Cloud-Sicherheit: Vorbeugende Maßnahmen gegen schleichende Berechtigungsausweitung

Cloud-Sicherheitsteams entgeht häufig eine der größten Bedrohungen für Cloud-Umgebungen: ein Geflecht aus übermäßig privilegierten Identitäten, das Angreifern Tür und Tor öffnet. In diesem Blogbeitrag erfahren Sie, wie Sie die Durchsetzung von Least-Privilege-Zugriff in Ihrer gesamten Umgebung automatisieren – und dadurch die Kontrolle über Ihre Cloud-Identitäten zurückgewinnen.

Hier ein häufiges Szenario: Ein Unternehmen hat bei der Absicherung seiner Multi-Cloud-Umgebung keine Kosten und Mühen gescheut, doch einen kritischen Bereich außer Acht gelassen – übermäßige Berechtigungen. Daher entgehen dem Cloud-Sicherheitsteam kritische Probleme, wie beispielsweise die folgenden:

• Zombie-Admins: Erinnern Sie sich noch an die leitende Ingenieurin, die zu Jahresbeginn aus dem Unternehmen ausgeschieden ist? Ihr Konto mit AWS-Berechtigungen auf Administratorebene ist weiterhin aktiv und bietet einen direkten Pfad zur kritischsten Infrastruktur des Unternehmens.
• Herumgeisternde Auftragnehmer: Das externe Team, das mit der Entwicklung einer Big-Data-Analyseplattform beauftragt wurde, hat das Projekt im vergangenen Jahr abgeschlossen und ist inzwischen nicht mehr im Unternehmen anzutreffen. Doch was weiterhin Bestand hat, ist die Rolle des Teams – mit Lese-/Schreibzugriff auf sämtliche Datasets und Storage-Buckets.
• Dienstkonten „für den Fall der Fälle“: In der CI/CD-Pipeline kommt ein Dienstkonto zum Einsatz, um neue Anwendungsinstanzen bereitzustellen. Dieses Konto verfügt über Berechtigungen für AWS Elastic Compute Cloud (EC2). Folglich können nicht nur Server erstellt, sondern auch sämtliche Server des gesamten Kontos gelöscht oder modifiziert werden. Hoppla!

In diesem Blogbeitrag erörtern wir die Frage, warum übermäßige Berechtigungen Unternehmen Schwierigkeiten bereiten. Darüber hinaus legen wir dar, wie Sie verhindern können, dass dieses Problem der Identitätsverwaltung Ihre Multi-Cloud-Umgebung in Gefahr bringt.

Permission Creep: Ein schleichendes, allgegenwärtiges Problem

Bei der Absicherung von Umgebungen, die sich zum einen Teil über On-Prem-Systeme und zum anderen Teil über mehrere Cloud-Plattformen erstrecken, sind Identitäten der neue Perimeter. Jeder menschliche Nutzer, jedes Dienstkonto und jede Drittanbieter-Integration stellt einen potenziellen Einstiegspunkt dar. Wenn diese Identitäten mehr Zugriffsrechte als nötig anhäufen – ein gängiges und dennoch schwerwiegendes Problem – kommt es zu Wildwuchs (Permission Sprawl). Dass Angreifer nur darauf warten, diese gewaltige, versteckte Angriffsfläche auszunutzen, versteht sich von selbst.

Das Least-Privilege-Prinzip – in dessen Rahmen Nutzern jeweils nur die geringstmöglichen Zugriffsrechte gewährt werden, die für eine Aufgabe notwendig sind – ist der Goldstandard zur Absicherung dieser Identitäten. Doch mit der Umsetzung ist es in dynamischen Multi-Cloud-Umgebungen leichter gesagt als getan.

Übermäßige Berechtigungen: Warum Prävention so schwierig ist

Zu übermäßigen Berechtigungen kommt es nur selten vorsätzlich. Sie häufen sich mit der Zeit an – bedingt durch „Permission Creep“, wie das zuvor beschriebene hypothetische Beispiel verdeutlicht.

Ein einziges kompromittiertes Konto mit dauerhaft gewährten übermäßigen Berechtigungen kann der Ausgangspunkt für einen verheerenden Angriff sein. Angreifer machen von diesen Berechtigungen Gebrauch, um sich seitwärts durch Ihre Umgebung fortzubewegen, die eigenen Zugriffsrechte auszuweiten und letzten Endes Ihre sensibelsten Daten ausfindig zu machen und zu entwenden. Noch schlimmer ist: Den meisten Unternehmen fehlt es an Transparenz, sodass sie gar nicht erst bemerken, was vor sich geht – bis es schon zu spät ist.

Von manuellem Chaos zu automatisierter Steuerung

Der Versuch, Zugriffsrechte in manueller Form passgenau abzustimmen, resultiert in einem frustrierenden, aussichtslosen und niemals enden wollenden Kampf gegen Windmühlen. Bei fragmentierter Sichtbarkeit in AWS, Azure, GCP und Kubernetes ist es nahezu unmöglich, eine einfache Frage zu beantworten: „Wer hat worauf Zugriff – und ist dieser Zugriff tatsächlich notwendig?“ Wenn Unternehmen auf mehrere isolierte Tools setzen, wird das Problem nur verschärft: Blinde Flecken, die Angreifer ohne Weiteres ausnutzen können, sind die Folge.

Zur wirksamen Durchsetzung von Least-Privilege-Zugriff in großem Maßstab ist ein neuer Ansatz erforderlich, der umfassende Sichtbarkeit mit „intelligenten“ Kontextinformationen und leistungsstarker Automatisierung kombiniert. Genau hier kommt eine moderne Cloud Native Application Protection Platform (CNAPP) ins Spiel.

Umsetzung von Least-Privilege-Zugriff mit Tenable Cloud Security

Die Zielsetzung besteht nicht darin, riskante Berechtigungen einfach nur ausfindig zu machen. Vielmehr geht es darum, diese Berechtigungen proaktiv und systematisch zu beseitigen, ohne den Betrieb auszubremsen. Tenable Cloud Security, unterstützt von der Exposure Management-Plattform Tenable One, bietet das nötige Maß an Klarheit, Kontext und Kontrolle, das zur Durchsetzung von Least-Privilege-Zugriff über Ihren gesamten hybriden Multi-Cloud-Footprint hinweg erforderlich ist.

Dies erreicht die Lösung durch drei zentrale Säulen:

1. Umfassende Identity-Erfassung: Tenable Cloud Security bildet jede einzelne Identität in Ihrer gesamten Umgebung ab – kontinuierlich und ganz ohne Agents. Die Lösung identifiziert effektive Berechtigungen, erkennt verwaiste Konten und meldet ungenutzte Rollen, wodurch Ihnen ein vollständiges und stets aktuelles Bestandsverzeichnis der vorhandenen Identitäten vorliegt.
2. Kontextbezogene Korrelation von Risiken: Ein Nutzer mit Admin-Zugriff auf einen nicht-kritischen Entwicklungsserver ist ein Grund zur Besorgnis. Doch ein Dienstkonto mit übermäßigen Berechtigungen, das Zugriff auf eine Datenbank mit sensiblen Kundendaten hat, kann eine Krise auslösen. Tenable One korreliert Identitätsrisiken mit weiteren Sicherheitsrisiken (sogenannte „Exposures“), wie z. B. mit Software-Schwachstellen, Fehlkonfigurationen in Systemen und Speicherorten von sensiblen Daten. Dadurch liegen entscheidende Kontextinformationen vor, die es Ihnen ermöglichen, sich zuerst auf die gefährlichsten Angriffspfade zu fokussieren.
3. Automatisierte Durchsetzung von Least-Privilege-Zugriff: Tenable Cloud Security erkennt nicht nur Probleme im Zusammenhang mit übermäßigen Berechtigungen, sondern unterstützt Sie auch dabei, diese in großem Maßstab zu beheben. Sie können benutzerdefinierte Richtlinien festlegen, um Admin-Berechtigungen einzuschränken oder Multi-Faktor-Authentifizierung (MFA) durchzusetzen. Viel entscheidender ist aber, dass die Lösung ungenutzte Berechtigungen automatisch entziehen, zu weit gefasste IAM-Richtlinien (Identity and Access Management) straffen oder Workflows für Just-in-Time-Zugriff (JIT) auslösen kann. Dadurch ist sichergestellt, dass Berechtigungen nicht länger als nötig Bestand haben, was das verfügbare Zeitfenster für Angreifer drastisch minimiert.

Gewinnen Sie die Kontrolle über Cloud-Identitäten zurück

In unserem hypothetischen Beispiel würde Tenable Cloud Security dem Unternehmen umgehend dabei helfen, das vorhandene Chaos bei Cloud-Identitäten in den Griff zu bekommen:

• Tenable Cloud Security stuft das Nutzerkonto des Zombie-Admins unverzüglich als hochriskante, ruhende Identität mit übermäßigen Berechtigungen ein und das Cloud-Sicherheitsteam deaktiviert das Konto mit nur einem Klick.
• Die Rolle des Auftragnehmers wird als kritische Bedrohung für die Cloud-Datenspeicher identifiziert. Mithilfe von Tenable Cloud Security erstellt das Cloud-Sicherheitsteam eine neue, passgenau abgestimmte IAM-Richtlinie – anhand der für die Rolle erforderlichen Berechtigungen. Diese Richtlinie kommt künftig als Vorlage für sämtliche Auftragnehmer zum Einsatz.
• Jede einzelne Berechtigung des CI/CD-Dienstkontos wird zum Vorschein gebracht. Dabei zeigt Tenable Cloud Security genau auf, welche Berechtigungen das Konto benötigt und nicht verwendet, sodass entsprechende Anpassungen vorgenommen werden können.

Durch den Übergang von persistenten, übermäßigen Zugriffsrechten zu einem Modell, in dessen Rahmen Berechtigungen stets passgenau und rechtzeitig vergeben werden und Least-Privilege-Zugriff durchgesetzt wird, verhilft Ihnen Tenable zu einer optimierten Sicherheitslage. Dadurch ergeben sich Vorteile wie:

• Reduzierung der Angriffsfläche: Beseitigen Sie Angriffspfade, die Angreifer für Rechteausweitung und Lateral Movement nutzen.
• Stärkung von Zugriffskontrollen: Verhindern Sie Datenverlust, indem Sie sicherstellen, dass keine Identität über mehr Zugriffsrechte als unbedingt notwendig verfügt.
• Vereinfachung von Compliance: Weisen Sie Access Governance kontinuierlich nach und setzen Sie entsprechende Mechanismen durch – anhand der Benchmarks von Einrichtungen wie dem Center for Internet Security (CIS), der Internationalen Organisation für Normung (ISO) und dem National Institute of Standards and Technology (NIST).
• DevOps-Absicherung in großem Maßstab: Binden Sie Berechtigungs-Checks direkt in CI/CD-Pipelines ein, sodass neue Identitäten standardmäßig mit sicheren, minimalen Berechtigungen versehen werden.

Lassen Sie nicht zu, dass übermäßige Berechtigungen Angreifern als Schlüssel dienen, der ihnen Zugang zu Ihrer Cloud-Umgebung verschafft. Gewinnen Sie die Kontrolle über den Perimeter Ihrer Cloud-Identitäten zurück.

Sie möchten sich ausführlicher informieren? Auf unserer Website erfahren Sie, wie Tenable Cloud Security Ihnen helfen kann, riskante Berechtigungen zu erkennen, zu priorisieren und zu beheben, um Least-Privilege-Zugriff wirksam und in großem Maßstab umzusetzen.