Die Implementierung zuverlässiger Lösungen für die automatische Verwaltung von privilegierten Benutzerkonten sollte für jedes Unternehmen heute eine Selbstverständlichkeit sein. [...]
Nur eine durchgängige Lösung im Bereich Privileged Identity Management macht die Zugriffe auf sämtliche Datenbestände sicher. Gerade größere Unternehmen verwenden meist eine Vielzahl unterschiedlicher Datenbank-Systeme wie Oracle Database, DB2, MS SQL Server, MySQL oder SAP Sybase Adaptive Server Enterprise. Sie werden alle über privilegierte persönliche oder privilegierte generische Accounts, so genannte Shared Accounts wie Oracle system/sys oder MSSQL SA, verwaltet.
Die Schwachstelle ist dabei, dass sich auf den IT-Systemen meistens identische Passwörter befinden, die nur selten oder, in den meisten Fällen, überhaupt nicht geändert werden. Bei Shared Accounts hat zudem in der Regel eine größere Gruppe von Administratoren Passwort-Zugriff. Eine Nachvollziehbarkeit, wer welches Passwort wann und wozu verwendet hat, ist dadurch nicht gegeben.
Etliche Unternehmen versuchen der erkannten unzureichenden Datenbank-Sicherheit mit der Implementierung von Lösungen in den Bereichen Data Loss Prevention (DLP) oder Database Activity Monitoring (DAM) beizukommen. Diese Ansätze sind zunächst einmal völlig richtig, aber keineswegs ausreichend.
SCHUTZ DER ENDPUNKTE IM MITTELPUNKT
Mit der Einführung von DLP-Lösungen kann die unerlaubte, aber auch »versehentliche« Übertragung von Unternehmensdaten nach außen zuverlässig erkannt und unterbunden werden. Auch wenn es hier unterschiedlichste Lösungsvarianten gibt, zwei Aspekte müssen dabei immer beachtet werden: Erstens steht bei den meisten Lösungen der Schutz der Endpunkte im Netzwerk im Mittelpunkt, und nicht der Schutz der Datenbanken selbst. Zweitens kann eine DLP-Lösung nur dann erfolgreich eingeführt und betrieben werden, wenn unternehmenskritische Datenbestände entsprechend gesichert und auch nur einem berechtigten Personenkreis zugänglich sind.
Bei DAM-Lösungen geht es primär um die Überwachung und Analyse von Datenbank-Aktivitäten sowie um das Aufspüren potenzieller Datenlecks. Eine umfassende Datenbank-Sicherheit ist damit allerdings nicht gegeben. Das Problem muss vielmehr an der Wurzel gepackt werden, und zwar beim Zugriffsschutz über Berechtigungssysteme und ein striktes Passwortmanagement.
Das heißt: Es ist eine durchgängige Lösung im Bereich Privileged Identity Management (PIM) zu implementieren, mit der alle Zugriffe auf sämtliche Datenbestände zuverlässig überwacht werden können. Die Lösung sollte es ermöglichen, jede Art von privilegiertem Zugriff auf beliebige Zielsysteme zentral zu berechtigen, jederzeit zu kontrollieren und revisionssicher zu auditieren, um eine durchgängige Verwaltung und Überwachung privilegierter Accounts und Aktivitäten sicherzustellen.
AUTOMATISCHE VERWALTUNG IST UNVERZICHTBAR
Eine PIM-Lösung muss auf jeden Fall eine geschützte Verwahrung und Policy-basierende, automatische Änderung von administrativen Passwörtern bieten, das heißt, die Lösung sollte eine statische und dynamische Passwortspeicherung unterstützen.
Bei der Implementierung einer solchen Lösung hat sich eine schrittweise Vorgehensweise bewährt. Zunächst müssen die Passwörter zentral gespeichert und alle Zugriffe auf diese Passwörter kontrolliert und protokolliert werden. Genutzt werden sollten dabei Features wie Verification (Überprüfung der Gültigkeit der Passwörter auf dem Zielsystem) und Reconciliation (kontrolliertes Zurücksetzen von Passwörtern im Falle einer erkannten Abweichung), Dual Control (Steuerung von Passwortzugriffen über ein Vier-Augen-Prinzip) oder Password Expiration Alert (Versenden einer Warnmeldung für Passwörter, für die gemäß der Passwort-Richtlinie eine Änderung ansteht). Anschließend sollte eine schrittweise Aktivierung der automatischen Anwendung vorher festgelegter Passwort-Policies unter Nutzung von Features wie One-Time Password (zeitnahe erneute Änderung des entnommenen Passworts) oder Exclusive Password (Unterbindung der gleichzeitigen Nutzung desselben Passworts durch mehr als eine Person) erfolgen.
APPLICATION ACCOUNTS DÜRFEN NICHT VERNACHLÄSSIGT WERDEN
Aber nicht nur die Passwörter von Administratoren sind im Hinblick auf die Datenbank-Sicherheit ein Bereich, der zu beachten ist. Auch Application Accounts oder Software Accounts, das heißt, die in Anwendungen, Skripten oder Konfigurationsdateien gespeicherten Passwörter, sind eine Sicherheitslücke.
Im Unterschied zu privilegierten Accounts, die von Administratoren und damit Personen genutzt werden, greifen Applikationen automatisch auf Backend-Systeme zu, die eine Authentifizierung erfordern. Die Application Accounts werden zum Beispiel für den Datenbank-Zugriff einer Anwendung benötigt. Da die Passwörter meistens im Klartext vorliegen und nie geändert werden, bieten sie ebenfalls eine sicherheitskritische Zugangsmöglichkeit zu vertraulichen Datenbeständen – und zwar für zahlreiche Datenbank-Administratoren oder Anwendungsentwickler.
Ein Lösungsansatz ist hier, die in Skripten oder Config-Files eingebetteten statischen Passwörter zu eliminieren. Das heißt, auch die Application Accounts können zentral abgelegt, automatisch verwaltet und in Abhängigkeit zu den Systemkonten mitgeändert werden.
Bei der PIM-Lösungsauswahl sollte zudem darauf geachtet werden, dass privilegierte Zugänge nicht nur im Hinblick auf das »Wer« sondern auch auf das »Was« gesichert und bewacht werden – und zwar bis auf die (SQL-)Kommandoebene. Die Lösung muss durch eine durchgängige Protokollierung von Admin-Sessions eine vollständige Transparenz über alle Vorgänge bei privilegierten Zugriffen bieten und damit auch eine jederzeitige Nachvollziehbarkeit, was in ihnen denn konkret passiert ist.
Dabei sollten alle Aktionen vom Zeitpunkt der Anmeldung am System bis zur Abmeldung revisionssicher aufgezeichnet werden. Manche PIM-Lösungen gehen noch einen Schritt weiter und erlauben einen Remote-Eingriff in privilegierte Sessions – bis hin zu deren Beendigung.
KEINE DIREKTE KOMMUNIKATION
Idealerweise ermöglicht die eingesetzte PIM-Lösung die Unterbindung einer direkten administrativen Verbindung mit einem Zielsystem. Zentraler Vorteil der Lösung ist, dass keinerlei direkte Kommunikation mehr vom Admin-PC zum Zielsystem erfolgt, sondern die Verbindung zunächst auf dem Privileged Session Manager terminiert wird. Erst von hier aus werden die eigentlichen Admin-Sessions gestartet, und man gelangt über SQL zu Datenbanken, über RDP zu Windows-Servern, über SSH zu UNIX-Servern oder über vSphere direkt in die ESX-Adminkonsole von VMware.
Dabei erfolgt die Verbindung über Single-Sign-On-Verfahren – ohne dass der Anwender die Passwörter jemals einsehen kann. Der Privileged Session Manager Proxy fungiert sozusagen als Jump-Server für alle administrativen Verbindungen. Nur er »kennt« die Passwörter der Zielsysteme und nur er darf sich mit diesen verbinden. Das ist vor allem auch dann von Vorteil, wenn externe Dienstleister oder Service-Provider Zugang zu unternehmenskritischen Applikationen, Prozessen, Services, Systemen oder Datenbanken erhalten. Die PSM-Lösung stellt sicher, dass ein Passwort in keinem Fall das Unternehmensnetzwerk verlässt.
* Der Autor Jochen Köhler ist Regional Director DACH bei Cyber-Ark.
Be the first to comment