Das Potential von Identity Access Management für Cloud-Security

Eine Komponente für solide Sicherheit in der Cloud nimmt eine besonders kritische Rolle ein, die Identität. Das Konzept der Identität in der Cloud kann sich auf viele Dinge beziehen. Nachfolgend Erklärungen und Tipps von Palo Alto Networks insbesondere hinsichtlich der Nutzer und Cloud-Ressourcen. [...]

Zahlreiche IT-Sicherheitsvorfälle der vergangenen Monate zeigen, dass bestimmte traditionelle IT-Sicherheitsparadigmen neu überdacht werden müssen, wenn man sich dem Thema cloud-native Sicherheit nähert. Eine besonders kritische Rolle spielt hier die Identität.
Zahlreiche IT-Sicherheitsvorfälle der vergangenen Monate zeigen, dass bestimmte traditionelle IT-Sicherheitsparadigmen neu überdacht werden müssen, wenn man sich dem Thema cloud-native Sicherheit nähert. Eine besonders kritische Rolle spielt hier die Identität. (c) ar130405 / Pixabay

In der Vergangenheit wurde die Verteidigung nach dem Defense-in-Depth-Prinzip meist durch Kontrollen auf Netzwerkebene durchgeführt. Fortschrittliche Tools zur Bedrohungsabwehr sind in der Lage, die Anwendungen zu erkennen, die das Netzwerk durchqueren, und zu bestimmen, ob sie zugelassen werden sollten oder nicht. Diese Art von Sicherheit ist in nativen Cloud-Umgebungen immer noch sehr gefragt, aber sie allein reicht nach Meinung von Palo Alto Networks nicht mehr aus. 

Public-Cloud-Provider bieten ein reichhaltiges Portfolio an Diensten an, und die einzige Möglichkeit, viele davon zu verwalten und zu sichern, ist das Identitäts- und Zugriffsmanagement (IAM). Sicherheitsteams müssen sich im Hinblick auf IAM verschiedenen Herausforderungen stellen. 

Identitäts- und Zugangsmanagement

IAM ist ein CloudDienst, der die Berechtigungen und den Zugriff für Benutzer und CloudRessourcen steuert. IAM-Richtlinien sind Sätze von Berechtigungsrichtlinien, die entweder an Benutzer oder an CloudRessourcen angehängt werden können, um zu autorisieren, worauf sie zugreifen und was sie damit tun können.

Das Konzept „Identität ist der neue Perimeter“ reicht fast zehn Jahre zurück, als AWS seinen IAM-Dienst zum ersten Mal vorstellte. Aufgrund der Zunahme abstrakter CloudDienste und der jüngsten Welle von hochkarätigen Fällen von Datenraub rückt IAM nun wieder in den Mittelpunkt. 

Dienste, die keine zugrundeliegende Infrastruktur offenbaren, sind in hohem Maße auf IAM angewiesen. Ein Beispiel wäre eine Anwendung, die diesem Ablauf folgt: Der Simple Notification Service (SNS) löst eine Lambda-Funktion aus, die wiederum ein Element in eine DynamoDB-Tabelle setzt. Bei dieser Art von Anwendung gibt es kein Netzwerk zu inspizieren, so dass Identität und Berechtigungen zu den wichtigsten Aspekten der Sicherheit werden. 

Ein Beispiel für die Auswirkungen eines strengen (oder übermäßig durchlässigen) IAM-Profils liefert die Lambda-Funktion. Die Funktion soll nur Elemente in die DynamoDB-Tabelle einfügen. Was passiert, wenn die Funktion volle DynamoDB-Berechtigungen hat? Wenn die Funktion aus welchem Grund auch immer kompromittiert wird, wird auch die DynamoDB-Tabelle sofort kompromittiert, da die Funktion zum Exfiltrieren von Daten genutzt werden könnte. Wenn das IAM-Profil dem „Least-Privilege“-Prinzip folgt und der Funktion nur das Einfügen von Elementen in die Tabelle erlaubt, wird das Ausmaß im Falle eines Vorfalls stark reduziert. 

Das Management einer großen Anzahl privilegierter Benutzer mit Zugang zu einem ständig wachsenden Angebot an Dienstleistungen ist eine Herausforderung. Die Verwaltung separater IAM-Rollen und –Gruppen für diese Benutzer und Ressourcen fügt eine weitere Ebene der Komplexität hinzu, wie Palo Alto Networks erklärt. Cloud-Anbieter wie AWS und Google Cloud helfen den Kunden bei der Lösung dieser Probleme mit Tools wie dem Google Cloud IAM Recommender (derzeit in der Beta-Phase) und dem AWS IAM Access Advisor. Diese Tools versuchen, die Dienste zu analysieren, auf die Nutzer und Ressourcen zuletzt zugegriffen haben, und helfen Ihnen herauszufinden, welche Berechtigungen möglicherweise überprivilegiert sind. 

Die Verfügbarkeit dieser Tools zeigt, dass Cloud-Anbieter diese Zugangsprobleme erkennen, was definitiv ein Schritt in die richtige Richtung ist. 

Es gibt jedoch noch ein paar weitere Herausforderungen, die nach Meinung von Palo Alto Networks zu berücksichtigen sind:

Identität und Zugang

IAM und SSO: Die meisten Unternehmen verwenden heute eine Form von Single-Sign-On (SSO), wie z.B. Okta, um die Art und Weise zu verwalten, wie Benutzer mit CloudDiensten interagieren. Dies ist ein effektiver Weg, den Zugang für eine große Anzahl von Benutzern und Diensten zu zentralisieren. Obwohl die Verwendung von SSO zur Anmeldung bei Public-CloudAccounts definitiv die beste Praxis ist, kann die Zuordnung zwischen SSO-Benutzern und IAM-Rollen zu einer Herausforderung werden, da Benutzer mehrere Rollen haben können, die sich über mehrere CloudAccounts erstrecken. 

Effektive Berechtigungen: Wenn man bedenkt, dass Benutzer und Dienste mit mehr als einem Berechtigungssatz ausgestattet sind, wird es schwierig, die effektiven Berechtigungen einer Entität zu verstehen. 

Auf was kann ein Benutzer zugreifen? Welche Aktionen kann er mit diesen Diensten durchführen? Wenn er auf eine virtuelle Maschine zugreift, übernimmt er dann die IAM-Berechtigungen dieser Ressource? Gehört er zu einer Gruppe, die zusätzliche Berechtigungen gewährt? Mit schichtweisen Konfigurationen und Berechtigungsprofilen sind solche Fragen schwer zu beantworten. 

Multi-Cloud: Laut RightScale setzen mehr als 84 Prozent der Unternehmen auf eine Multi-CloudStrategie. Jeder Anbieter hat seine eigenen Richtlinien, Tools und Terminologie. Es gibt keine gemeinsame Sprache, die hilft, Beziehungen und Berechtigungen zwischen den Cloud-Anbietern zu verstehen. 

IAM-Sicherheitsrechte erhalten

Cloud-Anbieter liefern eine hervorragende Grundlage für die Implementierung eines Ansatzes für die am wenigsten privilegierten Berechtigungen. Mit der zunehmenden Verbreitung von Clouds im Unternehmen werden die oben genannten und weitere Herausforderungen deutlich. Unternehmen müssen sich möglicherweise nach Multi-Cloud-Lösungen umsehen, um sie zu lösen. 

Dabei sollten Unternehmen nach Meinung von Palo Alto Networks diese Aspekte berücksichtigen:

  • Verwenden Sie keine Root-Accounts: Legen Sie immer einzelne IAM-Benutzer mit den entsprechenden Berechtigungen an und geben Sie Ihre Root-Zugangsdaten an niemanden weiter. 
  • Setzen Sie ein Role-per-Group-Modell um: Weisen Sie Gruppen von Benutzern Richtlinien zu, die auf den spezifischen Dingen basieren, die diese Benutzer tun müssen. „Stapeln“ Sie keine IAM-Rollen, indem Sie einzelnen Benutzern Rollen zuweisen und diese dann zu Gruppen hinzufügen. Dadurch wird es für Sie schwierig, ihre effektiven Berechtigungen zu verstehen.
  • Gewähren Sie die geringsten Rechte: Gewähren Sie nur die geringsten Rechte, die für eine Arbeit benötigt werden, wie beim Beispiel der Lambda-Funktion für den Zugriff auf DynamoDB. Dadurch wird sichergestellt, dass im Falle einer Kompromittierung eines Benutzers oder einer Ressource der betroffene Radius auf eine oder wenige Berechtigungen reduziert wird. Dies ist eine fortlaufende Aufgabe. Da sich die Anwendung ständig ändert, müssen Sie sicherstellen, dass Ihre Berechtigungen entsprechend angepasst werden.
  • Nutzen Sie die Tools der Cloud-Provider: Die Verwaltung vieler Berechtigungsprofile in großem Maßstab ist eine Herausforderung. Nutzen Sie hierfür die bereits verfügbaren Plattformen, um Berechtigungen mit den geringsten Rechten zu generieren und Ihre vorhandenen Dienste zu analysieren. Denken Sie daran, dass die Empfehlung der Cloud-Provider lautet, die generierten Profile vor der Implementierung immer manuell zu überprüfen. 

IAM ist nur ein, wenn auch entscheidender Aspekt der CloudSicherheit. Unternehmen müssen IAM als Teil ihrer gesamten Sicherheitsposition betrachten und eine integrierte Sicherheitsebene über den gesamten Anwendungslebenszyklus hinzufügen. Eine cloud-native Sicherheitsplattform wie Prisma Cloud erweist sich hierbei als nützlich.


Mehr Artikel

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

News

KI ist das neue Lernfach für uns alle

Die Mystifizierung künstlicher Intelligenz treibt mitunter seltsame Blüten. Dabei ist sie weder der Motor einer schönen neuen Welt, noch eine apokalyptische Gefahr. Sie ist schlicht und einfach eine neue, wenn auch höchst anspruchsvolle Technologie, mit der wir alle lernen müssen, sinnvoll umzugehen. Und dafür sind wir selbst verantwortlich. […]

Case-Study

Erfolgreiche Migration auf SAP S/4HANA

Energieschub für die IT-Infrastruktur von Burgenland Energie: Der Energieversorger hat zusammen mit Tietoevry Austria die erste Phase des Umstieges auf SAP S/4HANA abgeschlossen. Das burgenländische Green-Tech-Unternehmen profitiert nun von optimierten Finanz-, Logistik- und HR-Prozessen und schafft damit die Basis für die zukünftige Entflechtung von Energiebereitstellung und Netzbetrieb. […]

FH-Hon.Prof. Ing. Dipl.-Ing. (FH) Dipl.-Ing. Dr. techn. Michael Georg Grasser, MBA MPA CMC, Leiter FA IT-Infrastruktur der Steiermärkischen Krankenanstaltengesellschaft m.b.H. (KAGes). (c) © FH CAMPUS 02
Interview

Krankenanstalten im Jahr 2030

Um sich schon heute auf die Herausforderungen in fünf Jahren vorbereiten zu können, hat die Steiermärkische Krankenanstaltengesellschaft (KAGes) die Strategie 2030 formuliert. transform! sprach mit Michael Georg Grasser, Leiter der Fachabteilung IT-Infrastruktur. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*