Die Zeiten, in denen nur wenige Administratoren über weitreichende Berechtigungen in den IT-Infrastrukturen von Unternehmen verfügten, sind vorbei. Inzwischen benötigen die meisten Mitarbeiter, Anwendungen und Geräte Rechte, um auf kritische Ressourcen zuzugreifen. Daher braucht jede Identität einen besonderen Schutz. Dafür bieten sich folgende intelligente Berechtigungskontrollen an.
Zero Standing Privileges (ZSP) und Just-in-Time Access (JIT)
Viele Unternehmen statten Anwender dauerhaft mit weitreichenden Berechtigungen aus, auch wenn diese die Rechte nur selten oder niemals benötigen. Die Identitäten werden nicht konsequent über ihren gesamten Lebenszyklus verwaltet und Berechtigungen daher bei Nichtbenutzung auch nicht entzogen. Besser ist es, die privilegierten Zugriffsrechte Just-in-Time zuzuweisen, sodass Anwender nur mit erweiterten Berechtigungen ausgestattet werden, wenn sie diese tatsächlich für eine bestimmte Aufgabe benötigen. Die Herausforderung liegt darin, die Berechtigungen nur für eine definierte Zeit zu vergeben und anschließend wieder zu entfernen. Andernfalls kommt es zu Rechteanhäufungen, durch die Anwender im Laufe der Zeit zu „Super-Usern“ werden. Die modernste Art der Berechtigungszuweisung ist es daher, Anwender standardmäßig mit Zero Standing Privileges auszustatten, sodass sie über keinerlei Berechtigungen in den Zielapplikationen verfügen. Anhand von attributbasierten Zugriffskontrollrichtlinien (ABAC) werden erweiterte Berechtigungen beim Zugriff des Anwenders zur Laufzeit zugewiesen und nach der Session automatisch wieder entfernt.
Session-Isolierung
Eine Session-Isolierung schützt den privilegierten Zugriff, indem der Datenverkehr zwischen dem Endgerät des Anwenders und den kritischen Ressourcen, auf die er zugreift, über einen Proxy-Server geleitet wird. Dadurch besteht keine direkte Verbindung und bei einem Angriff auf den Anwender ist das Risiko, dass auch das entfernte System kompromittiert wird, verringert.
Schutz und Aufzeichnung von Sessions
Der Proxy-Server kann als zusätzlicher Kontrollpunkt dienen, der die Session überwacht und aufzeichnet. Dabei werden alle Aktivitäten erfasst – bis hin zu einzelnen Mausklicks innerhalb einer Webanwendung oder auf einem Server. Die Aktivitäten lassen sich automatisiert analysieren, um ungewöhnliche Aktivitäten zu erkennen, die auf eine Bedrohung hindeuten. In einem solchen Fall wird die Session sofort unterbrochen.
Anwendungskontrolle auf dem Endpoint
Eine umfassende, richtlinienbasierte Anwendungskontrolle hilft, Endgeräte zu schützen und eine sichere Arbeitsumgebung für jede Benutzergruppe zu schaffen. Sie setzt Least-Privilege-Prinzipien auf Endpoints durch und berücksichtigt den Anwendungskontext und verschiedenste Parameter, um zu entscheiden, ob das Ausführen von Anwendungen, Skripten und anderen Aktivitäten zugelassen oder blockiert wird.
Credentials und Secrets Management
Credentials wie Benutzernamen und Passwörter sind notwendig, um Identitäten zuverlässig zu identifizieren. Ein Credential Management übernimmt nicht nur die Verwaltung von Passwörtern, Schlüsseln und anderen Credentials, sondern wacht auch über die Einhaltung von Passwortrichtlinien und rotiert Passwörter beziehungsweise Keys nach definierten Vorgaben, etwa nach einem Zeitplan oder nach bestimmten Ereignissen. Ein Secrets Management erlaubt es, ähnliche Sicherheitsrichtlinien für nicht-menschliche Identitäten durchzusetzen, die beispielsweise in Bots, Skripten, Cloud-Anwendungen und IoT-Geräten zum Einsatz kommen.
Neueste Kommentare
Noch keine Kommentare zu Mensch oder Maschine: Jede Identität muss früher oder später auf Systeme und Daten zugreifen
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.