InfoGuard AG (Hauptsitz)
Lindenstrasse 10
6340 Baar
Schweiz
InfoGuard AG
Stauffacherstrasse 141
3014 Bern
Schweiz
InfoGuard Deutschland GmbH
Landsberger Straße 302
80687 München
Deutschland
Die Pandemie hat den digitalen Wandel in den Unternehmen enorm beschleunigt und vermutlich haben auch Sie Ihre Geschäftsabläufe grundlegend verändert. Dies zeigt sich in der weit verbreiteten Migration von Workloads von selbst gehosteten Rechenzentren zu von Dritten gehosteten öffentlichen Clouds und der raschen Zunahme von «Born-in-the-Cloud»-Unternehmen. In diesen hybriden und Multi-Cloud IaaS-Umgebungen hat sich auch die Art des Risikos des privilegierten Zugriffs auf Administratorkonten verändert. Viele Unternehmen suchen nach neuen Wegen, um beim Zugriff auf kritische Cloud-Ressourcen, Berechtigungen sowie Ansprüche für menschliche und maschinelle Identitäten zu sichern. Wie dies gelingt, erfahren Sie in diesem Blogbeitrag.
Angreifer versuchen stets ihre Privilegien zu erweitern und zu vollständigen Cloud-Administratoren zu werden. Darüber hinaus können sie diese Berechtigungen leicht nutzen, um heimliche Schattenentitäten zu verstecken, die verborgen bleiben und als Hintertüren zur Cloud-Umgebung genutzt werden können. Daher sollten Sie Ihre Umgebung regelmässig scannen, um privilegierte Benutzer, Gruppen oder Rollen zu entdecken und heimliche Cloud-Schattenadministratoren zu enttarnen.
Zudem haben die Umstellung auf DevOps und die jüngste Zunahme von Angriffen auf die digitale Lieferkette zu neuen Anforderungen an fortschrittliche Privileged-Access-Management-Lösungen geführt. Es ist von entscheidender Bedeutung, die Entwicklungspipeline sowie die Build-Time- und Run-Umgebungen zu sichern, ohne die Softwareentwickler zu belasten.
Eine Möglichkeit ist die Erweiterung Ihrer Cloud-Initiativen mit DevOps-Pipelines, um die geschäftliche Flexibilität zu erhöhen. Oder Sie suchen nach On-Demand-Rechen- und Speicherlösungen, um Kosten zu sparen. Unabhängig davon, wo Sie sich auf Ihrer Cloud-Reise befinden, müssen privilegierte Zugriffs- und Identitätsrichtlinien in Ihrem gesamten Unternehmen einheitlich durchgesetzt werden, um die Gefährdung zu verringern und Ihre wichtigen Ressourcen zu schützen.
Cloud-Verwaltungskonsolen und -portale ermöglichen die vollständige Kontrolle über die Cloud-Ressourcen eines Unternehmens, daher muss jeder Zugriff auf sie gesichert und überwacht werden. Denn sie sind ein bevorzugtes Ziel für Cyber-Angreifer. Dies gilt insbesondere für leistungsstarke Root-Konten - also Konten mit unwiderruflichen Verwaltungsrechten wie das AWS-Root-Benutzerkonto, die globale Azure-Administratorrolle und das Google Cloud Platform (GCP)-Superuser-Konto. Daher beachten Sie folgende Empfehlungen:
1. Behandeln Sie den gesamten Zugriff auf die Cloud-Verwaltungskonsole als privilegiert:
Ermitteln Sie, welche Berechtigungen ein Benutzer oder eine Anwendung/Maschine benötigt, um die jeweilige Aufgabe zu erfüllen. Erstellen Sie Rollen für jede Benutzerpersona und geben Sie ihnen nur Zugriff auf das, was sie benötigen. Führen Sie Kontrollen für die Verwaltung des privilegierten Zugriffs durch.
2. Implementieren Sie Just-in-Time-Zugriff:
Durch die Bereitstellung eines Just-in-Time-Zugriffs auf die Cloud-Verwaltungskonsole werden die Berechtigungen beim Start der Sitzung erteilt, wodurch sichergestellt wird, dass nur die richtigen Benutzer zur richtigen Zeit und nur für einen bestimmten Zeitraum Zugriff auf die richtigen Ressourcen haben. So verringern Sie die Angriffsfläche erheblich.
3. Setzen Sie auf SSO und MFA:
Unabhängig davon, ob der Zugriff auf die Cloud-Konsole dauerhaft oder vorübergehend ist, sollte der menschliche Zugriff durch Single-Sign-on (SSO) und Multifaktorauthentifizierung (MFA) geschützt werden. SSO erleichtert den Benutzern den Zugriff auf ihre Arbeitsanwendungen an einem Ort, ohne dass sie sich mehrere Passwörter merken müssen.
4. Sichere API und automatisierter Zugriff auf die Cloud-Verwaltungskonsole:
Cloud-Verwaltungskonsolen und -portale können von automatisierten Skripten über API-Zugangsschlüssel aufgerufen werden. Diese API-Schlüssel sind hoch privilegiert und sehr leistungsfähig - sie können es einem Skript oder Benutzer beispielsweise ermöglichen, einen virtuellen Server zu stoppen oder zu starten, eine Datenbank zu kopieren oder sogar ganze Arbeitslasten zu löschen. Um Ihre Cloud-Workloads zu schützen, ist die Sicherung von API-Schlüsseln unerlässlich.
5. Kontrollieren und Überwachen Sie Administratorzugänge:
Denn ein einziger kompromittierter Administrator reicht aus, um die gesamte Konfiguration Ihrer Cloud-Umgebung zu löschen. Eine strenge Überwachung des privilegierten Zugriffs ist für Sicherheits- und Prüfungszwecke erforderlich. Zeichnen Sie Admin-Aktivitäten auf, überwachen Sie aktive Sitzungen und weisen Sie diesen entsprechende Risikowerte zu, die auf vordefinierten risikoreichen Verhaltensweisen und Aktivitäten basieren, z. B. dem Zugriff auf die Konsole ausserhalb der Geschäftszeiten.
Unser Partner CyberArk bietet zu diesem Zweck ein umfassendes Portfolio an SaaS- und fortschrittlichen On-Premises-Lösungen für das Privileged Account und Identity Management. CyberArk wurde in diesem Jahr übrigens zum dritten Mal in Folge als Leader im «2021 Gartner® Magic Quadrant™ for Privileged Access Management» eingestuft. Während des vergangenen Jahres hat CyberArk wichtige Produktinnovationen vorangetrieben und es für globale Unternehmen jeder Grösse noch weiter vereinfacht, der Sicherheit höchste Priorität einzuräumen, um die steigende Anzahl von Identitäten und Identitätstypen zu schützen, ganz gleich, wo sie genutzt werden: in der Cloud, in DevOps-Workflows oder den immer fragileren Lieferketten.
CyberArk erhielt im Bericht «2021 Gartner® Critical Capabilities for Privileged Access Management» die höchste Punktzahl für den Anwendungsfall «Secrets Management». Die DevOps-Lösungen für das Secrets Management ermöglichen Anwendungen und Automatisierungs-Tools den sicheren Zugriff auf sensible Ressourcen in grossem Umfang.
Wenn Sie mehr über die Lösungen von CyberArk erfahren möchten, freuen wir uns auf Ihre Kontaktaufnahme. Unsere CyberArk-Experten beraten Sie gerne!