Was ist Berechtigungsverwaltung?

Berechtigungsverwaltung dient der Kontrolle und Regulierung des Benutzerzugriffs auf Ressourcen, Systeme und Daten innerhalb eines Unternehmens. Es geht darum, festzulegen, wer wann und unter welchen Umständen worauf zugreifen darf.

Berechtigungen, auch bekannt als Zugriffsrechte oder Privilegien, werden Benutzern auf Grundlage ihrer Rollen und Verantwortlichkeiten gewährt. So kann beispielsweise ein Software Engineer Zugriffsrechte auf Quellcode-Repositories erhalten, während ein Datenbankadministrator die Berechtigung hat, Schemata in einer Cloud-Datenbank zu ändern.

Das übergeordnete Ziel ist es, sicherzustellen, dass die richtigen Personen zur richtigen Zeit und aus den richtigen Gründen auf die richtigen Ressourcen zugreifen können. Dies ist von grundlegender Bedeutung für die Aufrechterhaltung von Sicherheit und Compliance in verschiedenen Infrastrukturen wie Private Clouds, Public Clouds, Hybrid Clouds und On-Premises.

Für die Verwaltung der komplexen IT-Infrastrukturen von heute, in denen Anwendungen über Cloud- und lokale Plattformen bereitgestellt werden und Mitarbeiter von überall aus sicheren Remote-Zugriff benötigen, ist die Berechtigungsverwaltung von entscheidender Bedeutung. Indem Administratoren eine fein abgestufte Kontrolle über Zugriffsrechte erhalten, wird das Risiko eines unbefugten Zugriffs und potenzieller Bedrohungen wie der Privilegieneskalation wirksam reduziert.

Hier finden Sie eine vereinfachte Aufschlüsselung der Berechtigungsverwaltung:

1. Administratoren identifizieren alle Ressourcengruppen innerhalb des Unternehmens. Dies kann Anwendungen, Netzwerkelemente, Geräte, Datenbanken und mehr umfassen.
2. Für jede Ressourcengruppe werden Richtlinien oder Zugriffsrechte definiert. Diese Richtlinien bestimmen nicht nur den Genehmigungs-Workflow, sondern legen auch die berechtigten Benutzergruppen oder Rollen fest, die auf die Ressourcen zugreifen dürfen, sowie die spezifischen Aktionen, die sie durchführen können. Die Richtlinie kann beispielsweise festlegen, dass nur Benutzer, die der Gruppe "Datenbankadministratoren" angehören, Lesezugriff auf Produktionsdatenbanken anfordern dürfen.
3. Nachdem die Richtlinien definiert wurden, können Benutzer je nach Bedarf Anfragen für den Zugriff auf Ressourcen stellen. Diese Anfragen müssen die in der Berechtigungsverwaltung eingerichteten Genehmigungs-Workflows durchlaufen.
4. Nach der Genehmigung erhalten Benutzer einen zeitlich begrenzten Zugriff auf die genehmigten Ressourcen.
5. Der Benutzerzugriff wird überwacht und auditiert, um verdächtige Aktivitäten oder unbefugte Zugriffsversuche zu erkennen. Außerdem werden die Berechtigungen regelmäßig überprüft und aktualisiert, um Änderungen der Benutzerrollen oder der organisatorischen Anforderungen zu berücksichtigen.

Berechtigungsverwaltung ist ein integraler Bestandteil eines umfassenderen Konzepts, das als Identity Governance bekannt ist. Identity Governance umfasst eine Reihe von Prozessen und Praktiken zur Verwaltung von Identitäten innerhalb eines Unternehmens, einschließlich Provisionierung, Berechtigungsverwaltung, Lebenszyklusverwaltung, Zugriffszertifizierung, Auditierung und Berichterstellung sowie Privileged Access Management.

Berechtigungsverwaltung konzentriert sich hauptsächlich auf die Zuweisung und Verwaltung von Zugriffsberechtigungen auf Ressourcen, während Identity Governance einen ganzheitlichen Ansatz verfolgt, um den gesamten Lebenszyklus der Benutzeridentität zu orchestrieren.

Cloud Infrastructure Entitlement Management (CIEM) ist eine spezialisierte Sicherheitslösung für die Verwaltung von Identitäten und Berechtigungen in der Cloud. CIEM-Lösungen sind aus folgenden Gründen ein wichtiger Bestandteil einer umfassenden Cloud-Sicherheitsrichtlinie:

• Cloud-Infrastrukturen sind von Natur aus komplex, mit einer großen Anzahl von Services, Anwendungen, Ressourcen und Daten, die über Plattformen und Regionen verteilt sind. CIEM hilft Administratoren, diese Komplexität zu bewältigen, ohne die Flexibilität zu beeinträchtigen, indem es zentrale Kontrolle über Zugriff und Berechtigungen bietet.
• Cloud-Umgebungen sind zudem sehr dynamisch, da regelmäßig neue virtuelle Maschinen, Services und Anwendungen provisioniert, geändert, skaliert und außer Betrieb genommen werden. CIEM stellt sicher, dass Zugriffsrechte und Privilegien konsistent angewendet und aktualisiert werden, wenn sich die Cloud-Umgebung weiterentwickelt.
• Sicherheit ist in der Cloud eine gemeinsame Verantwortung. Die Anbieter sind für die Sicherheit der zugrunde liegenden Infrastruktur verantwortlich, während der Kunde für die Absicherung seiner Daten, die Vermeidung von Fehlkonfigurationen und die Verwaltung der Zugriffsrechte verantwortlich bleibt. CIEM ermöglicht es Unternehmen, ihre Cloud-Sicherheitsverpflichtungen effektiv zu erfüllen.
• Cloud-Umgebungen sind ein bevorzugtes Ziel für Datenschutzverletzungen, Insider-Bedrohungen und Cyberangriffe. CIEM spielt eine führende Rolle bei der Abschwächung dieser Risiken, indem es das Least Privilege-Prinzip durchsetzt, die gesamte Angriffsfläche reduziert und den Benutzerzugriff hinsichtlich verdächtiger Aktivitäten überwacht.
• In Cloud-Umgebungen müssen Unternehmen oft unterschiedliche gesetzliche Vorschriften und Branchenstandards einhalten. CIEM unterstützt Unternehmen beim Erfüllen und Aufrechterhalten der Compliance, indem es granulare Zugriffskontrollen durchsetzt, Audit Trails verwaltet, Compliance-Abweichungen erkennt und Compliance-Berichte erstellt. Die besten CIEM-Tools können zum Beispiel feststellen, ob eine Berechtigung einem Benutzer oder einer Rolle übermäßige Rechte gewährt.

Hybrides Identity Management

Neben Cloud-Ökosystemen kann Berechtigungsverwaltung auch in Hybrid-Umgebungen eingesetzt werden, in denen Unternehmen eine Kombination aus On-Premises-Infrastruktur und Cloud-Angeboten nutzen. In solchen Konstellationen hilft Berechtigungsverwaltung dabei, konsistente Sicherheitskontrollen und Zugriffskontrollrichtlinien durchzusetzen, unabhängig vom Standort oder der Art der Ressource, auf die zugegriffen wird.

Beispiele für Berechtigungsverwaltungslösungen von führenden Anbietern sind:

1. Azure: In Microsoft Azure erfolgt die Berechtigungsverwaltung über Zugriffspakete. Ein Zugriffspaket enthält eine Sammlung von Ressourcen, zugehörige Benutzerrollen, die für den Zugriff auf diese Ressourcen erforderlich sind, und eine oder mehrere Richtlinien, welche die Zugriffsregeln definieren.
   
   Mit diesen Richtlinien können Sie festlegen, ob Benutzer Zugriff anfordern können oder ob er ihnen automatisch gewährt wird. Sie geben auch die "geeigneten" Benutzer (oder Benutzertypen) für den Zugriff auf die Paketressourcen an.


2. AWS: AWS bietet eine Reihe von nativ verfügbaren Identitätsservices, die für die Implementierung der Berechtigungsverwaltung verwendet werden können. Mit AWS IAM können Sie zum Beispiel granulare Autorisierungsrichtlinien erstellen, Berechtigungsleitlinien durchsetzen, temporäre Anmeldeinformationen zuweisen und vieles mehr.
   
   Der AWS IAM Access Analyzer ist ein praktisches Tool zum Definieren, Verifizieren und Feinabstimmen von Richtlinien und Berechtigungen. Außerdem können Sie den AD-Konnektor nutzen, um Verzeichnisanfragen an Ihr selbst gehostetes Microsoft Active Directory weiterzuleiten und so eine zentrale Verwaltung zu ermöglichen.


3. GCP: Der IAM-Service in GCP bietet Funktionen für eine zentralisierte Berechtigungsverwaltung. Administratoren können Zugriff auf Ressourcenebene gewähren, übermäßige Berechtigungen automatisch erkennen, den Zugriff auf Ressourcen anhand von Kontextparametern (IP-Adresse, Ressourcentyp usw.) beschränken und vieles mehr.
   
   Neben der Konsole lassen sich IAM-Richtlinien auch über die IAM-API und das Gcloud-Befehlszeilen-Tool verwalten.

Berechtigungsverwaltung gewährleistet Compliance der Best Practices und Frameworks im Bereich Sicherheit und trägt gleichzeitig dazu bei, das Risiko eines unbefugten Zugriffs und von Datenverletzungen zu verringern. Um einen soliden Sicherheitsstatus aufrechtzuerhalten, ist es entscheidend, die Berechtigungsverwaltung in die Cybersicherheitsstrategie Ihres Unternehmens zu integrieren.