Jakub Jirsák - stock.adobe.com
So können Unternehmen IAM für die Cloud richtig umsetzen
Wenn es um die Ausweitung des vorhandenen Identity and Access Managements auf die Cloud geht, sind viele IT-Teams überfordert. Dabei darf diese Aufgabe nicht vernachlässigt werden.
Cloud-Dienste verbreiten sich zunehmend und werden in Unternehmen immer wichtiger. So haben sie mittlerweile auch erhebliche Auswirkungen auf das bislang bereits genutzte Identity and Access Management (IAM). Erfahren Sie hier, wie Sie Ihr IAM auch in Zeiten der Cloud beherrschen und für sichere Anmeldungen sorgen können.
Im gleichen Rahmen wie Unternehmen sich zunehmend auf Cloud-Angebote konzentrieren, müssen Security-Profis sich mit einigen neuen und interessanten Punkten auseinandersetzen. Eines der wichtigeren Probleme ist dabei der entstehende Wildwuchs mit nahezu zahllosen Identitäten, der mit den zunehmend genutzten Cloud-Umgebungen auftritt. Je mehr Cloud-Dienste wir einsetzen, desto mehr Identitäten legen wir in diesen Umgebungen an. Das lässt sich in der Praxis kaum verhindern. Identity and Access Management in der Cloud wird aber immer dann schwierig, wenn es um das Tracking, Monitoring und die Kontrolle über alle diese verstreuten Accounts geht.
Vor wenigen Jahren kam der Cloud-Security-Spezialist Adallom, der seit 2015 zu Microsoft gehört, zu den folgenden Ergebnissen, wenn es um die Nutzer-Accounts in SaaS-Umgebungen (Software as a Service) geht:
- 80 Prozent der Unternehmen haben mindestens einen ehemaligen Mitarbeiter, dessen SaaS-Account immer noch aktiv ist,
- 11 Prozent der SaaS-Accounts wurden als „Zombies“ bezeichnet (das sind inaktive, aber einer Ressource zugeteilten Nutzer),
- 7 Prozent der Nutzer waren Admins und
- 19 Prozent der Anwender umgingen die vorhandenen IAM-Kontrollen.
Auch heute hat sich daran noch nicht viel geändert. Die Zahlen von Adallom machen klar, dass es einen Mangel an Kontrolle über den gesamten Lebenszyklus vieler in SaaS-Umgebungen angelegter Accounts gibt. Das Management der Nutzerkonten und ihre spätere Deaktivierung ist aber nicht das einzige Problem, wenn es um Identity and Access Management in der Cloud geht. Auch das Erstellen von Rollen und die Verwaltung der Zugriffsrechte sind in allen bekannten Cloud-Umgebungen eine nicht zu unterschätzende Herausforderung.
Eine Fallstudie der Sicherheitsforscher von Rhino Security, einem auf Penetration-Tests spezialisierten Unternehmen mit Sitz in Seattle, fand beispielsweise eine sehr hohe Zahl an nur mangelhaft definierten Rollen und Zugriffsmodellen unter AWS (Amazon Web Services). Bei dieser Studie zum Identity and Access Management in der Cloud, die Anfang 2018 veröffentlicht wurde, wurden zudem zahlreiche Möglichkeiten entdeckt, wie sich zugewiesene Rechte durch Angreifer erweitern ließen. Große Unternehmen, die Hunderte oder gar Tausende an vordefinierten Rollen einsetzen, haben außerdem meist erhebliche Schwierigkeiten bei dem Versuch, einen umfassenden Überblick über die angelegten Rollen zu erhalten. Erfreulicherweise hat das Forschungsteam bei Rhino Security ein Tool entwickelt, mit dem Sie auch aus der Ferne eine Übersicht über alle angelegten Nutzer und mögliche Sicherheitslücken erstellen können.
Der beste Einstieg in IAM in der Cloud
Unternehmen, die sich heute mit der Cloud beschäftigen, benötigen eine solide Governance-Strategie, um Probleme wie die von Rhino Security beschriebenen zu verhindern. Viele werden schon über IAM-Strategien für ihre internen Strukturen verfügen. Für die Cloud müssen sie jedoch erweitert und angepasst werden. So sollten für alle menschlichen Nutzer die Accounts direkt mit einem zentralen Verzeichnisdienst wie Active Directory verlinkt werden. Dieser ermöglicht dann das Provisioning, Auditing und Deaktivieren der Nutzerkonten von einer zentralen Stelle aus.
Alle in einer SaaS-Umgebung eingesetzten Anwendungen sollten darüber hinaus nur per Single Sign-on erreichbar sein, das direkt mit diesem Verzeichnis über passende Federation-Dienste verbunden ist. In PaaS- (Platform as a Service) und IaaS-Umgebungen (Infrastructure as a Service) ist die Kontrolle der Identitäten allerdings aufwändiger. Das liegt daran, dass hier alle Assets, also auch die Server, eingesetzter Serverless Code, diverse Storage Nodes etc. über Rollen und Gruppen verfügen können, die ihnen bereits früher zugeordnet wurden. Manche dieser Identitäten, seien es einfache Anwender, Gruppen oder auch komplexere Gebilde, lassen sich teils nur mit Problemen mit dem zentralen Verzeichnisdienst verlinken.
Viele Development- und Operations-Teams werden deswegen in manchen Fällen lieber auf Cloud-basierte Werkzeuge zurückgreifen, um die von ihnen benötigten Accounts und Identitäten zu verwalten. Konzentrieren Sie sich aber lieber auf die folgenden Aspekte, wenn es um das Thema Identity Governance geht:
- Entwickeln Sie interne Standards und Prinzipien, die detailliert bestimmen, wie neue Accounts angelegt werden. Decken Sie damit auch ab, wie DevOps-Mitarbeiter und andere Teams Identitäten und Zugriffsrechte in ihren Cloud-Umgebungen nutzen können. Wichtige Punkte sind dabei unter anderem Vorgaben für das Erstellen neuer Accounts, Authentifizierung, Autorisierung, Kontrollen sowie alle weiteren Parameter, die den Lebenszyklus der Nutzerkonten bestimmen.
- Verwenden Sie zusätzlich Cloud-basierte oder andere Tools von Drittanbietern, mit denen sich in regelmäßigen Abständen Listen aller Nutzer, Gruppen, Rollen und vergebenen Zugriffsrechte in Ihrer Cloud-Umgebung erstellen lassen. Die PowerShell für Azure oder das CLI-Interface (Command-line Interface) für AWS sind beides passende Werkzeuge, um diese Art von Informationen zu sammeln. Anschließend müssen sie aber noch aufbereitet, sortiert, gespeichert und gründlich analysiert werden.
- Stellen Sie darüber hinaus sicher, dass Sie über ein verlässliches Logging und Monitoring aller auftretenden Ereignisse verfügen, um jegliche IAM-Aktivitäten in allen Ihrer Cloud-Umgebungen aufzuzeichnen. Anhand dieser Daten können Sie dann ungewöhnliche Vorgänge und nicht autorisierte Veränderungen erkennen.
Das Erstellen eines soliden Governance-Plans für Ihr Identity and Access Management in der Cloud ist ein aufwändiger und manchmal auch ermüdender Vorgang. Es bestehen aber erhebliche Risiken, wenn Sie dies nicht auf sich nehmen. Vergessen Sie dabei aber nicht, alle relevanten Ansprechpartner im Unternehmen früh ins Boot zu holen, sonst kann es schnell zu ernsthaften internen Schwierigkeiten wegen diesem komplexen Thema kommen.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!