Cybersicherheit beginnt mit einem Grundsatz: „Man kann nicht schützen, was man nicht kennt.“ Das gilt für Vermögenswerte wie Endpunkte, Server usw., aber auch für Konten. Stellen Sie sich jetzt diese Fragen: Wissen Sie, welche Konten in Ihrer Umgebung vorhanden sind und was sie in Ihrem Netzwerk tun? Und haben Sie darüber hinaus die Kontrolle darüber, was diese Konten tun, und wie verwalten Sie die Sicherheitsmaßnahmen für sie?
In den letzten Beiträgen haben wir die verschiedenen Risiken erörtert, die menschliche und nicht-menschliche Identitäten (NHIs) für ein Unternehmen mit sich bringen. In diesem Blog konzentrieren wir uns auf die Herausforderung, die Verwaltung und den Schutz einer großen Anzahl von NHIs in einer Umgebung durch Automatisierung und Sicherheitsrichtlinien zu skalieren. Wir werden herausfinden, warum die Automatisierung Dienstkonto Sicherheit ist für Unternehmen von entscheidender Bedeutung, um den Schutz zu verbessern, die Verwaltung zu optimieren und Risiken zu reduzieren.
Schutz nicht-menschlicher Identitäten
Wenn es um Konten geht, geht es nicht nur um Benutzerkonten, die menschliche Benutzer, sondern auch Nicht-human Identitäten.
Benutzerkonten sind auf den ersten Blick einfach zu verwalten, da sie einer realen Person gehören, die das Konto zur Authentifizierung bei Diensten und Ressourcen verwendet. Dem Konto können zusätzliche Sicherheitsebenen hinzugefügt werden, wie z. B. Richtlinien zur Kennwortrotation, Schwellenwerte für die Kontosperrung, MFA Validierung usw.
Eine Non-Human Identity (NHI) ist ein allgemeiner Begriff zur Beschreibung eines Kontos, das von einer Maschine (oder einer Anwendung, einem Dienst, einer Automatisierung usw.) verwendet wird, um nicht-interaktive AD-Authentifizierung an denen kein menschlicher Benutzer beteiligt ist. Wir bezeichnen diese als Dienstkonten (Active Directory) oder Serviceprinzip (Entra ID).
Obwohl Dienstkonten in der Regel ein eindeutiges Nutzungsmuster aufweisen, bringt die Einschränkung ihrer Sicherheitslage ihre eigenen Herausforderungen mit sich. Jeder in der Organisation ausgeführte Dienst benötigt möglicherweise ein oder mehrere Dienstkonten, daher muss der Schutz umfangreich sein.
Dienstkonten schützen lässt sich auf einige wenige Schlüsselaspekte reduzieren:
- Service Accounts: Haben Sie einen klaren Überblick über alle Konten?
- Zweck: Wissen Sie, warum sie in der Umwelt vorhanden sind?
- Verhalten: Können Sie die Nutzung überprüfen und validieren?
- Vorrechte: Können Sie die Berechtigungen eines Kontos validieren und schützen?
- Attacke Erkennung: Können Sie sich vor bestimmten, auf Dienstkonten basierenden Angriffen schützen?
- Sicherheit Management: Verfügen Sie über klare Schutzfunktionen für alle Ihre Konten?
Ein Schritt zurück in die Vergangenheit: Managed Service Accounts
Managed Service Accounts (MSAs) sind spezialisierte verwaltete Domänenkonten in Active Directory Entwickelt, um ein höheres Maß an Sicherheit zu bieten, beispielsweise automatisierte Kennwortverwaltung und vereinfachte Verwaltung von Dienstkonten. Standalone Managed Service Accounts (sMSAs) werden für einzelne Dienste auf einem einzelnen Server verwendet und können nicht von mehreren Servern gemeinsam genutzt werden. Gruppenverwaltete Dienstkonten (gMSAs)sind dagegen für die Verwendung durch mehrere Server in einer Umgebung konzipiert, beispielsweise wenn ein Dienst über einen Load Balancer bereitgestellt wird.
Insgesamt verbessern gMSAs die Sicherheit, vereinfachen die Kontoverwaltung und reduzieren die betriebliche Komplexität, die mit Dienstkonten in Unternehmensumgebungen verbunden ist. Allerdings sind nicht alle Dienstkonten als MSAs geeignet, und die Verwaltung von MSAs kann Herausforderungen mit sich bringen, wie z. B. die Sicherstellung korrekter Anwendungskonfigurationen und das Verständnis der Domänenvoraussetzungen. Viele der Herausforderungen bei der Verwaltung regulärer Dienstkonten gelten auch für MSAs, darunter mehrere Angriffstechniken. Es gibt also Raum für weitere Verbesserungen, von denen Identitäts- und Sicherheitsteams profitieren könnten.
Herausforderung der Automatisierung und Skalierung des Dienstkontoschutzes
Wenn Sie versuchen, die vollständige Kontrolle über die Aktivitäten und den Schutz Ihrer Servicekonten zu erlangen, entsteht allzu oft und schnell eine neue Herausforderung: Wie verwalten Sie diese Konten richtig?
Im Folgenden sind die wichtigsten Herausforderungen aufgeführt, mit denen wir bei der Verwaltung von Servicekonten weiterhin konfrontiert sind:
- Anzahl der Dienstkonten: Die Anzahl der Konten in einer Organisation kann schnell ansteigen, insbesondere wenn es um Dienstkonten geht. Ein Grund dafür ist, dass jeder Dienst oder jede Anwendung, die in einer Organisation ausgeführt wird, spezifischen Zugriff auf andere Ressourcen benötigt und dazu mehrere Dienstkonten verwendet, wie es die Best Practice vorsieht. Ein gutes Beispiel hierfür ist die Anzahl der Dienstprinzipale in einem Microsoft Entra ID Umwelt.
- Mehrere Teamverantwortlichkeiten: In den meisten Fällen ist das Team, das die Anwendungen verwaltet und konfiguriert, weder das für den Identitätsanbieter zuständige Team noch das Sicherheitsteam. Daher müssen mehrere Teams wie Anwendungsteams, Sicherheitsteams, Identitätsteams usw. zusammenarbeiten, um die Dienstkonten ordnungsgemäß zu sichern.
- Kontolebenszyklus: Servicekonten wachsen mit der Anzahl der Dienste und können, wie oben erwähnt, automatisch generiert werden. Dies macht es für einen Identitätsadministrator schwierig, den Überblick über alle Konten zu behalten und sicherzustellen, dass neue Konten richtig gesichert sind. Anwendungen und Dienste könnten außer Betrieb genommen und aus der Umgebung entfernt werden. Allerdings wird das Bereinigen aller zugehörigen Servicekonten oft vergessen, was zu verwaisten Konten führt, die ein Sicherheitsrisiko darstellen können.
- Sichtbarkeit und Dokumentation: Servicekonten sind oft schlecht dokumentiert, was die Anwendung von Sicherheitsrichtlinien erschwert. Auch die Kontoinhaber sind schlecht dokumentiert, was sogar dazu führen kann, dass die Inhaberschaft verloren geht, wenn Personen das Unternehmen verlassen.
Um die Herausforderungen der Skalierung des Dienstkontoschutzes zu bewältigen, benötigen Unternehmen effiziente und klarere Verwaltungsfunktionen für Dienstkonten, um ihre Sicherheitslage zu stärken.
Skalieren von Dienstkonto-Schutzrichtlinien in Silverfort
Silverfort Service Account Protection bietet einen Überblick über alle Ihre Servicekonten an einem Ort, überwacht deren Aktivität in Ihrer Umgebung und setzt Schutzrichtlinien durch.
Um die Herausforderung der Skalierung Ihrer Service-Account-Richtlinien zu bewältigen, Silverfort bietet mehrere Mechanismen, um die Kontrolle über die Sicherheitsschutzebene Ihres Servicekontos zu behalten. In diesem Abschnitt werden wir kurz auf diese Funktionen eingehen.
Dienstkonto-Kategorisierung
Silverfort's Dienstkontoerkennung Engine erkennt Servicekonten anhand von Authentifizierungsverhaltensmustern und kategorisiert sie in Kategorien, darunter M2M-Konten (Machine-to-Machine), Hybridkonten, Scanner und inaktive Konten. Die Klassifizierung ist der erste Schritt zur Identifizierung maschinenbasierter und verwendeter Konten.
Die Service-Account-Engine erkennt auch interaktive Nutzung, neue Konten, häufig verwendete Konten usw. Alle diese Informationen helfen bei der anfänglichen „Triage“ der Konten, die für den Schutz durch eine Sicherheitsrichtlinie bereit sind.
Silverfort nutzt bewährte Methoden, die in einer Organisation zur Verwaltung von Dienstkonten verwendet werden, und unterstützt die Engine nicht nur bei der Kategorisierung, sondern auch bei der Erkennung. Die Implementierung bewährter Methoden zur Verwendung von Dienstkonten verschafft Ihnen einen Vorsprung bei der Umsetzung Ihrer Sicherheitsrichtlinien. Daher sollte dies beim Schutz von Dienstkonten immer oberste Priorität haben.
In fast allen Umgebungen weisen zahlreiche Konten gemischte Verhaltensmuster auf, funktionieren hybrid, leiden unter Fehlkonfigurationen oder bleiben Legacy-Konten. Diese Konten erfordern die Aufmerksamkeit des Identitätsteams. Die Kategorisierung ist der erste Schritt, um den richtigen Fokus zu setzen.
Silverfort und verwaltete Servicekonten
Microsoft bietet MSAs zur Unterstützung bei der Verwaltung und Sicherheit von Dienstkonten an. Sie bieten automatische Kennwortverwaltung, vereinfachte SPN-Verwaltung (Service Principal Name) und die Möglichkeit, die Verwaltung an andere Administratoren zu delegieren. Eine der wichtigsten Sicherheitsmaßnahmen besteht darin, dass sie keine interaktive Anmeldung zulassen, da sie für die nicht-interaktive Verwendung durch Dienste und Anwendungen vorgesehen sind.
Kombiniert mit SilverfortDurch die Funktionen der Service-Account-Schutzrichtlinien wird die Sicherheitslage von gMSAs noch weiter verbessert, während die einfache Verwaltung durch Active Directory.
Silverfort unterstützt Funktionen wie gMSAs im Rahmen der Richtlinie zum Schutz von Dienstkonten. Diese Konten werden als Machine-to-Machine-Konten klassifiziert und alle auf der Plattform verfügbaren Funktionen werden auf sie angewendet. Jedes gMSA wird erkannt und wie jedes andere Dienstkonto behandelt. Dies bedeutet, dass alle Funktionen, einschließlich der Richtlinien für Dienstkonten, zusätzlich zu den gMSAs in der Umgebung anwendbar sind.
Intelligente Richtlinien: Ihr Weg zum automatisierten Service-Account-Schutz
Um die Verwaltung von Sicherheitsrichtlinien zu vereinfachen, haben wir vor Kurzem unsere Smart Policy-Funktion eingeführt.
Mit einer Smart Policy können Sie ganze logische Gruppierungen von Dienstkonten automatisch basierend auf ihrem Aktivitätsprofil schützen. Die Smart Policy wird in Zyklen ausgeführt, scannt Dienstkonten auf Basisänderungen und definiert die Richtlinie zum Schutz von Dienstkonten entsprechend. Diese Änderung erfolgt automatisch und dynamisch, ohne dass ein manueller Eingriff erforderlich ist.
Wenn das Verhalten eines Kontos über einen bestimmten Zeitraum hinweg konstant bleibt, wird die Richtlinie
erzwingen Sie automatisch eine Sicherheitsebene über dem Konto. Silverfort schützt jede Authentifizierung, die vom bekannten Basisverhalten abweicht.
Mit einer intelligenten Richtlinie Silverfort verbessert die Belastbarkeit stabiler und konsistenter Dienstkonten, sodass Sie sich auf komplexere und dynamischere Dienstkonten konzentrieren können. Dienstkontorichtlinien werden basierend auf Ihren Konfigurationseinstellungen automatisch durchgesetzt. So wird die Sicherheitslage Ihrer Dienstkonten mit minimalem Verwaltungsaufwand verbessert und gleichzeitig eine klare Übersicht bewahrt.
Integration mit der Service Account Policy-API
Ein anderer Ansatz für eine automatisiertere und konsistentere Verwaltung von Dienstkontorichtlinien ist der Aufbau einer automatisierten Korrelation zwischen Silverfort's Service Account Policy und ein Drittanbieter-Service. Dies kann eingerichtet werden durch Silverfort Integrationen, zum Beispiel durch den Einsatz von Silverfort's Service Account Protection-App in ServiceNow (siehe unten).
Die Integration von Service Account Protection Policy verwendet unsere Service Account Policy API, die eine vollständige Kontrolle über die Sicherheitsrichtlinien für Servicekonten ermöglicht. Wie bereits erwähnt, kann ein Teil dieser Sicherheitsrichtlinien mithilfe intelligenter Richtlinien vollständig automatisiert werden. Andere benötigen möglicherweise zusätzliche Informationen oder Anweisungen, um wirksam zu sein. Aus der Automatisierungsperspektive kann dies alles über die API gelesen und gesteuert werden.
Die Möglichkeiten der API sind zahlreich. Sie können diese API beispielsweise in einem Playbook nutzen oder Ihre eigenen API-Interaktionen basierend auf Ereignissen von Drittanbietern durchführen.
Integration mit CMDB (Configuration Management Database)
Eine CMDB wird häufig verwendet, um die gesamte Infrastruktur einer Organisation an einem Ort abzubilden und ein einheitliches Aufzeichnungssystem für die Umgebung bereitzustellen. Die CMDB konsolidiert und verwaltet einen kombinierten Satz komplexer Daten aus verschiedenen Quellen. Ein einziger Ort wie eine CMDB, an dem diese Art von Informationen live und abfragbar ist, ist für jede Abteilung eines Unternehmens von großem Wert.
Eine der wichtigsten Komponenten einer CMDB ist eine Übersicht über laufende Anwendungen und Dienste. Dazu gehören Softwareversionen, Hardwarezuordnung, Kommunikationsflüsse und Eigentümer. Die CMDB enthält eine große Menge an Daten darüber, was einen Dienst oder eine Anwendung am Laufen hält.
Im Rahmen des Dienstkontoschutzes Silverfort interessiert sich für die Servicekontoinformationen zu einem Service oder einer Anwendung in der CMDB. Die Nutzung der Servicekontodaten im Vergleich zu Anwendungsdaten in einer CMDB ermöglicht Silverfort um die Sicherheitslage des NHI zu verbessern.
Das CDMB kann nicht nur als einziger Anlaufpunkt der Wahrheit fungieren, sondern durch die Nutzung SilverfortFunktionen zur Erkennung von Servicekonten, Silverfort ist außerdem in der Lage, einen Validierungsmechanismus bereitzustellen und eine der Datenquellen für die Vollständigkeit und Konsistenz der CMDB-Daten zu werden. Dies könnte einer Organisation beispielsweise dabei helfen, aktive Konten zu erkennen, die nirgends in der CMDB dokumentiert sind.
Beispiel: ServiceNow CMDB
Angesichts der Notwendigkeit automatisierter und skalierbarer Funktionen zum Schutz von Servicekonten Silverfort eine ServiceNow-Anwendung entwickelt Das konzentriert sich speziell auf die Nutzung der ServiceNow CMDB-Daten mit dem Silverfort Dienstkontorichtlinie.
Die Integration ermöglicht eine automatische Durchsetzung unserer Service Account Policy-Funktionen ohne Interaktion von Sicherheitsadministratoren. Dies geschieht in Echtzeit basierend auf CMDB-Anwendungs- und Servicedaten.
Durch die Verwendung der Silverfort Mit der Anwendung zum Schutz von Servicekonten auf Ihrer ServiceNow CMDB-Instanz aktivieren Sie:
Skalierbarkeit: Skalieren Sie den Schutz von Dienstkonten, indem Sie die CMDB als einzige zuverlässige Quelle nutzen und Richtlinien zum Schutz von Dienstkonten in Echtzeit durchsetzen.
Gruppenarbeit: Nutzen Sie die Integration für eine einfache teamübergreifende Zusammenarbeit bei der Durchsetzung der Sicherheit. Anwendungsteams, die CMDB-Anwendungsinformationen aktualisieren, können die Sicherheitsrichtlinien für diese Anwendungen anpassen, ohne dass ein manuelles Eingreifen der Sicherheitsteams erforderlich ist.
Minimierung menschlicher Fehler: Menschen machen leicht Fehler, aber Automatisierung nicht. Quelldaten spiegeln sich sofort in entsprechenden Richtlinien wider, mit den richtigen Daten an der richtigen Stelle.
Die Integration kann über den ServiceNow Store installiert werden werden auf dieser Seite erläutert.
Fazit
Skalierung nicht-menschlicher Identitätsschutz Der Erfolg hängt von der Konsistenz und Qualität des Verhaltens des Dienstkontos ab. SilverfortDie automatische Verhaltenserkennung, Kategorisierung und Smart Policy-Durchsetzung von erleichtern den ersten Schritt hin zu einer vollständig automatisierten und geschützten Servicekontoumgebung erheblich.
Größere Umgebungen weisen eine enorme Zunahme an Datenquellen auf und registrieren meist einen zentralen Datenspeicher (CMDB) als einzige Quelle der Wahrheit für die IT-Infrastruktur, einschließlich Anwendungs- und Servicedaten. Die Nutzung dieser Informationen mithilfe SilverfortDie Integrationsfunktionen von ermöglichen eine präzise Sicherheitsdurchsetzung in Echtzeit und schaffen so eine stärkere und widerstandsfähigere Sicherheitslage für NHIs in der Umgebung.