Bei meinem Start in der IT-Branche gab es einige amüsante Geschichten. Dazu zählten auch die Host-Namenskonventionen für Server und Workstations, die Kunden für ihre Endpunkte wählten. Ein Kunde nutzte beispielsweise Raumschiffe der Star-Trek-TV-Serie als Namen, während ein anderer Kunde verschiedene Charaktere aus Disney-Filmen bevorzugte. Eigentlich albern, aber so konnte man sich zumindest viel leichter merken, dass „Enterprise“ ein Datei- und Druckserver und „Hercules“ ein Domain-Controller war.
Später waren viele Organisationen dann leider weniger kreativ, als es darum ging, Namen für Dutzende, Hunderte oder Tausende unterschiedliche IT-Systeme zu finden. Es gab wenige Namen zur Auswahl, und entsprechend schwierig gestaltete sich die Eigenrecherche, bis klar war, dass es sich bei „DS9“ um den gesuchten Datenbankserver handelte. Ich erinnere mich auch daran, dass es einem Kunden rechtlich untersagt wurde, markenrechtlich geschützte Namen innerhalb der Organisation zur Bezeichnung von IT-Assets zu verwenden — eine Katastrophe. Als externe IT-Berater mussten wir alle Systeme umbenennen und aus der Domäne entfernen. Der gesamte Vorgang umfasste nicht nur die Umbenennungsarbeiten, sondern auch die Behebung defekter Anwendungen (wie MS SQL im betreffenden Zeitraum) und die erneute Verknüpfung mit der Domäne. Im Anschluss galt es, alle Berechtigungen neu zuzuweisen und damit verbundene Probleme zu lösen. Als Folge war der betreffende Kunde dazu gezwungen, eine neue Namensgebung für Hostnamen und Benutzerkonten einzuführen und fast von vorne anzufangen.
Gute Namensgebung für Endpunkte und Server als Standard
Mittlerweile hat sich die Informationstechnologie weiterentwickelt, aber Standards für die Namensgebung sind weiterhin von entscheidender Bedeutung, weil sie sich auf alles auswirken — von ganz spezifischen Eigenschaften bestimmter Anwendungen bis hin zu Cloud-Ressourcen und DevOps-Prozessen. Vom frühen Entwurfsstadium bis zur Einführung und Nutzung von IT-Systemen ist eine durchdachte Namenskonvention ein notwendiges Mittel, um die langfristigen Wachstumsziele einer Organisation zu erreichen. Wenn Sie diese Aufgabe richtig angehen, kann das den entscheidenden Unterschied zwischen einer nachhaltigen IT-Bereitstellung oder einem wahren Alptraum beim IT-Management ausmachen. Das betrifft auch Vorgaben für Verzeichnisdienste und für die Lesbarkeit von Namen, die idealerweise leicht zu merken sein sollten.
Für eine PAM-Bereitstellung (Privileged Access Management) und viele andere IT-Disziplinen ist es notwendig, die für Hostnamen und Anmeldeinformationen gewählte Namenskonvention nachvollziehbar zu gestalten und dann auch einzuhalten. Dazu gehören DNS-Verweise und Unterscheidungsmerkmale der Zugangsdaten, die Administratoren, Standardbenutzer, Service-Accounts und A2A-Accounts (Application to Application) bestimmen. Handelt es sich um standardisierte Namen, und nicht um zufällige Namen (Spock, Wreck_it_Ralph oder Prometheus), sind die Regeln für die automatisierte Verwaltung, das Onboarding und die Kontenidentifikation relativ einfach. So könnten alle Administratorkonten beispielsweise mit einem „admin“-Präfix gekennzeichnet werden oder alle Webserver in ihren Hostnamen und DNS-Einträgen über den Zusatz „*web*“ verfügen. Nachteil einer deutlichen Benennung ist andererseits, dass Bedrohungsakteure ebenfalls von einer einfachen Identifizierung profitieren können. Dieses Risiko lässt sich jedoch durch die konsequente Einhaltung von Best-Practice-Sicherheitsempfehlungen zum Vorteil der erwünschten Benutzerfreundlichkeit ausgleichen.
Namenskonventionen für IT-Server, Endpunkte und Accounts — Best-Practice-Vorgaben für Privileged Access Management (PAM)
Für eine erfolgreiche BeyondTrust PAM-Bereitstellung gibt es bis zu acht zusätzliche Namenskonventionsmerkmale, die für PAM-Architekturkomponenten standardisiert werden müssen.
Hier sind einige Beispiele:
1. Worker-Node oder Ressourcen-Broker: Der Agentenname ist einem verteilten Worker-Node (lokale Bereitstellung) oder einem Ressourcen-Broker (Cloudbereitstellung) zugewiesen. Dieser wird vom Asset-Hostnamen übernommen und erfordert möglicherweise eine eigene Nomenklatur gemäß Standort, Netzwerksegmentierung und Client.
2. Workgroup: IT-Assets und Benutzern wird eine eindeutige Eigentümerklassifizierung zugewiesen, um IP- oder Hostnamen-Kollisionsdomänen unterscheiden zu können. Für eine einzelne Organisation gibt es in der Regel nur einen Workgroup-Namen, aber wenn mehrere Arbeitsgruppenknoten implementiert sind oder eine mehrinstanzenfähige Bereitstellung konfiguriert ist, sind mehrere Arbeitsgruppennamen erforderlich.
3. Organisation: Mehrere Arbeitsgruppen werden als Organisation zusammengefasst — allerdings nur im Rahmen einer mehrinstanzenfähigen Implementierung. Organisationsnamen können für Kontonummern oder andere Bezeichnungen zum Schutz der verwalteten Identitäten verschleiert werden.
4. IT-Policy: Namentliche Kennzeichnung einer privilegierten Richtlinie für den Kontext- und Anwendungszugriff von IT-Assets (Rechner), Benutzern (Konto) oder Verzeichnisdiensten.
5. Smart Group: Diese Namensgebung betrifft IT-Assets oder Konten, die innerhalb von BeyondInsight und Password Safe Cloud logisch gruppiert werden. Für Endbenutzer ist dieser Name inklusive der entsprechenden Berechtigungen sichtbar und bietet rollenbasierte Zugriffs- und Berichtsfunktionen der Gruppen.
6. Smart Rule: Hier wird eine automatisierte Regel gekennzeichnet. Smart Rules können automatisierte Aktionen oder logische Gruppen (Smart Groups) steuern und werden IT-Assets, Accounts oder Risiken innerhalb der Lösung zugewiesen.
7. Functional Account (Alias): Das privilegierte Konto auf einer Plattform, das für die Verwaltung anderer Konten (einschließlich Passwortrotation) verwendet wird. In der Regel handelt es sich dabei um Domänenkonten, die aber auch lokal auf der Plattform für die Verwaltung von Endbenutzerkonten vorhanden sein können.
8. Privileged Account Discovery: Dieser Referenzname zeigt in BeyondInsight, Password Safe Cloud und der BeyondTrust-Plattform die Asset-, Konto- und Attributerkennung an.
Aus Best-Practice-Sicht ist es einfach sinnvoll, sich nach bestehenden Standards zu richten. So lassen sich Workgroup-Namen zum Beispiel anhand von Ort, VLAN oder Zuordnung wie „New York Workgroup“, „DMZ X1“ oder „Boca Raton Development Lab“ kennzeichnen, und funktionale Konten könnten „WinFunctional-Corp.Domain“ oder „Linux-PCI-Functional“ heißen.
Gute Namenskonventionen sind dadurch gekennzeichnet, dass sie Präfix, Suffix und Inhalt möglichst präzise spezifizieren. Diese Granularität kann bis hin zur Anzahl der Zeichen und möglichen Kombinationen von Zeichen gehen, indem beispielsweise die ersten drei Buchstaben das Betriebssystem bezeichnen oder die Informationen zum Besitzer einer Lösung verbindlich als Regel oder Gruppenname hinterlegt werden. Wenn Sie nach weiteren Anleitungen suchen, sollten Sie das NIST-Dokument „Choosing a Name for Your Computer“ aus dem Jahr 1989 (ein guter Oldie) zu Rate ziehen.
Aus Nachhaltigkeitsgründen sollte die Bereitstellung einer Privileged Access Management-Lösung in Ihrer IT-Umgebung auch weitere Richtlinien und Verfahren einbeziehen können. Eine standardisierte Namensgebung für die spezifischen Merkmale der Berechtigungsverwaltung trägt sicherlich dazu bei, die bedarfsgerechte Implementierung und Verwaltung zusätzlicher Dienste zu beschleunigen.
Wenn Sie Unterstützung bei der Planung Ihres Bereitstellungsprozesses und der Privilegienverwaltung benötigen, kontaktieren Sie uns noch heute für eine strategische Beratung.

Morey J. Haber, Chief Technology Officer, BeyondTrust
With more than 20 years of IT industry experience and author of Privileged Attack Vectors, Mr. Haber joined BeyondTrust in 2012 as a part of the eEye Digital Security acquisition. He currently oversees BeyondTrust technology for both vulnerability and privileged access management solutions. In 2004, Mr. Haber joined eEye as the Director of Security Engineering and was responsible for strategic business discussions and vulnerability management architectures in Fortune 500 clients. Prior to eEye, he was a Development Manager for Computer Associates, Inc. (CA), responsible for new product beta cycles and named customer accounts. Mr. Haber began his career as a Reliability and Maintainability Engineer for a government contractor building flight and training simulators. He earned a Bachelors of Science in Electrical Engineering from the State University of New York at Stony Brook.