Behalten Sie die Kontrolle über zunehmende Cloud-Berechtigungen

Quelle: genesis.swiss

Die Grösse von Cloud-Umgebungen in Unternehmen führt zu einer Vielzahl von menschlichen und maschinellen Identitäten. Jede dieser digitalen Identitäten – von Cloud-Administrator:innen bis hin zu Rollen, die für serverlose Funktionen verwendet werden – kann mit Zehntausenden von Berechtigungen für den Zugriff auf Cloud-Dienste, Daten und andere Ressourcen konfiguriert werden. Die meisten Cloud-Teams sind jedoch nicht in der Lage, diese Berechtigungen angemessen einzuteilen. Cloud-Sicherheit ist eine relativ neue und sich weiterentwickelnde Disziplin. 70 Prozent der IT-Führungskräfte geben an, dass es an entsprechenden Qualifikationen fehlt, was ein kritisches Problem darstellt. Selbst mit Hilfe von Technologie kann es für IT-Expert:innen schwierig sein, isolierte Tools zu operationalisieren, um herauszufinden und ständig zu verfolgen, wer Zugriff auf was hat. Es gibt einfach zu viele miteinander verknüpfte Identitäten, mit denen man umgehen muss.

Es ist also sehr wahrscheinlich, dass sich in Zukunft übermässige Cloud-Berechtigungen weiterhin anhäufen und zu Cybersecurity-Schulden und Unternehmensrisiken beitragen. Die gute Nachricht: Es entstehen neue Sicherheitslösungen für Cloud-Berechtigungen, um IT-Teams bei der Verringerung dieser Risiken zu unterstützen. Dazu gehören CIEM-Technologien (Cloud Infrastructure Entitlements Management), die sich künstliche Intelligenz (KI) zunutze machen, um falsch konfigurierte und ungenutzte Cloud-Berechtigungen im grossen Massstab zu bereinigen. Wenn IT-Teams der Sicherheit von Cloud-Berechtigungen Priorität einräumen, werden sie zunehmend Probleme verhindern und die Kontrolle wiedererlangen.

Mehr Berechtigungen als nötig

In der Not wird die Zuteilung von mehr Berechtigungen als nötig häufig zur Standardlösung. Denn dieser Weg ist viel einfacher, als zu versuchen, die richtigen Zugriffsberechtigungen mit den geringsten Privilegien für jede Identität zu identifizieren. Die Gewährung eines breiten Zugriffs für Entwickler:innen, Cloud-Engineering-Teams und Mitarbeitende hilft, Produktivitätsblockaden zu vermeiden und gleichzeitig IT-Tickets und Beschwerden zu begrenzen.

Doch Cyber-Angreifer:innen können diese ungenutzten oder unnötigen Berechtigungen ausnutzen. Sobald sie eine Cloud-Identität kompromittiert haben, können sie übermässige Berechtigungen ausnutzen, um sich seitlich durch die Umgebung zu bewegen. Oder sie erweitern Berechtigungen, um ihr Ziel zu erreichen. Angreifer:innen können ebenso viel Schaden anrichten, indem sie Cloud-Administratorkonten mit starken Privilegien ausserhalb des bestehenden PAM-Programms (Privileged Access Management) des Unternehmens kompromittieren oder erstellen.

Fünf Hindernisse, die Kontrolle über den Cloud-Bestand zu übernehmen

• Mangelnde Sichtbarkeit: Unternehmen können nicht schützen, was sie nicht sehen können. Intelligente Berechtigungskontrollen, wie zum Beispiel die Überwachung von Aktivitätsprotokollen, helfen, ein tieferes Verständnis für die Nutzung von Berechtigungen zu erlangen. In Multi-Cloud-Umgebungen kann diese Transparenz jedoch nicht skaliert werden, wenn sie auf jeden einzelnen Cloud-Anbieter beschränkt ist. Sie muss sich über den gesamten Cloud-Bestand des Unternehmens erstrecken.
• Mangelnde Granularität: Jede Identität kann unter bestimmten Bedingungen privilegiert werden. Die Fähigkeit, ungenutzte Berechtigungen oder Fehlkonfigurationen zu überwachen und zu identifizieren, die zu überprivilegierten Konten und der Schaffung von Schattenadministrator:innen führen könnten, ist der Schlüssel zur Durchsetzung des Least-Privilege-Prinzips. Verlassen Sie sich nicht darauf, dass Ihre bestehenden Cloud-Identitäts- und Zugriffsmanagement (IAM)-Tools dies abdecken. In der Regel verfügen sie nicht über die Fähigkeiten, granular vorzugehen.
• Fehlende Kontrolle: Standardisierung ist der Schlüssel zu Identitätssicherheit im grossen Massstab. Cloud-Umgebungen sind jedoch komplex und dynamisch, mit isolierten IAM-Tools und Regeln in AWS, Azure und GCP. Dies führt zu einer inkonsistenten Benutzererfahrung, die Sicherheitsteams blockieren und die betriebliche Effizienz beeinträchtigen kann. Ausserdem wird dadurch ein Ad-hoc-Ansatz für die Sicherheit gefördert, der zu isolierten Teams und spezialisiertem Wissen über bestimmte Plattformen führen kann. Dies erschwert die konsequente Durchsetzung des Prinzips der geringsten Rechte.
• Fehlende Massnahmen: Die Identifizierung von überprivilegierten Identitäten ist nur ein Teil der Herausforderung. Sicherheitsteams benötigen auch implementierbare Massnahmen, um Risiken schnell zu beheben, ohne den Betrieb zu unterbrechen. IAM-Tools können zwar bestimmte Bedrohungen identifizieren, aber es fehlen ihnen häufig die granularen IAM-Richtlinienempfehlungen auf Code-Ebene, die zur sofortigen Behebung des Problems erforderlich sind. Cloud-eigene IAM-Tools verfügen auch nicht über die Fähigkeit, Cloud-Admin- oder Shadow-Admin-Konten automatisch in die Privileged-Access-Management-Lösung eines Unternehmens einzubinden.
• Weiterführende Risikoreduzierung: Die ordnungsgemässe Absicherung aller Cloud-Identitäten vom Zeitpunkt ihrer Erstellung an ist ein weiterer wichtiger Aspekt, da digitale Identitäten oft schnell und häufig ohne Berücksichtigung der Best Practices für Identitätssicherheit erstellt werden. Ebenso wichtig ist die Integration von CIEM und bestehenden Identitätssicherheitsprogrammen, um eine kontinuierliche Kontrolle der Anmeldedaten und des Zugriffs zu gewährleisten. Diese Konsistenz ist entscheidend für eine messbare Verringerung des Cyberrisikos.

Manuelle, uneinheitliche Methoden zur Sicherung digitaler Identitäten werden mit der zunehmenden Verbreitung der Cloud und ihrer steigenden Anzahl noch unübersichtlicher und schwerer zu verwalten. Verfolgen Sie deshalb einen zentralisierten, intelligenten Ansatz, der KI und Automatisierung nutzt, um Fehlkonfigurationen einzudämmen, übermässige Berechtigungen zu vermeiden und das Sicherheitsrisiko zu mindern. Bevor es zu spät ist!

Wir unterstützen Sie gerne!