Organisationen verwenden Berechtigungen für Cloud Identity and Access Management (IAM) um zu steuern, auf welche Ressourcen die Identitäten in ihrer Cloud-Umgebung zugreifen dürfen.
Cloud-Identitäten können Folgendes umfassen:
- Nutzer
- Groups
- Service Accounts
- Rollen
Warum sind Cloud-IAM-Berechtigungen wichtig?
Wenn Unternehmen Systeme und Anwendungen in die Cloud migrieren, verlassen sie sich auf IAM um ihre Cloud-Identitäten und Ressourcen zu schützen. Typische IAM-Lösungen Für lokale Netzwerke konzipierte Lösungen lassen sich nicht gut in die Cloud übertragen. Warum?
Die Cloud ist vielfältig: Cloud-Plattformen verfügen über komplexe, sich ständig verändernde Strukturen. Sie beherbergen weit mehr Mandanten als typische Rechenzentren, verteilt auf verschiedene Hybrid- und Multi-Cloud-Infrastrukturen. Typische IAM-Lösungen können Zugriffsrechte und Privilegien in diesem Umfang nicht überwachen.
Die Cloud ist dynamisch: Benutzer, Ressourcen, Dienste und APIs – oft mit sehr kurzer Lebensdauer – werden in der Cloud kontinuierlich erstellt und gelöscht und können bei Bedarf schnell hoch- oder herunterskaliert werden. Dies erschwert die Zuweisung präziser Berechtigungen und die Vermeidung unnötiger Offenlegungen.
Sicherheit ist eine gemeinsame Verantwortung: Cloud-Anbieter sind für den Schutz der gesamten Cloud-Infrastruktur ihrer Kunden verantwortlich, wie etwa Hardware, Software und Netzwerkdienste. Die Kunden sind jedoch für alles verantwortlich, was in ihrer Cloud-Umgebung passiert, einschließlich Systemverwaltung, Datenschutz, Updates und Patches sowie IAM. Unternehmen, die zum ersten Mal mit dieser Verantwortung konfrontiert werden, neigen eher zu Fehlern.
Aus diesen Gründen lassen sich typische IAM-Kontrollen nicht einfach auf die Cloud übertragen. Große Cloud-Anbieter wie Google Cloud Platform (GCP), Amazon Web Services (AWS) und Microsoft Azure bieten daher jeweils eigene Cloud-IAM-Berechtigungen an. Diese geben Unternehmen Einblick in ihre Cloud-Umgebung, ermöglichen die Überwachung und Kontrolle von Cloud-Identitäten, die Erteilung oder Verweigerung von Berechtigungen und den Schutz sensibler Cloud-Ressourcen vor unbefugten Benutzern.
Was schützen Cloud-IAM-Berechtigungen?
Anbieter wie GCP, AWS und Azure betreiben die Cloud-Infrastruktur und stellen Cloud-IAM-Berechtigungen bereit, mit denen Administratoren den Zugriff auf Folgendes steuern können:
Rollen: Berechtigungsgruppen basierend auf gemeinsamen Aufgaben oder Verantwortlichkeiten. Rollen vereinfachen die Berechtigungsverwaltung, indem sie Cloud-Benutzern oder -Gruppen in einer Aktion eine Reihe von Berechtigungen zuweisen.
Richtlinien: Diese legen die Berechtigungen fest, die Cloud-Identitäten oder -Ressourcen erteilt werden. Richtlinien sind flexibel und können auf verschiedenen Ebenen angewendet werden, beispielsweise in der Organisations-, Projekt- oder Ressourcenhierarchie.
Identitäten: Benutzer, Gruppen oder Dienstkonten, die Zugriff auf Cloud-Ressourcen benötigen. Diesen Identitäten werden IAM-Berechtigungen zugewiesen, um ihre Aktionen zu regulieren.
Ressourcen: In der Cloud gehostete Objekte oder Dienste wie virtuelle Maschinen, Datenbanken, Speicher-Buckets oder APIs, die durch IAM-Berechtigungen geschützt sind.
Schutz von Cloud-Identitäten mit einem CIEM
Cloud-Berechtigungen sind nicht universell. Jeder Cloud-Anbieter bietet seinen eigenen Satz von AD-Authentifizierung, Autorisierungs- und Auditfunktionen. Insgesamt unterstützen AWS, Azure und GCP mehr als 21,000 einzigartige Berechtigungen. Obwohl diese Tools und Verfahren ähnliche Aufgaben erfüllen, konkurrieren sie miteinander, überschneiden sich und verwenden unterschiedliche Terminologien. Das bedeutet, dass Cloud-IAM-Berechtigungen nicht parallel verwendet werden können. Für Unternehmen mit mehreren Cloud-Anbietern wird es dadurch schwierig, ihre IAM-Richtlinien zu standardisieren und IAM-Berechtigungen in der gesamten Cloud zu verfolgen. Dies kann Sicherheitslücken und Schwachstellen aufdecken, wenn Unternehmen auf manuelle IAM-Prozesse zurückgreifen oder typische IAM-Praktiken in ihre Cloud-Umgebung zwängen.
Lösungen für Cloud Infrastructure Entitlements Management (CIEM) wie Rezonate unterstützen Unternehmen bei der Zentralisierung und Verwaltung ihrer Cloud-IAM-Berechtigungen über mehrere Cloud-Umgebungen hinweg. Sie bieten durchgängige Transparenz über die gesamte Cloud-Infrastruktur und zeigen Berechtigungen, Zugriffspfade und Aktivitätsmuster von Cloud-Identitäten auf. So können Unternehmen Schwachstellen identifizieren und beheben, bevor sie zu Sicherheitsrisiken führen. Dies führt wiederum zu besseren, konsistenteren Prüfpfaden, verhindert das Risiko von Fehlkonfigurationen und gewährleistet die Compliance über mehrere Cloud-Plattformen hinweg.