Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable Blog

Abonnieren

Identitäten: Das Bindegewebe für Sicherheit in der Cloud

Identitäten: Das Bindegewebe für Sicherheit in der Cloud

Fast alles in der Cloud ist nur eine übermäßige Berechtigung oder Fehlkonfiguration davon entfernt, für Cyberrisiken anfällig zu sein. Ein ordnungsgemäßes Management von Cloud-Sicherheitslage und entsprechenden Berechtigungen kann helfen, Risiken einzudämmen und toxische Kombinationen zu beseitigen.

Bei der Implementierung und Konfiguration einer Cloud-Sicherheitslösung kann es leicht passieren, dass man von der schieren Menge an zu überwachenden Aspekten überwältigt wird. Hierzu zählen auf Kubernetes-Infrastruktur ausgeführte Webanwendungen, einschließlich IaaS- und Container-Ressourcen, die Identitäten von Personen wie auch Maschinen und vieles mehr. Cloud-Sicherheitsteams müssen die Dienstidentität jeder einzelnen Ressource verwalten und sie darüber hinaus auf Schwachstellen und Fehlkonfigurationen scannen. Da derart viele zu überwachende Aspekte vorhanden sind, setzen Unternehmen häufig auf Tools und Einzellösungen, die ihnen helfen, diese Bedrohungsvektoren zu bekämpfen. Bei zahlreichen Unternehmen führt dies letztlich zu einem Wirrwarr an Sicherheitskürzeln in der Umgebung – und der Versuch, all diese gänzlich verschiedenen Produkte zu konfigurieren und zu implementieren, verursacht immense Kosten. 

In vielen Fällen gibt jedes Tool eine Fülle an eigenen Befunden zur Sicherheit aus und zieht unterschiedliche Metriken der Kritikalität heran. Selbst wenn sie also technisch fortschrittliche Tools einsetzen, machen Sicherheitsteams bei dem Versuch, all diese Befunde abzugleichen und zu priorisieren, erneut ein Spreadsheet-Inferno durch. 

Die Bedeutung von Identitätsabsicherung in der Cloud

Zur Implementierung einer effektiveren Sicherheitsstrategie muss zunächst isoliert betrachtet werden, welche Ziele Bedrohungsakteure verfolgen, wenn sie in Cloud-Infrastruktur eindringen. In jüngster Zeit wurde deutlich, dass es bei nahezu allen Sicherheitsverletzungen in der Cloud zu einer Ausnutzung von fehlerhaft konfigurierten Identitäten und Berechtigungen kommt. Die Umfrage „2022 Trends in Securing Digital Identities“ der Identity Defined Security Alliance (IDSA) ergab, dass 84 % der Unternehmen innerhalb des Studienzeitraums von 12 Monaten eine identitätsbezogene Sicherheitsverletzung verzeichneten. Warum? Nicht nur, weil Identitäten so eng mit allem verflochten sind, was wir in der Cloud ausführen und entwickeln, sondern auch, weil sich die Lösung dieses Problems als unglaublich komplexe Aufgabe erweist. Es gibt so viele Variablen, die ins Spiel kommen, wenn man den mit Identitätsmanagement verbundenen Risiken wirklich auf den Grund gehen möchte.

Unabhängig davon, ob Sie eine öffentliche Amazon EC2-Instanz mit bekannten ausnutzbaren Schwachstellen oder fehlerhaft konfigurierte Infrastruktur haben, die manuell oder mittels Code aufgesetzt wird: Wenn Cloud-Expositionen ausgenutzt werden, nehmen Angreifer umgehend eine Identität ins Visier. Sie testen Berechtigungen, um sich lateral in der Umgebung fortzubewegen, oder weiten Rechte aus, um auf sensible Daten und andere Ressourcen zuzugreifen. Identitäten sind der Perimeter in der Cloud – und bedingt durch ihre weitreichenden Auswirkungen sollte Identitäts- und Berechtigungssicherheit stets die Grundlage eines ganzheitlichen Cloud-Sicherheitsprogramms bilden. 

Dienst- und Personenidentitäten im Vergleich

Bei der Absicherung von Identitäten ist es wichtig, sich den Unterschied zwischen Dienst- und Personenidentitäten und die verschiedenen Ansätze zu ihrer Absicherung vor Augen zu führen, damit das Least-Privilege-Prinzip eingehalten werden kann. Dienstidentitäten sollen Workloads unterstützen und stets konstant und vorhersehbar betrieben werden. Im Kontext von „effektiven Berechtigungen“ ist es wichtig zu verstehen, welche Zugriffsrechte zugewiesen wurden und welche tatsächlich in Gebrauch sind. Da Dienstidentitäten für spezifische Zwecke programmiert sind und Anforderungen sich nur selten ändern, besteht die Möglichkeit, ihre Berechtigungen basierend auf der jeweiligen Aktivität passgenau auf ein Mindestmaß zu beschränken – das Prinzip der geringsten Rechte („Least Privilege“). 

Im Gegensatz dazu sind Personenidentitäten für menschliche Nutzer konzipiert. Dadurch sind sie unvorhersehbar und es erweist sich als schwierig, Berechtigungen passgenau auf spezifische Ressourcen und Aktionen abzustimmen, insbesondere wenn Ad-hoc-Aufgaben anstehen. Der Schlüssel zur Umsetzung von Zero Trust besteht in der Implementierung eines integrierten Programms für Just-in-Time(JIT)-Zugriff. Kein Unternehmen kann den Zugriff auf die Cloud durch menschliche Nutzer gänzlich eliminieren. Dies ist nicht realistisch. Doch es gibt einen Weg, die mit Personenidentitäten verbundenen Risiken drastisch zu reduzieren: Bieten Sie DevOps-Teams die Möglichkeit, kurzfristigen Cloud-Zugriff für spezifische Aufgaben in kritischen Umgebungen programmgesteuert anzufordern, und stellen Sie sicher, dass der entsprechende Workflow in vorhandene Kommunikationstools wie Slack, Microsoft Teams usw. eingebunden ist. 

Sicherheitsprogramme, bei denen diese Unterschiede unberücksichtigt bleiben, können Arbeitsaufwand verursachen und zu Reibungspunkten zwischen DevOps- und IT-Teams führen. Um das DevSecOps-Versprechen zu erfüllen, muss sichergestellt sein, dass Sicherheit auf skalierbare Weise in Workflows eingebettet ist. Und genau an dieser Stelle können integrierte CIEM- (Cloud Infrastructure Entitlement Management) und CNAPP-Tools (Cloud Native Application Protection Platform) ins Spiel kommen. Die Integration zwischen diesen Tools kann Ihnen Transparenz und Kontrolle über Cloud-Infrastruktur, Kubernetes, Container, Infrastructure as Code (IaC), Identitäten, Workloads und vieles mehr bieten.

Achten Sie bei integrierten CNAPP- und CIEM-Sicherheitslösungen auf folgende Aspekte: 

  • Einblick in Berechtigungen und entsprechende Visualisierung: Im Security-Bereich galt schon immer die Devise, dass Sicherheit Sichtbarkeit erfordert. Präziser Multi-Cloud-Einblick in Ressourcen, Berechtigungen sowie in deren Aktivitäten ist ein entscheidender Ausgangspunkt. 
  • Kontinuierliche Risikobewertung: Sie müssen die Cloud-Umgebung kontinuierlich überwachen, um Risikofaktoren zu erkennen und zu bewerten, wie etwa Expositionen im Netzwerk, Fehlkonfigurationen, riskante Berechtigungen, offengelegte Secrets und identitätsbezogene Bedrohungen, einschließlich ungewöhnlicher Datenzugriffe.
  • Durchsetzung des Least-Privilege-Prinzips: Integrierte Tools sollten in der Lage sein, Leitplanken für Berechtigungen anhand von Least-Privilege-Richtlinien zu automatisieren.
  • Optimierte Behebung: Wenn Sie wissen, wo Risiken vorliegen, sollte es einfach sein, diese innerhalb des jeweiligen Tools zu beseitigen. Dabei sollte auch die Möglichkeit zur Automatisierung bestehen – wo auch immer dies für Ihre Sicherheitsstrategie sinnvoll ist. 
  • Entwicklerorientierte Zugriffssteuerung: Ersparen Sie DevOps-Teams die Frustration im Zusammenhang mit Sicherheitsfragen, indem Sie ihnen Tools an die Hand geben, mit deren Hilfe sie Sicherheitsmaßnahmen in ihre Workflows einbinden können. 

Alarmmüdigkeit durch Kontext bekämpfen

Viele Sicherheitsteams wenden Zeit für die Feinabstimmung von Kontrollen und Richtlinien auf, um gegen die Überlastung durch Warnmeldungen anzukämpfen. Doch eine bessere Möglichkeit besteht darin, Sicherheitstools wie CNAPP- und CIEM-Lösungen in einer einzigen Plattform zu integrieren, die umfangreiche Kontextinformationen zur gesamten Angriffsoberfläche liefert. Mit integrierten Sicherheitstools sind Sie in der Lage, die konkrete Bedeutung des Begriffs „kritisch“ zu standardisieren und sich ein besseres Bild der Angriffspfade zu machen, die Angreifer ausnutzen können, um Schaden in Ihrer Cloud-Umgebung anzurichten. Zudem sind Updates deutlich einfacher möglich, wenn neue Bedrohungen und Zero-Days aufgedeckt werden. 

Beispielsweise könnten Sie 100 öffentlich zugängliche Workloads haben, die in einer Cloud-Umgebung ausgeführt werden, doch nur 10 davon enthalten kritische Schwachstellen und nur 5 dieser Workloads weisen kritische Schwachstellen und hohe Berechtigungen auf. Diese Kontextinformationen geben Sicherheitsteams Aufschluss darüber, worauf sie ihre Maßnahmen richten sollten – je nachdem, was am wahrscheinlichsten ausgenutzt wird. Letztlich gehen Sicherheitsteams nur allzu häufig alle 100 öffentlichen Workloads an, weil es Einzellösungen an den notwendigen Integrationsmöglichkeiten und identitätsbezogenen Kontextinformationen fehlt, um Bedrohungen effizient Rechnung zu tragen. 

Integrierte Funktionen, die ein Verständnis von Risiken und Expositionen vermitteln, sind wichtig. Und sie ergeben nicht nur im Hinblick auf Infrastrukturen und Schwachstellen Sinn, sondern auch als Möglichkeit, alles zusammen zu betrachten und Risikobewertungen basierend auf dem tatsächlichen Geschehen in Ihrer Umgebung dynamisch anzupassen. 

Weitere Informationen zur Absicherung von Identitäten in der Cloud erhalten Sie im On-Demand-Webinar „Managing Security Posture and Entitlements in the Cloud“.

Verwandte Artikel

Aktuelles zum Thema Cybersecurity

Geben Sie Ihre E-Mail-Adresse ein, um zeitnahe Warnungen und Sicherheitsempfehlungen von den Experten bei Tenable zu erhalten.

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können.

Tenable Vulnerability Management Testversionen, die überall außer in den VAE erstellt werden, beinhalten auch Tenable Lumin und Tenable Web App Scanning.

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

100 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können.

Tenable Vulnerability Management Testversionen, die überall außer in den VAE erstellt werden, beinhalten auch Tenable Lumin und Tenable Web App Scanning.

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

100 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können.

Tenable Vulnerability Management Testversionen, die überall außer in den VAE erstellt werden, beinhalten auch Tenable Lumin und Tenable Web App Scanning.

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

100 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen

Tenable Web App Scanning testen

Profitieren Sie im Rahmen der Exposure-Management-Plattform Tenable One von unserem neuesten Angebot zum Scannen von Webanwendungen, das speziell für moderne Anwendungen entwickelt wurde. Scannen Sie auf sichere Weise Ihr gesamtes Online-Portfolio auf Schwachstellen – mit hoher Genauigkeit und ohne großen manuellen Aufwand oder Unterbrechung kritischer Web-Apps. Melden Sie sich jetzt an.

Ihre Testversion von Tenable Web App Scanning umfasst außerdem Tenable Vulnerability Management und Tenable Lumin.

Tenable Web App Scanning kaufen

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

5 FQDN

3.578,00 USD

Jetzt kaufen

Tenable Lumin testen

Mit Tenable Lumin können Sie Ihr Exposure-Management visualisieren und genauer untersuchen, die Risikoreduzierung im Zeitverlauf verfolgen und Benchmark-Vergleiche mit ähnlichen Unternehmen anstellen.

Ihre Testversion von Tenable Lumin umfasst außerdem Tenable Vulnerability Management und Tenable Web App Scanning.

Tenable Lumin kaufen

Kontaktieren Sie einen Vertriebsmitarbeiter, um zu erfahren, wie Tenable Lumin Sie dabei unterstützen kann, unternehmensweit Einblick zu gewinnen und Cyberrisiken zu managen.

Testen Sie Tenable Nessus Professional kostenlos

7 TAGE KOSTENLOS

Tenable Nessus ist derzeit der umfassendste Schwachstellen-Scanner auf dem Markt.

NEU - Tenable Nessus Expert
Jetzt verfügbar

Nessus Expert bietet noch mehr Funktionen, darunter das Scannen externer Angriffsflächen sowie die Möglichkeit, Domänen hinzuzufügen und die Cloud-Infrastruktur zu scannen. Klicken Sie hier, um Nessus Expert zu testen.

Füllen Sie das Formular unten aus, um mit einer Nessus Pro-Testversion fortzufahren.

Tenable Nessus Professional kaufen

Tenable Nessus ist derzeit der umfassendste Schwachstellen-Scanner auf dem Markt. Tenable Nessus Professional unterstützt Sie bei der Automatisierung des Scan-Prozesses, spart Zeit in Ihren Compliance-Zyklen und ermöglicht Ihnen die Einbindung Ihres IT-Teams.

Mehrjahreslizenz kaufen und sparen! Mit Advanced Support erhalten Sie rund um die Uhr, 365 Tage im Jahr Zugang zum Support – per Telefon, Chat und über die Community.

Lizenz auswählen

Mehrjahreslizenz kaufen und sparen!

Support und Training hinzufügen

Testen Sie Tenable Nessus Expert kostenlos

7 TAGE KOSTENLOS

Mit Nessus Expert, das für die moderne Angriffsfläche entwickelt wurde, erhalten Sie mehr Einblick und können Ihr Unternehmen vor Schwachstellen schützen – von der IT bis zur Cloud.

Sie haben Tenable Nessus Professional bereits?
Upgraden Sie auf Nessus Expert – 7 Tage kostenlos.

Tenable Nessus Expert kaufen

Mit Nessus Expert, das für die moderne Angriffsfläche entwickelt wurde, erhalten Sie mehr Einblick und können Ihr Unternehmen vor Schwachstellen schützen – von der IT bis zur Cloud.

Lizenz auswählen

Mehrjahreslizenz kaufen und noch mehr sparen!

Support und Training hinzufügen