Raffaza - stock.adobe.com
Cloud PAM: Vorteile und Herausforderungen im Überblick
Cloud PAM kann Unternehmen dabei unterstützen, den Zugriff auf privilegierte Konten zu verwalten und Cloud-Anwendungen zu schützen. Man sollte aber die Herausforderungen kennen.
Viele Unternehmen haben unterschiedliche Zugriffsebenen für ihre Mitarbeiter auf Cloud-Ressourcen und -Anwendungen, wobei einige erweiterte Berechtigungen erfordern. Die Verwaltung privilegierter Zugriffe ist daher zu einem wichtigen Bestandteil von Identitäts- und Zugriffsmanagementstrategien (IAM) geworden, wobei der Schwerpunkt auf dem Schutz privilegierter Zugriffe auf kritische Systeme und sensible Daten liegt.
Da Unternehmen zunehmend auf Cloud Computing setzen, entwickelt sich auch der Ansatz für Privileged Access Management (PAM) weiter. Sehen wir uns die Unterschiede und Überschneidungen zwischen lokalem und Cloud-basiertem PAM an, die Vorteile und Herausforderungen von Cloud-basiertem PAM und wie man die Implementierung von Cloud-zentrierten PAM-Services effektiv plant.
Lokale Bereitstellung vs. Cloud PAM
Zwischen PAM in lokalen und in Cloud-Umgebungen existieren sowohl Gemeinsamkeiten als auch Unterschiede.
Die übergeordneten Kernziele der Sicherung privilegierter Anmeldedaten, der Durchsetzung des Prinzips der geringsten Berechtigungen (POLP) und der Überwachung privilegierter Kontoaktivitäten sind identisch. Unabhängig davon, ob sie vor Ort oder in der Cloud eingesetzt werden, reduzieren PAM-Systeme die Risiken, die mit Insider-Bedrohungen, dem Diebstahl von Anmeldedaten und überprivilegierten Konten verbunden sind.
Beide Versionen von PAM müssen häufig auch Vorschriften wie DSGVO, HIPAA und PCI DSS erfüllen oder an diese angepasst sein, und alle PAM-Lösungen sollten Reporting- und Auditing-Funktionen für die Rechenschaftspflicht in den Vordergrund stellen.
Zu den Unterschieden gehören Folgendes:
- Kontrolle über Systeme und Infrastruktur. Interne PAM-Systeme ermöglichen es einem Unternehmen, privilegierte Konten zu kontrollieren und zu überwachen, da die mit PAM-Produkten und Architekturmodellen verbundene Hardware und Software vollständig im Besitz des Unternehmens sind und von diesem gewartet werden. In der Cloud werden PAM und die zugrunde liegende Hardware und Software von einem Anbieter betrieben, der auch alle Cloud-nativen PAM-Dienste wartet.
- Bereitstellung und Wartung. Lokale PAM-Lösungen erfordern oft längere Bereitstellungszeiten, manuelle Updates und eine starke Abhängigkeit von IT-Teams. Cloud-PAM wird in der Regel als SaaS oder als Cloud-nativer Dienst in IaaS- und PaaS-Clouds mit automatischen Updates bereitgestellt, was eine schnelle Bereitstellung und einen geringen Wartungsaufwand gewährleistet.
- Integration. Lokale PAM-Lösungen lassen sich möglicherweise leichter in ältere Systeme integrieren, haben jedoch Probleme mit modernen SaaS-Anwendungen. Cloud-PAM-Dienste von Drittanbietern sind für die nahtlose Integration mit anderen Cloud-Diensten und einigen lokalen Produkten konzipiert und ermöglichen so eine einfachere Zugriffskontrolle in hybriden Umgebungen. Einige PAM-Dienste sind zudem nur für einen einzigen IaaS- oder PaaS-Anbieter verfügbar.
Vorteile von Cloud PAM
Cloud-basiertes PAM bietet eine Reihe von Vorteilen, darunter die folgenden:
- Erhöhte Flexibilität. Cloud-basiertes PAM bietet eine zentralisierte Kontrolle über privilegierte Konten, mit einfacherem Zugriff und Integration in Hybrid- oder Multi-Cloud-Umgebungen. Cloud PAM lässt sich außerdem problemlos in SaaS-Anwendungen, Identity-as-a-Service-Plattformen und Cloud-native Dienste und Bereitstellungen integrieren.
- Kosteneinsparungen. Zwar können Cloud-PAM-Dienste von Drittanbietern in puncto Kosten mit lokalen PAM-Lösungen mithalten, doch sind Cloud-native Dienste von Anbietern insgesamt möglicherweise günstiger. Dies gilt beispielsweise für PAM-Lösungen innerhalb einer einzigen IaaS- oder PaaS-Cloud, die in dieselbe Umgebung integriert werden sollen, um dort die Sicherheit zu gewährleisten.
- Skalierbarkeit. Die flexible Natur der Cloud unterstützt Unternehmen jeder Größe und ermöglicht es PAM-Systemen, gemeinsam mit dem Unternehmen zu wachsen, ohne dass weitere Systeme oder Komponenten bereitgestellt werden müssen.
Herausforderungen beim Einsatz von Cloud PAM
Cloud-PAM kann auch einige besonderen Herausforderungen mit sich bringen. An erster Stelle steht die Gefahr einer Anbieterabhängigkeit (Vendor Lock-in), wenn Unternehmen einen PAM-Anbieter wählen, der auf einen einzigen Cloud-Anbieter ausgerichtet ist oder sich nicht in andere Clouds und lokale Systeme und Dienste integrieren lässt.
Zweitens gibt es einen deutlichen Unterschied zwischen klassischen lokalen Identitäten und Berechtigungsmodellen wie Active Directory und Windows-Domänenberechtigungen einerseits und Cloud-nativen IAM-Rollenzuweisungen wie AWS IAM und rollenbasierter Zugriffskontrolle in Azure andererseits. Da es sich hierbei um unterschiedliche Konzepte handelt, muss ein Cloud-PAM-Anbieter, der Hybrid-Cloud-Bereitstellungen unterstützt, ein wesentlich breiteres Spektrum an Berechtigungen und Rollen abdecken.
Drittens können Cloud-basierte PAM-Dienste und -Plattformen unterschiedliche Anforderungen an den Datenschutz und die Datensicherheit in Bezug auf Hosting und Integration über weiträumige geografische Bereitstellungen hinweg haben, was die Einführung behindern könnte.
Cloud PAM im Unternehmen einführen
Unternehmen, die einen Umstieg auf Cloud PAM in Betracht ziehen, müssen folgende Entscheidungen treffen:
- Lassen sich bestehende lokale PAM-Dienste auf die Cloud ausweiten?
- Ist eine lokale PAM-Abdeckung noch erforderlich?
- Welche Bereiche muss PAM abdecken?
Gleichwohl ist klar, dass es viele Arten von Cloud-Diensten gibt und Cloud-native PAM in einer einzigen IaaS-Cloud ein anderer Anwendungsfall ist als umfassendere PAM-Lösungen, die mehr Endpunkte, Benutzertypen und Cloud-Dienste abdecken müssen.
Beginnen Sie mit einer Bewertung der aktuellen Anforderungen und potenziellen Defizite. Führen Sie eine umfassende Prüfung der privilegierten Konten im gesamten Unternehmen durch, einschließlich lokaler, Cloud- und hybrider Systeme und Dienste. Legen Sie gleichzeitig die PAM-Ziele und Geschäftsziele fest und stellen Sie sicher, dass das System die Compliance-Anforderungen erfüllt, die betriebliche Effizienz steigert und Risiken reduziert.
Wählen Sie als Nächstes einen Dienst basierend auf diesen Anwendungsfällen und der Risikominderung aus. Diese können von der Erweiterung eines bestehenden Anbieterdienstes von lokal auf die Cloud, dem Umstieg auf einen neuen Cloud-PAM-Dienst, der SaaS und andere Cloud-Zugriffskontrolle und -Verwaltung abdeckt, bis hin zur Implementierung eines Cloud-nativen PAM-Dienstes innerhalb einer bestimmten Cloud reichen. Also beispielsweise wie Microsoft Entra Privileged Identity Management oder Google Cloud Privileged Access Manager.
Erstellen Sie für jeden Dienst in Zusammenarbeit mit den Beteiligten, einschließlich DevOps- und IAM-Teams, eine Strategie für die schrittweise Implementierung. Priorisieren Sie zunächst kritische Systeme, Dienste und Konten und erweitern Sie dann schrittweise auf weniger kritische Bereiche. Automatisieren Sie die Bereitstellung und Entziehung von privilegierten Konten, wo dies möglich ist, und richten Sie Kontrollen ein, um das Prinzip der geringsten Berechtigungen durchzusetzen.
Stellen Sie sicher, dass alle ausgewählten PAM-Optionen mit bestehenden IAM-Diensten wie Single Sign-On- und Federation-Tools und -Diensten integriert werden können und Protokolle und Ereignisse an SIEM-Systeme oder andere Überwachungsplattformen exportiert werden können.
Cloud PAM ist ein Prozess, dessen erfolgreiche Umsetzung viel Zeit und Aufwand erfordert, insbesondere in großen, komplexen Hybridumgebungen. Planen Sie eine kontinuierliche Überwachung privilegierter Zugriffsaktivitäten, um Anomalien und verdächtiges Verhalten zu erkennen, und überprüfen und aktualisieren Sie regelmäßig Ihre PAM-Richtlinien, um sie an neue Cloud-Sicherheitsbedrohungen anzupassen.
