Das Cloud-Zeitalter erfordert eine Neugestaltung der Sicherheitsstrategie, denn nicht alle Security-Maßnahmen, die on-prem funktionieren, passen auch für die Cloud. Was dies für das Privileged Access Management (PAM) bedeutet, erklärt Stefan Schweizer, VP Sales DACH von Thycotic.
Warum on-prem-PAM nicht gleich Cloud-PAM ist
Das Hauptsicherheitsproblem bei der Cloud ist das Verschwinden des traditionellen Perimeters. Dies wirkt sich auf viele Cybersicherheitsmaßnahmen aus, unter anderem auch auf das Enterprise-PAM. Wurden privilegierte Zugriffe früher innerhalb eines definierten Perimeters mit Firewalls, VPNs und einer Reihe weiterer Sicherheitstools abgesichert, hat die Cloud und insbesondere der vermehrte Einsatz von Cloud-Anwendungen diesen geschützten Rahmen hinfällig gemacht.
Um die Unterschiede zwischen on-premises- und Cloud-Sicherheit zu veranschaulichen, eignet sich das Beispiel eines geparkten Autos. Parkt man sein Fahrzeug bei sich vor Ort in einer eigenen Garage, d.h. on-prem, und schließt das Garagentor ab, muss man sich kaum Gedanken darüber machen, ob die Autotür verriegelt oder alle Fenster geschlossen sind oder ob jemand sehen kann, welche Wertegenstände sich im Auto befinden. Personen, die Zugang zur Garage haben, können dann als autorisierte, privilegierte Benutzer gesehen werden, Schlüssel bzw. Garagenöffner sind in diesem Fall die Credentials, die ihnen den Zugriff ermöglichen.
Eine Cloud-Umgebung funktioniert hingegen nicht wie eine private Garage, sondern ist eher ein öffentlicher Parkplatz. Das Auto steht jetzt nicht mehr in einer bewachten Umgebung und benötigt daher zusätzliche bzw. andere Sicherheitskontrollen, um es vor Einbruch oder Diebstahl zu schützen. Dazu zählt unter anderem eine Zugangskontrolle zum Fahrzeug, d.h. die Verwaltung des privilegierten Zugangs und Transparenz darüber, was sich im Auto befindet (Verschlüsselung). Die Kontrolle des Zugriffs auf die Cloud ist eine der kritischsten Sicherheitskontrollen und deshalb unerlässlich. So muss nicht nur die Authentifizierung gegenüber den Cloud-Anwendungen geschützt, sondern auch eine kontinuierliche Validierung und Verifizierung der Aktionen privilegierter Benutzer nach deren Authentifizierung sichergestellt werden.
Verbreitetes Fehlverhalten bei der Verwaltung der Cloud
Bereits heute spielen bei fast drei Viertel aller Cloud-Vorfälle kompromittierte Zugriffsdaten eine Rolle. Dies liegt unter anderem daran, dass viele Unternehmen nach wie vor Probleme haben, einen Least Privilege-Ansatz umzusetzen, d.h. Zugriffsrechte konsequent nach dem need-to-know-Prinzip zu verteilen. Das Ergebnis sind überprivilegierte Nutzer und viel zu weitgefasste Rechte, die die Angriffsfläche eines Unternehmens unnötig vergrößern und dafür sorgen, dass Angreifer viel weniger Schritte benötigen, um ihre Attacken erfolgreich umzusetzen.
Dieselbe Nachlässigkeit legen viele IT-Teams auch beim Passwortmanagement an den Tag. Viele Cloudzugriffe sind nur durch ein einziges Passwort abgesichert, anstatt durch eine solide Multi-Faktor-Authentifizierung. Grundsätzlich kann man beobachten, dass vielen Sicherheitsverantwortlichen einfach die nötige Transparenz über alle privilegierten Cloud-Zugriffe und Sitzungen fehlt, was die vermehrte remote-Arbeit in den letzten Wochen natürlich nochmal verstärkt hat. Dies hat zur Folge, dass Kompromittierungen und Missbrauch nur schwer oder viel zu spät entdeckt werden.
Sichere Cloud-Zugriffe in vier Schritten
- Risikoanalyse: Die Absicherung privilegierter Cloud-Zugriffe beginnt zunächst damit, sich bewusst zu machen, welche Risiken dem eigenen Unternehmen eigentlich drohen und welche Folgen ein potenzieller Cloud-Breach für das Unternehmen hätte. Gleichzeitig muss man verstehen, dass privilegierte Zugriffe auch nicht-menschliche Accounts betreffen, etwa Accounts die die Infrastruktur, Fernzugriffe, die Automatisierung, Service-Konten oder DevOps-Accounts verwalten. Das heißt, es gilt, sich einen umfassenden Überblick über sämtliche privilegierte Konten und Nutzer in der gesamten Unternehmensumgebung zu verschaffen, denn man kann letztlich ja nur das schützen, was man auch kennt. Idealerweise nutzt man hierfür Tools, die auf Automatisierung beruhen, und den Verantwortlichen immer volle Transparenz bieten. Auf diese Weise werden auch veraltete und nicht mehr genutzte Accounts identifiziert, die als Hintertür für interne und externe Angriffe missbraucht werden könnten.
- Klare Richtlinien definieren: Darüber hinaus muss jede Sicherheitsabteilung eigene Richtlinien für den Cloud-Zugriff definieren, in der die zulässige Nutzung und die Verantwortlichkeiten für privilegierte Cloud-Accounts festgelegt sind. Zu verstehen, wer über privilegierten Zugriff verfügt und wann dieser genutzt wird, ist bei dessen Absicherung von entscheidender Bedeutung. Privilegierte Konten sollten grundsätzlich separat behandelt werden, indem jedes einzelne von ihnen klar definiert und Nutzungsregeln festlegt werden.
- Least Privilege: Wie oben bereits erwähnt, ist es von großer Wichtigkeit, eine minimale Rechtevergabe umzusetzen, d.h. jedem Mitarbeiter nur den Zugriff zu gewähren, den er zur Erledigung seiner Arbeit auch tatsächlich braucht. Zur Umsetzung empfiehlt sich der Einsatz eines fortschrittlichen PAM-Tools, das eine richtlinienbasierte Anwendungssteuerung bietet und es ermöglicht, Zugriffsrechte kontrolliert und überwacht zu erhöhen, zu sperren oder zu isolieren, so dass die Mitarbeiter ihre Tätigkeiten weiterhin sicher ausführen können, die Zahl der Helpdesk-Supporttickets jedoch deutlich sinkt.
- Sitzungsmonitoring: Um Fehler bei der Nutzung sichtbar zu machen und Benutzer zum korrekten Verhalten zu motivieren, ist es zudem wichtig, privilegierte Sitzungen und Kontoaktivitäten zu überwachen und aufzuzeichnen. Dies betrifft besonders administrative Zugriffe von IT-Outsourcing-Anbietern und Managed Service Providern (MSPs) auf Cloud- und interne IT-Systeme, da viele Cybervorfälle auf kompromittierte Dritte zurückzuführen sind. Sind PAM-Tools im Einsatz, die privilegierte Sessions konsequent im Blick haben, kann abnormales Verhalten, d.h. mutmaßlicher Missbrauch oder Account-Kompromittierungen, schnell erkannt und blockiert werden.
Stefan Schweizer, VP Sales DACH, Thycotic
