Cloudberechtigungen verwalten

Klar geregelt

Mit der Cloudnutzung hat sich der Security-Perimeter deutlich verschoben. Von zentraler Bedeutung ist dabei die Zugriffskontrolle, die sich bei genauerer Betrachtung als deutlich komplexer herausstellt, als zunächst angenommen. Denn nicht nur nutzen Firmen multiple Clouds, auch greifen Applikationen eigenständig auf Cloudressourcen zu. Das Cloud Infrastructure Entitlement Management, kurz CIEM, soll Abhilfe schaffen.
Unternehmen sehen sich permanenten Hackerangriffen ausgesetzt, während die Mitarbeiter remote, teils mit ihren eigenen Devices, auf sensible Daten zugreifen. ... (mehr)

as "Cloud Infrastructure Entitlement Management" (CIEM) ist in letzter Zeit ins Blickfeld gerückt. Unter diesem Begriff sind Lösungen entwickelt worden, mit denen sich die Berechtigungen von Diensten für die Nutzung von Cloudressourcen analysieren und optimieren lassen.

Dahinter verbirgt sich allerdings ein viel größeres Problem, als es auf den ersten Blick erscheinen mag. Denn viele selbst entwickelte Services haben viel zu viele Berechtigungen auch auf kritische Ressourcen und stellen damit ein Einfallstor für Angreifer dar. Das Minimalprinzip oder auch "least privilege"-Prinzip wird von vielen digitalen Diensten, die auf Public- Cloud-Infrastrukturen wie AWS, Microsoft Azure oder GCP (Google Cloud Platform) laufen, massiv verletzt.

Ursächlich dafür ist, dass die Berechtigungen dieser Dienste oft im Rahmen von DevOps-Ansätzen von den Software- Entwicklern ohne Beteiligung der Cybersecurity-Experten in den Unternehmen definiert werden und eine wirkungsvolle Analyse und Governance für diese Berechtigungen nicht stattfindet. Das wird auch dadurch gefördert, dass viele der Lösungen von dezentralen Dev- Ops-Teams umgesetzt werden und geeignete Regelwerke für einen sicheren Betrieb vielfach fehlen.

Der Fokus: Dienstzugriff auf Cloudressourcen

Wie bei den meisten IT-Anwendungen gibt es auch in den gängigen IaaS-Infrastrukturen (Infrastructure-as-a-Service) wie eben AWS, Azure oder GCP Berechtigungskonzepte. Das Grundprinzip ist dabei, dass sich Zugriffsberechtigungen für Ressourcen vergeben lassen. Solche Berechtigungen beschreiben, welche Entitäten wie Benutzer, Gruppen oder Rollen welche Aktionen auf welche Ressourcen durchführen können. Je nach System sind dabei auch noch Nebenbedingungen möglich. Damit unterscheidet sich das Berechtigungskonzept zunächst nicht grundsätzlich von gängigen Berechtigungskonzepten, in denen sogenannte Entitäten,

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2022