Immer mehr Unternehmen verlagern ihre Systeme und Geschäftsabläufe in die Cloud. Die Verwaltung und Überwachung dieser Ressourcen wird zunehmend komplexer, denn die Cloud-Ressourcen sind nicht mehr statisch und berechenbar. Unternehmen arbeiten zudem nicht mehr nur mit einer Cloud, sondern verfolgen stattdessen einen Multi-Cloud-Ansatz für ihre Infrastruktur. Das erschwert das Festlegen angemessener Berechtigungen für den Zugriff auf diese Ressourcen. Mit einer Berechtigungsverwaltung für die Cloud-Infrastruktur (Cloud Infrastructure Entitlement Management, CIEM) lässt sich diese Herausforderung bewältigen.

Was sind Cloud-Infrastruktur-Berechtigungen?

Cloud-Anbieter arbeiten nach dem Modell der gemeinsamen Verantwortung. Sie stellen mit ihren IaaS-Angeboten (Infrastructure-as-a-Service) Services und Speicherplatz bereit und garantieren den physischen Schutz der Rechenzentren. Die Kunden der IaaS-Angebote sind dagegen für die Sicherheit verantwortlich und müssen festlegen, wer (oder was) auf die Infrastrukturressourcen zugreifen darf.

Dynamische Ressourcen und die Komplexität von Multi-Cloud-Umgebungen

In einer Umgebung mit statischen Ressourcen gewähren die Cloud-Anbieter Zugriff mithilfe von IAM-Regeln (Identitäts- und Zugriffsverwaltung). So können beispielsweise alle Benutzer mit der Rolle deployments-manager (Bereitstellungsmanager) berechtigt sein, einen Neustart einer bestimmten Datenverarbeitungsinstanz (z. B. EC2) durchzuführen. Gleichzeitig kann eine CI/CD-Pipeline mit der Rolle automated-test-runner (automatisierter Testlauf) berechtigt sein, sich per SSH mit dieser Instanz zu verbinden, um einen Test durchzuführen.

In heutigen Cloud-Umgebungen ändern sich die Ressourcen jedoch ständig. Viele Ressourcen sind kurzlebig und werden bedarfsgerecht provisioniert und wieder deprovisioniert. Es gibt zwar bei vielen Cloud-Anbietern eine Lösung für den Zugriff auf kurzlebige Ressourcen, allerdings geht jeder Anbieter dabei seinen eigenen Weg. Es fällt Unternehmen daher schwer, die Berechtigungen mehrerer Cloud-Umgebungen zu kontrollieren und zu verwalten.

Cloud-Infrastruktur-Berechtigungen bestehen aus den verschiedenen jeweils erteilten Zugriffsrechten auf Cloud-Ressourcen. Wie wir sehen werden, ist es eine höchst komplexe Aufgabe, die Cloud-Infrastruktur-Berechtigungen in einer Multi-Cloud-Umgebung mit tausenden Ressourcen zu verwalten und dabei nicht den Überblick zu verlieren.

Was ist Cloud Infrastructure Entitlement Management (CIEM)?

CIEM ist im Cloud-Sicherheitsbereich relativ neu und hat besonders durch die Erwähnung im Gartner-Bericht Hype Cycle for Cloud Security 2020 an Bekanntheit gewonnen. Im Bericht wird dieses Konzept wie folgt definiert:

CIEM-Angebote (Berechtigungsverwaltung für die Cloud-Infrastruktur) sind spezielle identitätsorientierte SaaS-Lösungen, mit denen Cloud-Zugriffsrisiken in Hybrid- und Multi-Cloud-IaaS-Umgebungen verwaltet werden. Dabei werden die Berechtigungen administrativ kontrolliert.

CIEM-Lösungen unterstützen Unternehmen bei der Berechtigungsverwaltung all ihrer Cloud-Infrastruktur-Ressourcen. Diese Tools sollen vor allem die Risiken minimieren, die durch die unabsichtliche und ungeprüfte Erteilung übermäßiger Zugriffsrechte auf Cloud-Ressourcen entstehen.

Welche Herausforderungen kann CIEM lösen?

Die Verwaltung und Überwachung des Zugriffs auf Cloud-Ressourcen bringt mehrere Herausforderungen mit sich, die mit einer CIEM-Lösung bewältigt werden sollen.

Verwaltung der Zugriffe auf kurzlebige Ressourcen

In heutigen Cloud-Umgebungen können Ressourcen jederzeit provisioniert und wieder deprovisioniert werden. Daher muss die Verwaltung des Zugriffs auf diese Ressourcen dynamisch erfolgen. Ähnlich komplex gestaltet sich auch die Überwachung dieser kurzlebigen Ressourcen.

Übermäßige Zugriffsrechte für Cloud-Ressourcen

Bei der manuellen oder sorglosen Gewährung von Berechtigungen besteht die Gefahr, zu umfangreiche Zugriffsrechte zu vergeben. Schauen wir uns dazu ein Beispiel an, bei dem einem neuen Mitarbeiter im Entwicklungsteam IAM-Richtlinien zugewiesen werden. Um zu vermeiden, dass der neue Mitarbeiter Aufgaben nicht erledigen kann oder ständig weitere Berechtigungen anfordern muss, stattet das Unternehmen ihn möglicherweise mit übermäßigen Zugriffsrechten aus, mit denen er alle möglichen Aktionen ausführen kann – auch Aktionen, die nicht in seinem Aufgaben- oder Verantwortungsbereich liegen.

Diese Erteilung übermäßiger Berechtigungen erhöht das Risiko einer Kompromittierung erheblich.

Besserer Überblick im großen Maßstab

Bei Berechtigungen für die Cloud-Infrastruktur geht es nicht einfach nur um den Zugriff von Benutzern auf Ressourcen. Dies sind einige Beispiele für Ressourcen, auf die zugegriffen werden muss:

• Virtuelle Maschinen
• Container
• Serverlose Funktionen
• Datenbanken
• Persistenter Speicher
• Anwendungen
• … und mehr

Zu den Entitäten, die Zugriff auf diese Ressourcen benötigen, gehören unter anderem:

• Benutzer
• IoT-Geräte
• Andere serverlose Funktionen
• Andere Anwendungen
• Andere Cloud-Konten

In einer Umgebung mit hunderten oder tausenden Ressourcen und potenziell ebenso vielen Entitäten, die jeweils nur Zugriff auf bestimmte Ressourcen haben sollen, benötigen Sie für die Zugriffsverwaltung unbedingt einen klaren Überblick. Besonders wenn Unternehmen bevorzugt übermäßige Berechtigungen erteilen, müssen sie genau wissen, welche Entitäten mehr Privilegien besitzen, als sie haben sollten. Durch dieses Wissen können sie dann übermäßige Berechtigungen einschränken und das Risiko einer Kompromittierung minimieren.

Multi-Cloud-Komplexität

Viele Unternehmen hosten ihre Ressourcen in mehreren Clouds, da Kosten, Verfügbarkeit und andere Faktoren dafür sprechen. AWS, Azure und GCP haben jeweils unterschiedliche IAM-Ansätze – und das ist bei allen anderen Cloud-Anbietern nicht anders. Dadurch fehlt ein einheitlicher Ansatz für die Zugriffsverwaltung auf alle Cloud-Ressourcen im Unternehmen. Vielmehr müssen sie sich mit den verschiedenen Ansätzen der einzelnen Cloud-Anbieter arrangieren und diese koordinieren.

Überwachung und Erkennung von Zugriffsrisiken

Jeder Benutzer, jede Anwendung und jeder Rechner erhält verschiedene Zugriffsrechte für Cloud-Ressourcen. Um die Unternehmenssicherheit zu gewährleisten und zu verbessern, muss dieser Zugriff überwacht werden. Allerdings lässt sich diese Art der Überwachung bei hunderten oder tausenden Ressourcen äußerst schwer umsetzen.

BEDROHUNGSLANDSCHAFT 2022: CLOUD-SICHERHEIT

Laden Sie diesen neuen Bericht herunter und erfahren Sie, auf welche Cloud-Sicherheitsbedrohungen Sie im Jahr 2022 achten sollten und wie Sie sich am besten schützen können.

Jetzt herunterladen

Wie löst CIEM diese Herausforderungen?

Die aktuellen CIEM-Lösungen bieten dem Sicherheitsteam Dashboards mit einer übersichtlichen Darstellung aller Ressourcen in der gesamten Cloud-Umgebung. Diese Dashboards enthalten integrierte Kontrollen zur Berechtigungsverwaltung für diese Cloud-Infrastruktur-Ressourcen. Mit CIEM-Lösungen können sowohl der enorme Umfang als auch die Kurzlebigkeit der Ressourcen in heutigen Cloud-Umgebungen bewältigt werden.

Die Lösungen wenden standardmäßig das Least-Privilege-Prinzip an, bei dem Benutzer (oder Entitäten) nur die Zugriffsrechte erhalten, die sie für ihre Aufgabe benötigen. Durch diesen Ansatz vermeiden CIEM-Lösungen von vornherein die Gefahren übermäßiger Berechtigungen.

Zudem bieten CIEM-Lösungen eine einheitliche Sicherheitsterminologie und Bedienung für alle Cloud-Anbieter, sodass sich das Sicherheitsteam nicht mehr auf den unterschiedlichen Kontext der jeweiligen Cloud-Anbieter einstellen muss.

Außerdem analysieren viele CIEM-Lösungen Zugriffsprotokolle und -konfigurationen durch Machine Learning und ermitteln so die potenziellen Zugriffsrisiken eines Unternehmens. Dies hilft, übermäßige Berechtigungen aufzudecken und das Risiko einer Kompromittierung zu minimieren.

Fazit

Der traditionelle IAM-Ansatz für statische Cloud-Umgebungen ist für aktuelle dynamische Multi-Cloud-Umgebungen nicht mehr geeignet. Zudem ist ein manueller Ansatz bei den heutigen Umgebungen – mit potenziell tausenden Ressourcen und noch mehr Entitäten, die auf diese Ressourcen zugreifen sollen – praktisch unmöglich, und würde unabsichtlich zu übermäßigen Berechtigungen führen, die das Risiko für eine Kompromittierung drastisch erhöhen.

Die Lösung für diese Herausforderung ist eine Berechtigungsverwaltung für die Cloud-Infrastruktur, die die Verwaltung und Überwachung der Zugriffe für mehrere Cloud-Umgebungen in einer zentralen SaaS-Lösung bündelt. Weitere Vorteile von CIEM-Lösungen liegen in der Bereitstellung von Verwaltungs-Dashboards, der Nutzung von KI und ML zur Risikobewertung und -erkennung sowie einem einheitlichen Ansatz für den Zugriff auf alle Cloud-Umgebungen.

Laden Sie unsere Infografik „How to Improve Your Cloud Security Posture“ herunter und informieren Sie sich unter https://www.crowdstrike.com/products/cloud-security/falcon-horizon-cspm/ über den CrowdStrike Cloud Security-Ansatz zur Zugriffs- und Sicherheitsverwaltung.