ADMIN

2022

03

2022-02-28T12:00:00

Moderne IT-Security

SCHWERPUNKT

099

Cloud

Cloudberechtigungen verwalten

Klar geregelt

von Martin Kuppinger

Veröffentlicht in Ausgabe 03/2022 - SCHWERPUNKT

Mit der Cloudnutzung hat sich der Security-Perimeter deutlich verschoben. Von zentraler Bedeutung ist dabei die Zugriffskontrolle, die sich bei genauerer Betrachtung als deutlich komplexer herausstellt, als zunächst angenommen. Denn nicht nur nutzen Firmen multiple Clouds, auch greifen Applikationen eigenständig auf Cloudressourcen zu. Das Cloud Infrastructure Entitlement Management, kurz CIEM, soll Abhilfe schaffen.

as "Cloud Infrastructure Entitlement Management" (CIEM) ist in letzter Zeit ins Blickfeld gerückt. Unter diesem Begriff sind Lösungen entwickelt worden, mit denen sich die Berechtigungen von Diensten für die Nutzung von Cloudressourcen analysieren und optimieren lassen.
Dahinter verbirgt sich allerdings ein viel größeres Problem, als es auf den ersten Blick erscheinen mag. Denn viele selbst entwickelte Services haben viel zu viele Berechtigungen auch auf kritische Ressourcen und stellen damit ein Einfallstor für Angreifer dar. Das Minimalprinzip oder auch "least privilege"-Prinzip wird von vielen digitalen Diensten, die auf Public- Cloud-Infrastrukturen wie AWS, Microsoft Azure oder GCP (Google Cloud Platform) laufen, massiv verletzt.
Ursächlich dafür ist, dass die Berechtigungen dieser Dienste oft im Rahmen von DevOps-Ansätzen von den Software- Entwicklern ohne Beteiligung der Cybersecurity-Experten in den Unternehmen definiert werden und eine wirkungsvolle Analyse und Governance für diese Berechtigungen nicht stattfindet. Das wird auch dadurch gefördert, dass viele der Lösungen von dezentralen Dev- Ops-Teams umgesetzt werden und geeignete Regelwerke für einen sicheren Betrieb vielfach fehlen.
as "Cloud Infrastructure Entitlement Management" (CIEM) ist in letzter Zeit ins Blickfeld gerückt. Unter diesem Begriff sind Lösungen entwickelt worden, mit denen sich die Berechtigungen von Diensten für die Nutzung von Cloudressourcen analysieren und optimieren lassen.
Dahinter verbirgt sich allerdings ein viel größeres Problem, als es auf den ersten Blick erscheinen mag. Denn viele selbst entwickelte Services haben viel zu viele Berechtigungen auch auf kritische Ressourcen und stellen damit ein Einfallstor für Angreifer dar. Das Minimalprinzip oder auch "least privilege"-Prinzip wird von vielen digitalen Diensten, die auf Public- Cloud-Infrastrukturen wie AWS, Microsoft Azure oder GCP (Google Cloud Platform) laufen, massiv verletzt.
Ursächlich dafür ist, dass die Berechtigungen dieser Dienste oft im Rahmen von DevOps-Ansätzen von den Software- Entwicklern ohne Beteiligung der Cybersecurity-Experten in den Unternehmen definiert werden und eine wirkungsvolle Analyse und Governance für diese Berechtigungen nicht stattfindet. Das wird auch dadurch gefördert, dass viele der Lösungen von dezentralen Dev- Ops-Teams umgesetzt werden und geeignete Regelwerke für einen sicheren Betrieb vielfach fehlen.
Der Fokus: Dienstzugriff auf Cloudressourcen
Wie bei den meisten IT-Anwendungen gibt es auch in den gängigen IaaS-Infrastrukturen (Infrastructure-as-a-Service) wie eben AWS, Azure oder GCP Berechtigungskonzepte. Das Grundprinzip ist dabei, dass sich Zugriffsberechtigungen für Ressourcen vergeben lassen. Solche Berechtigungen beschreiben, welche Entitäten wie Benutzer, Gruppen oder Rollen welche Aktionen auf welche Ressourcen durchführen können. Je nach System sind dabei auch noch Nebenbedingungen möglich. Damit unterscheidet sich das Berechtigungskonzept zunächst nicht grundsätzlich von gängigen Berechtigungskonzepten, in denen sogenannte Entitäten, also beispielsweise Benutzer oder Dienste, Berechtigungen auf Objekte, in diesem Fall eben die Cloudressourcen, erhalten.
Wie in jeder anderen IT-Umgebung geht es daher darum, dieses Berechtigungsmanagement so zu gestalten, dass nur die minimal erforderlichen Berechtigungen vergeben werden, also das Minimalprinzip greift. In Cloudumgebungen ergeben sich dabei aber mehrere Probleme:
- Sehr viele Unternehmen nutzen heute mehrere Public Clouds parallel, ebenso wie eigene Umgebungen für die Ausführung von Workloads. Die Berechtigungsmodelle der verschiedenen Zielumgebungen unterscheiden sich erheblich.
-  Viele Clouddienste: Die modernen Public Clouds stellen längst nicht mehr nur einfache Compute- oder Storage- Ressourcen bereit, sondern eine Vielzahl von Diensten mit unterschiedlichen Arten von Entitlements.
- Dynamik: Die Nutzung der Cloud ist wesentlich dynamischer oder auch volatiler als die klassischer IT-Umgebungen, weil Ressourcen bei Bedarf dazugebucht oder abbestellt werden.
- Dezentralität: Cloudressourcen werden häufig nicht durch zentrale, definierte Prozesse bereitgestellt, sondern von Entwicklern und Anwendungsverantwortlichen direkt bestellt, sodass ein zentraler Überblick über die genutzten Dienste und Ressourcen ebenso wie über Berechtigungen häufig fehlt.
- Ungeklärte Zuständigkeit: In diesem Kontext sind Zuständigkeiten, beispielsweise für die Vergabe und die Überprüfung von Berechtigungen im Rahmen einer Access Governance, häufig ungeklärt.
- Security als Code: Häufig werden Berechtigungen dabei ohnehin im Rahmen von IaC- (Infrastructure-as-Code) oder EaC-Konzepten (Everything-as- Code) programmatisch gesteuert und nicht über die IAM-Funktionen oder Anwendungen der jeweiligen Cloudumgebungen.
- Kein Identity- and Access-Management: Häufig sind die IaaS-Infrastrukturen auch nicht Bestandteil von IAM-Konzepten und IAM-Infrastrukturen. Die Berechtigungen in diesen Umgebungen werden damit eben nicht zentral gesteuert und verwaltet. Das liegt auch daran, dass das traditionelle IAM für die spezifischen Anforderungen in solchen Umgebungen meist nicht vorbereitet ist.
Damit unterscheidet sich das Zugriffsmanagement in der Cloud, trotz eines grundsätzlich ähnlichen Konzepts wie in anderen IT-Anwendungen und IT-Systemen, doch erheblich vom "normalen" IAM.
Die Herausforderung: Agile Anwendungsentwicklung
Die Ursachen für die bestehende Problematik einer fehlenden Kontrolle über Berechtigungen in Cloudinfrastrukturen sind vielschichtig. Eine wesentliche Herausforderung ist, dass es eben nicht um statische Anwendungen geht, auf die Menschen – also die "human identities" – über längere Zeiträume in immer der gleichen Weise zugreifen, sondern um die dynamische Nutzung einer Vielzahl unterschiedlicher Ressourcen durch Dienste..
Das Berechtigungsmanagement in einer Business-Anwendung wie SAP ist dagegen vergleichsweise statisch, weil die Business- Aktivitäten und -Rollen ebenso wie die Anwendungen selbst vergleichsweise statisch sind. Berechtigungen lassen sich damit über die Zuordnung von Benutzern zu Rollen und von Berechtigungen zu eben diesen Rollen vergleichsweise gut steuern und kontrollieren. Bei der heute gängigen agilen Anwendungsentwicklung und bei DevOps-Konzepten, bei denen die Entwicklung und der Betrieb und damit eben auch die Konfiguration und Nutzung von IT-Ressourcen eng miteinander verzahnt sind, ergeben sich aber viel schneller und häufiger Änderungen sowohl für die genutzten Ressourcen als auch für die erforderlichen Berechtigungen..
Jede Cloud ist anders
Hinzu kommt, dass jede Cloud anders ist und es auch bei agiler Software-Entwicklung nicht nur um die Public Cloud geht, sondern auch um Private Clouds und andere Ausführungsumgebungen. Oft unterscheiden sich zudem Entwicklungs- und Laufzeitumgebungen, sodass auch beim Transfer von einer in die andere Umgebung sichergestellt sein muss, dass Berechtigungen korrekt vergeben sind.
Die meisten Unternehmen haben heute faktisch eine IT-Infrastruktur, die sich als "multi-cloud multi-hybrid" bezeichnen lässt. Es werden mehrere Public Clouds parallel genutzt, aber auch Private-Cloud- Umgebungen und eigene Rechenzentren. Schon die großen Public Clouds wie eben AWS, Azure oder GCP unterscheiden sich aber substanziell in der Berechtigungsverwaltung. Es gibt kein einheitliches Modell, weder auf der administrativen noch auf der programmatischen Ebene, also der Steuerung von Berechtigungen über APIs. Daher wird in jedem Fall eine übergeordnete Schicht benötigt, die eine einheitliche Semantik und Steuerung von Berechtigungen über die verschiedenen Ausführungsumgebungen hinweg realisiert.
CIEM: Keine isolierte Problemstellung
Hier kommen nun die CIEM-Produkte ins Spiel. Die Begrifflichkeit zeigt bereits auf, dass es um spezialisierte Angebote geht, mit denen Berechtigungen in Cloudinfrastrukturen verwaltet werden. Derzeit gibt es hier im Wesentlichen drei Gruppen von Anbietern:
- Eine Reihe von Startups hat sich dieses Problems angenommen. Firmen wie Ermetic, Sonrai Security oder das unlängst von Microsoft gekaufte CloudKnox Security adressieren spezifisch die CIEMHerausforderungen als Spezialisten für Cloudsicherheit.
- Immer mehr Anbieter sowohl von IAMSystemen als auch von PAM-Lösungen (Privileged Access Management) haben das Thema erkannt und erweitern ihre Produkte entsprechend. Etliche PAMAnbieter hatten bereits seit längerer Zeit einen Fokus auf die Absicherung von DevOps-Umgebungen gesetzt und entwickeln diese Lösungen nun weiter, um das Berechtigungsmanagement in Cloudumgebungen umfassender zu adressieren.
- Die verschiedenen Cloudanbieter haben auch integrierte Lösungen. So gibt es für AWS einen eigenen IAM-Service. Die Problematik solcher Angebote besteht allerdings darin, dass sie typischerweise nur auf diese einzelne Cloud ausgerichtet sind und keinen Ansatz für Multicloud, geschweige denn für die Unterstützung von hybriden IT-Infrastrukturen bieten.
Wie bei jedem neuen Marktsegment ist auch hier eine hohe Dynamik ebenso wie eine erste Konsolidierung zu beobachten. So hat Microsoft wie erwähnt vor kurzem das Unternehmen CloudKnox Security gekauft und angekündigt, dieses in die eigene Produktpalette von Sicherheitslösungen rund um Microsoft 365 und Azure Active Directory zu integrieren.
Es ist davon auszugehen, dass sich dieser Markt schnell verändern und auch konsolidieren wird. Das Management von Berechtigungen in Cloudinfrastrukturen ist letztlich, wie das Management von Berechtigungen in Business-Applikationen, im File Storage oder in Kollaborationsumgebungen wie Microsoft SharePoint oder Microsoft Teams, ein Aspekt des breiteren Themas IAM. Eine Integration sowohl auf konzeptioneller und organisatorischer als auch technischer Ebene ist daher sinnvoll, um nicht mit einer Vielzahl isolierter IAMInseln für unterschiedliche Systeme und Identitätstypen arbeiten zu müssen und eine durchgängige Access Governance und ein umfassendes Access Risk Management zu erhalten. Gleichzeitig sind aber die spezifischen Herausforderungen und Anforderungen beispielsweise des Berechtigungsmanagements für Zugriffe von Services auf Cloudressourcen zu adressieren.
Anforderungen an CIEM-Produkte
Der Fokus umfassender CIEM-Angebote sollte sich dabei nicht nur auf die Berechtigungen auf Ressourcen in Laufzeitumgebungen beschränken, sondern auf den gesamten Lebenszyklus von der agilen Anwendungsentwicklung bis zu Ausführung. Das ist schon deshalb zwingend, weil einerseits die hohe Dynamik in der Nutzung und damit auch in der Berechtigungssteuerung für Cloudressourcen durch eben diese agile Anwendungsentwicklung entscheidend mitverursacht wird, oft auch durch die Steuerung von Berechtigungen als Code aus der Dev - Ops-Umgebung heraus. Zum anderen geht es nicht nur um die Absicherung der Laufzeitumgebung, sondern der gesamten DevOps-Tools-Chain, die zunehmend auch zur Angriffsfläche wird.
Ein Lösungsansatz sollte daher über die Berechtigungsanalyse und -steuerung in Cloudumgebungen hinausgehen, die derzeit – überwiegend auf die Analyse beschränkt – von CIEM-Produkten adressiert werden und einen breiteren Blickwinkel haben. Dieser muss die volle Breite von Laufzeitumgebungen in Multicloud- und Multihybrid-Installationen ebenso wie den gesamten Prozess von der Erstellung von Code bis zur Ausführung betrachten.
Während bei vielen CIEM-Lösungen derzeit noch die Analyse von Berechtigungen sowie das Erkennen von Anomalien im Zugriff und die damit verbundenen Risiken im Mittelpunkt stehen, müssen diese Produkte in Zukunft auch einen deutlich aktiveren Fokus übernehmen, um, basierend auf dem Wissen über Anwendungen, die Ausführungsbedingungen und die Laufzeitumgebungen, auf Basis von Richtlinien (Policies) automatisiert die Berechtigungen steuern zu können. Hier ist noch einiges an Entwicklungsarbeit gefordert. Auf der anderen Seite helfen die heutigen CIEM-Systeme dabei, einen Überblick über den Status und die damit verbundenen Sicherheitsrisiken zu erhalten und damit gezielt besonders große Risiken adressieren zu können.
Organisationen müssen sich verändern
Mit Technologie alleine ist es aber ohnehin nicht getan. Wenn Überberechtigungen in IaaS-Infrastrukturen das Symptom sind, liegt die Ursache vielmehr in einem unzureichenden Konzept für die Vergabe, Steuerung und Kontrolle solcher Berechtigungen. Dieses Konzept fehlt typischerweise deshalb, weil Bereiche wie die Anwendungsentwicklung/ DevOps (das ja auch oft kein einheitlicher Bereich in Unternehmen ist), die IT-Sicherheit, das IAM sowie das Infrastrukturmanagement nicht koordiniert zusammenarbeiten.
Eine Kommunikation zwischen den verschiedenen Bereichen findet dabei vielfach nicht oder nur unzureichend statt und die Zuständigkeiten und Verantwortlichkeiten sind nicht ausreichend klar de finiert. Daraus entstehen dann eben Sicherheitsrisiken durch Überberechtigungen in IaaSUmgebungen, die durch Punktlösungen adressiert werden. Diese schaffen aber zusätzliche Komplexität und Kosten, auch durch die frühere oder spätere Integration mit anderen Systemen, während sie gleichzeitig zwar punktuell die Sicherheit erhöhen, aber eben nicht Teil eines Gesamtkonzepts sind.
Deshalb ist es zwingend, dass die IT-Verantwortlichen in Unternehmen die Zuständigkeiten und Verantwortlichkeiten für Sicherheit im Rahmen eines umfassenden DevSecOps-Konzepts definieren, aber auch das Zusammenspiel zwischen DevOps/ DevSecOps und anderen Bereichen der ITSicherheit und des IAM. Sicherheit für Dev- Ops und die Ausführungsumgebungen ist essentiell, um einerseits die Sicherheit und Verfügbarkeit von digitalen Diensten zu gewährleisten, andererseits aber auch die Risiken aus der und für die Software-Supply- Chain zu verringern.
Dafür ist eine viel engere Kommunikation und Zusammenarbeit zwischen den verschiedenen Bereichen erforderlich, um sicherzustellen, dass Anwendungen sicher entwickelt und ausgeführt werden, gleichzeitig aber auch die Effizienz in der agilen Software-Entwicklung nicht nur erhalten, sondern idealerweise sogar erhöht wird.
Fazit
CIEM kann ein Lösungselement bei der Verwaltung von Cloudberechtigungen sein, das aber im Gesamtkontext betrachtet werden muss. Die aktuellen Produkte im Markt liefern wichtige Funktionen, die sonst nicht zu finden sind und sind daher eine Evaluation wert. Allerdings werden sie sich wie der Gesamtmarkt noch weiterentwickeln. Da die konkreten Risiken durch Überberechtigungen in Cloudinfrastrukturen aber signifikant sind, sollten Unternehmen jetzt handeln und konkrete Maßnahmen ergreifen, wozu eben auch CIEM-Lösungen gehören.
(dr)
Martin Kuppinger ist Gründer und Principal Analyst bei der KuppingerCole Analysts AG.