Privileged Access Management: Nächste Generation!

Inhalt

Was ist Privileged Access?

Besonders wichtig ist dabei der Begriff “Privileged:”

Ein privilegierter User ist ein Nutzer mit erhöhter Sicherheitsfreigabe, beispielsweise ein Administrator. Solche Zugänge dienen zur Verwaltung und Kontrolle von Systemen und Netzwerken. Da diese Accounts Zugriffe auf kritische Informationen erlauben, sind sie privilegiert: Sie dienen beispielsweise zum Einrichten und Verwalten von E-Mail Konten oder Servern und können diese sowohl verwalten und auch löschen - oder deren Daten ohne ein funktionierendes Kontrollsystem komplett unbemerkt kopieren.

Was ist Privileged Access Management?

PAM schützt Ihr Unternehmen vor vorsätzlichem, aber auch unbewusstem Missbrauch privilegierter Zugänge. Besonders wachsende Organisationen profitieren von derartigen Lösungen, da IT-Netzwerke und Systeme mit zunehmendem Wachstum immer komplexer werden. Die Anzahl der Mitarbeiter, Dienstleister und Nutzer wächst unkontrolliert. Viele Unternehmen haben zwei bis drei mal mehr privilegierte Nutzer als Mitarbeiter!

Manche dieser Administratoren überschreiben existierende Sicherheitsprotokolle. Dadurch entstehen große Schwachstellen. Wenn solche privilegierten User ohne jegliche Kontrolle das System verändern oder Daten kopieren können, stellt dies eine potenzielle Bedrohung für jede Organisation dar. Einerseits besteht die Gefahr von "Inside-Jobs", also dass ein Angestellter oder ein Dienstleister bewusst Informationen stiehlt oder das Netzwerk sabotiert. Auf der anderen Seite können auch Cyberkriminelle Zugangsdaten entwenden und als Mitarbeiter getarnt in Netzwerke eindringen. PAM löst dieses Problem.

PAM-Lösungen bieten Ihnen die Möglichkeit, alle privilegierten Nutzer in verschiedenen Systemen ohne großen Aufwand zu verwalten. PAM kann:

  • Zugriffe für bestimmte Nutzer auf ausgewählte Systeme limitieren
  • Zugang zeitlich auf bestimmte Bereiche gewähren und wieder entziehen
  • überflüssige Passwortverwaltung und Kennworteingaben vermeiden
  • Zentrale Verwaltung von Zugriffsrechten über heterogene Netzwerke gewährleisten
  • Präzise Audit-Trails für jede Aktion eines privilegierten Nutzers erstellen

Die privilegierte Zugriffsverwaltung umfasst also in der Regel die Definition von Rollen für Benutzer und die Gewährung von erforderlichen Berechtigungen oder Zugriffsrechten für diese Rollen. Dazu gehört auch die Verteilung der Benutzerinformationen und Zugriffsberechtigungen auf alle angeschlossenen Geräte und Systeme, die Zugriffsrechte in der Organisation erfordern. Darüber hinaus umfasst es in der Regel zu überwachen, was privilegierte Benutzer tatsächlich tun (Audit) und analysieren ihre Aktivitäten zur Erkennung von verdächtigen Anomalien.

Interne und externe Risiken

Benutzer mit privilegiertem Zugriff sind typischerweise interne Mitarbeiter wie beispielsweise System-Administratoren, Datenbank-Administratoren, Entwickler, IT-Architekten, Verwalter von Anwendungen, IT-Manager und viele andere. Benutzer mit privilegiertem Zugriff sind Mitarbeiter, die also bereits einen Zugang zum Unternehmen und deren Systeme haben. Statistisch gesehen werden die meisten kriminellen IT-Vorfälle von Insidern initiiert oder zumindest stillschweigend toleriert. Die lückenlose Kontrolle und permanente Auditierung des privilegierten Zugangs sowie "on-the-fly" vorgenommene Überprüfung auf Compliance reduziert eminent das Risiko durch Insider!

Externe Unternehmen wie Outsourcing-Partner, Freelancer etc. haben ebenfalls Zugriff auf kritische Systeme und deren Daten. Das bekannteste Beispiel der letzten Jahre dürfte sicherlich Edward Snowden sein - er war ein externer Mitarbeiter der US-Regierung. Auch bei uns in Europa ist es vielerorts üblich geworden, die IT-Administration komplett an Offshore-Outsourcing-Partner zu vergeben oder aber auch das gesamte Rechenzentrum auszulagern.

Hier ist es noch viel offensichtlicher, diese externen Benutzer mit privilegiertem Zugriff zu kontrollieren und deren Handlungen permanent zu überprüfen, um die daraus resultierenden externen Risiken so klein wie nur irgend möglich zu halten.

Traditionelles Privileged Access Management

Der traditionelle Ansatz für die privilegierte Zugriffsverwaltung war bislang, automatisch die Passwörter für privilegierte Konten mehrmals pro Tag zu ändern, und diese Passwörter in einen speziellen Passwort-Tresor zu speichern, welcher die Passwörter für verschiedene privilegierte Konten in einem Account Management System für privilegierte Konten sicher speichert.

Ein Server bzw. eine spezielle Client-Software authentifiziert darauf den privilegierten Benutzer, indem das aktuelle Passwort aus dem Passwort-Tresor des Account Management System für privilegierte Konten verwendet wird und melden sich auf dem Zielserver an. Alternativ (je nach verwendetem System) kann auch ein Webportal zum Einsatz kommen, um das aktuelle Passwort für den Zielserver zu erhalten und es dem Benutzer anzuzeigen. Das angezeigte Passwort wird typischerweise für einen festen Zeitraum, wie z. B. eine Stunde, gültig sein.

Dieser Ansatz basiert also auf Passwort-Rotation, Passwort-Tresoren und ähnlichem. Umständlich, teuer und fehlerbehaftet ! Aber die nächste Generation braucht nichts davon. Es löst privilegiertes Zugriffsmanagement wesentlich fortschrittlicher.

Traditionelles PAM versagt, vor allem in der Cloud

PAM-Implementierungen sind von Haus aus problematisch. Der traditionelle Ansatz ändert zusätzlich die Art und Weise, wie Systemadministratoren bislang gearbeitet haben. Es erfordert auch umfangreiche Infrastruktur, großen Organisationen berichteten bereits von massiv zusätzlichen Servern, um die benötigte Skalierung meistern zu können. Dabei wurde jedoch das Account Management System für privilegierte Konten zum "single point of failure". Und für die Automatisierung muss jedes Skript geändert werden, um das jeweils Passwort aus einem Passwort-Tresor bzw. dem Account Management System für privilegierte Konten zu erhalten.

Der traditionelle Ansatz skaliert auch nicht in die Cloud, Container sowie besonders elastisch skalierende Umgebungen. Es wird sehr umständlich, alles zu Passwort-Tresor bzw. dem Account Management System für privilegierte Konten zu implementieren, wenn die Instanzen in der Cloud nach Bedarf auf und ab gehen und oft nur für ein paar Sekunden leben.

Darüber hinaus erfordert der traditionelle Ansatz oft die Installation (und Patching!) von Software auf Servern und Clients. Das ist kostspielig und ressourcenintensiv und bei Cloud-Instanzen mit der Lebensdauer von teilweise nur wenigen Sekunden gar nicht machbar.

Privileged Access Management der nächsten Generation

Dank der neuen Technologie ist es möglich geworden, ein privilegiertes Zugriffsmanagement ohne Passwort-Tresore und ohne neue Software-Agenten weder auf Servern oder Clients zu implementieren. Dies beschleunigt die Bereitstellung erheblich, reduziert den Overhead und hilft bei der Skalierung auf Cloud- und elastische Umgebungen.

PrivX On-Demand Access Manager ist das erste Privileged Access Management der nächsten Generation. Es ist von Anfang an für elastische Cloud-Umgebungen ausgelegt und agiert losgelöst von Passwörtern, Passwort-Tresoren sowie Passwort-Rotation - die Bereitstellung erfolgt damit wesentlich einfacher und schneller. Die Gesamtkosten des Projekts werden auch dadurch erheblich reduziert, die Zeit bis zur vollständigen Bereitstellung lässt sich leicht um das Zehnfache reduzieren.

Was ist der Unterschied PAM von Identity Management?

PAM wird oft mit Identity Management (IdM) verwechselt. Die Begriffe überlappen in einigen Bereichen, beziehen sich aber grundsätzlich auf unterschiedliche Dinge: PAM bezieht sich auf Privileged User Access. Beim Identity Management geht es um die Erkennung und Autorisierung von sämtlichen Nutzern auf einem System. Ein Kassierer, der eine Bankapplikation nutzt, loggt sich ein und wird durch eine IdM-Lösung wie Microsoft Active Directory verifiziert. Active Directory basiert auf dem Lightweight Directory Access Protocol (LDAP) und erlaubt keine Verwaltung von privilegierten Nutzern. Es ist ein gutes Produkt, aber nicht für diesen Zweck konzipiert. Viele Geräte sind beispielsweise nicht oder nur schwer in Active Directory integrierbar.

IdM zielen auf möglichst große Freiheiten ab, PAM dagegen möchte Zugang begrenzen – der Zweck ist demnach ein anderer. Der OAuth Standard oder "Security Assertions" wie SAML in IdM-Lösungen dienen der Integration von Apps und Daten dritter Parteien. Diese Funktionen sind für PAM nicht gewollt und werden nicht genutzt.

Interessiert an mehr Information? Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

Anmeldung Newsletter


Verfügbare Mailinglisten:

Bitte helfen Sie uns Spam zu vermeiden, und lösen Sie diese kleine Aufgabe!

captcha

Ich akzeptiere den Disclaimer

() Pflichtfelder

Information

×
Partner | Referenzen
  • NXP.png
  • 1_LOGO_SSH.png
  • AIRBUS.png
  • 1_LOGO_VEEAM.png
  • tuev-nord.jpg
  • gieseckedevrient.gif
  • 1_LOGO_Avalara.jpg
  • Postbank.jpg
  • Exponet Infrakon 4c.png
  • 1_LOGO_SEMATICON.png
  • deutschepost.gif
  • ASKLEPIOS.png
  • sbb.gif
  • LMK.png
  • netcologne.gif
  • TDT-AG.JPG
  • VENTURETEC.png
  • hvb.jpg
  • vodafone.gif
  • commerzbank.gif