Access Management
IAM als Grundlage einer Zero-Trust-Strategie
Foto: ArtemisDiana - shutterstock.com
Das Risiko von Man-in-the-Middle-Angriffen, Diebstahl von Zugangsdaten und dem Verlust sensibler Daten ist so hoch wie nie zuvor. Laut dem Consumer Identity Breach Report 2021 gab es im Jahr 2020 weltweit einen Anstieg von 450 Prozent bei Datenverstößen mit Benutzernamen und Passwörtern. Unbefugter Zugriff war dabei das dritte Jahr in Folge die Hauptursache für Datenschutzverletzungen.
Das zeigt, in der heutigen Sicherheitswelt ist eine Perimeter-Absicherung auf Grundlage von IP-Adressen nicht mehr wirksam. Auch kleinere Unternehmen tun gut daran, ein Zero-Trust-Konzept zu erarbeiten und zeitnah umzusetzen. Dafür ist ein modernes Identity & Access Management (IAM) ein zentraler Baustein.
Die sieben Grundsätze der Zero-Trust-Security
Um zu verstehen, weshalb IAM in diesem Zusammenhang wichtig ist, muss Zero Trust zuerst definiert werden. Das U.S. National Institute of Standards and Technology (oder kurz "NIST") versteht Zero Trust als "Verlagerung der Verteidigung von statischen, netzwerkbasierten Perimetern hin zum Schutz von Benutzern, Anlagen und Ressourcen" und hält dabei sieben Grundsätze fest. Demnach müssen Unternehmen, die eine Zero-Trust-Security betreiben,
alle Datenquellen und Rechendienste als schutzbedürftige Ressourcen betrachten;
die gesamte Kommunikation unabhängig vom Netzstandort sichern;
den Zugriff auf einzelne Unternehmensressourcen pro Session gewähren;
den Zugriff auf Ressourcen durch dynamische Richtlinien festlegen (dazu gehören auch der Status der Client-Identität, der Anwendung oder des Dienstes und des anfragenden Assets);
die Integrität und Sicherheit aller eigenen und zugehörigen Assets messen und überwachen;
alle Ressourcenauthentifizierungen und -autorisierungen streng, aber zugleich dynamisch umsetzen, bevor Zugriff gestattet wird;
so viele Informationen wie möglich über den aktuellen Zustand der Anlagen und der Netzwerkinfrastruktur sammeln und diese nutzen, um die Sicherheitslage zu verbessern.
Durchgehend authentifizieren und autorisieren
Unternehmen setzen verschiedene Lösungen ein, um Netzwerkinfrastruktur abzusichern: Next-Generation-Firewalls, Mikro-Segmentierung, Continuous Diagnostics and Mitigation (CDM), Threat Intelligence, VPNs und Aktivitätsprotokolle sind vielerorts Teil der Zero-Trust-Strategie. Wie in den Grundsätzen des NIST jedoch deutlich wird, spielen vor allem die Benutzer und die Ressourcen wichtige Rollen. Bevor eine Organisation einem Anwender, Gerät oder System vertraut, muss klar sein, wer die Person, das Device oder das System ist und ob die jeweilige Zugriffsanfrage berechtigt ist.
Das erfordert es, kleinteilige Zugangsregeln durchzusetzen. Zudem fallen für jede Zugriffsanforderung kontinuierliche Authentifizierungs- und Autorisierungsentscheidungen an, nicht nur für den erstmaligen Zugriff. Denn: die Sicherheit einer Verbindung nimmt über die Nutzungsdauer ab. Selbst bei einem Authentication Assurance Level 3 (AAL3) mit Multi-Faktor-Authentifizierung (MFA) tritt nach einer gewissen Zeit eine Unsicherheit ein und es muss überprüft werden, ob der Nutzer oder das Gerät noch der- oder dasjenige ist, das es zum Authentifizierungszeitpunkt vorgegeben hat zu sein.
Diese erhöhten Risiken gelten vor allem für Geräte, die sich außerhalb eines Firmennetzes befinden. Sie können in Privathaushalten oder in unsicheren Netzen, wie am Flughafen sein. besonders betroffen sind Geräte, die physisch nicht vor dem Zugriff unbefugter Dritter geschützt sind.
Veraltete Zugriffe locken Angreifer
Angesichts der Entwicklungen hin zu neuen Arbeitsformen, die auf hybriden oder komplett cloudbasierten Softwareumgebungen beruhen, benötigen Unternehmen IAM, um ein Zero-Trust-Network erfolgreich zu implementieren. Viele neue Identitätstypen und projektbasierte, dynamische Organisationsstrukturen erfordern erweiterte Methoden, um Zugriffe zu kontrollieren und Berechtigungen zu verwalten.
Rollenbasierte Zugriffskontrolle, die sogenannte Role Based Access Control (RBAC), beruht weitgehend auf manuellem Role Mining und Modeling. Diese kann mit den heutigen Massen an Daten und Identitäten nicht mehr mithalten. Das kann zu übermäßigen Zugriffsrechten, verwaisten Konten und einer schleichenden Ausweitung der Berechtigungen (engl. Entitlement Creep) führen.
Entitlement Creep entsteht, wenn sich die Benutzerrollen ändern und das System die nicht mehr notwendigen Berechtigungen bestehen lässt. Werden die Rollen und Berechtigungen eines Jobwechsels innerhalb des Unternehmens nicht genau nachvollzogen, kann es passieren, dass dem Nutzer neue Zugriffsrechte zugewiesen, die alten jedoch nicht entzogen werden. Langjährige Mitarbeitende mit vielen oft überflüssigen Berechtigungen sind ein verlockendes Ziel für Angreifer. Sie nehmen solche Profile mit Spear-Phishing-Kampagnen ins Visier und dringen mit den gestohlenen Anmeldedaten ins Unternehmensnetzwerk ein.
Stufenweiser Ansatz zur Zero-Trust-Architektur
Die Analysten von Forrester empfehlen den Wechsel von einem Perimeter-Ansatz zur Zero-Trust-Architektur stufenweise anzugehen: Nach der anfänglichen Planung sollten zuerst die Benutzer vor Identitäts- und Logindaten-Diebstahl mithilfe von Multi-Faktor-Authentifizierung und risikobasierter Autorisierung geschützt werden. Danach folgen Geräte, Workloads und Netzwerke. Eine IAM-Lösung sollte flexibel genug sein, um möglichst viele Zero-Trust-Grundsätze zu unterstützen.
Das lässt sich beispielhaft am ersten NIST-Grundsatz ("alle Datenquellen und Rechendienste sind schutzbedürftige Ressourcen") festmachen. Unbekannte Ressourcen können nicht geschützt werden. Das IAM-System sollte deshalb in der Lage sein, alle menschlichen und nicht-menschlichen Entitäten zu identifizieren und ihnen eine digitale Identität zuzuweisen. Das gilt für alle Personen wie Mitarbeitende, Geschäftspartner, Auftragnehmer und Verbraucher, aber auch für IoT-Geräte, Dienste und Micro-Services.
Darüber hinaus sollte das IAM-System in der Lage sein, Informationen von weiteren Diensten, wie etwa Device Management, zu berücksichtigen und den Unternehmenszugang mit manipulierten Geräten zu sperren. Das IAM sollte dabei Beziehungen zwischen diesen menschlichen und nicht-menschlichen Entitäten herstellen. Der gesamte Vorgang muss außerdem unabhängig vom Standort möglich sein (Grundsatz 2).
Foto: ForgeRock
Benutzer werden anhand eines zuverlässigen Identitätsspeichers authentifiziert, normalerweise anhand einer Kombination aus etwas, das sie wissen, das sie haben und das sie sind. Aber so eine Authentifizierung darf kein einmaliges Ereignis sein. Die IAM-Lösung sollte menschliche und nicht-menschliche Identitäten immer für einen bestimmten Zweck oder eine bestimmte Zeitspanne verifizieren und authentifizieren.
Zugriffsentscheidungen sollten auf der Grundlage kontextbezogener Signale getroffen werden und dabei starke Authentifizierungstechnologien und MFA einbinden, ohne die Endnutzer zu behindern. Ein dynamischer Zugriff kann dabei auf Kriterien wie Nutzerverhalten, Tageszeit, Geräteinformationen und Abweichungen von 'normalen' Bedingungen basieren.
Fazit
Eine IAM-Software implementiert grundlegende Funktionen, die für Zero Trust nötig sind: digitale Identität, Sitzungsmanagement, dynamische Richtlinien, starke Authentifizierungs- und Autorisierungsfunktionen. Die Integration von IAM mit Identity Governance und Verwaltung (IGA) ist entscheidend für die Verbesserung der Sicherheitslage des Unternehmens. Dadurch wird sichergestellt, dass Nutzer nur die Zugriffsrechte haben, die sie wirklich benötigen, und nicht mehr. (jm)