Risiko Cloud-Migration: Wie man Zugriffe auf Cloud-Ressourcen absichert und überwacht

bei

 / 16. August. 2021

Die Corona-Pandemie – und vor allem der damit verbundene Homeoffice-Boom – hat sich in den vergangenen 12 Monaten als wahrer Cloud-Treiber erwiesen. So setzen heute mehr Unternehmen denn je auf einen Cloud-first-Ansatz und ziehen Cloud-Bereitstellungsoptionen traditionellen On-Premises-Lösungen vor. Wie der aktuelle State of Cloud Report 2021 [1] zeigt, sollen in den kommenden 12 Monaten bereits 55 Prozent aller Workloads in der Cloud ausgeführt werden.  Die Anzahl der genutzten Cloud-Apps pro Unternehmen stieg laut Netskope Cloud & Threat Report [2] allein im letzten Jahr um 20 Prozent. So nutzen Unternehmen mit 500 bis 2.000 Mitarbeitern im Durchschnitt 664 verschiedene Cloud-Apps pro Monat.

Die positiven Auswirkungen der Cloud-Initiativen – von einer erhöhten Agilität und Effizienz bis hin zu relevanten Kosteneinsparungen – sind für die Unternehmen dabei meist recht schnell spürbar. Doch bei der Geschwindigkeit, mit der viele von ihnen die Cloud-Migration angegangen sind, treten auch neue Sicherheitsrisiken zu Tage. Privileged Access Management (PAM), das gezielt auf die Herausforderungen der Cloud ausgerichtet ist, hält diese Risiken jedoch gut unter Kontrolle.

Identitäten sind der neue Sicherheitsperimeter

Ein Hauptproblem im Zusammenhang mit der raschen Cloud-Einführung ist die daraus resultierende starke Zunahme an privilegierten Accounts und Berechtigungsnachweisen, was es den IT-Teams immer schwieriger macht, diese angemessen zu verwalten und abzusichern. Hinzu kommt, dass immer mehr Mitarbeiter von Zuhause aus arbeiten und die Verwaltung kritischer Infrastrukturen und Entwicklungsplattformen sowie der Zugriff auf ständig neue und aktualisierte Webanwendungen außerhalb der geschützten Unternehmensumgebung stattfinden. Werden diese sensiblen Cloud-Zugriffe ausschließlich über einfache Passwörter geschützt, haben Cyberangreifer leichtes Spiel. Wie der 2021 Data Breach Investigations Report [3] von Verizon ermittelt hat, sind 77 Prozent der Sicherheitsverletzungen in der Cloud kompromittierten Zugangsdaten geschuldet.

Hier bedarf es eines Umdenkens: Unternehmen müssen verstehen, dass traditionelle on-premises-Sicherheitslösungen allein nicht ausreichen, um auch Cloud-Umgebungen angemessen zu schützen, und dass der neue Sicherheitsperimeter in Identitäten und privilegierten Zugriffen selbst liegt. Konzentrieren sich Unternehmen weiterhin darauf, ihre verbleibenden on-premises-Legacy-Systeme einfach in die Cloud zu verlagern, werden sie früher oder später ein böses Erwachen erleben. Wer auch seine Cloud und alle darüber zugänglichen Systeme und Daten geschützt wissen will, muss vielmehr von Anfang an starke Authentifizierungs-, Autorisierungs- und Zugriffskontrollen für Benutzer einbauen, die gemäß deren individuellen Rollen und Aufgabenbereichen definiert werden. Privileged Access Management ist für die Umsetzung dieser Kontrollen von zentraler Bedeutung.

Die Vorteile von PAM bei der Cloud-Migration

Für viele Unternehmen ist der Umzug in die Cloud etwas, das sich einfach nicht aufschieben lässt. Insbesondere dann, wenn man davon ausgeht, dass der Großteil der Belegschaft auch weiterhin (teilweise) von zu Hause aus arbeiten wird. Für Security-Teams bedeutet dies, dass sie privilegierte Zugriffe im Rahmen der fortschreitenden Cloud-Migration gezielt adressieren müssen, um sensible Daten weiterhin angemessen zu schützen, Compliance zu gewährleisten und unbefugten Zugriff auf Systeme zu verhindern.

Sichtbarkeit muss dabei das Herzstück der Cloud-Sicherheitsstrategie sein, und diese muss ständig aufrechterhalten werden. Ein gelegentlicher Discovery-Scan von privilegierten Konten reicht längst nicht aus, denn er bietet schlicht nicht die Transparenz, um alle Risiken fortlaufend unter Kontrolle zu halten. Eine kontinuierliche automatisierte Erkennung aller Arten von Cloud-Konten ist für die Teams hier unerlässlich. Nur so kann sichergestellt werden, dass die Berechtigungen richtig konfiguriert sind und eine angemessene Aufsicht besteht.

Monitoring – Privilegien von Mitarbeitern und Drittanbietern im Blick haben

Eine weitere wichtige Maßnahme bei der Absicherung von Cloud-Diensten ist das Monitoring. Obwohl die überwiegende Mehrheit der Benutzer vertrauenswürdig ist, sollte das Verhalten derjenigen, die auf sensible Informationen und privilegierte Konten zugreifen, dennoch überwacht und geprüft werden. Dazu gehört unter anderem das Überwachen des Netzwerkverkehrs auf ungewöhnliche Aktivitäten, wie z. B. Zugriffe außerhalb der üblichen Geschäftszeiten, von ungewöhnlichen Orten oder andere ausgehende Aktivitäten. Zudem können Unternehmen gezielt nach Anzeichen für eine Kompromittierung suchen, indem sie zusätzliche dynamisch Sicherheitskontrollen für den privilegierten Zugriff verlangen, wie etwa einen Zero-Trust-Ansatz, der eine kontinuierliche Verifikation erfordert.

Gleichzeitig ist es wichtig, die Überwachung nicht nur auf die eignen Mitarbeiter zu beschränken, sondern auch die Partner im Blick zu haben. Der Großteil der Unternehmen arbeitet heutzutage auf verschiedene Weise mit Drittanbietern zusammen. Dazu zählen externe Auftragnehmer, die an zeitlich begrenzten Projekten arbeiten, fest integrierte Auftragnehmer oder Personal aus der Mitarbeiterüberlassung. Ihre privilegierten Zugriffe nicht zu überwachen, würde große Sicherheitsrisiken bedeuten.

Eine weitere essenzielle Maßnahme, um das Missbrauchsrisiko zu minimieren und widerstandsfähiger zu werden, ist das Einschränken von Zugriffen nach dem Just-in-Time-Prinzip. Das bedeutet, das Zugriffe nur ein einem eng begrenzten und für den jeweiligen Benutzer definierten Zeitraum, und niemals dauerhaft, gewährt werden. Viel zu viele Unternehmen halten Privilegien viel zu lange aufrecht, versäumen es, Passwörter und Konten auslaufen zu lassen und Privilegien zu löschen, wenn diese nicht mehr gebraucht werden, z.B. wenn Projekte enden oder Mitarbeiter ausscheiden. Das Gewähren von dauerhaftem privilegiertem Zugriff verstößt gegen das Least Privilege-Prinzip und birgt unkontrollierbare Risiken. Deshalb empfiehlt sich der Einsatz von PAM-Lösungen, die es Unternehmen ermöglichen, privilegierten Zugriff in Echtzeit oder aber nur bei Bedarf zu gewähren.

Die eigenen Cloud-Verantwortlichkeiten im Blick behalten

Bei der Absicherung der Cloud ist es zudem wichtig, die eigenen Verantwortlichkeiten genau zu kennen. Viele Unternehmen sind sich nicht bewusst, dass die meisten Cloud-Fehlkonfigurationen und inkonsistenten Kontrollen rechtlich gesehen die Schuld des Nutzers sind, nicht die des Cloud-Anbieters. Nur in seltenen Fällen kann es zu einer Mithaftung kommen, so dass es auch im Interesse des Cloud-Anbieters liegt, ihren Kunden bei der Umsetzung von Security-Best-Practices zu helfen. Die Hauptverantwortung liegt jedoch tatsächlich auf den Schultern des Unternehmens. Sie müssen dafür sorgen, dass Zugriffe und Berechtigungen für jede Identität und jedes System, das mit Cloud-basierten Systemen interagiert, angemessen verwaltet und geschützt werden.

Zu diesen Systemen können kritische Anwendungen oder Datenbanken gehören, die in der Cloud gespeichert sind, Plattformen für die Anwendungsentwicklung oder Tools, die von den Business- oder Technik-Teams verwendet werden. Unter Berücksichtigung dessen sollte der Cloud-Zugriff mit denselben PAM-Richtlinien, -Prozessen und -Lösungen, die für das gesamte Unternehmen verwendet werden, eingebunden und geprüft werden.

Dabei müssen die Unternehmen auch Veränderungen im Blick haben und in ihre Sicherheitsstrategie einplanen. Das zeigt auch der vermehrte Einsatz von Cloud-Services: So nutzen Unternehmen heute durchschnittlich etwa 2.000 Cloud-Dienste und damit bereits 15 Prozent [4] mehr als noch im letzten Jahr, was hauptsächlich auf das Wachstum von SaaS zurückzuführen ist.

So schnell digitale Transformationsprojekte derzeit an Tempo gewinnen, so gut kann PAM hier helfen. In DevOps-Unternehmen, in denen eine breite Palette an Cloud-Ressourcen kontinuierlich und in großem Umfang erstellt, verwendet und wieder lahmgelegt wird, unterstützt PAM durch die Automatisierung der schnellen Erstellung, Archivierung, Abfrage und Rotation von Secrets.

Fazit

In Zeiten einer verschärften Bedrohungslandschaft und zunehmender Cyber-Angriffe kann PAM die Arbeit von IT- und Security-Abteilungen erheblich vereinfachen. So verschafft PAM nicht nur einen besseren Überblick über hybride On-Premises- und Multi-Cloud-Umgebungen, Daten und Infrastrukturen sowie Privilegien im Allgemeinen. Ein gut durchdachtes PAM ermöglicht es auch, granulare Kontrollen, die eine kontinuierliche Authentifizierung und sichere Autorisierung unterstützen, über verschiedene Umgebungen hinweg einzurichten und umzusetzen. Gleichzeitig sorgt eine starke PAM-Strategie für eine klarere Auditierbarkeit, indem sie die Einhaltung von Vorschriften und Compliance erleichtert.

Inmitten der ständigen Transformation, die durch Covid-19 noch stärker vorangetrieben wird, und die den Einsatz von immer mehr Cloud-Diensten forciert, kann PAM Unternehmen eine zusätzliche wertvolle Sicherheitsebene bieten. Indem präzise gesteuert wird, was Benutzer in Cloud-Plattformen, -Diensten und -Anwendungen sehen und tun können, können Unternehmen die Angriffsfläche reduzieren und letztlich die Herausforderungen der Cloud-Sicherheit meistern.

Quellen und Referenzen:

[1] https://info.flexera.com/CM-REPORT-State-of-the-Cloud-DE

[2] https://resources.netskope.com/cloud-threat-report/cloud-and-threat-report-february-2021

[3] https://www.verizon.com/business/de-de/resources/reports/dbir/?cmp=paid_search:google:ves_international:gm:awareness&utm_medium=paid_search&utm_source=google&utm_campaign=GGL_NB_DE_Security_DBIR_BMM&utm_content=DE_Security_DBIR&utm_term=%2Bbreach%20%2Breport&gclid=Cj0KCQjwvr6EBhDOARIsAPpqUPFbrhDFMxyPC26euw9T7YyEC1igBvz2Rftke43i6iGJnP7B6MkPl1oaAmGnEALw_wcB&gclsrc=aw.ds

[4] https://www.dlt.com/sites/default/files/resource-attachments/2019-09/Cloud-Cloud-Adoption-%2526-Risk-Report-2019_0_13.pdf

Über den Autor / die Autorin:


Stefan Schweizer verantwortet als Regional Vice President DACH die strategische Geschäftsentwicklung von Thycotic in Deutschland, Österreich und der Schweiz. Er verfügt über mehr als 27 Jahre Erfahrung im Vertriebsmanagement verschiedener Technologie- und IT-Sicherheitsunternehmen.