Im Bereich der Cybersicherheit ist die Identität entscheidend. Und bei der Identität müssen Sie unbedingt in der Lage sein, die wichtigsten Fragen zu beantworten: wer auf Ihre Systeme zugreift, worauf sie zugreifen können und ob dieser Zugriff angemessen ist.
Sicherheitsteams arbeiten seit Jahrzehnten daran, zuverlässige Antworten zu erhalten. Das war einfacher, als alle Mitarbeiter am gleichen Standort oder zumindest hinter der gleichen Firewall arbeiteten. Aber heute können Benutzer von fast überall aus arbeiten und benötigen möglicherweise Zugriff auf Anwendungen und Ressourcen in der Cloud, in mehreren Clouds oder in einem Rechenzentrum.
Der Versuch, Benutzer in diesen Umgebungen zu sichern, zu verwalten und zu kontrollieren, kann kompliziert sein. In den folgenden Abschnitten werden wir die Identitäts- und Zugriffsfragen behandeln, die sich Sicherheitsteams stellen sollten, und erklären, wie Identity Governance Ihnen hilft, diese Antworten in stärkere Kontrollen, geringere Risiken und klarere Compliance-Nachweise umzusetzen.
Identitätsmanagement ist wichtig, weil es Ihnen hilft, zu kontrollieren und nachzuweisen, wer Zugriff auf was hat, warum er es hat und wie sich dieser Zugriff im Laufe der Zeit ändert. In hybriden Umgebungen ist es der Unterschied zwischen der Annahme des geringsten Privilegs und dessen tatsächlicher Durchsetzung.
Ohne Governance wächst die Zugriffsausweitung in aller Stille, wenn Benutzer ihre Rollen ändern, neue Anwendungen erscheinen und Ausnahmen dauerhaft werden. Das erhöht die Auswirkungen von Sicherheitsverletzungen, verlangsamt die Untersuchungen und erschwert die Audits.
Bevor Sie das Identitätsrisiko reduzieren können, benötigen Sie verlässliche Antworten auf die Frage nach dem Vertrauen in die Anmeldung und der Transparenz des Zugriffs. Beginnen Sie damit, die Überprüfung der Identität von dem Verständnis des Zugriffs über Systeme und Umgebungen hinweg zu trennen.
Sind die Nutzer die, die sie vorgeben zu sein?
Das Identitäts- und Zugriffsmanagement (IAM) überprüft die Identität eines Benutzers bei der Anmeldung und entscheidet, ob er Zugang zu einem System erhalten soll. In der Praxis bedeutet dies die Authentifizierung des Benutzers und die anschließende Autorisierung des Zugriffs auf die richtigen Ressourcen, häufig unter Verwendung der Multi-Faktor-Authentifizierung (MFA).
IAM ist wichtig, aber es ist nur der erste Schritt. Sobald ein Benutzer angemeldet ist, benötigen Sicherheitsteams immer noch einen Überblick darüber, worauf dieser Benutzer über SaaS-Apps, Multi-Cloud-Infrastruktur, IoT-Geräte und Systeme von Drittanbietern zugreifen kann. Ohne diese Transparenz ist es schwieriger, riskante Zugriffe zu erkennen, Identitätsbedrohungen zu priorisieren und Sicherheits- und Datenschutzanforderungen zu unterstützen.
Wer ist im System und worauf kann er zugreifen?
Identity Governance and Administration (IGA) bietet Transparenz und Kontrolle darüber, wer in Cloud- und lokalen Umgebungen Zugriff auf was hat. Es hilft den Teams zu bestimmen, welcher Zugriff besteht, ob er angemessen ist und wie er sich im Laufe der Zeit ändern sollte.
Die meisten IGA-Programme konzentrieren sich auf vier Kernkompetenzen:
- Identitätsmanagement: Verstehen und überprüfen Sie, wer Zugriff auf was hat, einschließlich risikoreicher Benutzer, Rollen und Anwendungen.
- Lebenszyklus von Identitäten: Automatisieren Sie die Prozesse für den Beitritt, den Wechsel und den Austritt von Mitarbeitern, einschließlich Anfragen, Genehmigungen, Provisionierung und Durchsetzung von Richtlinien.
- Verwaltung des Datenzugriffs: Identifizieren Sie, wer auf unstrukturierte Daten zugreifen kann, erkennen Sie problematische Zugriffe und schaffen Sie schnell Abhilfe.
- Verwaltung von Geschäftsrollen: Definieren Sie Rollen und Richtlinien, reduzieren Sie den Rollenwildwuchs und automatisieren Sie die Rollenzertifizierung.
Wenn die Identität missbraucht oder kompromittiert wird, vergrößert ein übermäßiger oder unklarer Zugriff die Auswirkungen. Eine zentrale Ansicht des Zugriffs hilft Teams, Probleme früher zu erkennen, Compliance-Anforderungen (einschließlich SOX, HIPAA und GDPR) zu unterstützen und die manuelle Arbeit im Zusammenhang mit Zertifizierungen, Anfragen und Bereitstellung zu reduzieren.
Zu wissen, wer Zugang hat, ist nur ein Teil des Problems. Der nächste Schritt besteht darin, sicherzustellen, dass der Zugang gerechtfertigt, für die jeweilige Rolle geeignet und durch Richtlinien und Risiken eingeschränkt ist.
Warum brauchen die Nutzer Zugang zu bestimmten Ressourcen?
Benutzer müssen auf Ressourcen zugreifen können, um bestimmte Aufgaben zu erfüllen, nicht weil sie ein Konto haben oder einer Abteilung angehören. Identity Governance hilft Ihnen, den Zugriff an eine klare geschäftliche Begründung, eine Rolle und eine vom Eigentümer genehmigte Richtlinie zu binden.
In taktischer Hinsicht bedeutet dies in der Regel, dass rollen- oder richtlinienbasierte Zugriffsmodelle festgelegt werden, dass für Ausnahmen ein erklärter Zweck erforderlich ist und dass Anwendungs- und Datenverantwortliche zugewiesen werden, die den Zugriff auf der Grundlage von Risiko und Notwendigkeit genehmigen können. Im Laufe der Zeit reduziert Governance die “Zugriffsabweichung”, indem überprüft wird, ob der Zugriff noch erforderlich ist, wenn Benutzer ihre Rolle oder ihr Projekt wechseln.
Was werden die Nutzer mit einem bestimmten Zugang tun?
Der Zugang ist nicht nur eine Ja-oder-Nein-Entscheidung. Sie bestimmt, welche Aktionen ein Benutzer durchführen kann, auf welche Daten er zugreifen kann und wie viel Schaden ein kompromittiertes Konto anrichten könnte.
Identity Governance unterstützt Teams bei der Bewertung des Zugriffs auf der Grundlage des Risikos, einschließlich privilegierter Aktionen, der Gefährdung sensibler Daten und toxischer Zugriffskombinationen, die niemals zusammen existieren sollten. In der Praxis werden hier die geringsten Rechte, die Aufgabentrennung, Zugriffszertifizierungen und gezielte Abhilfeworkflows für risikoreiche Berechtigungen eingeführt. Dies ist auch der Punkt, an dem kontinuierliche Zugriffssicherungsfunktionen, wie sie in RSA Governance & Lebenszyklus, und unterstützen eine schnellere Erkennung und Behebung.
Wie definieren Sie das geringste Privileg in der Praxis?
Least Privilege" bedeutet, dass die Benutzer nur den Zugang haben, den sie für ihre Arbeit benötigen, und zwar nur für die Zeit, in der sie ihn benötigen, und nicht mehr. Es handelt sich nicht um eine einmalige Entscheidung. Es ist eine kontinuierliche Disziplin.
Teams definieren rollenbasierte Zugriffsrechte und “Standard”-Zugriffspakete und behandeln dann alles, was nicht dem Standard entspricht, als Ausnahme, die begründet und genehmigt werden muss. Laufende Zugriffsüberprüfungen, Überprüfungen der Aufgabentrennung und die gezielte Bereinigung von risikoreichen Berechtigungen verhindern, dass sich die Privilegien bei Veränderungen der Umgebung ausweiten.
Die Zugriffsrechte ändern sich ständig, wenn neue Mitarbeiter hinzukommen, die Rolle wechseln und das Unternehmen verlassen. Eine starke Governance sorgt dafür, dass die Berechtigungen durch wiederholbare Workflows, rechtzeitige Aktualisierungen und Überprüfungen, die zu echten Korrekturen führen, korrekt bleiben.
Wie lassen sich die Risiken durch die Prozesse für Neuzugänge, Umzüge und Austritte verringern?
Joiner-, Mover- und Leaver-Prozesse verringern das Risiko, indem sie den Zugriff mit dem Beschäftigungsstatus und Rollenänderungen abstimmen, sodass der Zugriff nicht länger bestehen bleibt, wenn er nicht mehr benötigt wird. Wenn diese Arbeitsabläufe zusammenbrechen, werden verwaiste Konten und veraltete Berechtigungen zu einfachen Wegen für Missbrauch.
Das praktische Ziel ist Konsistenz und Schnelligkeit. Ein guter Lebenszyklusprozess automatisiert Anfragen, Genehmigungen, Provisioning und Deprovisioning über alle Systeme hinweg und zeichnet auf, was und warum geändert wurde. Das reduziert die Ausweitung des Zugriffs, begrenzt die Auswirkungen von Sicherheitsverletzungen und erleichtert Untersuchungen und Audits erheblich.
Wie funktionieren die Zugangsprüfungen und Zertifizierungen eigentlich?
Zugriffsüberprüfungen und -zertifizierungen funktionieren, indem die richtigen Prüfer bestätigen, ob der Zugriff eines Benutzers auf der Grundlage von Rolle, Richtlinie und Risiko noch angemessen ist. Das Ergebnis ist eine Reihe von Entscheidungen - Genehmigen, Entziehen oder Anpassen -, die zu tatsächlichen Abhilfemaßnahmen führen sollten.
Wenn sie gut durchgeführt werden, sind die Überprüfungen auf einen sinnvollen Zugriff ausgerichtet, werden an die verantwortlichen Verantwortlichen weitergeleitet und nach Prioritäten für risikoreiche Ansprüche geordnet. Sie liefern auch prüfungsreife Nachweise, indem sie nachverfolgen, wer was überprüft hat, was er entschieden hat, wann er es entschieden hat und ob die Änderungen abgeschlossen und überprüft wurden.
Identitätsmanagement sollte Teil jeder Cyber-Risikostrategie sein, denn die meisten sinnvollen Risikoentscheidungen sind Zugangsentscheidungen. Wenn Sie nicht sicher erklären können, wer Zugang hat, warum er ihn hat und ob er angemessen ist, können Sie das Risiko nicht konsequent reduzieren, schnell reagieren oder prüfungsfähige Nachweise erbringen.
Governance operationalisiert die Risikostrategie, indem es den Zugriff messbar und durchsetzbar macht. Es hilft den Teams, Abhilfemaßnahmen je nach Auswirkung zu priorisieren, übermäßige Berechtigungen zu reduzieren und verwaisten Zugriff durch Automatisierung von Beitritten, Umzügen und Austritten zu verhindern. Viele Teams gehen mit ihrem Programm auch über die Einhaltung von Kontrollkästchen hinaus, indem sie bei Zugriffsentscheidungen eine Risikobetrachtung anstellen, wie in der RSA-Perspektive zu warum Governance eine Risikobetrachtung braucht.
Starke Identitätssicherheit erfordert sowohl eine Überprüfung bei der Anmeldung als auch eine Kontrolle nach der Zugriffserteilung. RSA Lösungen und Produkte unterstützen diese umfassende Sichtweise, von der Authentifizierung bis zur laufenden Zugriffssicherung in hybriden Umgebungen.
Um mehr zu erfahren, erkunden Sie RSA Governance & Lebenszyklus für eine kontinuierliche Zugangssicherung und die Authentifizierungsfunktionen von RSA, einschließlich Multi-Faktor-Authentifizierung (MFA) und passwortlose Authentifizierung.
Das Identitäts- und Zugriffsmanagement (IAM) prüft die Identität eines Benutzers bei der Anmeldung und entscheidet, ob er Zugang zu einem System erhalten soll. Es authentifiziert den Benutzer und autorisiert den Zugriff auf die richtigen Ressourcen, oft unter Verwendung von Multi-Faktor-Authentifizierung (MFA). IAM ist wichtig, aber es ist nur der erste Schritt. Sobald ein Benutzer eingeloggt ist, müssen die Sicherheitsteams wissen, worauf der Benutzer über SaaS-Apps, Multi-Cloud-Infrastruktur, IoT-Geräte und Systeme von Drittanbietern zugreifen kann.
Identity Governance and Administration (IGA) bietet Transparenz und Kontrolle darüber, wer in Cloud- und lokalen Umgebungen Zugriff auf was hat. Es hilft den Teams zu bestimmen, welcher Zugriff besteht, ob er angemessen ist und wie er sich im Laufe der Zeit ändern sollte. Die meisten IGA-Programme konzentrieren sich auf Identity Governance, Identity Lifecycle, Data Access Governance und Business Role Management. Eine zentrale Ansicht des Zugriffs hilft den Teams, Probleme früher zu erkennen, Compliance-Anforderungen zu erfüllen und die manuelle Arbeit im Zusammenhang mit Zertifizierungen, Anträgen und Provisioning zu reduzieren.
Benutzer müssen auf Ressourcen zugreifen können, um bestimmte Aufgaben zu erfüllen, nicht weil sie ein Konto haben oder einer Abteilung angehören. Identity Governance bindet den Zugriff an eine klare geschäftliche Rechtfertigung, eine Rolle und eine vom Eigentümer genehmigte Richtlinie. In der Praxis bedeutet dies die Verwendung von rollen- oder richtlinienbasierten Zugriffsmodellen, das Erfordernis eines erklärten Zwecks für Ausnahmen und die Zuweisung von Anwendungs- und Datenverantwortlichen, die den Zugriff auf der Grundlage von Risiko und Notwendigkeit genehmigen können.
Zugang ist nicht nur eine Ja-oder-Nein-Entscheidung. Er bestimmt, welche Aktionen ein Benutzer durchführen kann, auf welche Daten er zugreifen kann und wie viel Schaden ein kompromittiertes Konto anrichten könnte. Identity Governance hilft Teams, den Zugriff auf der Grundlage des Risikos zu bewerten, einschließlich privilegierter Aktionen, der Gefährdung sensibler Daten und gefährlicher Zugriffskombinationen, die nie zusammen existieren sollten. Die Lösung unterstützt Least Privilege, Aufgabentrennung, Zugriffszertifizierungen und Abhilfeworkflows für risikoreiche Berechtigungen.
Least Privilege" bedeutet, dass die Benutzer nur den Zugang haben, den sie für ihre Arbeit benötigen, und zwar nur für die Zeit, in der sie ihn benötigen, und nicht mehr. Teams definieren rollenbasierte Zugriffsrechte und Standard-Zugriffspakete und behandeln dann alles, was außerhalb des Standards liegt, als Ausnahme, die begründet und genehmigt werden muss. Laufende Zugriffsüberprüfungen, Überprüfungen der Aufgabentrennung und die gezielte Bereinigung risikoreicher Berechtigungen verhindern, dass sich die Berechtigungen bei Veränderungen in der Umgebung ausweiten.
Joiner-, Mover- und Leaver-Prozesse verringern das Risiko, indem sie den Zugriff mit dem Beschäftigungsstatus und Rollenänderungen abstimmen, so dass der Zugriff nicht länger bestehen bleibt, nachdem er nicht mehr benötigt wird. Ein guter Lebenszyklusprozess automatisiert Anfragen, Genehmigungen, Provisioning und Deprovisioning über Systeme hinweg und zeichnet auf, was und warum sich der Zugriff geändert hat. Dies reduziert die Ausweitung des Zugriffs, begrenzt die Auswirkungen von Sicherheitsverletzungen und erleichtert Untersuchungen und Audits.
Zugriffsüberprüfungen und -zertifizierungen funktionieren, indem die richtigen Prüfer bestätigen, ob der Zugriff eines Benutzers je nach Rolle, Richtlinie und Risiko noch angemessen ist. Die Prüfer genehmigen, widerrufen oder passen den Zugriff an, und die Entscheidungen sollten zu tatsächlichen Abhilfemaßnahmen führen. Richtig durchgeführt, sind die Überprüfungen auf einen sinnvollen Zugriff ausgerichtet, werden an die verantwortlichen Eigentümer weitergeleitet, nach Prioritäten für risikoreiche Berechtigungen geordnet und als revisionssichere Nachweise nachverfolgt.
