Startseite > Security > Ohne Least Privilege keine Cloud-Sicherheit

Gastbeitrag von CyberArk

Ohne Least Privilege keine Cloud-Sicherheit

4. Februar 2021, 7:00 Uhr | Michael Kleist/am

Fortsetzung des Artikels von Teil 1

Identitätsbasierte Sicherheitsstrategie

Um die Herausforderungen in den Griff zu bekommen, müssen Unternehmen eine identitätsbasierte Sicherheitsstrategie verfolgen, die die Vergabe von kontextbezogenen Rechten beinhaltet. Das heißt, Anwendern erhalten abhängig von der durchzuführenden Tätigkeit passende Rechte. Dieser Just-In-Time- und Least-Privilege-Ansatz vermeidet eine dauerhafte Rechteansammlung und macht es damit Angreifern schwerer, an ihr Ziel zu gelangen.

Auch AWS, Azure und GCP machen auf die Gefahren von Identitäten mit zu vielen Berechtigungen aufmerksam und betrachten den Least-Privilege-Zugriff als Security-Best-Practice für Cloud-Umgebungen. Und die Cloud Security Alliance, die Leitlinien zur Absicherung von Cloud-Dienstleistungen entwickelt, betont darüber hinaus die Bedeutung einer kontinuierlichen Überprüfung der Berechtigungen. In stark regulierten Branchen drohen Unternehmen sogar Strafen, wenn sie keine Least-Privilege-Prinzipien etablieren.

Bei der Umsetzung einer Least-Privilege-Strategie liegt auf der Hand, dass ein Unternehmen die hohe Zahl an Cloud-Rechten, die ein Nutzer erhalten kann, kaum manuell verwalten kann. Es muss also eine Lösung zum Einsatz kommen, mit der sich verschiedene Rechte zentral zusammenführen und versteckte, falsch konfigurierte oder ungenutzte Berechtigungen ermitteln lassen.

Eine solche Lösung sollte zunächst die IAM (Identity and Access Management)-Dienste der einzelnen Cloud-Plattformen oder eines zentralen IAM-Werkzeugs nutzen, um die Berechtigungen in den gesamten Cloud-Umgebungen eines Unternehmens zu identifizieren und zuzuordnen. Idealerweise bietet die Lösung dabei auch Funktionen für die Erkennung zusätzlicher Konfigurationsrisiken, die IAM-Tools in der Regel nicht erfassen. Dazu gehören etwa „Schatten-Admins“ oder versteckte Admin-User, die (oft ungewollt) sensible Berechtigungen besitzen und damit ihre Privilegien in der Cloud erweitern können. In einem weiteren Schritt sollte die Lösung die Nutzungsdaten für alle vorhandenen Berechtigungen ermitteln, um nicht verwendete Berechtigungen zu identifizieren, die man ohne Beeinträchtigung des laufenden Betriebs entfernen kann.

Mit einer solchen Lösung und der Durchsetzung von Least-Privilege-Prinzipien können Unternehmen die Cloud-Sicherheit signifikant erhöhen und Compliance-Anforderungen zuverlässig abdecken. Sie erfüllen damit auch ihre Aufgaben in der Gefahrenabwehr. Schließlich gilt bei der Cloud-Sicherheit noch immer das Modell der geteilten Verantwortung zwischen Cloud-Anbieter und -Nutzer.

Michael Kleist ist Regional Director DACH bei CyberArk in Düsseldorf, www.cyberark.com.

[1] ESG eBook „Trends in IAM: Cloud-driven Identities“, Oktober 2020.