sdecoret - stock.adobe.com
Cloud-Sicherheit: Best Practices für privilegierte Konten
Mit der vermehrten Cloud-Nutzung ist die Zahl privilegierter Accounts rasant angestiegen und betrifft längst nicht nur Admins. Bei der Absicherung ist große Sorgfalt erforderlich.
Nicht zuletzt seit dem exorbitanten Anstieg von Remote-Arbeit verlagern immer mehr Unternehmen ihre IT in die Cloud und wickeln essenzielle Geschäftsprozesse vorwiegend über Cloud-Anwendungen ab. Der Zugriff auf Daten und Programme wird dadurch erleichtert – vor allem für entfernt arbeitende Mitarbeiter oder Drittanbieter.
Gleichzeitig gehen Cloud-Applikationen jedoch auch mit neuen Sicherheitsherausforderungen einher, da Mitarbeiter hier häufig einen erweiterten Zugriff auf kritische Unternehmensdaten und -informationen erhalten, die mitunter nur mit einem einfachen Passwort vor Missbrauch geschützt sind. Diese Entwicklung verlangt dem Privileged Access Management (PAM) eines Unternehmens viel ab und erfordert Best Practices, die der Absicherung vermehrter Cloud-Zugriffe gerecht werden.
Generell ist ein Privileged User eine Person, der administrativer und spezialisierter Zugang zu den Systemen oder sensiblen Daten eines Unternehmens gewährt wird. Er verfügt über Rechte, die es ihm ermöglichen, Systemhardware beziehungsweise -software zu installieren, Benutzerpasswörter zurückzusetzen, Änderungen an IT-Infrastruktursystemen und -Einstellungen vornehmen zu können oder auf sensible und besonders schützenswerte Daten zuzugreifen.
Lange Zeit hat man unter privilegierten Nutzern vor allem leitende IT-Mitarbeiter wie Administratoren oder aber Führungskräfte verstanden. Mittlerweile hat sich diese Definition – vor allem wegen der verstärkten Cloud-Adoption – jedoch ausgeweitet und auch die Zahl privilegierter Accounts ist in den letzten Jahren rasant angestiegen. Das hat dazu führt, dass heute fast jeder Mitarbeiter, der Zugang zur Unternehmens-IT und vor allem der Cloud hat, letztlich als privilegierter Nutzer eingestuft und dementsprechend gemanagt werden muss, sollen Kompromittierung und Missbrauch dieser Zugriffe verhindert werden.
IT-Verantwortliche in Unternehmen müssen die Veränderungen, die mit dieser Privilegien-Erweiterung einhergehen, verstehen und einen proaktiven PAM-Weg einschlagen, wenn es darum geht, den Zugang zu geschäftskritischen Business-Cloud-Anwendungen abzusichern. Folgende fünf Best Practices können ihnen dabei helfen, sicherzustellen, dass der Zugriff auf Daten und Systeme nur denjenigen vorbehalten bleibt, für die er bestimmt ist.
1. Entwickeln Sie ein Sicherheitsmodell gemäß einem Least Privilege-Ansatz
Eine wesentliche Sicherheitsmaßnahme bei der Verwaltung privilegierter Zugriffe ist die Implementierung einer Least Privilege-Strategie, das heißt das Einschränken der Zugriffsrechte auf ein Minimum. Denn theoretisch sollte jeder Mitarbeiter ausschließlich über die Berechtigungen verfügen, die er zur Erledigung seiner Aufgaben auch tatsächlich benötigt.
Nach wie vor scheuen viele Sicherheitsverantwortliche jedoch, eine minimale Rechtevergabe in ihrem Unternehmen konsequent durchzusetzen. Sie fürchten, restriktive Zugangsbeschränkungen könnten vermehrte IT-Support-Anfragen und ungewollte Unterbrechungen der Arbeitsprozesse nach sich ziehen und damit den Aufwand für die IT- und Security-Teams letztlich erhöhen.
Weit gefasste Privilegien mögen auf den ersten Blick bequem sein, dennoch sollte man stets das Risiko, das sie für die Sicherheit eines Unternehmens bedeuten, abwägen. Tatsache ist, je weiter sensible Zugriffsrechte gefasst sind, desto größer ist die Cyberangriffsfläche und desto weitreichender die Folgen im Falle einer Kompromittierung.
Generell sollten Sicherheitsverantwortliche sämtliche Konten in Nutzer-, Service-, System- und Infrastruktur-Accounts einteilen und sorgfältig überprüfen, wer tatsächlich darauf zugreifen muss. Auch lokale Administratorrechte auf Workstations und Desktops sollten so weit wie möglich eingeschränkt werden.
2. Beschränken Sie Zugriffe nach dem Just-in-Time-Prinzip
Um zeitraubende Anfragen an den IT-Support zu vermeiden, empfiehlt es sich, PAM-Lösungen einzusetzen, die Just-in-Time-Zugriff (JIT) auf die Cloud mit detaillierten Sicherheitskontrollen ermöglichen. Benutzer erhalten hier Zugriff auf Unternehmensprivilegien nur für einen bestimmten Zeitraum – das können Stunden oder Wochen sein –, der zuvor gemäß den unternehmenseigenen Sicherheitsrichtlinien definiert wurde.
Ist das Zeitfenster erloschen, wird der Zugriff und das dafür festgelegte Passwort automatisch ungültig. Dies minimiert den Zeitraum, der Angreifern zur Verfügung steht, um in die Systeme einzudringen, sich dort lateral zu bewegen und Privilegien unentdeckt zu erhöhen. Dabei sollte der JiT-Ansatz nicht nur unternehmensintern umgesetzt werden, sondern auch auf Remote-Mitarbeiter, Drittanbieter und Auftragnehmer ausgedehnt werden, die Zugang zu Unternehmensressourcen und Cloud-Anwendungen benötigen.
3. Automatisieren Sie die Verifizierung privilegierter Benutzer
Da der Mangel an qualifizierten Cybersecurity-Fachkräften Unternehmen auch weiterhin belasten wird, gewinnen Tools, die das sichere Management von privilegierten Zugriffen auf die Cloud automatisieren, immer mehr an Bedeutung. Automatisierte Sicherheitswerkzeuge sind skalierbar, effizient und eliminieren die Risiken menschlichen Versagens, die bei der Ausführung langwieriger und sich wiederholender Aufgaben auf niedriger Ebene auftreten können.
Unternehmen müssen auf Lösungen mit API-Funktionen (Application Programming Interface) setzen, die sich in bestehende Arbeitsabläufe und Systeme integrieren lassen, um Zugriffsgenehmigungen zu rationalisieren und den Zugriff sofort zu ermöglichen, sobald der privilegierte Benutzer verifiziert wurde.
Fortschrittliche PAM-Tools ermöglichen es den Security-Teams, vorab granulare Richtlinien zu erstellen, welche eine Rechtfertigung für den Zugang zu kritischen Systemen und Cloud-Applikationen verlangen und Freigaben ohne manuelles Eingreifen automatisch erteilen. Benutzer können dann auf die notwendigen Ressourcen zugreifen, ohne selbst das Passwort zu kennen, da dieses in einem zentralen Passworttresor erstellt wird.
„Eine wesentliche Sicherheitsmaßnahme bei der Verwaltung privilegierter Zugriffe ist die Implementierung einer Least Privilege-Strategie, das heißt das Einschränken der Zugriffsrechte auf ein Minimum.“
Stefan Schweizer, Thycotic
4. Setzen Sie auf benutzerfreundliche Lösungen
Die Implementierung von Sicherheitswerkzeugen, die komplex und schwierig in der täglichen Anwendung zu handhaben sind, kann genauso gefährlich und riskant sein, wie überhaupt keine Sicherheitslösung im Einsatz zu haben.
Wenn die Mitarbeiter diese Tools nicht selbstverständlich einsetzen, sondern davor zurückschrecken, war die Anschaffung letztlich Zeit- und Geldverschwendung. Und die Sicherheitsrisiken, die eigentlich minimiert oder beseitigt werden sollten, bleiben bestehen. Schon bei der Auswahl geeigneter Produkte müssen die Verantwortlichen die Benutzerfreundlichkeit als eines der wichtigsten Kriterien behandeln. Eine PAM-Lösung sollte einfach zu bedienen sein und sich nahtlos in die bestehenden Systeme integrieren lassen.
Deshalb sollten Unternehmen Sicherheitslösungen implementieren, die über eine umfassende Benutzeroberfläche verfügen, anpassungsfähig und skalierbar sind, einen Mehrwert für bestehende Systeme bieten und vor allem die Arbeit ihrer Mitarbeiter erleichtern. Eingesetzte Lösungen sollten von den Mitarbeitern niemals als Hindernis wahrgenommen werden, das ihre Produktivität behindert, sondern stets als eine positive Erfahrung erlebt werden.
5. Ziehen Sie einen adaptiven risikobasierten Vertrauensansatz in Betracht
Wie bereits erwähnt, ist ein Least-Privilege-Sicherheitsmodell eines der wirksamsten Mittel, um unautorisierten Zugang zu Geschäftssystemen einzuschränken. Die negativen Auswirkungen auf die Produktivität der Mitarbeiter machen jedoch auch die Grenzen dieses Ansatzes sichtbar.
Als Alternative können Unternehmen beim Absichern ihrer privilegierten Zugriffe deshalb auch einen anpassungsfähigen, risikobasierten Trust Approach verfolgen. Bei diesem Ansatz werden Least Privilege und Zero Trust als Grundlage dafür verwendet, wie Unternehmen Vertrauenswerte aufbauen. Diese werden dann zur Bestimmung des Sicherheitsniveaus verwendet, das für den Zugriff auf die Cloud und bestimmte Anwendungen und Systeme erforderlich ist.
Über den Autor:
Stefan Schweizer ist Regional Vice President Sales DACH bei Thycotic.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.