Identities: The Connective Tissue for Security in the Cloud

In der Cloud ist fast alles nur eine übermäßige Berechtigung oder Fehlkonfiguration von einer Exposition entfernt. Eine ordnungsgemäße Cloud-Sicherheitslage und ein entsprechendes Berechtigungsmanagement können helfen, Risiken einzudämmen und toxische Kombinationen zu beseitigen.

Bei der Implementierung und Konfiguration einer Cloud-Sicherheitslösung kann es leicht passieren, dass man von der schieren Menge an zu überwachenden Aspekten überwältigt wird. Hierzu zählen auf Kubernetes-Infrastruktur ausgeführte Webanwendungen, einschließlich IaaS- und Container-Ressourcen, die Identitäten von Personen wie auch Maschinen und vieles mehr. Cloud-Sicherheitsteams müssen die Dienstidentität jeder einzelnen Ressource verwalten und sie darüber hinaus auf Schwachstellen und Fehlkonfigurationen scannen. Da derart viele zu überwachende Aspekte vorhanden sind, setzen Unternehmen häufig auf Tools und Einzellösungen, die ihnen helfen, diese Bedrohungsvektoren zu bekämpfen. Bei zahlreichen Unternehmen führt dies letztlich zu einem Wirrwarr an Sicherheitskürzeln in der Umgebung – und der Versuch, all diese gänzlich verschiedenen Produkte zu konfigurieren und zu implementieren, verursacht immense Kosten. 

In vielen Fällen gibt jedes Tool eine Fülle an eigenen Befunden zur Sicherheit aus und zieht unterschiedliche Metriken der Kritikalität heran. Selbst wenn sie also technisch fortschrittliche Tools einsetzen, machen Sicherheitsteams bei dem Versuch, all diese Befunde abzugleichen und zu priorisieren, erneut ein Spreadsheet-Inferno durch. 

Die Bedeutung von Identitätsabsicherung in der Cloud

Zur Implementierung einer effektiveren Sicherheitsstrategie muss zunächst isoliert betrachtet werden, welche Ziele Bedrohungsakteure verfolgen, wenn sie in Cloud-Infrastruktur eindringen. In jüngster Zeit wurde deutlich, dass es bei nahezu allen Sicherheitsverletzungen in der Cloud zu einer Ausnutzung von fehlerhaft konfigurierten Identitäten und Berechtigungen kommt. Die Umfrage „2022 Trends in Securing Digital Identities“ der Identity Defined Security Alliance (IDSA) ergab, dass 84 % der Unternehmen innerhalb des Studienzeitraums von 12 Monaten eine identitätsbezogene Sicherheitsverletzung verzeichneten. Warum?Nicht nur, weil Identitäten so eng mit allem verflochten sind, was wir in der Cloud ausführen und entwickeln, sondern auch, weil sich die Lösung dieses Problems als unglaublich komplexe Aufgabe erweist. Es gibt so viele Variablen, die ins Spiel kommen, wenn man den mit Identitätsmanagement verbundenen Risiken wirklich auf den Grund gehen möchte.

Unabhängig davon, ob Sie eine öffentliche Amazon EC2-Instanz mit bekannten ausnutzbaren Schwachstellen oder fehlerhaft konfigurierte Infrastruktur haben, die manuell oder mittels Code aufgesetzt wird: Wenn Cloud-Expositionen ausgenutzt werden, nehmen Angreifer umgehend eine Identität ins Visier. Sie testen Berechtigungen, um sich lateral in der Umgebung fortzubewegen, oder weiten Rechte aus, um auf sensible Daten und andere Ressourcen zuzugreifen. Identitäten sind der Perimeter in der Cloud – und bedingt durch ihre weitreichenden Auswirkungen sollte Identitäts- und Berechtigungssicherheit stets die Grundlage eines ganzheitlichen Cloud-Sicherheitsprogramms bilden. 

Dienst- und Personenidentitäten im Vergleich

Bei der Absicherung von Identitäten ist es wichtig, sich den Unterschied zwischen Dienst- und Personenidentitäten und die verschiedenen Ansätze zu ihrer Absicherung vor Augen zu führen, damit das Least-Privilege-Prinzip eingehalten werden kann. Dienstidentitäten sollen Workloads unterstützen und stets konstant und vorhersehbar betrieben werden. Im Kontext von „effektiven Berechtigungen“ ist es wichtig zu verstehen, welche Zugriffsrechte zugewiesen wurden und welche tatsächlich in Gebrauch sind. Da Dienstidentitäten für spezifische Zwecke programmiert sind und Anforderungen sich nur selten ändern, besteht die Möglichkeit, ihre Berechtigungen basierend auf der jeweiligen Aktivität passgenau auf ein Mindestmaß zu beschränken – das Prinzip der geringsten Rechte („Least Privilege“). 

Im Gegensatz dazu sind Personenidentitäten für menschliche Nutzer konzipiert. Dadurch sind sie unvorhersehbar und es erweist sich als schwierig, Berechtigungen passgenau auf spezifische Ressourcen und Aktionen abzustimmen, insbesondere wenn Ad-hoc-Aufgaben anstehen. Der Schlüssel zur Umsetzung von Zero Trust besteht in der Implementierung eines integrierten Programms für Just-in-Time(JIT)-Zugriff. Kein Unternehmen kann den Zugriff auf die Cloud durch menschliche Nutzer gänzlich eliminieren. Dies ist nicht realistisch. Doch es gibt einen Weg, die mit Personenidentitäten verbundenen Risiken drastisch zu reduzieren: Bieten Sie DevOps-Teams die Möglichkeit, kurzfristigen Cloud-Zugriff für spezifische Aufgaben in kritischen Umgebungen programmgesteuert anzufordern, und stellen Sie sicher, dass der entsprechende Workflow in vorhandene Kommunikationstools wie Slack, Microsoft Teams usw. eingebunden ist. 

Sicherheitsprogramme, bei denen diese Unterschiede unberücksichtigt bleiben, können Arbeitsaufwand verursachen und zu Reibungspunkten zwischen DevOps- und IT-Teams führen. Um das DevSecOps-Versprechen zu erfüllen, muss sichergestellt sein, dass Sicherheit auf skalierbare Weise in Workflows eingebettet ist. Und genau an dieser Stelle können integrierte CIEM- (Cloud Infrastructure Entitlement Management) und CNAPP-Tools (Cloud Native Application Protection Platform) ins Spiel kommen. Die Integration zwischen diesen Tools kann Ihnen Transparenz und Kontrolle über Cloud-Infrastruktur, Kubernetes, Container, Infrastructure as Code (IaC), Identitäten, Workloads und vieles mehr bieten.

Achten Sie bei integrierten CNAPP- und CIEM-Sicherheitslösungen auf folgende Aspekte: 

• Einblick in Berechtigungen und entsprechende Visualisierung: Im Security-Bereich galt schon immer die Devise, dass Sicherheit Sichtbarkeit erfordert. Präziser Multi-Cloud-Einblick in Ressourcen, Berechtigungen sowie in deren Aktivitäten ist ein entscheidender Ausgangspunkt. 
• Kontinuierliche Risikobewertung: Sie müssen die Cloud-Umgebung kontinuierlich überwachen, um Risikofaktoren zu erkennen und zu bewerten, wie etwa Expositionen im Netzwerk, Fehlkonfigurationen, riskante Berechtigungen, offengelegte Secrets und identitätsbezogene Bedrohungen, einschließlich ungewöhnlicher Datenzugriffe.
• Durchsetzung des Least-Privilege-Prinzips: Integrierte Tools sollten in der Lage sein, Leitplanken für Berechtigungen anhand von Least-Privilege-Richtlinien zu automatisieren.
• Optimierte Behebung: Wenn Sie wissen, wo Risiken vorliegen, sollte es ein Leichtes sein, diese innerhalb des jeweiligen Tools zu beseitigen. Dabei sollte auch die Möglichkeit zur Automatisierung bestehen – wo auch immer dies für Ihre Sicherheitsstrategie sinnvoll ist. 
• Entwicklerorientierte Zugriffssteuerung: Nehmen Sie DevOps-Teams Frustrationen im Zusammenhang mit Sicherheitsfragen, indem Sie ihnen Tools an die Hand geben, mit deren Hilfe sie Sicherheitsmaßnahmen in ihre Workflows einbinden können. 

Alarmmüdigkeit durch Kontext bekämpfen

Viele Sicherheitsteams wenden Zeit für die Feinabstimmung von Kontrollen und Richtlinien auf, um gegen die Überlastung durch Warnmeldungen anzukämpfen. Doch eine bessere Möglichkeit besteht darin, Sicherheitstools wie CNAPP- und CIEM-Lösungen in einer einzigen Plattform zu integrieren, die umfangreiche Kontextinformationen zur gesamten Angriffsoberfläche liefert. Mit integrierten Sicherheitstools sind Sie in der Lage, die konkrete Bedeutung des Begriffs „kritisch“ zu standardisieren und sich ein besseres Bild der Angriffspfade zu machen, die Angreifer ausnutzen können, um Schaden in Ihrer Cloud-Umgebung anzurichten. Zudem sind Updates deutlich einfacher möglich, wenn neue Bedrohungen und Zero-Days aufgedeckt werden. 

Beispielsweise könnten Sie 100 öffentlich zugängliche Workloads haben, die in einer Cloud-Umgebung ausgeführt werden, doch nur 10 davon enthalten kritische Schwachstellen und nur 5 dieser Workloads weisen kritische Schwachstellen und hohe Berechtigungen auf. Diese Kontextinformationen geben Sicherheitsteams Aufschluss darüber, worauf sie ihre Maßnahmen richten sollten – je nachdem, was am wahrscheinlichsten ausgenutzt wird. Letztlich gehen Sicherheitsteams nur allzu häufig alle 100 öffentlichen Workloads an, weil es Einzellösungen an den notwendigen Integrationsmöglichkeiten und identitätsbezogenen Kontextinformationen fehlt, um Bedrohungen effizient Rechnung zu tragen. 

Integrierte Funktionen, die ein Verständnis von Risiken und Expositionen vermitteln, sind wichtig. Und sie ergeben nicht nur im Hinblick auf Infrastrukturen und Schwachstellen Sinn, sondern auch als Möglichkeit, alles zusammen zu betrachten und Risikobewertungen basierend auf dem tatsächlichen Geschehen in Ihrer Umgebung dynamisch anzupassen. 

Weitere Informationen zur Absicherung von Identitäten in der Cloud erhalten Sie im On-Demand-Webinar „Managing Security Posture and Entitlements in the Cloud“.