Erreichen von IAM-Flexibilität mit maschinellen Identitäten

Maschinelle Identitäten nehmen in Unternehmen explosionsartig zu - und viele Organisationen haben Mühe, damit Schritt zu halten.

Das geht aus dem Bericht " 2021 State of Machine Identity Management " von Keyfactorhervor, für den mehr als 1.100 IT- und Sicherheitsexperten befragt wurden. Über die Hälfte der Befragten gab an, dass ihre Unternehmen nicht wissen, wie viele Schlüssel und Zertifikate sie besitzen. Ganze 62 % gaben an, dass die zunehmende Verwendung von Schlüsseln und Zertifikaten die operative Belastung ihrer Teams deutlich erhöht hat. Vor diesem Hintergrund zeigten sich 55 % besorgt über das zunehmende Risiko einer Fehlkonfiguration von Schlüsseln und Zertifikaten. 

Was genau bedeutet das alles für die Sicherheitsteams in Unternehmen? Es ist eine Situation, die korrigiert werden muss, und obwohl sich die Unternehmen der Risiken durchaus bewusst sind, brauchen viele von ihnen Hilfe, um den besten Weg zu finden. Um mehr darüber zu erfahren, was genau dazu nötig ist, führte Keyfactor ein Webinar mit Sean Ryan, Senior Analyst für Sicherheit und Risiko bei Forrester, durch. 

Hier ist, was Sie wissen müssen.

Die meisten Programme für das Identitäts- und Zugriffsmanagement (IAM) konzentrieren sich auf die "menschliche Belegschaft", d. h. auf Mitarbeiter, Partner und befristet Beschäftigte. Unternehmen verwenden seit langem eine Public-Key-Infrastruktur (PKI), um diese Benutzeridentitäten zu verwalten, einschließlich Zugriffskontrolle, Passwörter, mehrstufige Authentifizierung usw.

In der heutigen Welt werden jedoch immer häufiger maschinelle Identitäten wie Dienstkonten, Bots und APIs eingeführt. Dies erfordert, dass Sicherheitsteams die Einzigartigkeit dieser "nicht-menschlichen Arbeitskräfte" auf die gleiche Weise erkennen und verwalten, wie sie es bei den menschlichen Arbeitskräften tun. Die Anwendung von PKI und anderen traditionellen IAM-Praktiken auf die nicht-menschliche Seite der Dinge ist jedoch nicht so einfach wie "spülen und wiederholen".

Die Notwendigkeit eines solchen Wandels wird besonders deutlich, wenn wir zu einem dynamischeren Arbeitsmodell übergehen. In der API-gesteuerten Wirtschaft von heute ändern sich die Dinge beispielsweise schnell, und Unternehmen benötigen einen umfangreichen und schnellen Zugriff. Nehmen wir den Fall eines Cloud-DevOps-Teams, das neue Dienste entwickelt und über API-Aufrufe eine Verbindung zu verschiedenen Microservices herstellt. Da diese API-Aufrufe miteinander kommunizieren und auf verschiedene Informationen zugreifen müssen, benötigen sie auch Anmeldedaten, um diese Kommunikation und den Zugriff zu sichern. 

Vor diesem Hintergrund wächst die Zahl der maschinellen Identitäten in Unternehmen doppelt so schnell wie die Zahl der menschlichen Identitäten, und da sie weiterhin überall auftauchen, haben viele Unternehmen keinen klaren Überblick darüber, wie viele Zertifikate sie haben oder wo sie sich befinden. Und je komplexer die Verwaltung dieser maschinellen Identitäten wird, desto mehr Sicherheitsrisiken und potenzielle betriebliche Probleme kommen auf die Unternehmen zu.

Leider können die traditionellen Praktiken für IAM nicht mit der sich entwickelnden Landschaft und den dynamischeren Geschäftspraktiken von heute Schritt halten. Grundlegende Praktiken wie die Anwendung einer Zero-Trust-Philosophie sind nach wie vor unverzichtbar und bieten einen guten Ausgangspunkt, aber sie gehen allein nicht weit genug.

Infolgedessen müssen Sicherheitsteams neue Arten von Investitionen in Betracht ziehen, um ihre Verfahren effizienter und automatisierter zu gestalten. können mit dem schnellen Tempo der maschinellen Identitäten mithalten können.

Zu den wichtigsten Herausforderungen und Überlegungen für Sicherheitsteams gehören:

• Erkennung neuer Identitäten: In den meisten Unternehmen werden neue Maschinenidentitäten heute nicht zentral erfasst. Neue Rechneridentitäten entstehen parallel zu neuen Geschäftsanforderungen in verschiedenen Teilen des Unternehmens, und es gibt keine standardisierte Check-in-Richtlinie. Diese Situation macht es für Sicherheitsteams nahezu unmöglich, alle Identitäten, die im Spiel sind, ordnungsgemäß zu erkennen und darüber zu berichten.
• Umgang mit einem höheren Volumen und einer höheren Geschwindigkeit der Schlüsselverwaltung: Cloud-basierte API-Workloads sind sitzungsbasiert und sehr kurzlebig. Einerseits ist dies eine gute Sache: Es ist eine großartige Sicherheitsmaßnahme, die Teams auch für andere Arten von Maschinenidentitäten übernehmen sollten, die nicht auf diesen Cloud-Plattformen angesiedelt sind. Andererseits bringt es einige neue Herausforderungen für die Verwaltung mit sich, z. B. die Sicherstellung, dass nichts kaputt geht und dass die Teams mit dieser hohen Geschwindigkeit arbeiten können, während sie gleichzeitig eine große Menge an ephemeren Identitäten konsistent und sicher verwalten.
• Stärkung der Anmeldedaten: Es kommt immer wieder vor, dass Unternehmen schwache Anmeldedaten verwenden, die hart kodiert und sehr leicht zu knacken sind. Diese Situation führt zu einer schlechten Sicherheitslage, die das Unternehmen für alle Arten von leicht auszuführenden Angriffen anfällig macht.
• Vermeiden von statischen, langlebigen Zertifikaten: Unternehmen haben die Lebensdauer von Zertifikaten auf bis zu 30 Jahre verlängert, was zu ernsthaften Sicherheitsrisiken führt. Der Verzicht auf die Rotation von Zertifikaten erleichtert es Angreifern, nicht nur in das Unternehmen einzudringen, sondern auch über Monate oder sogar Jahre darin zu verweilen.

Glücklicherweise gibt es einen Weg für Sicherheitsteams, IAM effektiv auf maschinelle Identitäten auszuweiten und das hohe Volumen und die hohe Geschwindigkeit der heutigen nicht-menschlichen Arbeitskräfte zu berücksichtigen. 

Der Weg nach vorn führt über drei entscheidende Lösungen:

Die Verschlüsselung muss zur Grundlage der Unternehmenssicherheit werden, wobei Schlüssel und Zertifikate auf alle Arten von Identitäten angewendet werden. Dazu gehören alle Arten von Zertifikaten, SSH-Schlüssel, Code Signing, IoT Geräte und mehr.

Wichtig ist, dass die Verwaltung dieser Verschlüsselung im erforderlichen Umfang und mit der erforderlichen Geschwindigkeit eine integrierte Automatisierung erfordert, um einen zentralen Überblick über stark verteilte Identitäten zu erhalten. Insbesondere benötigen Unternehmen ein orchestriertes System, das ein hohes Maß an Transparenz für Administratoren bietet, um alle Schlüssel und Zertifikate kontrolliert und konsistent zu verwalten. Mit einem solchen System sollten Sicherheitsteams Probleme schnell erkennen und beheben können, um zu vermeiden, dass sie sich zu größeren Problemen entwickeln.

Viele der heute existierenden maschinellen Identitäten verfügen über einen sehr leistungsfähigen Zugang, der dazu genutzt werden kann, große Datenmengen zu exfiltrieren und auf Datenbanken mit Kundendaten und geistigem Eigentum zuzugreifen. 

Diese Zugriffsebene macht es erforderlich, eine zusätzliche Sicherheitsebene einzuführen, die privilegierte Zugriffskontrollen auf Maschinen anwendet, so wie es Unternehmen seit langem für menschliche Benutzer getan haben (weil es heutzutage oft weniger Aufsicht und Überwachung für nicht-menschliche Konten gibt als für menschliche Konten). 

Die Verwaltung privilegierter Identitäten auf Rechnern sollte eine regelmäßige Rotation der Anmeldedaten zum Schutz vor Wiederholungsangriffen und die Sicherung von Tresoren zum Schutz von RPA- und IoT -Geheimnissen umfassen.

Schließlich müssen Unternehmen den gesamten Lebenszyklus von Maschinenidentitäten beachten und verwalten, da sich Elemente wie Zugriffsrechte und Eigentümer im Laufe der Zeit ändern. Bei dieser Verwaltung muss genau festgelegt werden, was sich im Laufe der Zeit ändert (z. B. Zugriffsrechte und Eigentümer) und wer diese Änderungen vornimmt und genehmigt und warum er dies tut. Ein zentraler Prüfpfad ist für eine solide Verwaltung äußerst wichtig.

Einige wichtige bewährte Verfahren in diesem Bereich sind: 

1. Anwendung des Prinzips der geringsten Privilegien, um Maschinenidentitäten nur den Zugang zu gewähren, den sie für die Ausführung ihrer Aufgaben benötigen, 
2. Stilllegung von verwaisten Rechnerkonten, die nicht mehr verwendet werden
3. Durchsetzung der Aufgabentrennung, so dass jemand, der eine Maschinenidentität übernimmt, nicht gleichzeitig einen Antrag stellen und diesen genehmigen kann.

Unternehmen stehen heute vor einer großen Herausforderung, da dank Trends wie Cloud-Migrationen, dem Aufkommen von Maschinen und der Umstellung auf Agile und DevOps mehr Identitäten unterschiedlicher Art in einem schnelleren Tempo als je zuvor erstellt (und stillgelegt) werden. Diese Situation kann zu mehr Sicherheits- und Betriebslücken führen, wenn sie nicht richtig gehandhabt wird.

Aber es ist möglich, diese hochdynamischen Herausforderungen zu bewältigen, und es beginnt mit der Annahme eines agilen IAM-Ansatzes für die menschliche und nicht-menschliche Belegschaft, der auf den folgenden Prinzipien basiert: 

• Just-in-time-Zugang: Maschinen müssen jedes Mal den Zugang anfordern und sich authentifizieren, anstatt angemeldet zu bleiben
• Kontextabhängiger Zugriff: Verstehen des Kontexts, warum eine Maschine einen bestimmten Zugriff benötigt
• Gerade genug Privilegien: Maschinen nur Zugriff auf die Systeme und Berechtigungen geben, die sie für ihre Arbeit benötigen
• Automatisierung: Automatisierung, um alle Identitäten über ihren gesamten Lebenszyklus hinweg mit der erforderlichen Geschwindigkeit zu bearbeiten und Transparenz über diesen Lebenszyklus zu schaffen

Insgesamt bedeutet das Tempo der digitalen Transformation, dass die meisten Unternehmen einen erheblichen Anstieg des Volumens, der Geschwindigkeit und der Vielfalt der Identitäten - sowohl menschlicher als auch nicht-menschlicher - erleben, die Zugriff auf Systeme sowohl vor Ort als auch in der Cloud benötigen. Dieser Trend zeigt keine Anzeichen einer Verlangsamung und wird die IAM-Praktiken weiter belasten, wenn die Unternehmen nicht entsprechend handeln.

Möchten Sie mehr darüber erfahren, was nötig ist, um mit maschinellen Identitäten IAM-Flexibilität zu erreichen? Sehen Sie sich unser komplettes Webinar mit Forrester an, um die Details zu erfahren.