rost9 - stock.adobe.com

Beim IAM Dienste, Anwendungen und Maschinen nicht vergessen

Um ein solides Identity and Access Management kümmern sich heutzutage nahezu alle Firmen. Dabei übersehen sie jedoch oft die Nutzerkonten für Services, Anwendungen und Maschinen.

Identity and Access Management (IAM) für Dienste, Maschinen und Anwendungen ist ebenso wichtig wie für menschliche Nutzer. Achten Sie deswegen darauf, dass diese Nutzerkonten ebenfalls ein Teil Ihrer IAM-Strategie sind.

Das Identitäts-Management in Unternehmen befindet sich in einem umfassenden Wandel: So ist IAM in den vergangenen Jahren deutlich komplexer geworden, gleichzeitig aber auch immer wichtiger. Einer der wesentlichen Gründe für die zunehmende Komplexität ist die steigende Bedeutung moderner Cloud-Dienste in vielen Firmen, die teilweise, aber nicht in allen Fällen, eng mit on-premises genutzten Benutzerkonten verknüpft sind. Beim Anlegen und Verwalten rein interner Accounts hat sich dagegen nicht viel geändert.

Das starke Wachstum bei externen Identity-Anbietern und die Zunahme bei der Nutzung mobiler Endgeräte machen die Situation aber immer unübersichtlicher. Viele Unternehmen sind heute deutlich mehr nach außen orientiert als früher. IAM wird damit zu einer Art Schiedsrichter, wenn es um den Zugang zu Diensten geht. Manche bezeichnen das Identitäts-Management deswegen heute auch als „den neuen Perimeter im Firmennetz“. Sie beziehen sich damit auf den modernen Schutz von Unternehmen mit Hilfe von Identitäten und nicht mehr nur mit den früher üblichen strukturellen Hürden wie zum Beispiel Firewalls.

Worum geht es? Identity Management ist ein großes Geschäft und es wird vermutlich immer wichtiger werden, je mehr Zeit vergeht. Wie deswegen zu erwarten war, beschäftigen sich bereits jetzt viele Security-Teams mit den Themen Identitäts-Management und Governance und versuchen herauszufinden, wie sie damit möglichst sinnvoll umgehen können. Einerseits investieren sie dabei viele Ressourcen in die technischen Aspekte, mit denen sich ein modernes Identity and Access Management in Unternehmen einführen lässt. Andererseits geht es aber auch um die Richtlinien sowie die wesentlichen Governance-Regeln, die diese Anstrengungen begleiten müssen. Trotz aller dieser Bemühungen gibt es jedoch einen weiteren Bereich, der dabei immer wieder übersehen wird: Das Managen der Identitäten nicht-menschlicher Nutzer, also insbesondere der diversen im Unternehmen vorhandenen Accounts für Dienste, Anwendungen und Maschinen.

Was hat es mit diesen nicht-menschlichen Identitäten auf sich?

Das sicherstellen, dass die Identitäten dieser technischen Einheiten ebenfalls in das IAM eines Unternehmens mit einbezogen werden, ist genauso wichtig wie bei den echten, also menschlichen Anwendern. Nutzerkonten für Dienste, Anwendungen und Maschinen haben ähnlich wie Accounts mit erweiterten Rechten oft umfangreiche Zugriffsrechte, die ein Unternehmen erheblichen Gefahren aussetzen können. Die Mechanismen, die diese nicht-menschlichen Nutzer verwenden, um sich gegenüber bestimmten Ressourcen zu authentifizieren, sind dabei in den meisten Fällen identisch oder ähnlich wie die Prozesse, die echte Anwender verwenden.

Das trifft auch auf die Mechanismen zu, mit denen die jeweiligen Zugriffsrechte bestimmt werden. Anders als reguläre Nutzer-Accounts haben sie jedoch oft andere Voraussetzungen sowie andere Mechanismen und Maßnahmen zu ihrem Schutz. Das liegt unter anderem an den zumeist anderen Methoden, die zu ihrer Einrichtung genutzt werden.

Beispiele für die Identitäten von Anwendungen oder Diensten

Bevor wir im Folgenden auf die dahinterliegenden Details eingehen und erklären, wie Sie diese nicht-menschlichen Accounts in Ihre strategische Planung mit einbeziehen können, erläutern wir zunächst die Grundlagen für alle, die sich mit diesen Themen nicht so gut auskennen: In einer Umgebung, die etwa auf Microsoft Windows basiert, sind das dazu am besten geeignete Beispiel die Accounts für die diversen aktiven und inaktiven Dienste. Dabei handelt es sich um spezielle Nutzerkonten, die in der Regel direkt im Bezug zu bestimmten Services angelegt werden. Diese Konten mögen das bekannteste Beispiel sein, es ist aber bei weitem nicht das einzige. Nehmen wir beispielsweise einen automatisierten Datei-Transfer, der auf SSH zum Übertragen der Daten beruht: Anstelle eines Anwenders, der sich bei einer Maschine anmeldet, erfolgt dieser Prozess automatisiert durch eine Routine in einem Programm. Dabei wird entweder ein hinterlegtes Passwort verwendet, um die Transaktion zu starten, oder auch aus Sicherheitsgründen ein gespeichertes Paar von SSH-Schlüsseln.

Ein weiteres Beispiel gefällig? Nehmen wir eine Anwendung, die auf einen Datenspeicher zugreifen will. Möglicherweise läuft die Anwendung im Zusammenhang mit einem eingeloggten Nutzer wie einem Account für Managed Services. Für den Zugriff zu dem Datenspeicher im Backend wird jedoch eine andere Nutzer-ID und ein anderes Passwort benötigt, die im Idealfall nur für diese Anwendung und diesen Fall gelten. Ein Webdienst könnte darüber hinaus über ein Client-seitiges Zertifikat verfügen, um sich gegenüber der Backend-Maschine via TLS (Transport Layer Security) zu authentifizieren. Die Liste lässt sich beliebig erweitern. Authentifizierung und Entscheidungen über erlaubte oder nicht erlaubte Zugriffe erfolgen für diese Art von automatisierten Prozessen oft nicht anders, als es bei echten Nutzern der Fall wäre. Genauso wie dort gibt es auch eine Vielzahl an Möglichkeiten, wie sie sich gegenüber diversen Ressourcen legitimieren können. Das gilt auch dafür, wie sich Anwendungen, Dienste oder andere automatisierte Prozesse authentifizieren können.

In einem größeren Unternehmen gibt es in der Regel Tausende von Benutzerkonten und eine Vielzahl von Situationen und Einsatzszenarien für diese Accounts. Deswegen ist es so wichtig, sie in das allgemeine Bild des Identitäts-Managements in einem Firmennetz einzubinden und genau zu planen, wie sie sicher genutzt werden können und wie sie miteinander interagieren. Während eine umfassende strategische Planung stark von den Zielen eines Unternehmens abhängt, den genutzten Umgebungen und anderen speziellen Faktoren (zum Beispiel von der Art der verwendeten Systeme, von spezifischen genutzten Technologien und anderen Möglichkeiten), gibt es doch eine Reihe von Leitfäden und Strategien, die Sie dabei unterstützen.

Dokumentation des IAM ist wichtig

Ein Ansatz für die Optimierung des Identitäts-Managements ist, klar und eindeutig zu bestimmen, was Ihr Unternehmen mit diesen Accounts überhaupt erreichen will. Das kann zum Beispiel durch eine Richtlinie erfolgen. Wenn Sie eine robuste Authentifizierung nutzen wollen, dann sollten Sie es dokumentieren. Oder wenn Sie wollen, dass Passwörter – sofern sie überhaupt noch genutzt werden – regelmäßig geändert und zudem komplex sein müssen, dann sollten Sie das ebenfalls dokumentieren. Fügen Sie außerdem alle weiteren Erwartungen hinzu, die Sie haben: dass diese Accounts zum Beispiel Audit-fähig und nachverfolgbar sein müssen, dass sie nicht in Quellcode eingefügt werden dürfen, dass sie durch Verschlüsselung geschützt sein müssen und weitere je nach Situation und Umfeld passende Punkte.

Das Ziel ist dabei, sicherzustellen, dass Ihre Erwartungen eindeutig sind und dass es keinerlei Zweideutigkeiten gibt. Nur so kann jeder, der mit diesen Geheimnissen umgehen muss, seien es Entwickler, Admins oder wer auch immer, sich genau an diese Erwartungen halten. Sie sollten dabei mit den bereits vorhandenen Richtlinien anfangen und sie so anpassen, dass auch sie nicht-menschliche Accounts mit einbeziehen. Dort kann dann zusätzlich nochmal betont werden, dass diese Konten bei allen weiteren Überlegungen mit in Betracht gezogen werden müssen. Eine Überprüfung der bestehenden Richtlinien sorgt zudem dafür, dass Sie Ihre bereits früher formulierten Ziele im Bereich Identity Management noch einmal überdenken und dabei prüfen können, wie gut oder schlecht sie mit nicht-menschlichen Nutzern funktionieren.

Nach den Richtlinien geht es um die praktische Umsetzung

Sobald Sie Ihre Richtlinien für das Identitäts-Management aktualisiert und erweitert haben, sollten Sie einen Mechanismus etablieren, um zu erfahren, wann immer solche Accounts angelegt werden. Das hilft enorm dabei, Ihre Richtlinien durchzusetzen und sicherzustellen, dass sich auch jeder daran hält. Im Rahmen einer Windows-Umgebung können Sie zum Beispiel damit starten, eine Liste aller bereits vorhandenen Service-Accounts zu erstellen, gleich ob sie gemanagt oder anderweitig angelegt wurden. Das ist ein sinnvoller erster Schritt.

Sie dürfen dabei aber nicht vergessen, dass es zahlreiche weitere Situationen und Möglichkeiten gibt, bei denen nicht-menschliche Accounts benötigt werden. Weiter oben haben wir unter anderem schon die Bereiche SSH-Verbindungen und Accounts für Anwendungen erwähnt. Wenn Sie sich bisher noch nie mit diesen Nutzerkonten beschäftigt haben, dürfte dabei eine sehr lange Liste herauskommen. Beginnen Sie deswegen mit Bereichen, die Ihnen schon bekannt sind und erweitern Sie Ihre Liste nach und nach. Sie können zum Beispiel mit gemanagten Service-Starts anfangen und Ihre Tabelle kontinuierlich auffüllen, indem Sie nacheinander Anwendungen überprüfen, Audits durchführen und anderweitig nach nicht-menschlichen Accounts suchen.

Letztlich benötigen Sie eine solide Strategie für die Fälle, bei denen Accounts auftauchen, die nicht Ihren Anforderungen entsprechen. Gehen Sie dabei strukturiert vor. Für ein neues Deployment wie eine soeben erst eingerichtete Anwendung können Sie ein Tool einsetzen, mit dem Sie Ihre Applikationen systematisch analysieren können, um so alle Accounts zu identifizieren, die benötigt werden. Für weit verbreitete und häufig genutzte Werkzeuge wie SSH können Sie auch einen Ihrer Mitarbeiter abstellen, der gezielt die dabei verwendeten Accounts überprüft. Das ist auch im Rahmen einer größeren Anstrengung wie etwa bei einem SSH-Audit sinnvoll, bei dem auch Admin-Accounts untersucht werden. Wenn Sie sich damit jedoch noch nicht beschäftigt haben, sollten Sie das bald nachholen. Während Sie lernen, welche Nutzungsszenarios häufiger vorkommen und welche eher selten, können Sie spezifische Tools testen, die Ihnen bei dieser Aufgabe unter die Arme greifen. Besonders interessant sind dabei Produkte, die auf das Management von Accounts mit erweiterten Rechten spezialisiert sind sowie Werkzeuge, um Daten zu schützen, die Sie bei Ihren Untersuchungen aufspüren.

Welchen Weg auch immer Sie letztlich einschlagen, besonders wichtig ist es dabei, jederzeit ein offenes Auge zu behalten. Vergessen Sie nie, dass diese Accounts existieren und dass Sie genauso wichtig für Ihre allgemeine Sicherheitsstrategie sind wie die normalen Nutzerkonten. Widerstehen Sie der wiederkehrenden Versuchung, sich zuerst um andere Dinge kümmern zu müssen. So stellen Sie sicher, dass Sie sich auch im Rahmen Ihrer täglichen Aufgaben um nicht-menschliche Accounts kümmern und sie in Ihre Planungen mit einbeziehen können. Von diesem Punkt aus werden sich verschiedene Möglichkeiten anbieten, um ein sicheres und umfassendes Identity and Access Management für Ihr gesamtes Unternehmen zu entwickeln, das die maximal mögliche Sicherheit für Ihre Daten und Ihre Ressourcen bietet.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Gratis-eBook: Benutzerkonten und Rechte im Griff

Microsoft: Geschütze Umgebung für Admin-Accounts

Risiko Zertifikate und maschinelle Identitäten

Erfahren Sie mehr über Identity and Access Management (IAM)