Was ist Cloud Infrastructure Entitlement Management (CIEM)?

Cloud Infrastructure Entitlement Management (CIEM) umfasst die Verwaltung von Identitäten und Zugriffsprivilegien in Cloud-Umgebungen. CIEM dient dazu, einen klaren Überblick über existierende Berechtigungen in Cloud‑ und Multi-Cloud-Umgebungen zu erlangen. Anhand eines solchen Gesamtbilds können Risiken, die durch zu großzügig bemessene Zugriffsrechte entstehen, identifiziert und behoben werden.

Mit CIEM-Lösungen können Sicherheitsteams Cloud-Identitäten und Berechtigungen verwalten sowie das Least-Privilege-Prinzip für Cloud-Infrastrukturen und ‑Ressourcen umsetzen. Damit helfen CIEM-Lösungen Unternehmen bei der Reduzierung der Cloud-Angriffsfläche sowie bei der Risikominderung.

Zugriffsrechte in vielen Organisationen und das Least-Privilege-Prinzip

 

Abbildung 1: Multipliziert man die Anzahl der Identitäten in einem Cloud-Konto mit der Anzahl der Berechtigungen der jeweiligen Identitäten, ergibt sich daraus eine erschreckend große Angriffsfläche.

Mit dem Least-Privilege-Prinzip soll die Anzahl an Berechtigungen jeder einzelnen Identität in der Cloud so gering wie möglich gehalten werden.

CIEM: ein wichtiger Teil jeder Cloud-Sicherheitsstrategie

In statischen, selbstverwalteten Infrastrukturen oder On-Premises-Infrastrukturen werden typischerweise Tools für das Identitäts- und Zugriffsmanagement (IAM) eingesetzt, um Zugriffskontrollen durchzuführen. Da Organisationen ihren Betrieb jedoch zunehmend in die Cloud migrieren, werden die Cloud-Infrastruktur sowie genutzte Dienste und Anwendungen immer dynamischer.

 

Video: Einsatz von CIEM zur Verwaltung von Zugriffsrechten, Identitäten und Berechtigungen in Cloud-Umgebungen

Cloud-Serviceanbieter wie Amazon Web Services (AWS), Microsoft Azure und Google Cloud stellen Benutzern zweckbestimmte, native Kontrollfunktionen zur Umsetzung granularer IAM-Richtlinien direkt in der Cloud zur Verfügung.

Jedoch geben laut Gartner 81 % der Organisationen an, Dienste von zwei oder mehreren öffentlichen Cloud-Anbietern zu nutzen. Da die unterschiedlichen Cloud-Umgebungen nicht nativ ineinandergreifen, wird die einheitliche Verwaltung von Berechtigungen in Organisationen mit einer Multi-Cloud-Strategie schnell zum Hürdenlauf. Mit einer CIEM-Lösung können Sicherheitsteams die durch ausufernde Zugriffsrechte entstehenden Risiken einschätzen und Berechtigungen über die gesamte Multi-Cloud-Umgebung hinweg verwalten.

Der Forschungsbericht „Managing Privileged Access in Cloud Infrastructure“ ist eine gute Orientierungshilfe für Verantwortliche im Sicherheits‑ und Risikomanagementbereich bei der Bereitstellung von Tools für eine effektive Verwaltung von Zugriffsrechten in Cloud-Infrastrukturen. Dieses und ähnliche Dokumente enthalten wichtige Informationen zur Bedeutung von CIEM und zur Identifizierung sowie Priorisierung von mit der Zugriffskontrolle verbundenen Risiken in öffentlichen Clouds und anderen Infrastrukturressourcen.

Was sind die Komponenten von CIEM?

CIEM-Lösungen sollten in erster Linie eine Übersicht über bestehende Berechtigungen schaffen, die Anpassung von Zugriffsrechten ermöglichen, komplexe Analysen durchführen und Compliance gewährleisten. Für die Verwaltung von Zugriffsrechten und die Reduzierung von Risiken benötigen Sie zuerst einen klaren Überblick über alle vorhandenen Berechtigungen in Ihrer Umgebung. CIEM-Tools scannen dafür automatisch Richtlinien, Regeln und Konfigurationen für die Zugangskontrolle und ermitteln:

  • welche Berechtigungen bestehen,
  • welche Aktivitäten Personen oder Geräte damit durchführen können und
  • auf welche Cloud-Ressourcen Personen oder Geräte damit zugreifen können.
Multipliziert man die Anzahl der Identitäten in einem Cloud-Konto mit der Anzahl der Berechtigungen der jeweiligen Identitäten, ergibt sich daraus eine erschreckend große Angriffsfläche.

 

Abbildung 2: Mit dem Least-Privilege-Prinzip lässt sich die Angriffsfläche maßgeblich reduzieren.

Nachdem die Berechtigungen identifiziert wurden, bewerten CIEM-Tools, ob diese dem Least-Privilege-Prinzip entsprechen, d. h., ob sich die Zugriffsrechte auf die Ressourcen beschränken, die Benutzer (oder Geräte) wirklich benötigen. Sind die Berechtigungen zu weit gefasst, senden CIEM-Tools Alarme an die Administratoren. Diese können das Problem dann manuell beheben. Die Lösungen können Berechtigungen jedoch auch automatisch anpassen – eine Funktion, die besonders in größeren Umgebungen von Vorteil ist.

Anstatt vorgefertigte Regeln und Bedingungen zu nutzen, bewerten CIEM-Tools Berechtigungen mithilfe komplexer ML‑ und UEBA-Analysen. Zudem unterstützen CIEM-Tools die Compliance, indem automatisch festgestellt wird, ob Berechtigungen Complianceanforderungen entsprechen. Dabei werden auch mögliche Abweichungen erkannt; dazu zählen Berechtigungen, die einst zulässig waren und nun aufgrund von Konfigurationsänderungen nicht mehr konform sind. Insgesamt dienen CIEM-Tools dazu, das Least-Privilege-Prinzip über alle Cloud-Ressourcen und ‑Plattformen hinweg durchzusetzen.

Wie wird CIEM genutzt?

CIEM gibt Organisationen innovative Techniken wie maschinelles Lernen (ML) an die Hand, mit denen das Least-Privilege-Prinzip gezielt umgesetzt werden kann.

Ein Beispiel: Eine Benutzerin benötigt SSH-Zugriff auf eine Produktionsmaschine. Vermutlich möchte sie einen Konfigurationsparameter überprüfen oder eine Umgebungsvariable einsehen. Die Benutzerin kann ein temporäres SSH-Schlüsselpaar anfordern, um zeitlich begrenzten Zugang zu erhalten und diese Aufgaben zu erledigen. Das Sicherheitsteam bestätigt die Anfrage und leitet die Benutzerin an, die Schlüssel über einen SSO-Anbieter abzurufen. Wenn die Benutzerin alle nötigen Aufgaben erledigt hat, wird ihr der Zugang zur Ressource entzogen und sie kann mit dem Schlüsselpaar nicht mehr auf die Maschine zugreifen. Das Sicherheitsteam ist über die effektiven Zugriffsrechte aller Benutzer zeitpunktgenau informiert und kann diese mit dem für die jeweilige Aufgabe nötigen Minimum abgleichen.

Ein weniger stark kontrollierter Ansatz für die Verwaltung von Berechtigungen – wie beispielsweise die großflächige Nutzung von Schlüsseln für einen unbegrenzten Zeitraum – würde das Sicherheitsrisiko wesentlich erhöhen. Denn ausufernde Berechtigungen machen die Umgebung anfällig für böswillige Benutzeraktivitäten wie Insiderbedrohungen und den Missbrauch von Zugriffsschlüsseln.

CIEM und Cloud-Sicherheit

Bei Berechtigungen handelt es sich um effektive Zugriffsrechte die Benutzern,Workloads und Daten über den Cloud-Anbieter im Rahmen von IAM-Richtlinien zugewiesen werden, um eine bestimmte Aufgabe zu erledigen. Im Idealfall geschieht das anhand des Least-Privilege-Prinzips, denn ohne eine klare Überwachung und Durchsetzung von Sicherheitsmaßnahmen verlieren Teams leicht den Überblick über zugewiesene Benutzer und Workloads. Das Resultat: Die bestehenden Zugriffsrechte sind zu weit gefasst.

Stärkung des Cloud-Sicherheitsniveaus

Um das Sicherheitsniveau in der Cloud zu stärken, sollten Sie eine CIEM-Lösung wählen, die Ihnen folgende Vorteile bietet:

  • Klare Übersicht über alle effektiven Zugriffsrechte für Ressourcen in Cloud-Konten
  • Governance zur Überwachung zu umfangreicher und ungenutzter Privilegien
  • Dynamisches Framework, das IAM-Richtlinien automatisch anpasst und Abweichungen bei Bedarf korrigiert

 

Video: Mehr über die Durchsetzung von Least-Privilege-Richtlinien sowie die Funktionen und Vorteile von CIEM

Sicherheitsvorteile von CIEM

Die wichtigsten Vorteile einer Lösung für das Management der Infrastrukturzugriffsrechte in der Cloud sind:

  • Überblick über Berechtigungen in Multi-Cloud-Umgebungen: Sie erhalten eine klare Übersicht über die Identitäten, effektiven Zugriffsrechte, Richtlinien und potenziellen Risiken in Ihren Multi-Cloud-Umgebungen.
  • Verbessertes Identitäts- und Zugriffsmanagement: Laut Gartner verwenden 95 % der Benutzer von IaaS-Diensten weniger als 3 % der ihnen erteilten Berechtigungen. Viele Unternehmen haben inaktive Identitäten, die für ehemalige Mitarbeitende oder Proof-of-Concept-Umgebungen genutzt wurden. CIEM-Lösungen überwachen zugriffsbezogene Aktivitäten kontinuierlich, um nicht mehr genutzte Identitäten zu identifizieren und Zugriffsrechte entsprechend anzupassen.
  • Automatische Erkennung und Behebung: CIEM ermittelt das Normalverhalten und kann – davon ausgehend – Kontomanipulationen, Insiderbedrohungen, den Missbrauch gestohlener Zugriffsschlüssel und andere potenziell schädliche Vorgänge erkennen.
  • Unterstützung bei Audits: Die Überwachung und der Schutz von Berechtigungen auf Ihren Cloud-Plattformen unterstützen Sie bei der Erfüllung von Complianceanforderungen und Branchenstandards für den Benutzerzugriff.

CIEM mit Prisma Cloud

Entdecken Sie, wie Sie das Least-Privilege-Prinzip für Workloads und in Clouds mit der CIEM-Funktion von Prisma Cloud durchsetzen können.

CIEM FAQ

Mit Integrationen für Cloud-Dienste können Drittanbietertools und ‑services direkt mit Cloud-Plattformen verbunden werden. Das kann über APIs oder Konnektoren geschehen. Durch diese Integrationen können unterschiedliche Cloud-Dienste nahtlos miteinander interagieren. Somit sind Organisationen in der Lage, Arbeitsabläufe zu automatisieren, Daten effizient zu synchronisieren und die Funktionalität – durch das Zusammenführen der individuellen Vorteile der jeweiligen Dienste – insgesamt zu verbessern.
Bei der Anpassung von Cloud-Berechtigungen werden die Zugriffsrechte von Benutzern und Systemen auf das für die Erledigung ihrer Aufgaben nötige Minimum reduziert. Im Rahmen solcher Initiativen werden bestehende Berechtigungen analysiert, überflüssige Zugriffsprivilegien entfernt und rollenbezogene Veränderungen kontinuierlich überwacht, damit das Least-Privilege-Prinzip fortlaufend einheitlich durchgesetzt werden kann.
Transparenz meint in Hinblick auf Berechtigungen eine klare Übersicht über und detaillierte Einblicke in die Zugriffsrechte und ‑privilegien von Benutzern und Systemen in einer Organisation. Diese Transparenz soll dabei helfen, nachzuvollziehen, wer auf welche Ressource zugreifen kann, Audits durchzuführen und zu kontrollieren, dass Berechtigungen sicher und konform sind.
Im Rahmen der Identitäts-Governance werden mithilfe von Richtlinien, Prozessen und Technologien Benutzeridentitäten und Zugriffsprivilegien verwaltet und überwacht. Damit soll sichergestellt werden, dass Rollen die richtigen Zugriffsrechte erteilt und gesetzliche Auflagen erfüllt werden sowie Auditprotokolle zu zugriffsbezogenen Aktivitäten verfügbar sind.
Hierbei handelt es sich um den Schutz von Identitätsdaten und die Verwaltung von Zugriffsprivilegien in Cloud-Umgebungen. Kurzum: Mit dem Identitätsschutz in der Cloud werden Identitäten gesichert und verwaltet und Zugriffskontrollen durchgesetzt. So wird sichergestellt, dass nur authentifizierte und berechtigte Benutzer auf Cloud-Ressourcen zugreifen können.
Privileged Access Management (PAM) ist eine Sicherheitsstrategie zur Verwaltung und Überwachung von Benutzern mit Zugriff auf kritische Ressourcen und/oder weitreichenden Berechtigungen. PAM-Lösungen schützen, überwachen und kontrollieren alle Zugriffe und Konten mit derartigen Privilegien in der IT-Umgebung einer Organisation, um Missbrauch, nicht genehmigten Zugriffen und Datensicherheitsverstößen vorzubeugen.
Ein Audit von Zugriffsrechten ist eine systematische Überprüfung und Analyse des Benutzer‑ und Systemzugangs in einem Unternehmensnetzwerk. Bei einem solchen Audit werden die erteilten Zugriffsrechte bewertet und die Einhaltung des Least-Privilege-Prinzips und der Sicherheitsrichtlinien sichergestellt.
Multi-Cloud-Berechtigungen bezeichnen die Zugriffsrechte und ‑privilegien von Benutzern in Multi-Cloud-Umgebungen. Die Verwaltung dieser Berechtigungen erfordert einen koordinierten Ansatz. Nur so können die verantwortlichen Teams Sicherheitsrichtlinien einheitlich durchsetzen und die Governance in den diversen unterschiedlichen Cloud-Umgebungen wahren.
Just-in-Time-Privilegien sind temporäre Zugriffsrechte, die Benutzern nur für einen begrenzten Zeitraum erteilt werden, um so das Risiko eines unbefugten Zugriffs zu verringern. Dieser dynamische Ansatz ist ein wichtiger Bestandteil einer proaktiven Sicherheitsstrategie, denn damit können Benutzer immer nur dann auf Ressourcen zugreifen, wenn sie diese tatsächlich benötigen.
Identity and Access Management (Identitäts- und Zugriffsmanagement; IAM) ist ein Framework für die Verwaltung von elektronischen Identitäten. Mithilfe von IAM-Technologie können Benutzeridentitäten und die mit ihnen verbundenen Zugriffsrechte automatisch definiert, erfasst, inventarisiert und verwaltet werden. Somit schafft IAM einen klaren Referenzpunkt für die Erteilung von Zugriffsrechten und stellt sicher, dass alle Benutzer und Dienste authentifiziert, autorisiert und kontrolliert werden.
Bei der Optimierung von Berechtigungen werden Zugriffsrechte und ‑privilegien granular angepasst, damit Benutzer genau das richtige Maß an Zugang haben – nicht zu viel und nicht zu wenig – und Aufgaben erfolgreich erledigen können. Das reduziert das Risiko von ausufernden Privilegien, die die Sicherheit beeinträchtigen könnten, und sorgt für einen effizienten Betrieb in Cloud-Umgebungen.