fgnopporn - stock.adobe.com
Maßnahmen zum Schutz digitaler Identitäten
Workloads, Microservices und Applikationen haben eigene digitale Identitäten. Security-Maßnahmen dürfen daher nicht bei menschlichen Inhabern von Nutzerkonten aufhören.
Zero Trust ist mittlerweile ein bekannter Security-Ansatz zum Schutz vor identitätsbasierten Angriffen. Denn viele Sicherheitsverstöße stützen sich auf den Missbrauch digitaler Identitäten durch Insider und externe Bedrohungsakteure. Jedes Unternehmen sollte damit rechnen, dass Angreifer mittels Identitätsmissbrauch früher oder später in das Netzwerk eindringen, und deshalb entsprechende Sicherheitsmaßnahmen implementieren.
Dennoch mangelt es in vielen Organisationen oft noch an wirksamen Mechanismen zum Schutz und zur Kontrolle von Identitäten. Eine aktuelle Studie der Identity Defined Security Alliance (IDSA) zeigt, dass Datensicherheitsverstöße mit kompromittierten Anmeldedaten alltäglich sind: 94 Prozent der Befragten wurden bereits Opfer davon. Zudem gaben mit 99 Prozent so gut wie alle Unternehmen an, dass diese Vorfälle vermeidbar gewesen wären.
Auch hat die beschleunigte digitale Transformation im Zuge der Pandemie zu einem technologischen Wandel geführt, der diese Cyberrisiken noch verschärft und das Identitäts- und Zugriffsmanagement (IAM) von Unternehmen neu auf die Probe stellt. Die Aufgabe der IT-Sicherheitsverantwortlichen ist es, zugangsbezogene Risiken sowohl in traditionellen Rechenzentren als auch in Cloud- sowie in DevOps-Strukturen zu minimieren.
Viele Unternehmen führen Zero Trust-Ansätze jedoch erst dann ein, wenn es zu spät ist, etwa nach einem Sicherheitsvorfall oder einem nicht bestandenem Audit. Gesundes Mistrauen mit einem Schwerpunkt auf Identitätsmanagement und Zugriffskontrolle ist daher nicht nur ein wichtiger Sicherheitsmechanismus, sondern zugleich die naheliegende Antwort auf die Ansprüche von Compliance-Vorschriften.
Gesicherte Identitäten für Mensch und Maschine
Unternehmen, die einen identitätszentrierten Sicherheitsansatz gewählt haben, konzentrieren sich in der Regel auf Menschen: Kunden, Mitarbeiter, IT-Administratoren, Berater oder Geschäftspartner. Tatsächlich sind die nicht an Personen geknüpften Maschinenidentitäten in vielen Unternehmen jedoch in der Mehrheit. Und die Zahl etwa der IoT-Sensoren, mobiler Hardware, Software-definierter Applikationen, Cloud Workloads, virtueller Maschinen und Container steigt: Die Experten von Cisco prognostizierten 2017, dass Ende 2021 auf einen Menschen drei Maschinen kommen.
Maschinenidentitäten sind aber nicht nur zahlreich, sie haben auch Gewicht: So sind sie oft mit privilegierten Konten verbunden und haben normalerweise einen deutlich größeren digitalen Fußabdruck innerhalb moderner IT-Infrastrukturen als privilegierte Konten menschlicher Inhaber. Dies gilt insbesondere in DevOps und in der Cloud, in denen automatisierte Aufgaben eine tragende Rolle spielen.
Letztlich zwingen die neuen Maschinen und moderne Cloud-native Applikationsarchitekturen Sicherheitsverantwortliche dazu, ihre IAM-Strategien zu überdenken. Ansonsten entsteht in ihrer Cyberabwehr ein toter Winkel, den Angreifer leicht ausnutzen können. Laut des Gartner-Reports Managing Machine Identities, Secrets, Keys, and Certificates ist „das ungute Gefühl fehlender Kontrolle und Verantwortlichkeiten oft begründet“.
Zudem erwähnt der Report weitere Schwierigkeiten im sicheren Umgang mit Maschinenidentitäten: Viele IAM-Systeme sind als Schatten-IT implementiert. Inaktive SSH-Keys (Secure Shell) befinden sich vergessen, aber immer noch einsatzbereit, auf verschiedenen Systemen und in Workloads. Auch ist selten gut dokumentiert, wie man mit Maschinenidentitäten am besten umgeht. Generell unterschätzen Unternehmen deren Rolle bei Verstößen gegen die Datensicherheit.
„Die steigende Anzahl digitaler Identitäten wird auch zukünftig die Angriffsfläche für Cyberkriminelle weiter vergrößern.“
Özkan Topal, thycoticCentrify
Daher erkennen Sicherheitsverantwortliche zunehmend, dass sich das traditionelle statische Passwortkonzept für die Zugriffskontrolle in schnelllebigen Multi-Cloud- und hybriden Umgebungen nicht mehr eignet. Weil der Bedarf an Zugriffen sich ständig verändert, erfordert es zu häufige, manuelle und zeitaufwändige Konfigurationen.
Erste Schritte zum Schutz von Maschinenidentitäten
Unternehmen benötigen also eine neue Strategie, um den Zugriff auf ihre sensiblen Ressourcen mit Passwörtern zu kontrollieren. Gartner-Analysten empfehlen einen grundlegenden Neuaufbau einer unternehmensweiten Strategie für Identitäten, schützenswerte Zeichenketten sowie Dateien (Secrets), Schlüssel und Zertifikate. Grundlegende Schritte zu einer solchen Strategie sind:
Die Verantwortlichen definieren eine gemeinsame Nomenklatur für Maschinenidentitäten.
- Sie unterscheiden zwischen den Maschinenidentitäten und den von den Maschinen verwendeten Anmeldeinformationen. Erstere werden in zentralen und lokalen Identitätsrepositorien (zum Beispiel in das Active Directory oder in einer Datenbank) gesichert.
- Sie berücksichtigen sowohl die unterschiedlichen Bedürfnisse der verschiedenen Geschäftsbereiche als auch die regulatorischen Vorgaben, die eine Organisation erfüllen muss.
- Sie bewerten verschiedene unterstützende Technologien, um Anmeldeinformationen von Maschinen zu verwalten, wie zum Beispiel:
- Hardware-Sicherheitsmodule (HSM)
- Systeme zur Schlüsselverwaltung (KMS)
- Systeme zur Verwaltung von Secrets
- Privileged Access Management (PAM)
- Funktionen und Tools von IaaS/PaaS-Anbietern
- Jeder Maschine und ihren Anmeldeinformationen wird ein Owner zugewiesen.
- Alle Beteiligten, wie etwa die in DevOps involvierten Teams, erhalten Richtlinien zum Umgang mit den Identitäten.
Authentifikationsmodelle weiterentwickeln
Danach können die Unternehmen statische Passwortmodelle aufgeben und stattdessen zu einem dynamischen Ansatz übergehen: Die ephemerischen, zertifikatsbasierten Zugangsdaten lösen die größten Sicherheitsprobleme statischer Passwörter, ohne die Anwenderfreundlichkeit zu verschlechtern und die Agilität digitalisierter IT-Umgebungen zu bremsen.
Bei einer auf ephemeren Zertifikaten basierenden Autorisation greifen die Maschinen auf die Systeme zu, ohne dass unveränderliche Zugangsdaten nötig sind. Hierdurch wird ein Zero Trust-Ansatz eingeführt, der sicherstellt, dass jeder Zugriff auf Dienste authentifiziert, autorisiert und verschlüsselt sein muss. Für jede Sitzung – egal ob Mensch oder Maschine – erstellt die Zertifikationsautorität (Certification Authority, CA) ein ephemeres Zertifikat aus. Die CA stellt die vertrauenswürdige dritte Instanz dar und baut auf Standards wie etwa die temporären X.509-Zertifikate. Diese kodieren die Benutzeridentität zu Sicherheitszwecken und haben eine kurze Lebensdauer, was das Risiko von Man-in-the-Middle-Angriffen vermeidet.
Die CA steuert dann den Zugriff auf das Zielsystem anhand von Benutzerrollen. Dazu gehören auch die Rollen, die den Workloads, Diensten und Maschinen zugewiesen sind. Sie werden auf der Grundlage von Regeln entsprechend der Sicherheitsrichtlinien und Zugriffsanforderungen erstellt. Die CA bezieht die Regeln aus dem herkömmlichen Unternehmensverzeichnis, zum Beispiel dem Microsoft Active Directory, und nutzt sie für die Auswahl der geeigneten Authentifikationsverfahren.
Dieser Ansatz erleichtert es, für jeden einzelnen Nutzer beziehungsweise für jede Maschine, den Zugriff einzureichen. Die Rechte von Nutzer- oder Maschinengruppen werden in einem optimierten und einheitlichen Ablauf aktualisiert.
Die steigende Anzahl digitaler Identitäten wird auch zukünftig die Angriffsfläche für Cyberkriminelle weiter vergrößern. Mit der Einführung eines identitätszentrierten Sicherheitsansatzes, der auf Zero-Trust-Prinzipien basiert und nicht nur für Menschen, sondern auch für Maschinen gilt, können Unternehmen die Risiken identitätsbasierter Angriffe jedoch erheblich minimieren.
Über den Autor:
Özkan Topal ist Sales Director bei thycoticCentrify.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
