5. November 2024

Das Potential von Identity Access Management für Cloud-Security

Eine Komponente für solide Sicherheit in der Cloud nimmt eine besonders kritische Rolle ein, die Identität. Das Konzept der Identität in der Cloud kann sich auf viele Dinge beziehen. Nachfolgend Erklärungen und Tipps von Palo Alto Networks insbesondere hinsichtlich der Nutzer und Cloud-Ressourcen. [...]

Zahlreiche IT-Sicherheitsvorfälle der vergangenen Monate zeigen, dass bestimmte traditionelle IT-Sicherheitsparadigmen neu überdacht werden müssen, wenn man sich dem Thema cloud-native Sicherheit nähert. Eine besonders kritische Rolle spielt hier die Identität. (c) ar130405 / Pixabay

In der Vergangenheit wurde die Verteidigung nach dem Defense-in-Depth-Prinzip meist durch Kontrollen auf Netzwerkebene durchgeführt. Fortschrittliche Tools zur Bedrohungsabwehr sind in der Lage, die Anwendungen zu erkennen, die das Netzwerk durchqueren, und zu bestimmen, ob sie zugelassen werden sollten oder nicht. Diese Art von Sicherheit ist in nativen Cloud-Umgebungen immer noch sehr gefragt, aber sie allein reicht nach Meinung von Palo Alto Networks nicht mehr aus.

Public-Cloud-Provider bieten ein reichhaltiges Portfolio an Diensten an, und die einzige Möglichkeit, viele davon zu verwalten und zu sichern, ist das Identitäts- und Zugriffsmanagement (IAM). Sicherheitsteams müssen sich im Hinblick auf IAM verschiedenen Herausforderungen stellen.

Identitäts- und Zugangsmanagement

IAM ist ein Cloud–Dienst, der die Berechtigungen und den Zugriff für Benutzer und Cloud–Ressourcen steuert. IAM-Richtlinien sind Sätze von Berechtigungsrichtlinien, die entweder an Benutzer oder an Cloud–Ressourcen angehängt werden können, um zu autorisieren, worauf sie zugreifen und was sie damit tun können.

Das Konzept „Identität ist der neue Perimeter“ reicht fast zehn Jahre zurück, als AWS seinen IAM-Dienst zum ersten Mal vorstellte. Aufgrund der Zunahme abstrakter Cloud–Dienste und der jüngsten Welle von hochkarätigen Fällen von Datenraub rückt IAM nun wieder in den Mittelpunkt.

Dienste, die keine zugrundeliegende Infrastruktur offenbaren, sind in hohem Maße auf IAM angewiesen. Ein Beispiel wäre eine Anwendung, die diesem Ablauf folgt: Der Simple Notification Service (SNS) löst eine Lambda-Funktion aus, die wiederum ein Element in eine DynamoDB-Tabelle setzt. Bei dieser Art von Anwendung gibt es kein Netzwerk zu inspizieren, so dass Identität und Berechtigungen zu den wichtigsten Aspekten der Sicherheit werden.

Ein Beispiel für die Auswirkungen eines strengen (oder übermäßig durchlässigen) IAM-Profils liefert die Lambda-Funktion. Die Funktion soll nur Elemente in die DynamoDB-Tabelle einfügen. Was passiert, wenn die Funktion volle DynamoDB-Berechtigungen hat? Wenn die Funktion aus welchem Grund auch immer kompromittiert wird, wird auch die DynamoDB-Tabelle sofort kompromittiert, da die Funktion zum Exfiltrieren von Daten genutzt werden könnte. Wenn das IAM-Profil dem „Least-Privilege“-Prinzip folgt und der Funktion nur das Einfügen von Elementen in die Tabelle erlaubt, wird das Ausmaß im Falle eines Vorfalls stark reduziert.

Das Management einer großen Anzahl privilegierter Benutzer mit Zugang zu einem ständig wachsenden Angebot an Dienstleistungen ist eine Herausforderung. Die Verwaltung separater IAM-Rollen und –Gruppen für diese Benutzer und Ressourcen fügt eine weitere Ebene der Komplexität hinzu, wie Palo Alto Networks erklärt. Cloud-Anbieter wie AWS und Google Cloud helfen den Kunden bei der Lösung dieser Probleme mit Tools wie dem Google Cloud IAM Recommender (derzeit in der Beta-Phase) und dem AWS IAM Access Advisor. Diese Tools versuchen, die Dienste zu analysieren, auf die Nutzer und Ressourcen zuletzt zugegriffen haben, und helfen Ihnen herauszufinden, welche Berechtigungen möglicherweise überprivilegiert sind.

Die Verfügbarkeit dieser Tools zeigt, dass Cloud-Anbieter diese Zugangsprobleme erkennen, was definitiv ein Schritt in die richtige Richtung ist.

Es gibt jedoch noch ein paar weitere Herausforderungen, die nach Meinung von Palo Alto Networks zu berücksichtigen sind:

Identität und Zugang

IAM und SSO: Die meisten Unternehmen verwenden heute eine Form von Single-Sign-On (SSO), wie z.B. Okta, um die Art und Weise zu verwalten, wie Benutzer mit Cloud–Diensten interagieren. Dies ist ein effektiver Weg, den Zugang für eine große Anzahl von Benutzern und Diensten zu zentralisieren. Obwohl die Verwendung von SSO zur Anmeldung bei Public-Cloud–Accounts definitiv die beste Praxis ist, kann die Zuordnung zwischen SSO-Benutzern und IAM-Rollen zu einer Herausforderung werden, da Benutzer mehrere Rollen haben können, die sich über mehrere Cloud–Accounts erstrecken.

Effektive Berechtigungen: Wenn man bedenkt, dass Benutzer und Dienste mit mehr als einem Berechtigungssatz ausgestattet sind, wird es schwierig, die effektiven Berechtigungen einer Entität zu verstehen.

Auf was kann ein Benutzer zugreifen? Welche Aktionen kann er mit diesen Diensten durchführen? Wenn er auf eine virtuelle Maschine zugreift, übernimmt er dann die IAM-Berechtigungen dieser Ressource? Gehört er zu einer Gruppe, die zusätzliche Berechtigungen gewährt? Mit schichtweisen Konfigurationen und Berechtigungsprofilen sind solche Fragen schwer zu beantworten.

Multi-Cloud: Laut RightScale setzen mehr als 84 Prozent der Unternehmen auf eine Multi-Cloud–Strategie. Jeder Anbieter hat seine eigenen Richtlinien, Tools und Terminologie. Es gibt keine gemeinsame Sprache, die hilft, Beziehungen und Berechtigungen zwischen den Cloud-Anbietern zu verstehen.

IAM-Sicherheitsrechte erhalten

Cloud-Anbieter liefern eine hervorragende Grundlage für die Implementierung eines Ansatzes für die am wenigsten privilegierten Berechtigungen. Mit der zunehmenden Verbreitung von Clouds im Unternehmen werden die oben genannten und weitere Herausforderungen deutlich. Unternehmen müssen sich möglicherweise nach Multi-Cloud-Lösungen umsehen, um sie zu lösen.

Dabei sollten Unternehmen nach Meinung von Palo Alto Networks diese Aspekte berücksichtigen:

Verwenden Sie keine Root-Accounts: Legen Sie immer einzelne IAM-Benutzer mit den entsprechenden Berechtigungen an und geben Sie Ihre Root-Zugangsdaten an niemanden weiter.
Setzen Sie ein Role-per-Group-Modell um: Weisen Sie Gruppen von Benutzern Richtlinien zu, die auf den spezifischen Dingen basieren, die diese Benutzer tun müssen. „Stapeln“ Sie keine IAM-Rollen, indem Sie einzelnen Benutzern Rollen zuweisen und diese dann zu Gruppen hinzufügen. Dadurch wird es für Sie schwierig, ihre effektiven Berechtigungen zu verstehen.
Gewähren Sie die geringsten Rechte: Gewähren Sie nur die geringsten Rechte, die für eine Arbeit benötigt werden, wie beim Beispiel der Lambda-Funktion für den Zugriff auf DynamoDB. Dadurch wird sichergestellt, dass im Falle einer Kompromittierung eines Benutzers oder einer Ressource der betroffene Radius auf eine oder wenige Berechtigungen reduziert wird. Dies ist eine fortlaufende Aufgabe. Da sich die Anwendung ständig ändert, müssen Sie sicherstellen, dass Ihre Berechtigungen entsprechend angepasst werden.
Nutzen Sie die Tools der Cloud-Provider: Die Verwaltung vieler Berechtigungsprofile in großem Maßstab ist eine Herausforderung. Nutzen Sie hierfür die bereits verfügbaren Plattformen, um Berechtigungen mit den geringsten Rechten zu generieren und Ihre vorhandenen Dienste zu analysieren. Denken Sie daran, dass die Empfehlung der Cloud-Provider lautet, die generierten Profile vor der Implementierung immer manuell zu überprüfen.

IAM ist nur ein, wenn auch entscheidender Aspekt der Cloud–Sicherheit. Unternehmen müssen IAM als Teil ihrer gesamten Sicherheitsposition betrachten und eine integrierte Sicherheitsebene über den gesamten Anwendungslebenszyklus hinzufügen. Eine cloud-native Sicherheitsplattform wie Prisma Cloud erweist sich hierbei als nützlich.

Alain Tanner ist seit Oktober Channel Account Manager für die Region ALPS bei Arctic Wolf. (c) Arctic Wolf

Arctic Wolf ernennt Alain Tanner zum Channel Account Manager für Österreich und die Schweiz

4. November 2024 pi/cb

Alain Tanner ist seit Oktober Channel Account Manager für die Region ALPS bei Arctic Wolf. In dieser neu geschaffenen Rolle soll Tanner die Beziehungen zu Reseller-Partnern in Österreich und der Schweiz stärken. […]

David Hable, Country Lead Salesforce (c) Martin Hörmandinger

Autonome KI-Assistenten: Salesforce präsentiert Agentforce

4. November 2024 Christof Baumgartner

Salesforce lädt am 12. November zum Innovation Day nach Wien ein. Ein zentraler Bestandteil der Veranstaltung ist die Vorstellung von Agentforce, einer innovativen KI-Lösung. Im Gespräch mit ITWELT.at erläutert Country Lead David Hable, wie diese intelligenten Agenten Unternehmen bei der digitalen Transformation unterstützen können. […]

Ingenieur und Erfinder Alex Bronstein wird Professor am ISTA. (c) ISTA

Hightech-Erfinder Alex Bronstein startet Professur am ISTA

4. November 2024 pi/wf

Von den Anfängen der 3D-Gesichtserkennung bis hin zu großen wissenschaftlich-unternehmerischen Erfolgen – Ingenieur und Informatiker Alex Bronstein ist für bahnbrechende Innovationen bekannt. […]

Martin Giesswein, Digitalhumanist, Buchautor, Ökonom und Vortragender (c) Martin Giesswein

„KI so gestalten, dass sie optimal für den Menschen ist“

3. November 2024 Klaus Lorbeer

Im Rahmen der „Expedition KI 3.0“ am Wiener Flughafen traf IT Welt.at den Digitalhumanisten Martin Giesswein und stellte ihm drei Fragen. […]

Optimal verbunden mit dem Mesh WLAN

1. November 2024 Andreas Fischer *

Mit einem Mesh-Netzwerk bringen Sie schnelles und stabiles WLAN bis in den letzten Winkel Ihres Zuhauses. Wir erklären, was Sie für eine solche Mesh-Lösung benötigen, wie Sie diese mit wenig Aufwand einrichten und optimal konfigurieren. […]

Jahrelanges Katz-und-Maus-Spiel zwischen Hackern und Verteidigern

1. November 2024

Sophos hat den umfangreichen Forschungsbericht „Pacific Rim“ veröffentlicht, der detailliert ein jahrelanges Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit mehreren staatlich unterstützten Cybercrime-Gruppierungen aus China beschreibt. Im Lauf der Auseinandersetzung entdeckte Sophos ein riesiges, gegnerisches Cybercrime-Ökosystem. […]

SYS01-Infostealer versucht Facebook-Businesskonten zu übernehmen

1. November 2024

Hacker spielen die SYS01-Malware über vermeintliche Angebote zu Downloads von Adobe, Office 365, Netflix, VPN-Diensten oder von bekannten Spielen aus. Die dann heruntergeladene anspruchsvolle Schadsoftware nutzt fortschrittliche Taktiken, damit Sandbox-Verfahren sie nicht entdecken und passt sich bei der Erkennung über Updates schnell an […]

Salesforce kündigt autonome KI-Agenten an

1. November 2024

Agentforce soll es Unternehmen ermöglichen, autonome KI-Agenten für zahlreiche Unternehmensfunktionen zu entwickeln und einzusetzen. So bearbeitet Agentforce beispielsweise selbstständig Kundenanliegen, qualifiziert Vertriebsleads und optimiert Marketingkampagnen. […]

Stephan Hausmann ist Software Sales Engineer für Identity und Access Management (EMEA), One Identity. (c) One Identity

KI in der Cybersicherheit 101: Wie wirtschaftlich ist ein „Bot versus Bot“ Szenario?

31. Oktober 2024 Stephan Hausmann*

Wenn man online nach Begriffen wie „Cyber-Hacker“ sucht, besteht das Ergebnis meist in unzähligen Bildern vermummter Schattengestalten, die sich verschwörerisch über einen Laptop beugen. Diese plakativen Suchergebnisse haben nur ein Problem: Menschliche Hacker sind heutzutage in der Minderheit. […]

Das Potential von Identity Access Management für Cloud-Security

Identitäts- und Zugangsmanagement

Identität und Zugang

IAM-Sicherheitsrechte erhalten

Mehr Artikel

Arctic Wolf ernennt Alain Tanner zum Channel Account Manager für Österreich und die Schweiz

Autonome KI-Assistenten: Salesforce präsentiert Agentforce

Hightech-Erfinder Alex Bronstein startet Professur am ISTA

„KI so gestalten, dass sie optimal für den Menschen ist“

Optimal verbunden mit dem Mesh WLAN

Jahrelanges Katz-und-Maus-Spiel zwischen Hackern und Verteidigern

SYS01-Infostealer versucht Facebook-Businesskonten zu übernehmen

Salesforce kündigt autonome KI-Agenten an

KI in der Cybersicherheit 101: Wie wirtschaftlich ist ein „Bot versus Bot“ Szenario?

Be the first to comment

Leave a Reply Antworten abbrechen