Zu den gebräuchlichsten Methoden zum Schutz der Cloud gehört, den gesamten administrativen Zugriff auf die Cloud-Computing-Umgebung über eine dedizierte Ressource zu steuern — die Privileged Access Workstation (PAW). Schließlich sind täglich eingesetzte Workstations, die von Personen mit privilegierten Anmeldeinformationen genutzt werden, attraktive Ziele für Bedrohungsakteure. Das liegt daran, dass diese Anmeldedaten gestohlen und später verwendet werden können, um Angriffe einzuleiten oder für Seitwärtsbewegungen im Netzwerk einzusetzen. Eine nach Sicherheitskriterien gehärtete und streng überwachte Arbeitsstation kann viele der im Tagesbetrieb typischen Risiken (wie zum Beispiel durch E-Mail-Kommunikation) vermeiden. Eine bewährte Maßnahme zum Schutz der IT-Cloud-Verwaltung und vor Bedrohungen im Zusammenhang mit privilegierten Benutzerrechten ist deshalb, eine sichere Privileged Access Workstation (physisch oder virtuell) ausschließlich für privilegierte Zugriffe auf die Cloud zu nutzen. Eine Arbeitsstation mit privilegiertem Zugriff schützt alle Secrets oder Passwörter vor Angriffen, die gegen herkömmliche Workstations beispielsweise durch Phishing drohen könnten.
In einer typischen IT-Umgebung wird einer Identität (Benutzer) eine dedizierte PAW für die Cloud-Verwaltung mit den individuellen Anmeldeinformationen und/oder Secrets zur Ausführung der zugewiesenen Aufgaben zur Verfügung gestellt. Alle Zugriffsversuche, die unter Verwendung dieser Secrets von einer anderen IT-Ressource oder auch von einer anderen PAW erfolgen, sind dann bereits ein Indikator für eine mögliche Kompromittierung.
Bei der Anmeldung auf sicheren Arbeitsstationen sollten Benutzer keinen direkten Zugriff auf die Cloud haben. Besser ist es, wenn eine Privileged-Access-Management-Lösung die Sitzungen stellvertretend übernimmt, Aktivitäten überwacht und verwaltete Zugangsdaten zuführt (und dadurch vor Benutzern geheim hält), damit alle Arbeiten sicher ausgeführt werden können. Bei richtiger Konfiguration sind all diese Schritte für den Endbenutzer vollständig transparent und benötigen nur wenige Sekunden, um automatisch ausgeführt zu werden. Dieser Ansatz ist für die sensibelsten Systeme eine empfohlene und bewährte Sicherheitsmethode.
Privileged Access Management-Systeme sind für die Verwaltung privilegierter Zugriffe über PAWs essenziell, insbesondere bei Cloud-Verbindungen.

Was sind die Unterschiede zwischen PAW, Jump-Server und Bastion-Host?
Ein häufiges Missverständnis beim Einsatz von PAWs ist, dass sie mit einem Jump-Server oder Bastion-Host gleichgesetzt werden. In Wirklichkeit gibt es deutliche Unterschiede, auch wenn einige Ähnlichkeiten anzutreffen sind.
Ein Jump-Server ist ein zwischengeschalteter Server, der als Gateway oder Proxy fungiert, um Zugriffe auf ein Gerät in einem gesicherten Netzwerk zu vermitteln und/oder weiterzuleiten. Dabei wird keine Sicherheitskontrolle des IT-Assets durchgeführt, das die Kommunikation initiiert. Vielmehr handelt es sich um ein Rechnersystem, das den gesamten Zugriffsvorgang überwacht, protokolliert und steuert. Anfragen von kompromittierten IT-Systemen kann ein Jump-Server zwar überwachen, aber nur bedingt begrenzen, wenn Berechtigungen oder Exploits als Teil eines Angriffs vom Quellsystem genutzt werden. Insofern lassen sich potenzielle Risiken nur teilweise eingrenzen, weil nur die Sitzung verwaltet wird — aber nicht das IT-System, das eine Verbindung initiiert hat.
Nicht vertrauenswürdige Quellen, die eine sichere Verbindung über ein überwachtes Gateway aufbauen, stellen für viele Unternehmen ein nicht hinnehmbares Risiko dar. Jeder dieser Kommunikationskanäle könnte zum Ausgangspunkt für einen Angriff werden, falls gültige Anmeldeinformationen oder Software-Exploits zum Einsatz kommen. Durch Implementierung einer Privileged Access Workstation können hingegen sichere End-to-End-Verbindungen gewährleistet werden. Ein Jump-Server ist nur eine IT-Komponente in diesem Gesamtkonzept für sichere privilegierte Zugriffe innerhalb von lokalen Netzen und Cloud-Umgebungen.
Wo liegen die Unterschiede zu einem Bastion-Host? Ein Bastion-Host ist eine spezielle Instanz im Netzwerk, die zur Abwehr einer Vielzahl von physischen Attacken und Cyberangriffen dient. Der passende Begriff „Bastion“ signalisiert Analogien zu einer militärischen Befestigungsanalage. Der Bastion-Host ermöglicht also geschützte Verbindungen einzelner Anwendungen oder Prozesse. Alle anderen Dienste werden blockiert, deaktiviert oder entfernt, um die Angriffsfläche zu verkleinern. Darüber hinaus wird ein Bastion-Host auch auf Basis seiner Bereitstellung im Internet, in der DMZ oder in einem anderen Netzwerk gehärtet, um Cyberangriffe abwehren zu können.
In bestimmten Fällen kann eine Privileged Access Workstation als Bastion-Host betrachtet werden, wenn sie die Benutzerinteraktion mit eng begrenzten Anwendungen ermöglicht. Im Regelfall bezieht sich ein Bastion-Host jedoch auf andere Dienste wie Firewalls und Load Balancer, die nicht für die privilegierte Verwaltung einer Cloud-Umgebung verwendet werden. Auch wenn der Begriff „Bastion-Host“ manchmal in diesem Zusammenhang gebraucht wird, dienen Arbeitsstationen mit privilegiertem Zugriff eher selten diesem Zweck — außer für den Fall, dass einzelne Funktionen streng kontrolliert werden.
Neun Best-Practice-Empfehlungen für die Implementierung einer Privileged Access Workstation
Zur Gewährleistung höchster Sicherheit und Wirksamkeit beim Einsatz einer sicheren Arbeitsstation kommt es auf folgende Punkte an:
- Verwendung gehärteter, dedizierter IT-Ressourcen (physisch oder virtuell), die aktiv alle Aktivitäten überwachen – von der Protokollierung der Tastenanschläge über Anwendungsstarts bis hin zu Befehlszeilentools
- Umsetzung eines Least-Privilege-Konzepts bei allen Vorgängen
- Nutzung applikationsbezogener Freigabe- und Sperrlisten
- Installation auf moderner Hardware, die TPM (Trusted Platform Module) unterstützt — vorzugsweise 2.0 oder höher, um neueste Biometrie- und Verschlüsselungsverfahren einzubinden
- Schwachstellenmanagement und Automatisierung für zeitnahes Patch-Management, um einer Kompromittierung der Software vorzubeugen
- MFA für die Authentifizierung gegenüber sicherheitssensiblen IT-Ressourcen sowie schrittweise Authentifizierung oder sogar Änderungskontrolle für besonders sensible Vorgänge
- Betrieb innerhalb eines dedizierten oder vertrauenswürdigen Netzwerks, das von Netzen mit potenziell unsicheren Geräten getrennt ist
- Ausschließliche Nutzung kabelgebundener Netzwerkverbindungen — grundsätzlich keine drahtlose Kommunikation jeglicher Art für PAWs
- Diebstahlschutzvorrichtungen und Manipulationsschutz (das ist insbesondere dann ein Problem, wenn ein Laptop als PAW fungiert und sich in einem stark frequentierten Bereich befindet)
PAWs bieten Cloud-Administratoren eine höhere Sicherheit, aber es gibt folgende Ausnahmen:
- Surfen im Internet, unabhängig vom Browser
- E-Mail- und Messaging-Anwendungen
- Aktivitäten über unsichere Netzwerkverbindungen, z. B. WLAN oder Mobilfunk
- Einsatz von USB-Speichermedien oder nicht autorisierten USB-Peripheriegeräten
- Fernzugriff auf die PAW von jedem Arbeitsplatz aus
- Verwendung von Anwendungen oder Diensten, die Best-Practice-Sicherheitsempfehlungen umgehen und mögliche Anfälligkeiten verursachen
Für eine beschleunigte Umsetzung und Vermeidung von physischen Rechnern nutzen viele Unternehmen verschiedene Virtualisierungstechnologien (VMware, Microsoft, Parallels, Oracle usw.), um ein einzelnes IT-Asset als PAW parallel zum Basisbetriebssystem ausführen zu können. Das Primärsystem kommt dabei für tägliche Produktivitätsaufgaben zum Einsatz, während das Zweitsystem als PAW verwendet wird. Bei diesem Ansatz ist es allerdings ratsam, sowohl die täglichen Aktivitäten als auch die PAW-Aufgaben auf einem gehärteten virtuellen Betriebssystem auszuführen und so eine bessere Segmentierung zu ermöglichen. Nicht immer ist eine solche Segmentierung jedoch praktikabel. Die PAW sollte in jedem Fall virtualisiert und vom Betriebssystem isoliert werden (keine Zwischenablagefreigabe, Dateiübertragungen usw.) und sie sollte nicht für tägliche Produktivitätsaufgaben verwendet werden.

Morey J. Haber, Chief Technology Officer, BeyondTrust
With more than 20 years of IT industry experience and author of Privileged Attack Vectors, Mr. Haber joined BeyondTrust in 2012 as a part of the eEye Digital Security acquisition. He currently oversees BeyondTrust technology for both vulnerability and privileged access management solutions. In 2004, Mr. Haber joined eEye as the Director of Security Engineering and was responsible for strategic business discussions and vulnerability management architectures in Fortune 500 clients. Prior to eEye, he was a Development Manager for Computer Associates, Inc. (CA), responsible for new product beta cycles and named customer accounts. Mr. Haber began his career as a Reliability and Maintainability Engineer for a government contractor building flight and training simulators. He earned a Bachelors of Science in Electrical Engineering from the State University of New York at Stony Brook.