Gedanken zum Privileged Identity Management und Privileged Account Management

Gedanken zum Privileged Identity Management und Privileged Account Management

Flavio Gerbino
von Flavio Gerbino
Lesezeit: 13 Minuten

Privileged Identity Management (PIM) ist eine Domäne des Identity Managements. Sie konzentriert sich auf die besonderen Anforderungen privilegierter Benutzerkonten in der IT-Infrastruktur eines Unternehmens, darunter admin, root und super-user. PIM wird durch die zur Verfügung gestellten Funktionen auch als Information Security- und Governance-Instrument verwendet, um Unternehmen bei der Erfüllung von Gesetzlichen Bestimmungen und regulatorischen Compliance-Vorschriften (vgl. FINMA, PCI-DSS. etc.) zu unterstützen. Zudem helfen sie dabei, den internen Datenmissbrauch durch den Einsatz von privilegierten Accounts zu verhindern. Sollte das nicht funktioniere, so sollte PIM dazu dienen, diesen Missbrauch festzustellen und nachzuvollziehen.

Typische Bestimmungen zum Umgang mit privilegierten Identitäten und Usern sowie Accounts sind branchenspezifisch sowohl in Standards als auch in Regularien und Gesetzen zu finden. In der Liste am Ende dieses Artikels sind einige beispielhaft aufgeführt, die in diesem Kontext von Bedeutung sein können.

Begriffsbestimmung

Anbieter beziehen sich auf Produkte in dieser Kategorie mit ähnlichen, aber unterschiedlichen Begriffen. Als Folge davon gibt es Verwirrung im Zusammenhang mit PIM. Inzwischen hat sich auch die Bezeichnung als P × M etabliert wobei für x oft Access, User, Account, Identity oder Password verwendet werden.

Unter Privileged Identity Management fällt das Privileged Account Management, das wir hier nun erörtern wollen.

Inhalt PAMs - Zum Vergrössern klicken

Der privilegierte Zugriff und die Kontrolle der Administratorkonten ist ein permanentes und kontinuierliches Interessensfeld und ständiger Grund zur Sorge in einem Unternehmen. Die heutigen steigenden Compliance-Anforderungen richten zusätzlich ihre Aufmerksamkeit auf diesen neuralgischen Punkt. Sie fordern, dass Unternehmen verstärkt Massnahmen forcieren, die kritische Konten und Passwörter adäquat schützen, verwalten und steuern.

Denn unbeaufsichtigte root, admin und superuser Accounts wie auch andere privilegierte Accounts können zum Verlust oder Diebstahl von sensiblen Unternehmens-Daten führen. Weiter lässt sich über solche Accounts auch Malware einschleusen, die das Netzwerk, die Systeme und Sicherheit eines Unternehmens kompromittieren.

Verschärfte gesetzliche Bestimmungen und regulatorische Normen erfordern die Aggregation von Daten und Event-Management-Informationen. Diese erfordern die Fähigkeit zur Identifizierung und Beseitigung interner Bedrohungen, die durch den Missbrauch von eben solchen privilegierten Benutzerrechten entstehen können.

Das heisst Unternehmen müssen zunehmend in der Lage sein, privilegierte Zugriffe auf Bedarfsbasis (Least Privileges / Need-to-Know) sicher zur Verfügung zu stellen: Auf der Basis von spezifischen Rollen. Dies ist das Prinzip der geringsten privilegierten Rechte: Zugang nur auf das Notwendige, innerhalb definierter Zeitpunkte.

Ein optimaler Ansatz für die Privilegierte Account Management Lösung muss eine umfassende Nachvollziehbarkeit, Verbindlichkeit (Accountability) und granulare Zugriffskontrolle, die in den nativen Systemfunktionen fehlen, erreichen können.

Der optimale Ansatz für eine _PAM_-Lösung muss folgende Kriterien erfüllen, die in den nativen Systemfunktionen fehlen:

Damit entsteht ein Framework der geringsten Rechte. Administratoren erhalten Zugriff auf das Nötigste. Und zwar nur auf Request und nur dann, wenn sie diesen Zugriff benötigen.

Dies erfordert folgenden Kontrollen (Checks and Balances):

Das Vorgehen erfordert, einige Schritte als Voraussetzung, bevor ein PAM Tool erwogen wird:

  1. Es muss eine entsprechende Policy erstellt werden. Diese spezifiziert, wie privilegierte Konten verwaltet werden und was den Besitzern des Accounts erlaubt und nicht erlaubt ist.
  2. Die Entwicklung und die Integration in ein Sicherheitsmanagement-Frameworks. Das Framework definiert Verantwortliche, die sicherstellen, dass die Policies für das Sicherheitsmanagement eingehalten werden.
  3. Systematische und konsequente Inventarisierung privilegierter Konten. Dies bietet Überblick und Kontrolle über die Folgenden:
    • Accounts
    • Rollen
    • Gruppen
    • Funktionen
    • Personen
  4. Setzen Sie für das Management auf geeignete Tools und implementieren sie sinnvolle, pragmatische Prozesse, die sich an der Praxis orientieren.

Durch eine richtliniengesteuerte Umsetzung dieser erwähnten Bereiche kann ein Unternehmen ihre sensitiven Daten und Systeme vor privilegierten Zugriffen besser schützen und Sicherheitsbrüche verhindern (oder wenigstens erkennen, identifizieren und nachvollziehen). Darüber hinaus kann so die immer breiter werdende Palette von regulatorischen Anforderungen eingehalten werden. Dies ist grob zusammengefasst das Thema des privilegierten Account-Managements. Eine Kombination aus:

Diese sorgen dafür, dass privilegierte Benutzer und Super-User mit Administratorrechten nur die vorgesehenen Tasks durchführen und dass der privilegierte Zugriffe nicht global sondern auf einer Bedarfsbasis gründet und entsprechend geschützt aufgezeichnet wird (Audit-Trail und Session Recording.) Kurz gesagt: Mit PAM kann die Nachvollziehbarkeit und die Kontrolle in einer ansonsten übermässig wuchernden, unkontrollierbaren Systemzugriffs-Unkultur von privilegierten Zugriffen wiederhergestellt werden. Da die Probleme, die durch unkontrollierte Zugriff auf privilegierte Konten hervorgehen, hohe Risiken bergen, wie:

Ein sinnvoll implementiertes PAM-System kann ein Mittel sein, um solche Risiken zu mildern oder sogar zu eliminieren. Dies tut es unter Berücksichtigung der folgenden Aspekte:

Überblick Hauptfunktionen

In einem PAM sind folgende Hauptfunktionalitäten zu berücksichtigen:

So funktionieren das Privileged Password Management und das Privileged Session Management:

Ablauf im PAM - Zum Vergrössern klicken

Kontext der Funktionen und Benutzer im Zusammenhang mit einem Privileged Account Management System. So könnten Konten in einer PAM Umgebung Strukturiert werden:

Faktoren des Account Managements - Zum Vergrössern klicken

Eine PAM-Technologie muss sich den Bedürfnisse der privilegierten Accounts flexibel anpassen können. Dies schliesst ein:

Randbemerkung zum Session Recording

Session Recording hat in vielen Unternehmen bereits Fuss gefasst. Es erfreut sich im Rahmen von eingesetzten PAM-Lösungen zunehmender Beliebtheit. Dabei entstehen mit solchen Überwachungslösungen Problemkreise, die gerne ausgeblendet werden und die ich deshalb explizit erwähnen möchte. Der Trend Session Recordings zu breitflächig einzusetzen kann Nachteile nach sich ziehen:

Es besteht also das Risiko der Desinformation durch die wachsende Datenquantität, sowie ein stark zunehmender Storageverbrauch, dessen Kosten schlimmstenfalls den Nutzen der gespeicherten Aufzeichnungsdaten übersteigen. Die Affinität zum klassischen Systemlogging könnte dahingehend genutzt werden, um das Auffinden relevanter Informationen aus den Aufzeichnungen zu erleichtern.

Fazit

Tatsächlich besteht ein zunehmender Druck in der täglichen Praxis präzis und nachvollziehbar zu protokollieren, wer, wann, was und warum getan hat. Es gilt für privilegierte Benutzer umso mehr, die Korrektheit und Angemessenheit einer Aktivität nachzuweisen. Hinzu kommen die verschärften Ansprüche hinsichtlich Revisionssicherheit von IT-Aktivitäten sowie die geltenden Gesetze und regulatorische Anforderungen wie z.B. der FINMA, PCI-DSS etc. Es genügt daher nicht, eine technische Lösung einzusetzen, ohne sich aber systematisch und spezifisch mit internen und externen Anforderungen auseinander zu setzen. Eine zwingende Validierung der primären Treiber muss vor der Einführung eines PAM-Frameworks durchgeführt werden. Wie immer ist die zugrundeliegende Technik wichtig, aber noch wichtiger in diesem Zusammenhang sind sinnvoll implementierte Prozesse zur Steuerung einer PAM-Lösung: Dabei darf der Initalaufwand keinesfalls unterschätzt werden.

Anhang

Hier eine beispielhafte Liste, die illustriert, welche Regularien und Gesetze im PIM von Bedeutung sein können:

Über den Autor

Flavio Gerbino

Flavio Gerbino ist seit Ende der 1990er Jahre im Bereich der Informationssicherheit tätig. Seine Schwerpunkte liegen im Bereich der strategischen Ausrichtung und des Managements der Sicherheit eines Unternehmens.

Sie wollen die Sicherheit Ihrer Firewall prüfen?

Unsere Spezialisten kontaktieren Sie gern!

×
Crypto-Malware

Crypto-Malware

Ahmet Hrnjadovic

TIBER-EU Framework

TIBER-EU Framework

Dominik Altermatt

Vertrauen und KI

Vertrauen und KI

Marisa Tschopp

Datenverschlüsselung in der Cloud

Datenverschlüsselung in der Cloud

Tomaso Vasella

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv