegien-Erhöhung (Privilege Elevation) implementieren können.

  • Zentralisierung aller Identitäten in einem Identity Directory als Single Source of Truth: Die ausgewählte Privilege Access Management-Lösung (PAM) sollte größtmögliche Flexibilität hinsichtlich des im Unternehmen eingesetzten Identity Directory bieten. Hierdurch spielt es keine Rolle, welches Identity Directory (z.B. Active Directory, Okta, Ping, usw.) eine Organisation verwendet. Die Technologie sollte beispielsweise mittels AD Bridging UNIX- und Linux-Systeme mit Active Directory verbinden können, jedoch auch im Zuge der Cloud-Transformation Konsolidierungsfähigkeiten für IaaS-Umgebungen bieten. Moderne PAM-Lösungen mit Multi-Directory-Brokering-Fähigkeit ermöglichen es, Benutzer gegen jedes beliebige User Directory zu authentifizieren, das Identitätsmanagement zu zentralisieren und Identity Sprawl zu minimieren.
  • Bindung aller Privilegien an die Identitäten im bevorzugten Directory: Die Bindung aller Befugnisse, Berechtigungen und Privilegien an Identitäten im bevorzugten Directory eines Unternehmens verringert nicht nur den Verwaltungsaufwand, sondern vereinfacht auch die Durchsetzung von einheitlichen Sicherheits- und Compliance-Richtlinien. Denn im Gegensatz zur Verwendung von gemeinsam genutzten Konten, wird dadurch auch die individuelle Verantwortlichkeit an die jeweilige Identität geknüpft.
  • Föderierter Zugriff auf Ressourcen vom bevorzugten Directory aus: Durch den föderierten Zugriff (Federated Access) auf Ressourcen (z.B. Server, Datenbanken oder Cloud-Workloads) können sich Mitarbeiter einfach als sich selbst anmelden und erhalten stets angemessene Berechtigungen. Dies sorgt für effiziente Arbeitsabläufe und fördert die Produktivität der Mitarbeiter.
  • Granulare Kontrollen für einen gerade ausreichenden, zeitlich begrenzten Zugriff: Aufgrund ihrer hohen Zugriffsrechte stellen privilegierte Konten eine ernsthafte Gefahr für Unternehmen dar, wenn sie in die Hände eines Angreifers fallen. Daher sollte ein Ansatz des geringsten Privilegs (Least Privilege) in Verbindung mit Privilegien-Erhöhung verfolgt werden, um granulare Zugriffskontrollen durchzusetzen. Privilegien-Erhöhung bedeutet, dem Benutzer vorübergehend zusätzliche Rollen und Rechte zu gewähren, damit er eine Aufgabe erledigen kann, die mit seiner Arbeitsfunktion übereinstimmt – und zwar mit gerade genug Privilegien für genau die Zeit, die für die Ausführung der Arbeit notwendig ist. Beispielsweise kann es legitim sein, einem Web-Administrator den Zugang zu Systemen zu gestatten, auf denen Web-Server und die damit verbundenen Management-Tools laufen. Das Einloggen in Maschinen, die Kreditkartentransaktionen verarbeiten, ist jedoch nicht legitim und bleibt blockiert.
  • Keine permanenten Berechtigungen, nachdem eine Aufgabe erledigt ist: Unternehmen sollten darauf achten, dass Identitäten über keine permanenten Berechtigungen (Zero Standing Privileges) verfügen, sondern stets eine Erhöhung der Privilegien just-in-time erfolgt, um in einem begrenzten Zeitraum die jeweiligen Aufgaben zu erfüllen. Zum Beispiel darf ein Mitarbeiter nur während der Geschäftszeiten oder für eine bestimmte Zeit auf einen bestimmten Server zugreifen. Nach Beendigung der Sitzung werden die Zugriffsrechte wieder entzogen (jedoch sollte eine moderne PAM-Lösung auch in der Lage sein, den Zugriff bei Bedarf einfach wieder zu gewähren). Dadurch wird auch das Zeitfenster für mögliche Angreifer geschlossen, falls ein Benutzerkonto kompromittiert wurde.

Durch die zunehmende Komplexität von Unternehmensinfrastrukturen benötigt es heute umfassende Kontrollen, wer in welchem Ausmaß und für welchen Zeitraum Zugriff auf sensible Ressourcen und Daten hat. Die Identitätskonsolidierung und Privilegien-Erhöhung sorgt für eine Zentralisierung von Identitäten und eine granulare Steuerung und Kontrolle von Berechtigungen. Hierdurch werden Identity Sprawl und die damit einhergehenden Sicherheitsrisiken verringert, der Verwaltungsaufwand reduziert sowie die Produktivität der Mitarbeiter erhöht. Mit diesem Ansatz können Unternehmen sicherstellen, dass nur autorisierte Personen, Maschinen oder Dienste auf die richtigen Ressourcen zur richtigen Zeit und aus den richtigen Gründen zugreifen.

Özkan Topal istSales Director bei ThycoticCentrify.

ThycoticCentrify