Cloudberechtigungen verwalten

as "Cloud Infrastructure Entitlement Management" (CIEM) ist in letzter Zeit ins Blickfeld gerückt. Unter diesem Begriff sind Lösungen entwickelt worden, mit denen sich die Berechtigungen von Diensten für die Nutzung von Cloudressourcen analysieren und optimieren lassen.

Dahinter verbirgt sich allerdings ein viel größeres Problem, als es auf den ersten Blick erscheinen mag. Denn viele selbst entwickelte Services haben viel zu viele Berechtigungen auch auf kritische Ressourcen und stellen damit ein Einfallstor für Angreifer dar. Das Minimalprinzip oder auch "least privilege"-Prinzip wird von vielen digitalen Diensten, die auf Public- Cloud-Infrastrukturen wie AWS, Microsoft Azure oder GCP (Google Cloud Platform) laufen, massiv verletzt.

Ursächlich dafür ist, dass die Berechtigungen dieser Dienste oft im Rahmen von DevOps-Ansätzen von den Software- Entwicklern ohne Beteiligung der Cybersecurity-Experten in den Unternehmen definiert werden und eine wirkungsvolle Analyse und Governance für diese Berechtigungen nicht stattfindet. Das wird auch dadurch gefördert, dass viele der Lösungen von dezentralen Dev- Ops-Teams umgesetzt werden und geeignete Regelwerke für einen sicheren Betrieb vielfach fehlen.

Der Fokus: Dienstzugriff auf Cloudressourcen

Wie bei den meisten IT-Anwendungen gibt es auch in den gängigen IaaS-Infrastrukturen (Infrastructure-as-a-Service) wie eben AWS, Azure oder GCP Berechtigungskonzepte. Das Grundprinzip ist dabei, dass sich Zugriffsberechtigungen für Ressourcen vergeben lassen. Solche Berechtigungen beschreiben, welche Entitäten wie Benutzer, Gruppen oder Rollen welche Aktionen auf welche Ressourcen durchführen können. Je nach System sind dabei auch noch Nebenbedingungen möglich. Damit unterscheidet sich das Berechtigungskonzept zunächst nicht grundsätzlich von gängigen Berechtigungskonzepten, in denen sogenannte Entitäten,

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.