5. Oktober 2024

Das Potential von Identity Access Management für Cloud-Security

Eine Komponente für solide Sicherheit in der Cloud nimmt eine besonders kritische Rolle ein, die Identität. Das Konzept der Identität in der Cloud kann sich auf viele Dinge beziehen. Nachfolgend Erklärungen und Tipps von Palo Alto Networks insbesondere hinsichtlich der Nutzer und Cloud-Ressourcen. [...]

Zahlreiche IT-Sicherheitsvorfälle der vergangenen Monate zeigen, dass bestimmte traditionelle IT-Sicherheitsparadigmen neu überdacht werden müssen, wenn man sich dem Thema cloud-native Sicherheit nähert. Eine besonders kritische Rolle spielt hier die Identität. (c) ar130405 / Pixabay

In der Vergangenheit wurde die Verteidigung nach dem Defense-in-Depth-Prinzip meist durch Kontrollen auf Netzwerkebene durchgeführt. Fortschrittliche Tools zur Bedrohungsabwehr sind in der Lage, die Anwendungen zu erkennen, die das Netzwerk durchqueren, und zu bestimmen, ob sie zugelassen werden sollten oder nicht. Diese Art von Sicherheit ist in nativen Cloud-Umgebungen immer noch sehr gefragt, aber sie allein reicht nach Meinung von Palo Alto Networks nicht mehr aus.

Public-Cloud-Provider bieten ein reichhaltiges Portfolio an Diensten an, und die einzige Möglichkeit, viele davon zu verwalten und zu sichern, ist das Identitäts- und Zugriffsmanagement (IAM). Sicherheitsteams müssen sich im Hinblick auf IAM verschiedenen Herausforderungen stellen.

Identitäts- und Zugangsmanagement

IAM ist ein Cloud–Dienst, der die Berechtigungen und den Zugriff für Benutzer und Cloud–Ressourcen steuert. IAM-Richtlinien sind Sätze von Berechtigungsrichtlinien, die entweder an Benutzer oder an Cloud–Ressourcen angehängt werden können, um zu autorisieren, worauf sie zugreifen und was sie damit tun können.

Das Konzept „Identität ist der neue Perimeter“ reicht fast zehn Jahre zurück, als AWS seinen IAM-Dienst zum ersten Mal vorstellte. Aufgrund der Zunahme abstrakter Cloud–Dienste und der jüngsten Welle von hochkarätigen Fällen von Datenraub rückt IAM nun wieder in den Mittelpunkt.

Dienste, die keine zugrundeliegende Infrastruktur offenbaren, sind in hohem Maße auf IAM angewiesen. Ein Beispiel wäre eine Anwendung, die diesem Ablauf folgt: Der Simple Notification Service (SNS) löst eine Lambda-Funktion aus, die wiederum ein Element in eine DynamoDB-Tabelle setzt. Bei dieser Art von Anwendung gibt es kein Netzwerk zu inspizieren, so dass Identität und Berechtigungen zu den wichtigsten Aspekten der Sicherheit werden.

Ein Beispiel für die Auswirkungen eines strengen (oder übermäßig durchlässigen) IAM-Profils liefert die Lambda-Funktion. Die Funktion soll nur Elemente in die DynamoDB-Tabelle einfügen. Was passiert, wenn die Funktion volle DynamoDB-Berechtigungen hat? Wenn die Funktion aus welchem Grund auch immer kompromittiert wird, wird auch die DynamoDB-Tabelle sofort kompromittiert, da die Funktion zum Exfiltrieren von Daten genutzt werden könnte. Wenn das IAM-Profil dem „Least-Privilege“-Prinzip folgt und der Funktion nur das Einfügen von Elementen in die Tabelle erlaubt, wird das Ausmaß im Falle eines Vorfalls stark reduziert.

Das Management einer großen Anzahl privilegierter Benutzer mit Zugang zu einem ständig wachsenden Angebot an Dienstleistungen ist eine Herausforderung. Die Verwaltung separater IAM-Rollen und –Gruppen für diese Benutzer und Ressourcen fügt eine weitere Ebene der Komplexität hinzu, wie Palo Alto Networks erklärt. Cloud-Anbieter wie AWS und Google Cloud helfen den Kunden bei der Lösung dieser Probleme mit Tools wie dem Google Cloud IAM Recommender (derzeit in der Beta-Phase) und dem AWS IAM Access Advisor. Diese Tools versuchen, die Dienste zu analysieren, auf die Nutzer und Ressourcen zuletzt zugegriffen haben, und helfen Ihnen herauszufinden, welche Berechtigungen möglicherweise überprivilegiert sind.

Die Verfügbarkeit dieser Tools zeigt, dass Cloud-Anbieter diese Zugangsprobleme erkennen, was definitiv ein Schritt in die richtige Richtung ist.

Es gibt jedoch noch ein paar weitere Herausforderungen, die nach Meinung von Palo Alto Networks zu berücksichtigen sind:

Identität und Zugang

IAM und SSO: Die meisten Unternehmen verwenden heute eine Form von Single-Sign-On (SSO), wie z.B. Okta, um die Art und Weise zu verwalten, wie Benutzer mit Cloud–Diensten interagieren. Dies ist ein effektiver Weg, den Zugang für eine große Anzahl von Benutzern und Diensten zu zentralisieren. Obwohl die Verwendung von SSO zur Anmeldung bei Public-Cloud–Accounts definitiv die beste Praxis ist, kann die Zuordnung zwischen SSO-Benutzern und IAM-Rollen zu einer Herausforderung werden, da Benutzer mehrere Rollen haben können, die sich über mehrere Cloud–Accounts erstrecken.

Effektive Berechtigungen: Wenn man bedenkt, dass Benutzer und Dienste mit mehr als einem Berechtigungssatz ausgestattet sind, wird es schwierig, die effektiven Berechtigungen einer Entität zu verstehen.

Auf was kann ein Benutzer zugreifen? Welche Aktionen kann er mit diesen Diensten durchführen? Wenn er auf eine virtuelle Maschine zugreift, übernimmt er dann die IAM-Berechtigungen dieser Ressource? Gehört er zu einer Gruppe, die zusätzliche Berechtigungen gewährt? Mit schichtweisen Konfigurationen und Berechtigungsprofilen sind solche Fragen schwer zu beantworten.

Multi-Cloud: Laut RightScale setzen mehr als 84 Prozent der Unternehmen auf eine Multi-Cloud–Strategie. Jeder Anbieter hat seine eigenen Richtlinien, Tools und Terminologie. Es gibt keine gemeinsame Sprache, die hilft, Beziehungen und Berechtigungen zwischen den Cloud-Anbietern zu verstehen.

IAM-Sicherheitsrechte erhalten

Cloud-Anbieter liefern eine hervorragende Grundlage für die Implementierung eines Ansatzes für die am wenigsten privilegierten Berechtigungen. Mit der zunehmenden Verbreitung von Clouds im Unternehmen werden die oben genannten und weitere Herausforderungen deutlich. Unternehmen müssen sich möglicherweise nach Multi-Cloud-Lösungen umsehen, um sie zu lösen.

Dabei sollten Unternehmen nach Meinung von Palo Alto Networks diese Aspekte berücksichtigen:

Verwenden Sie keine Root-Accounts: Legen Sie immer einzelne IAM-Benutzer mit den entsprechenden Berechtigungen an und geben Sie Ihre Root-Zugangsdaten an niemanden weiter.
Setzen Sie ein Role-per-Group-Modell um: Weisen Sie Gruppen von Benutzern Richtlinien zu, die auf den spezifischen Dingen basieren, die diese Benutzer tun müssen. „Stapeln“ Sie keine IAM-Rollen, indem Sie einzelnen Benutzern Rollen zuweisen und diese dann zu Gruppen hinzufügen. Dadurch wird es für Sie schwierig, ihre effektiven Berechtigungen zu verstehen.
Gewähren Sie die geringsten Rechte: Gewähren Sie nur die geringsten Rechte, die für eine Arbeit benötigt werden, wie beim Beispiel der Lambda-Funktion für den Zugriff auf DynamoDB. Dadurch wird sichergestellt, dass im Falle einer Kompromittierung eines Benutzers oder einer Ressource der betroffene Radius auf eine oder wenige Berechtigungen reduziert wird. Dies ist eine fortlaufende Aufgabe. Da sich die Anwendung ständig ändert, müssen Sie sicherstellen, dass Ihre Berechtigungen entsprechend angepasst werden.
Nutzen Sie die Tools der Cloud-Provider: Die Verwaltung vieler Berechtigungsprofile in großem Maßstab ist eine Herausforderung. Nutzen Sie hierfür die bereits verfügbaren Plattformen, um Berechtigungen mit den geringsten Rechten zu generieren und Ihre vorhandenen Dienste zu analysieren. Denken Sie daran, dass die Empfehlung der Cloud-Provider lautet, die generierten Profile vor der Implementierung immer manuell zu überprüfen.

IAM ist nur ein, wenn auch entscheidender Aspekt der Cloud–Sicherheit. Unternehmen müssen IAM als Teil ihrer gesamten Sicherheitsposition betrachten und eine integrierte Sicherheitsebene über den gesamten Anwendungslebenszyklus hinzufügen. Eine cloud-native Sicherheitsplattform wie Prisma Cloud erweist sich hierbei als nützlich.

CFOs wollen mit KI die Unternehmensstrategie mitgestalten

4. Oktober 2024

Fast 9 von 10 CFOs, die KI in ihre Aufgaben integriert haben, sehen einen signifikanten Einfluss auf ihr Unternehmen. Das ist eine der Erkenntnisse des neuen CFO Research Reports „Der Schlüssel zum Erfolg im Finanzwesen“ von Sage. […]

DDoS-Attacken und Hacker-Aktivitäten bedrohen globale Infrastrukturen

4. Oktober 2024

Laut NETSCOUT DDoS Threat Intelligence Report 1H2024 ist EMEA-Region durch vermehrte DDoS-Angriffe und Hacker-Aktivitäten bedroht. Der Report stellt eine Zunahme an multivektorialen Angriffen fest, bei dem mehrere Angriffsmethoden gleichzeitig eingesetzt werden, um das Zielsystem zu überlasten. […]

KI in der Softwareentwicklung

4. Oktober 2024

Der “KI Trend Report 2025” von Objectbay liefert Einblicke, wie generative KI entlang des Software Engineering Lifecycle eingesetzt wird. Dafür hat das Linzer Softwareentwicklungs-Unternehmen 9 KI-Experten zu ihrer Praxiserfahrung befragt und gibt Einblicke, wie der Einsatz von KI die IT-Branche verändert wird. […]

Peter Hacker, Gründer und geschäftsführender Direktor von Distinction.global (c) Distinction.global

it-sa Programm: Special Keynote von Peter Hacker zu Risiken und geopolitischen Herausforderungen

4. Oktober 2024 pi/wf

it-sa Programm: Die it-sa Expo&Congress präsentiert am 24. Oktober die Special Keynote von Peter Hacker. Der Experte für Cybersicherheit bietet in einem Interview mit NürnbergMesse erste Einblicke in die wachsenden Risiken und geopolitischen Herausforderungen im digitalen Zeitalter. […]

Sockel für den Großschrank VX: Der komplette Sockelraum unterhalb des Schaltschranks kann genutzt werden, um Kabel flexibel unterzubringen. (c) Rittal

Rittal: Mehr Spielraum bei Kabeleinführung im Sockel

3. Oktober 2024 pi/cb

Wird ein Schaltschrank aufgebaut, muss es schnell und einfach gehen. Schon bei der Sockelmontage zählt jede Minute. Dafür sorgt Rittal mit seinen neuen Sockel-Systemen für den Großschrank VX und den Kompakt-Schaltschrank AX. […]

Wahlen in Gefahr: KI ermöglicht maßgeschneiderte Desinformation im großen Stil

3. Oktober 2024

2024 war und ist ein Jahr der Wahlen – mit Wahlveranstaltungen in mehr als 60 Ländern und geschätzt rund 2 Milliarden potenziellen Wählern. Ein gefundenes Fressen für politische motivierte Kampagnen, die im großen Stil Fehlinformationen verbreiten wollen und in der digital vernetzten Welt immer raffinierter aufgesetzt sind. […]

F5-Studie enthüllt Lücken im Schutz von APIs

3. Oktober 2024

APIs werden immer mehr zum Rückgrat der digitalen Transformation und verbinden wichtige Dienste und Anwendungen in Unternehmen. Gerade im Zusammenhang mit kommenden KI-basierten Bedrohungen zeigt sich jedoch, dass viele Programmierschnittstellen nur unzureichend geschützt sind. […]

Lehrgang „Zertifizierte:r KI-Manager:in“: Change Management trifft künstliche Intelligenz

3. Oktober 2024

Ein neuer Lehrgang von APA-Campus vermittelt Skills und Knowhow zu künstlicher Intelligenz: von generativer KI, über ethische und rechtliche Grundlagen bis hin zu Use Cases, KI-Projekt- und Change Management. […]

VINCI Energies übernimmt Strong-IT

3. Oktober 2024

VINCI Energies übernimmt Strong-IT in Innsbruck und erweitert damit das Leistungsspektrum seiner ICT-Marke Axians. Strong-IT schützt seit mehr als zehn Jahren Unternehmen gegen digitale Bedrohungen, während Axians umfassende IT-Services einbringt. […]

Das Potential von Identity Access Management für Cloud-Security

Identitäts- und Zugangsmanagement

Identität und Zugang

IAM-Sicherheitsrechte erhalten

Mehr Artikel

CFOs wollen mit KI die Unternehmensstrategie mitgestalten

DDoS-Attacken und Hacker-Aktivitäten bedrohen globale Infrastrukturen

KI in der Softwareentwicklung

it-sa Programm: Special Keynote von Peter Hacker zu Risiken und geopolitischen Herausforderungen

Rittal: Mehr Spielraum bei Kabeleinführung im Sockel

Wahlen in Gefahr: KI ermöglicht maßgeschneiderte Desinformation im großen Stil

F5-Studie enthüllt Lücken im Schutz von APIs

Lehrgang „Zertifizierte:r KI-Manager:in“: Change Management trifft künstliche Intelligenz

VINCI Energies übernimmt Strong-IT

Be the first to comment

Leave a Reply Antworten abbrechen