freshidea - Fotolia

Privilegierte Benutzerkonten in der Cloud richtig sichern

Wird der Admin-Zugang zu einem wichtigen Cloud-Service kompromittiert, kann dies verheerende Folgen haben. Diese Maßnahmen verringern das Risiko.

Unternehmen versuchen die Benutzerkonten der Endanwender für verschiedene Cloud-Dienste und –Anwendungen möglichst gut abzusichern. Dies aus gutem Grund: Angreifer haben sich längst darauf fokussiert, via Phishing oder Drive-by-Downloads an Cloud-Zugangsdaten von Unternehmensanwendern zu gelangen. Diese Anmeldeinformationen sind dann häufig der Einstiegszugang zum Unternehmen an sich. Noch viel verheerendere Folgen hat es jedoch, wenn privilegierte Cloud-Benutzerkonten kompromittiert werden.

Als Beispiel sei hier der Fall des Hosting-Dienstes Code Spaces aus dem Jahr 2014 angeführt. Dessen AWS-Management-Portal wurde kompromittiert. Sobald der Angreifer Zugang hatte, wurde die komplette Infrastruktur des Unternehmens quasi lahmgelegt, was für die Firma existenziell war. Daher sollten Unternehmen im Hinblick auf ihre privilegierten Cloud-Konten besondere Sorgfalt walten lassen, um diese zu schützen.

Bei vielen IaaS-Angeboten (Infrastructure as a Service) gibt es unterschiedliche Formen des administrativen oder Root-Zugriffs. Meist fordern derlei Umgebungen, dass ein Benutzerkonto als initiales Admin-Konto angelegt wird. Diese Authentifizierung erfolgt dann meist auch nur mit einer Kombination aus Benutzernamen oder E-Mail-Adresse und Passwort.

Dieser initiale Administrator kann dann die Umgebung konfigurieren, sowie Benutzer und Gruppen anlegen. Verzeichnisdienste wie Microsofts Active Directory können oftmals mit Cloud-Diensten verknüpft werden, so dass Administratoren Zugriff erhalten, deren Rechte auf internen Rollen basieren. Zahlreiche IaaS-Lösungen beinhalten auch ein Standardkonto, das über privilegierte Rechte verfügt, wie etwa „ec2-user“ bei AWS Amazon Machine Images.

Privilegierte Benutzerkonten verwalten

Zunächst sollten sich Unternehmen nochmals die Prinzipien der minimalen Rechtevergabe und die Trennung von Aufgaben und Zugangsberechtigungen vergegenwärtigen. Viele Cloud-Anbieter haben Lösungen integriert, die Verwaltungstools in Sachen Identitäten und Zugriffsberechtigungen umfassen. So lassen sich häufig für jeden Nutzer und jede Gruppe Richtlinien erstellen und anwenden. So können Sicherheitsverantwortliche auch privilegierte Zugänge so einschränken, dass diese nur Operationen zulassen, die direkt mit der Rolle des jeweiligen Admins verknüpft sind.

Bietet der Cloud-Provider selbst keine granularen Rollen- und Berechtigungsmodelle innerhalb seiner Lösung an, kann der Einsatz eines Identity-as-a-Service-Providers (IDaaS) eine mögliche Lösung sein. Dieser stellt die Verbindung zwischen den lokalen Anmeldeinformationen im Unternehmen und den Cloud-Umgebungen her und agiert so gewissermaßen als Single-Sign-On-Portal.

Geht es um privilegierte Benutzerzugriffe auf Cloud-Umgebungen, dann sollte zweifelsohne eine Multifaktor-Authentifizierung (MFA) verpflichtend sein. Häufig werden hier unterschiedliche Verfahren angeboten, etwa über Zertifikate, Token oder auch via SMS. Letzteres ist aus Sicherheitsaspekten nicht unumstritten, meist aber immer noch besser als keine Mehrfaktor-Authentifizierung. Will ein Benutzer mit Administrator-Rechten Zugriff auf eine Management-Konsole oder andere sensible Dienste erlangen, muss er idealerweise eine Multifaktor-Authentifizierung verwenden. Für viele Unternehmen sind Software-Token oder Zertifikate ein praktikabler Ansatz bei der Verwaltung von privilegierten Benutzerkonten.

Log-Management ist wichtig

Ebenfalls wichtig ist die Verwaltung und Überwachung der Schlüssel, die für Administrator- oder Root-Zugriff verwendet werden. Viele Admin-Konten – insbesondere die standardmäßig vorhandenen – setzen die Verwendung von privaten Schlüsseln voraus. Diese werden entweder generiert, wenn der Benutzer angelegt wird, oder auch unabhängig erstellt. Um unberechtigten Zugriff zu verhindern, gilt es diese Schlüssel entsprechend zu überwachen. Die Schlüssel sollte in einer hochsicheren Plattform gesichert und verwaltet werden, die genau für diesen Zweck ausgelegt ist. Entwickler, die für die Bereitstellung ihrer Lösungen ebenfalls mit Schlüsseln hantieren müssen, sollten ebenfalls die entsprechenden Werkzeuge verwenden, die entwickelt wurden, um derart sensible Informationen zu schützen.

Und apropos Werkzeuge: Damit sichergestellt wird, dass die privilegierten Cloud-Konten nicht missbraucht werden, sollten alle Möglichkeiten der Cloud-Umgebungen genutzt werden. Integrierte Tools wie AWS CloudTrail oder andere Protokollierungs- und Log-Management-Werkzeuge sollten eingesetzt werden, um Zugriffe zu erfassen und zu überwachen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Der richtige Umgang mit privilegierten Benutzerkonten.

IAM-Strategie an Cloud und Software-defined-Ansätze anpassen.

Risiko Zugangsdaten: IAM für Cloud-Anwendungen.

Privilegierte Benutzerkonten begrenzen und die Sicherheit erhöhen.

Artikel wurde zuletzt im Januar 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über SaaS-Sicherheit: Cloud-Services und -Systeme

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close