Start Empfohlen Warum Identitätsmanagement für die Cloud auf den neuesten Stand gebracht werden muss...

Warum Identitätsmanagement für die Cloud auf den neuesten Stand gebracht werden muss [Q&A]

27
0


Cloud-Datensicherheit

In der Vergangenheit basierte das Identitäts- und Zugriffsmanagement auf einem lokalen Modell. Aber da sich jetzt immer mehr Systeme in der Cloud befinden, funktioniert die alte Vorgehensweise nicht mehr.

Um mehr darüber zu erfahren, warum die Cloud einen neuen IAM-Ansatz braucht, haben wir uns unterhalten Brite CEO, Art Poghosyan, über die damit verbundenen Herausforderungen und deren Bewältigung.

BN: Was ist die größte Herausforderung für Unternehmen beim Identitäts- und Zugriffsmanagement in der Cloud?

AP: Wir stellen oft fest, dass die meisten Organisationen entweder keinen klaren, aktionsorientierten Prozess für die Verwaltung von Identität und Zugriff in Multi-Cloud-Umgebungen haben oder Schwierigkeiten haben, den Benutzerzugriff manuell über Tabellenkalkulationen zu verwalten, was zeitaufwändig und fehleranfällig ist. Die Fähigkeit, Identitäten und ihre Berechtigungen automatisch zu erkennen, ist von entscheidender Bedeutung. Sobald dies erledigt ist, müssen Sie in der Lage sein, übermäßig privilegierte Konten, ungenutzte Berechtigungen und riskante Aktivitäten im Zusammenhang mit Berechtigungen einfach zu beheben.

Die einzige Möglichkeit, Sicherheit in einem Multi-Cloud-Szenario zu erreichen, besteht darin, die Kontrolle menschlicher Identitäten und Maschinen-IDs zu zentralisieren und zu automatisieren. Das Problem hierbei ist, dass DevOps-Teams eine Lösung benötigen, die es ihnen ermöglicht, den Cloud-Zugriff zu sichern und gleichzeitig die Entwicklung von Cloud-Apps zu beschleunigen, anstatt sie zu verlangsamen – eine Einschränkung vieler traditioneller IAM- und PAM-Lösungen, die als lästiges „Hütchen im Draht“ empfunden werden. das kann die Entwicklungsgeschwindigkeit hemmen.

Aus diesem Grund verwendet Britive Vorautorisierungen, um auf Benutzeranfrage dynamischen, temporären Zugriff zuzuweisen – ohne die zeitaufwändige Notwendigkeit, erhöhte Berechtigungen über einen Cloud-Service-Administrator anzufordern. Durch das automatische Gewähren und Widerrufen des temporären Zugriffs erhalten Benutzer die Berechtigungen, die sie benötigen, wenn sie sie benötigen. Autorisierung, nicht Authentifizierung gewährt den Zugriff; Sie wird dann widerrufen, wenn die zugewiesene Zeit abgelaufen ist oder der Benutzer die Aufgabe abgeschlossen hat.

Durch die Priorisierung der Autorisierung gegenüber der Authentifizierung können Unternehmen schneller agieren und Sicherheitslücken schließen. Nur vorab autorisierte Benutzer können Zugriff erhalten, was Unternehmen schnell und effektiv zu einer Sicherheitslage ohne ständige Privilegien führt.

BN: Wie hat sich der Aufstieg der Cloud – und das anhaltende Wachstum einzelner Cloud-Dienste – verändert, wie Unternehmen Identitäts- und Zugriffsmanagement angehen sollten?

AP: Anstatt eine einzelne oder begrenzte Anzahl von Identitäten und Berechtigungen zu sichern, was typisch für die lokale Zugriffsverwaltung ist, bedeutet die Migration in die Cloud, dass Sicherheits-, IAM- und DevOps-Teams mit der Verwaltung einer Vielzahl von Identitäten und Berechtigungen konfrontiert sind jeder Cloud-Nutzer. Und da dieser Zugriff mehrere Cloud-Dienste umfasst, von denen jeder seine eigene Berechtigungslogik und sein eigenes Nutzungsmodell hat, wird es praktisch unmöglich, den Joiner/Mover/Leaver-Prozess ohne ein einheitliches Zugriffsmodell manuell zu verwalten.

Darüber hinaus ist der Cloud-Technologie-Stack ein Flickwerk von Lösungen, die entwickelt wurden, um verschiedene Sicherheitsanforderungen zu erfüllen, von denen viele in einer Cloud-Umgebung nicht anwendbar sind. Sie wurden nicht als eine einzige integrierte Einheit gebaut. Infolgedessen müssen Unternehmen eine Reihe von PAM-, IAM-, IGA-, IA- und anderen traditionellen Lösungen auswählen, um Cloud-Dienste zu sichern.

Einige dieser Lösungen wurden von lokalen Lösungen umfunktioniert, was nicht funktioniert. Das Nachrüsten auf diese Weise ist problematisch, da Cloud-Dienste einzigartige Sicherheitsanforderungen haben, die von einer einheitlichen Cloud-nativen Lösung gehandhabt werden sollten. Wenn wir dies nicht tun, kommen wir zu der Situation, die wir heute haben. Es gibt viele „Cloud“-Lösungen, die sich überschneiden und ernsthafte Lücken hinterlassen, weil sie keinen oder nur begrenzten Einblick oder Kontrolle über Cloud-übergreifende Identitäten und Berechtigungen haben.

Wir haben eine Cloud-native Zugriffsverwaltungsplattform mit einzigartigen temporären Zugriffsberechtigungen und Secrets-Governance-Funktionen entwickelt, die darauf ausgelegt sind, die kritischsten Cloud-zentrierten IAM-, PAM-, IGA- und CIEM-Funktionen zu konsolidieren und gleichzeitig die Entwicklung zu ermöglichen und sich problemlos in CI/CD-Prozesse zu integrieren und Werkzeugausstattung.

BN: Ransomware scheint derzeit ein heißes Thema zu sein, wie kann der richtige Identity- und Access-Management-Ansatz helfen, Vorfälle einzudämmen?

AP: Der richtige Ansatz beginnt mit der Reduzierung Ihrer Angriffsfläche. In der Cloud bedeutet dies, die richtige Dimensionierung von Rechten zu verwenden, um den Wildwuchs von Rechten einzudämmen. Durch die vollständige Eliminierung bestehender Privilegien schränkt Ihr Unternehmen die Möglichkeiten ein, die Ransomware-Angreifer haben, um in Cloud-Diensten Fuß zu fassen und sich quer durch die Infrastruktur zu bewegen.

Ständige Privilegien geben unheilvollen Mitarbeitern und Auftragnehmern den Zugang, den sie brauchen, um Schaden anzurichten. Wir haben zahlreiche Berichte von Mitarbeitern gesehen, die die Daten ihres ehemaligen Unternehmens preisgegeben, manipuliert und erpresst haben. Obwohl es normalerweise nicht als Ransomware im herkömmlichen Sinne betrachtet wird, ist das Offboarding von Mitarbeitern, damit der Zugriff sofort entfernt wird, ein berechtigtes Anliegen, das gleichbedeutend mit einer weiteren Bedrohung ist, mit der sich Cloud-Unternehmen auseinandersetzen müssen.

Daher obliegt es Organisationen, menschliche und maschinelle IDs in Cloud-Umgebungen zu sichern. Aber es muss auf eine Weise geschehen, die Cloud-Erbauer nicht behindert. Wenn die Sicherheit „schwer“ ist und die Entwicklung verlangsamt, sind Bauherren gelähmt.

Es werden immense Erwartungen an Bauherren gestellt, schnell und wiederholt zu liefern, daher besteht die Versuchung für Ingenieure, übermäßige Privilegien zu gewähren, die auf Dauer offen bleiben – wodurch der Authentifizierungsprozess minimiert wird. Diese Praxis macht Unternehmen angreifbar.

Wir wissen auch, dass viele Cloud-Verstöße das Ergebnis ungesicherter Datenbanken, menschlicher Fehler und Fehlkonfigurationen sind. Gartner prognostiziert, dass Organisationen, die eine Cloud-Infrastruktur betreiben, bis 2024 mit mindestens 2.300 Verstößen gegen die Least-Privilege-Richtlinien pro Konto und Jahr rechnen können. Sie haben also diese beiden bedeutenden Möglichkeiten für schlechte Akteure, auf Ihre Umgebung zuzugreifen.

Zusammenfassend lässt sich sagen, dass der richtige IAM-Ansatz darauf hinausläuft, Ihren Explosionsradius zu minimieren und die Autorisierung zu verwenden, um nullstehende Berechtigungen durchzusetzen. DevOps benötigen eine Lösung, die es ihnen ermöglicht, mit der Geschwindigkeit der Automatisierung zu bauen. Daher benötigen Organisationen Sicherheit, die sich nahtlos in CI/CD und andere Gebäudeprozesse integrieren lässt. Wenn Identitäten temporären Zugriff erhalten, besteht keine Notwendigkeit für Techniker, ständige Privilegien und übermäßige Privilegien aufrechtzuerhalten. Auch Fehlkonfigurationen werden deutlich minimiert, wenn der Zugriff automatisch verwaltet wird.

BN: Welche allgemeinen Best Practices können Unternehmen anwenden, um sicherzustellen, dass ihre Cloud-Umgebungen sicher sind?

AP: Generell sollten Unternehmen in Multi-Cloud-Umgebungen das Zero-Trust-Prinzip einhalten. Dies bedeutet eine „nicht vertrauen, sondern verifizieren“-Haltung am Identitäts-/Privilegienkontrollpunkt für jeden betriebskritischen Cloud-Service. Leider reicht die bloße Durchsetzung des LPA-Zugriffs (Least Privilege Access), wie es viele traditionelle IAM-, PAM- und CIEM-Lösungen tun, was zur Minimierung der Angriffsfläche für Privilegien eines Unternehmens erforderlich ist, nicht aus, um den Zero-Trust-Zugriff aufrechtzuerhalten. Wenn eine Fehlkonfiguration vorliegt oder eine Identität kompromittiert wird, kann der verantwortliche Angreifer immer noch auf Ihre Umgebung zugreifen und Schaden anrichten – insbesondere, wenn der kompromittierte Benutzer einen erhöhten permanenten Zugriff oder ein versehentlich überprivilegiertes Konto hat.

Zusätzlich zu LPA ist es wichtig, null ständige Berechtigungen und dynamischen temporären Zugriff aufrechtzuerhalten, da der Angreifer im Falle eines Sicherheitsvorfalls keinen Ort hat, an den er gehen kann – es gibt keine Berechtigungen und die Möglichkeit, sich seitlich durch eine Umgebung zu bewegen ist erstickt. Dadurch wird Zero Trust gewahrt, wenn es um erhöhte Zugriffsrechte geht.

Unternehmen sollten auch die Komplexität beseitigen und den Zeitaufwand für die Sicherung von Identitäten und Berechtigungen in Multi-Cloud-Umgebungen, einschließlich IaaS-, PaaS-, SaaS- und DaaS-Diensten, minimieren.

Herkömmliches IAM, selbst wenn es Cloud-übergreifend ist, ist in seiner Fähigkeit, den Zugriff auf Berechtigungen zu verwalten, eingeschränkt. Darüber hinaus ist die Überwachung der schieren Anzahl von Benutzern eine erhebliche Herausforderung für Unternehmen, die in Multi-Cloud-Umgebungen arbeiten. Eine Cloud-übergreifende Privileged-Access-Management-Lösung ermöglicht es Unternehmen, den Zeitaufwand für die Überwachung des Zugriffs drastisch zu reduzieren und gleichzeitig das Risiko menschlicher Fehler zu verringern. Eine echte Cloud-native Lösung bietet vollständige Transparenz über CSPs hinweg, verbessert die Erkennung und Überwachung und bietet Analysen und Berichte, damit Teams schnell auswerten können, wer Zugriff auf welche Konten hat.

In Zukunft dreht sich alles um Cloud-native Lösungen, die Sicherheit, Risikomanagement und Geschäftswert an erster Stelle bieten.

Bildnachweis: jirsak / depositphotos.com



Vorheriger ArtikelElektroautos: Bundesverkehrsminister relativiert das Ziel 15 Millionen E-Autos
Nächster ArtikelXiaomi überholt: Neues Motorola-Smartphone will es wieder tun

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein