wladimir1804 - stock.adobe.com
Privilegierte Konten per Software-defined Perimeter schützen
Die Kontrolle und Überwachung der in einem Netzwerk vorhandenen Konten mit erweiterten Rechten ist eine laufende Herausforderung. SDP und PAM können die Aufgabe erleichtern.
Das Management der Zugriffsrechte für Accounts mit erweiterten Berechtigungen ist und bleibt eine zentrale Herausforderung für viele IT-Abteilungen. Mitarbeiter, die über die Möglichkeiten verfügen, fundamentale Änderungen an Netzwerken und Systemen vorzunehmen sowie Updates einzuspielen oder Dienste zu ändern, können auch enormen Schaden daran anrichten. Das kann sowohl absichtlich als auch unabsichtlich geschehen. Aus diesem Grund müssen alle eingerichteten Superuser-Accounts sorgsam verwaltet und streng kontrolliert werden.
Bedauerlicherweise ist eine solche strenge Kontrolle nur selten zu finden. Stattdessen nutzen die meisten Organisationen IT-Umgebungen, in denen:
- Manche Accounts streng kontrolliert werden und andere aber nicht.
- Zugriffe zunächst an Personen erteilt werden, die sie auch wirklich benötigen. Im Laufe der Zeit kommen aber Benutzerkonten dazu, die bestimmte Zugriffe nicht mehr erfordern, sie aber trotzdem noch haben.
- Accounts zu finden sind, die eigentlich nur kurz oder etwa in einem Notfall Zugang zu einem Dienst oder einer Anwendung benötigt haben, bei denen diese Berechtigungen später aber nicht mehr entfernt wurden.
Es gibt viele Gründe für die genannten Probleme, seien es ein nur halbherziges Durchsetzen vorhandener Richtlinien, unvollständige Audits für privilegierte Zugänge, zu lange Abstände zwischen den Überprüfungen oder eine Reservierung der Zugänge nur für den „Fall der Fälle“. Etwa also für eine Situation, bei der die eigentlich für eine Aufgabe zuständige Person nicht verfügbar ist und ein dringender Notfall eintritt.
Daraus entsteht ein gravierendes Sicherheitsproblem, das im englischen Sprachraum auch als Privilege Creep, also eine schleichende Rechteausweitung, bezeichnet wird. Es ist heutzutage in nahezu allen Unternehmen anzutreffen. Zu den wichtigsten Gründen für diese schleichende Zunahme erweiterter Berechtigungen gehören stark fragmentierte Zugangskontrollen, die viele Firmen immer noch nutzen. Durch den zunehmenden Einsatz der Cloud und aktueller Trends wie Home-Office verschärft sich die Situation dann noch weiter.
Unternehmen, die aktiv gegen Privilege Creep vorgehen und die dafür sorgen wollen, dass ihre Accounts sicher bleiben, interessieren sich meist für die Einführung und Umsetzung eines modernen PAM-Frameworks (Privileged Access Management). Aber auch der sogenannte Software-defined Perimeter (SDP) bringt bereits starke Zugriffskontrollen. Aber reichen sie aus, um PAM zu ersetzen?
Die Verbindung zwischen SDP und PAM
Auch wenn es kein komplettes PAM-Framework ersetzen kann, ist SDP doch in der Lage, einige der wichtigsten Aufgaben des Privileged Access Managements zu erfüllen: Vor allem die Überwachung, wann und unter welchen Umständen privilegierte Konten genutzt werden. Außerdem bietet SDP eine zentrale Stelle, von der aus der Zugriff auf die Konten kontrolliert und gesteuert werden kann.
Mit SDP ist es möglich, eine Umgebung aufzubauen, in der nur noch erlaubte Verbindungen zugelassen sind. Ein damit gesicherter Netzwerkknoten, zum Beispiel ein Server, schützt sich dann selbst durch die folgende strikte Richtlinie: Werfe alle Pakete weg, außer du wurdest direkt angewiesen, sie zu empfangen. Wenn dagegen ein anderer Node versucht, eine Verbindung aufzubauen oder wenn der geschützte Netzwerkknoten nicht darüber informiert wurde, die Kommunikation von diesem Node anzunehmen, dann wandern die Pakete direkt in den Abfallkorb.
Auch auf Client-Systemen lassen sich solche Agenten installieren. Wenn ein Anwender sich dann gegenüber dem SDP-Controller authentifizieren will, kontrolliert dieser zunächst seine Richtlinien und die Verzeichnisdienste des Unternehmens. Erst danach entscheidet der Controller, welche Server oder Dienste der Anwender nutzen darf. Außerdem gilt die Freigabe auch nur für diese eine Maschine, von der der Zugriff erfolgt, und innerhalb eines begrenzten Zeitfensters. Der Controller informiert dann sowohl den Client als auch alle betroffenen Server. Andere nicht explizit erlaubte Kommunikationsversuche scheitern.
Die Beziehung zwischen SDP und PAM ist eng. Mit Hilfe von Software-defined Perimeter kann die IT-Abteilung etwa verfolgen, welche privilegierten Accounts genutzt werden und von wo dies erfolgt. Darüber hinaus kann kontrolliert werden, auf welche Systeme ein Anwender zugreifen darf und auf welche nicht. SDP lässt sich sogar einsetzen, um bestimmte Kniffe zu blockieren, mit denen sich Anwender selbst Superuser-Rechte verschaffen können. So kann SDP einen normalen Nutzer-Account daran hindern, auf Telnet zuzugreifen. Dadurch lässt sich das „su“-Kommando nicht mehr nutzen, mit dem erweiterte Berechtigungen erlangt werden können.
Warum SDP trotzdem nicht gleich PAM ist
Trotz all der beschriebenen Vorteile ist der Einsatz von SDP zum Management von privilegierten Konten kein Allheilmittel. So kann PAM beispielsweise auch die Berechtigungen auf Systemen kontrollieren, mit denen es kommunizieren darf, SDP aber nicht. Außerdem unterstützt PAM meist weitere Funktionen wie etwa die Verwaltung von Passwörtern und eine Überwachung nur vorübergehend vergebener Berechtigungen. Ein echtes Privileged Access Management ist zudem in der Lage, einen Nutzer mit erweiterten Rechten über eine komplette Session zu überwachen, ähnlich wie es zum Beispiel eine Blackbox in einem Flugzeug erledigen soll. Auch SDP könnte die genannten Funktionen erhalten, sie gehören aber nicht zu den grundlegenden Bestandteilen.