Wenn die Verwendung eines Cloud-Servers gut ist, wäre dann die Verwendung mehrerer Cloud-Server nicht noch besser?
Das scheint der Gedanke vieler großer Unternehmen zu sein, die sich zunehmend für eine Multi-Cloud-Infrastruktur als Best Practice entscheiden: In einer kürzlich veröffentlichten Umfrage der Harvard Business Review, 85% der Befragten gaben an, dass "ihre Organisationen mindestens zwei Clouds nutzen - und ein Viertel dieser Befragten nutzt fünf oder mehr." Flexera's 2022 Bericht zum Stand der Cloud stellt fest, dass "Multicloud die beliebteste Cloud-Infrastruktur ist, auf die 89% der Unternehmen setzen".
Der Einsatz einer Kombination aus mehreren Cloud-Infrastrukturen - einschließlich AWS, Azure und Google Cloud Platform - bietet echte Vorteile. So können Unternehmen ihre Leistung optimieren, ihre Ausfallsicherheit gewährleisten und vermeiden, dass sie sich zu sehr auf einen einzigen Anbieter verlassen.
Eine Multi-Cloud-Infrastruktur kann Unternehmen zwar bei der Verwirklichung wichtiger Ziele helfen, stellt die Administratoren aber auch vor neue Herausforderungen.
Im besten Fall können diese Herausforderungen zu Ineffizienz und vergeudetem Aufwand führen. Im schlimmsten Fall könnte die Verwaltung von Benutzern, Rechten, Zugriff, Authentifizierung und Entzug des Zugriffs über mehrere Cloud-Umgebungen hinweg Unternehmen unnötigen Risiken aussetzen und große Sicherheitslücken schaffen.
In zu vielen Fällen sind die Sicherheitsfunktionen der Cloud-Anbieter nicht ausreichend, um diese Probleme zu lösen. Nach der Untersuchung zahlreicher Fehler bei der Cloud-Governance und der Beratung sicherheitsorientierter Unternehmen zu den besten Möglichkeiten, diese zu beheben, haben wir die folgenden bewährten Identity-Governance-Praktiken zusammengestellt, um Unternehmen bei der Absicherung der Cloud und dem Übergang zu Zero Trust zu unterstützen.
Die Zunahme von Multi-Cloud-Umgebungen und die damit verbundenen Herausforderungen bei der Verwaltung der wachsenden Cloud-Berechtigungen führen zu wachsenden Risiken.
Admins müssen sich darüber im Klaren sein, dass diese Herausforderungen von Anfang an auftreten können. IT-Teams werden wahrscheinlich feststellen, dass die komplexen Identitäts- und Zugriffsmanagement-Umgebungen (IAM) ihrer Cloud-Anbieter nicht mit dem Nutzungsverlauf und den Zugriffsrechten vor Ort übereinstimmen. Und genau da fangen die Probleme an: VentureBeat berichtete kürzlich über die Vorhersage von Gartner, dass "99% der Sicherheitsausfälle in der Cloud" auf Fehlkonfigurationen der Kontrollen zurückzuführen sind.
"Je komplexer eine Multi-Cloud-Konfiguration ist, desto mehr wird sie zu einem Minenfeld für eine Zero-Trust-Implementierung."
Dieses Problem der Quadratur des Kreises müssen Administratoren sofort angehen, indem sie sich zunächst mit den verschiedenen vorgegebenen IAM-Funktionen der Cloud-Anbieter vertraut machen und dann verstehen, wie sie diese konfigurieren und verwalten können.
Im Großen und Ganzen sehen wir drei große Herausforderungen für die Identitäts-Governance, die mit der Umstellung von Unternehmen auf Multi-Cloud-Umgebungen zunehmen. Diese Herausforderungen können aus den ursprünglichen Governance-Richtlinien des Unternehmens, den Richtlinien des Cloud-Anbieters oder einer Kombination aus beidem resultieren:
- Unbeabsichtigte Datenexposition: Oftmals resultiert dies aus einer falschen Konfiguration von Rechten und Assets, bei der eine Ressource als öffentlich gekennzeichnet wird, obwohl sie eigentlich privat sein sollte. Gartner prognostizierte außerdem, dass in diesem Jahr die Hälfte der Unternehmen "unwissentlich und fälschlicherweise einige Anwendungen, Netzwerksegmente, Speicher und APIs direkt der Öffentlichkeit zugänglich machen wird, gegenüber einem Viertel im Jahr 2018.
- Exzessive Rechte: Wenn ein Benutzerprofil in einer Umgebung überdimensioniert ist und dasselbe Profil in eine andere Umgebung migriert wird, hat man es mit einem noch größeren Explosionsradius zu tun. Das Problem nimmt exponentiell zu, wenn Unternehmen noch mehr Cloud-Umgebungen einführen. Der Gedanke ist zwar alt, aber Unternehmen müssen zum Prinzip der geringstmöglichen Rechte (Least Privilege) übergehen - jeder Benutzer sollte nur das Nötigste haben, um seine Aufgabe zu erfüllen. Least Privilege ist mehr als nur gute Cybersicherheit, es ist auch eine Schlüsselkomponente für den Übergang zu einer Zero-Trust-Position.
- Schwache, wiederverwendete Passwörter: Ähnlich wie beim Wechsel von Nutzern von einer Umgebung in eine andere, die zu viele Daten zur Verfügung stellen, verwenden Nutzer häufig dieselben Passwörter von einem Cloud-Mandanten zu einem anderen. Ein schwaches Passwort ist schlecht - es für den Zugriff auf mehrere Cloud-Umgebungen zu verwenden, ist noch schlimmer. Unternehmen sollten die passwortlose Authentifizierung anstreben, wann immer dies möglich ist. In der Zwischenzeit sollten sie zumindest eine Passwortrotation vorschreiben und Multi-Faktor-Authentifizierungsprozesse (MFA) einführen.
Eine der Möglichkeiten, mit denen die Branche auf diese neuen Herausforderungen reagiert, ist das Cloud Infrastructure Entitlement Management (CIEM), ein neues Verfahren zur Verwaltung von Identitäts-as-a-Service-Problemen bei der Cloud-Berechtigung. CIEM berücksichtigt die spezifischen Möglichkeiten, mit denen Cloud-Mieter die Häufigkeit und die Auswirkungen von Problemen mit Cloud-Berechtigungen erhöhen.
CIEM reiht sich ein in verwandte Governance-Programme wie Customer Identity and Access Management (CIAM), External Identity and Access Management (XIAM) und Enterprise Identity and Access Management (EIAM), die alle versuchen, die wachsende Zahl von Benutzern und die unterschiedlichen Berechtigungen zu berücksichtigen, die jeder benötigt.
Im Gegensatz zu CIAM, XIAM und EIAM versucht CIEM jedoch, mehr als nur Rechte zu verwalten und effektive Aufhebungen zu gewährleisten. CIEM-Lösungen bieten auch eine Vorschau der aktuellen Rechte, gewährleisten eine wirksame Zugriffsprüfung, überprüfen, ob die Rechte aller Arten von Nutzern mit dem beabsichtigten Verwendungszweck übereinstimmen, und verhindern, dass Unternehmensdaten, -informationen oder -systeme durch Berechtigungen gefährdet werden.
Sicherheits- und IT-Teams wenden sich an CIEM, weil die Risiken einer öffentlichen Cloud-Umgebung größer sind als bei lokalen Umgebungen, da Cloud-Umgebungen rund um die Uhr zugänglich sind. Diese Risiken nehmen exponentiell zu, wenn Unternehmen mehrere Cloud-Umgebungen integrieren.
Ein weiteres Bedürfnis, das CIEM anspricht, ist die Kontrolle der Kosten von Public-Cloud-Umgebungen. Stellen Sie sich vor, was passieren könnte, wenn ein Mitarbeiter, der öffentliche Cloud-Ressourcen verwaltet hat, sein Unternehmen verlässt. Ohne die richtigen Kontrollen und Redundanzen könnte eine Ressource, die nur für eine bestimmte Zeit laufen sollte, weiterhin Ressourcen verbrauchen, ohne dass es einen Eigentümer gibt, der sie verwaltet.
Den Unternehmen könnten mehr Kosten entstehen, wenn sie eine Cloud-Ressource vergessen. Sie könnten sich auch mehr Schwachstellen aussetzen: Ex-Administratoren könnten Hosts unter der Domäne ihres ehemaligen Unternehmens einrichten, Kunden phishen und deren Daten exfiltrieren. Es ist schon schlimm, wenn sich ein Betrüger als Ihre Marke ausgibt und ein Passwort stiehlt; noch viel schlimmer ist es, wenn der Markenmissbrauch von innerhalb eines Unternehmens erfolgt.
Schließlich könnten Bedrohungsakteure in den Cloud-Anbieter selbst eindringen und diesen Zugang nutzen, um seine Kunden anzugreifen. Im Dezember 2021, Das brasilianische Gesundheitsministerium enthüllte, dass Angreifer Benutzeranmeldedaten aus der Infrastrukturumgebung eines Cloud-Anbieters gestohlen hatten. Dieser Zugang ermöglichte es den Angreifern, Daten, die das Ministerium bei dem Anbieter gehostet hatte, zu zerstören und die ConecteSUS App und verhindern letztlich, dass die Brasilianer während der Pandemie geimpft werden.
Die gute Nachricht ist, dass es bewährte Governance-Verfahren gibt, die Unternehmen zur Sicherung von Multi-Cloud-Umgebungen einsetzen können.
Die Verletzung des brasilianischen Gesundheitsministeriums hat gezeigt, dass Organisationen eine eigene IGA-Umgebung unterhalten sollten, um die Berechtigungen der Cloud-Anbieter getrennt von ihren CIEM- und EIAM-Umgebungen zu verwalten.
Eine separate IGA-Umgebung kann das Volumen und die Komplexität der Daten besser verwalten, die für die Kontrolle der Benutzerberechtigungen erforderlich sind. Angesichts des Risikos einer Sicherheitsverletzung erschwert die Beibehaltung eines separaten Governance-Systems Hackern den seitlichen Zugriff auf wichtige Informationen.
Unabhängig davon, ob eine separate Umgebung eingerichtet oder eine Governance-Umgebung mit anderen Daten kombiniert wird, sollten Sicherheitsteams alle Benutzer, die darauf zugreifen können, als privilegierte Konten betrachten, da diese Benutzer Zugriff auf risikoreiche Infrastruktur-Tools und Ressourcen haben.
Ebenso sollten die Sicherheitsteams sicherstellen, dass das zur Verwaltung ihrer CIEM-Instanz verwendete System ein angemessenes Maß an mehrschichtigem Schutz erhält. Dazu sollte zumindest die Multi-Faktor-Authentifizierung (MFA) gehören. In der Regel machen es die Cloud-Anbieter einfach, MFA einzubinden, was dazu beitragen kann, sowohl eine bestimmte Umgebung als auch den gesamten Cloud-Anbieter zu schützen.
Und obwohl MFA ein wichtiger erster Schritt zur Sicherung von CIEM ist, ist es nur der erste Schritt: Unternehmen sollten auch Funktionen in Betracht ziehen, die sie näher an Zero Trust bringen, einschließlich der Möglichkeit, die Authentifizierungsanforderungen dynamisch zu ändern.
Unternehmen können diese Fähigkeit erreichen, indem sie kontextbezogene Authentifizierung zur dynamischen Risikobewertung nutzen: Intelligente Sicherheitssysteme können den Standort, das Gerät, das Netzwerk und andere Signale des Benutzers bewerten, um das Risiko in Echtzeit zu untersuchen und den Zugriff bei Bedarf zu beschränken. Zusätzliche Maßnahmen - wie die Rotation von Passwörtern, die temporäre Aktivierung von Rechten, Sitzungsverwaltung und Audits - können zusätzliche Sicherheit für Governance-Umgebungen bieten.
Sicherheitsteams können diese Signale nutzen, um Tools zur Überwachung von Sicherheitsereignissen zu füttern und zu trainieren: Mit Einblick in die Aktionen der Benutzer können intelligente IAM-Systeme lernen zu verstehen, welche Ereignisse erwartet werden - und welche ein Risiko darstellen.
Wenn das System ein Problem feststellt, muss das Incident-Response-Team eines Unternehmens in der Lage sein, das Tool, das den Zugang verwaltet, zu nutzen, um die missbrauchten Konten zu sperren.
Da die Nutzung von Multi-Cloud-Umgebungen so weit verbreitet ist, müssen Unternehmen sicherstellen, dass die Sicherheit, die sie für eine bestimmte Umgebung entwickeln, auch für andere Umgebungen gelten kann.
Unabhängig davon, welche Lösung ein Unternehmen zur Verwaltung einer einzelnen Cloud-Umgebung verwendet, sollte es in der Lage sein, ähnliche Zugriffsrichtlinien an verschiedene Anbieter zu exportieren. Die Rechte, die einem Datenbankadministrator in Azure zugewiesen werden, sollten die Rechte widerspiegeln, die derselben Person zugewiesen werden, wenn sie eine AWS-Umgebung verwaltet. Auf diese Weise können Unternehmen ihre Sicherheitseinstellungen skalieren, wenn sie mehr Cloud-Umgebungen integrieren.
Viele CIEM-Markt-Tools bieten dieses Mapping für Standardprofile an - nicht immer können sie jedoch benutzerdefinierte Profile in Multi-Cloud-Umgebungen erweitern. Diese benutzerdefinierten Profile lassen sich möglicherweise nicht für benutzerdefinierte Profile, Administratoren oder andere Benutzer mit hohem Risiko nachverfolgen. Daher sollten Unternehmen sicherstellen, dass sie verstehen, wie die Zuordnungsfunktionen für verschiedene Benutzer in verschiedenen Cloud-Umgebungen funktionieren.
