Die meisten Organisationen nutzen die Cloud nur zum Teil. Sie haben einen gewissen Reifegrad bei der Virtualisierung erreicht, aber noch schrecken sie vor dem vollständigen Bruch mit Zugriffskontrollsystemen zurück, die auf OS/Server- und Netzwerk-Hardware basieren — und die sich bei der Einführung von Sicherheitsmaßnahmen für Applikationen als sperrig erweisen. Gleichzeitig breiten sich nicht genehmigte SaaS- und PaaS-Cloud-Projekte aus, mit denen IT-Teams den stetig wachsenden Produktivitätsanforderungen in den Griff bekommen wollen, um die unternehmensweite Bereitstellung von Technologien nicht zu verzögern oder auszubremsen. Dabei ist es ohnehin schon schwierig, einen Stammadministrator dazu zu bewegen, den Direkt- oder Backdoor-Zugriff auf IT-Systeme aus Sicherheitsgründen abzugeben.

Mit den folgenden Strategien sichern Sie Ihre hybriden IT-Infrastrukturen über das Least-Privilege-Prinzip ab und erhöhen zugleich die Produktivität. Jede der drei Strategien setzt auf einheitliche IDaaS-Authentifizierung (Identity-as-a Service) unter PAM-Kontrolle (Privileged Access Management), damit alle Mitarbeiter die IT-Infrastruktur und SaaS-Applikationen besser einsetzen können.

1. Freiraum für sicheren Zugang zur IT-Infrastruktur

Fragt man einen Admin, was der langsamste, am wenigsten sichere oder anstrengendste Aspekt beim Zugriff auf IT-Systeme ist, folgt zumeist eine ganze Liste an Klagen: Mehrfache Logins/Passwörter, Remote-Desktop-Sitzungen, Linux-Server mit hackerfreundlichen SSH- und SCP-Open-Protocol-Ports, Firewalls, Router und Switches, die Zugriffe verhindern, und verlorene oder abgelaufene Zertifikate.

Durch das Zusammenspiel moderner IDaaS-Authentifikation und PAM-Kontrolle lassen sich diese IT-Systeme mit minimierten Privilegien reorganisieren. Im Bestfall können sie durch orchestrierte Mikrodienste, Docker und Netzwerksegmentierungsprojekte ersetzt werden — für die Einsparung von Investitionsausgaben (CAPEX) und Betriebskosten (OPEX) ist das ein wichtiger Schritt. Dieser Prozess lässt sich von einer PAM-Lösung zur Absicherung der Server und einer IDaaS-Lösung für das Hosting der virtuellen-LDAP-Dienste begleiten — mit entsprechender RADIUS-Unterstützung. Auf diese Weise fällt der Aufwand für mehrfache Privileged-Access-Sicherheitsmodelle weg und es entsteht Freiraum für eine Ersatztechnologie.

2. Vertrauen des Root-Admins gewinnen

Ein typischer Konfliktherd bei der Einführung einer Least-Privilege-Policy ist, dass der Direktzugriff von Stammadministratoren auf das Internet, die Cloud und das Unternehmensnetz angepasst wird. Der Verlust oder Diebstahl von Zugangsdaten stellt ein massives Sicherheitsrisiko für eine Organisation dar und ist damit ein notwendiger Schritt, aber trotzdem werden beim Beheben solcher Risiken häufig Produktivitätskriterien vergessen. Die Best-Practice-Empfehlung aus technischer Sicht ist deshalb, PAM- und IDaaS-Lösungen über Single Sign-on (SSO) zu kombinieren. Auf diese Weise sind autorisierte Zugriffe weiterhin möglich, ohne dass sich die Zugangsdaten im Besitz des Admins befinden müssen. So überzeugt man auch skeptische Root-Administratoren:

Die Kombination von PAM- und IDaaS-Technologien bietet eine höhere Sicherheit bei der Abschirmung von Zugängen auf Administrator-Applikationen und den dazugehörigen Anmeldedaten. Die meisten Cyberattacken auf privilegierte Nutzer nehmen genau diese Zugangswege ins Visier. Geschützt werden sie zumeist über mehrere, kontextbezogene Faktoren, wobei Admins ihre Identität über eine personenbezogene Authentifikation nachweisen müssen. Im Zusammenspiel mit verhaltensbezogener Auditierung aller eskalierten oder autorisierten Aktivitäten, lassen sich alle Compliance-Kriterien abdecken. Und das Beste ist: Die sicherste Techniklösung ist auch die praktischste!

Abbildung 1: PAM plus IDaaS mit SSO erlaubt ein Self-Service-gesteuertes Passwort-Reset, Cloud-Redundanz, Multifaktor- und VPN-freien Zugriff. Die Kombination beider Lösungen ermöglicht vertrauenswürdige IdP-Verbindungen, um moderne Authentifikation und Applikationszugriff für alle Nutzer bereitzustellen — für privilegierte und einfache Konten gleichermaßen.

3. Balance zwischen Sicherheit und Einfachheit

Mit der richtigen Balance zwischen höherer Sicherheitskontrolle beim Cloud-Einsatz und vereinfachter Administration zahlen sich die leistungsstarken IT-Ressourcen besonders aus. In hybriden Cloud-Landschaften steigt die Sicherheit UND die IT-Transformation in einer Organisation wandelt sich von einem verletzlichen Status Quo zu einer modernen Authentifizierungsumgebung.

Abbildung 2: IT-Bereitstellung und Deprovisionierung verbinden ein kombiniertes PAM- und IDaaS-System, weil der IT-Gebrauch überwacht wird. Werden unsichere Aktivitäten geblockt oder Sessions unterbunden, lassen sich die verdächtigen Aktionen sowie beendeten Sitzungen einem IDaaS-Nutzer präzise zuordnen — nicht nur auf einem privilegierten System, sondern auch bei allen nutzerbezogenen Sitzungen auf allen anderen Systemen.

Ein versierter Spezialist für IT-Transformationsprozesse wird PAM- und IDaaS-Lösungen miteinander kombinieren, damit Root-Admins die richtige Balance zwischen Sicherheitsverbesserungen und Vorteilen bei der Benutzerführung zu finden. Sind Stammadministratoren von den Abläufen überzeugt, werden auch die einfachen Nutzer überzeugt werden können.

Want deeper insights into how to keep privileged accounts safe while also simplifying your access management? Join Dave Shackleford - Principal Security Consultant at Voodoo, Shaun Pressley - Senior SE at BeyondTrust, and myself for our Webinar am 2. Mai 2019 um 19.00 Uhr. Einfach hier anmelden.