Eine Komponente für solide Sicherheit in der Cloud nimmt eine besonders kritische Rolle ein, die Identität. Das Konzept der Identität in der Cloud kann sich auf viele Dinge beziehen. Nachfolgend Erklärungen und Tipps von Palo Alto Networks insbesondere hinsichtlich der Nutzer und Cloud-Ressourcen. [...]
In der Vergangenheit wurde die Verteidigung nach dem Defense-in-Depth-Prinzip meist durch Kontrollen auf Netzwerkebene durchgeführt. Fortschrittliche Tools zur Bedrohungsabwehr sind in der Lage, die Anwendungen zu erkennen, die das Netzwerk durchqueren, und zu bestimmen, ob sie zugelassen werden sollten oder nicht. Diese Art von Sicherheit ist in nativen Cloud-Umgebungen immer noch sehr gefragt, aber sie allein reicht nach Meinung von Palo Alto Networks nicht mehr aus.
Public-Cloud-Provider bieten ein reichhaltiges Portfolio an Diensten an, und die einzige Möglichkeit, viele davon zu verwalten und zu sichern, ist das Identitäts- und Zugriffsmanagement (IAM). Sicherheitsteams müssen sich im Hinblick auf IAM verschiedenen Herausforderungen stellen.
Identitäts- und Zugangsmanagement
IAM ist ein Cloud–Dienst, der die Berechtigungen und den Zugriff für Benutzer und Cloud–Ressourcen steuert. IAM-Richtlinien sind Sätze von Berechtigungsrichtlinien, die entweder an Benutzer oder an Cloud–Ressourcen angehängt werden können, um zu autorisieren, worauf sie zugreifen und was sie damit tun können.
Das Konzept „Identität ist der neue Perimeter“ reicht fast zehn Jahre zurück, als AWS seinen IAM-Dienst zum ersten Mal vorstellte. Aufgrund der Zunahme abstrakter Cloud–Dienste und der jüngsten Welle von hochkarätigen Fällen von Datenraub rückt IAM nun wieder in den Mittelpunkt.
Dienste, die keine zugrundeliegende Infrastruktur offenbaren, sind in hohem Maße auf IAM angewiesen. Ein Beispiel wäre eine Anwendung, die diesem Ablauf folgt: Der Simple Notification Service (SNS) löst eine Lambda-Funktion aus, die wiederum ein Element in eine DynamoDB-Tabelle setzt. Bei dieser Art von Anwendung gibt es kein Netzwerk zu inspizieren, so dass Identität und Berechtigungen zu den wichtigsten Aspekten der Sicherheit werden.
Ein Beispiel für die Auswirkungen eines strengen (oder übermäßig durchlässigen) IAM-Profils liefert die Lambda-Funktion. Die Funktion soll nur Elemente in die DynamoDB-Tabelle einfügen. Was passiert, wenn die Funktion volle DynamoDB-Berechtigungen hat? Wenn die Funktion aus welchem Grund auch immer kompromittiert wird, wird auch die DynamoDB-Tabelle sofort kompromittiert, da die Funktion zum Exfiltrieren von Daten genutzt werden könnte. Wenn das IAM-Profil dem „Least-Privilege“-Prinzip folgt und der Funktion nur das Einfügen von Elementen in die Tabelle erlaubt, wird das Ausmaß im Falle eines Vorfalls stark reduziert.
Das Management einer großen Anzahl privilegierter Benutzer mit Zugang zu einem ständig wachsenden Angebot an Dienstleistungen ist eine Herausforderung. Die Verwaltung separater IAM-Rollen und –Gruppen für diese Benutzer und Ressourcen fügt eine weitere Ebene der Komplexität hinzu, wie Palo Alto Networks erklärt. Cloud-Anbieter wie AWS und Google Cloud helfen den Kunden bei der Lösung dieser Probleme mit Tools wie dem Google Cloud IAM Recommender (derzeit in der Beta-Phase) und dem AWS IAM Access Advisor. Diese Tools versuchen, die Dienste zu analysieren, auf die Nutzer und Ressourcen zuletzt zugegriffen haben, und helfen Ihnen herauszufinden, welche Berechtigungen möglicherweise überprivilegiert sind.
Die Verfügbarkeit dieser Tools zeigt, dass Cloud-Anbieter diese Zugangsprobleme erkennen, was definitiv ein Schritt in die richtige Richtung ist.
Es gibt jedoch noch ein paar weitere Herausforderungen, die nach Meinung von Palo Alto Networks zu berücksichtigen sind:
Identität und Zugang
IAM und SSO: Die meisten Unternehmen verwenden heute eine Form von Single-Sign-On (SSO), wie z.B. Okta, um die Art und Weise zu verwalten, wie Benutzer mit Cloud–Diensten interagieren. Dies ist ein effektiver Weg, den Zugang für eine große Anzahl von Benutzern und Diensten zu zentralisieren. Obwohl die Verwendung von SSO zur Anmeldung bei Public-Cloud–Accounts definitiv die beste Praxis ist, kann die Zuordnung zwischen SSO-Benutzern und IAM-Rollen zu einer Herausforderung werden, da Benutzer mehrere Rollen haben können, die sich über mehrere Cloud–Accounts erstrecken.
Effektive Berechtigungen: Wenn man bedenkt, dass Benutzer und Dienste mit mehr als einem Berechtigungssatz ausgestattet sind, wird es schwierig, die effektiven Berechtigungen einer Entität zu verstehen.
Auf was kann ein Benutzer zugreifen? Welche Aktionen kann er mit diesen Diensten durchführen? Wenn er auf eine virtuelle Maschine zugreift, übernimmt er dann die IAM-Berechtigungen dieser Ressource? Gehört er zu einer Gruppe, die zusätzliche Berechtigungen gewährt? Mit schichtweisen Konfigurationen und Berechtigungsprofilen sind solche Fragen schwer zu beantworten.
Multi-Cloud: Laut RightScale setzen mehr als 84 Prozent der Unternehmen auf eine Multi-Cloud–Strategie. Jeder Anbieter hat seine eigenen Richtlinien, Tools und Terminologie. Es gibt keine gemeinsame Sprache, die hilft, Beziehungen und Berechtigungen zwischen den Cloud-Anbietern zu verstehen.
IAM-Sicherheitsrechte erhalten
Cloud-Anbieter liefern eine hervorragende Grundlage für die Implementierung eines Ansatzes für die am wenigsten privilegierten Berechtigungen. Mit der zunehmenden Verbreitung von Clouds im Unternehmen werden die oben genannten und weitere Herausforderungen deutlich. Unternehmen müssen sich möglicherweise nach Multi-Cloud-Lösungen umsehen, um sie zu lösen.
Dabei sollten Unternehmen nach Meinung von Palo Alto Networks diese Aspekte berücksichtigen:
- Verwenden Sie keine Root-Accounts: Legen Sie immer einzelne IAM-Benutzer mit den entsprechenden Berechtigungen an und geben Sie Ihre Root-Zugangsdaten an niemanden weiter.
- Setzen Sie ein Role-per-Group-Modell um: Weisen Sie Gruppen von Benutzern Richtlinien zu, die auf den spezifischen Dingen basieren, die diese Benutzer tun müssen. „Stapeln“ Sie keine IAM-Rollen, indem Sie einzelnen Benutzern Rollen zuweisen und diese dann zu Gruppen hinzufügen. Dadurch wird es für Sie schwierig, ihre effektiven Berechtigungen zu verstehen.
- Gewähren Sie die geringsten Rechte: Gewähren Sie nur die geringsten Rechte, die für eine Arbeit benötigt werden, wie beim Beispiel der Lambda-Funktion für den Zugriff auf DynamoDB. Dadurch wird sichergestellt, dass im Falle einer Kompromittierung eines Benutzers oder einer Ressource der betroffene Radius auf eine oder wenige Berechtigungen reduziert wird. Dies ist eine fortlaufende Aufgabe. Da sich die Anwendung ständig ändert, müssen Sie sicherstellen, dass Ihre Berechtigungen entsprechend angepasst werden.
- Nutzen Sie die Tools der Cloud-Provider: Die Verwaltung vieler Berechtigungsprofile in großem Maßstab ist eine Herausforderung. Nutzen Sie hierfür die bereits verfügbaren Plattformen, um Berechtigungen mit den geringsten Rechten zu generieren und Ihre vorhandenen Dienste zu analysieren. Denken Sie daran, dass die Empfehlung der Cloud-Provider lautet, die generierten Profile vor der Implementierung immer manuell zu überprüfen.
IAM ist nur ein, wenn auch entscheidender Aspekt der Cloud–Sicherheit. Unternehmen müssen IAM als Teil ihrer gesamten Sicherheitsposition betrachten und eine integrierte Sicherheitsebene über den gesamten Anwendungslebenszyklus hinzufügen. Eine cloud-native Sicherheitsplattform wie Prisma Cloud erweist sich hierbei als nützlich.
Be the first to comment