Die vier Säulen des IAM (Identity and Access Management)

Identity and Access Management (IAM) bezeichnet eine Reihe von Richtlinien, Prozessen und Technologien, die zur Verwaltung und Absicherung von (menschlichen und maschinellen) Identitäten in einem Unternehmen eingesetzt werden. Anhand dieser Identitäten regelt das IAM den Zugriff auf die Ressourcen eines Unternehmens. Kurz gesagt: Es geht darum, sicherzustellen, dass die richtigen Personen zur richtigen Zeit und aus den richtigen Gründen den richtigen Zugriff auf die richtigen Ressourcen haben.

Durch ein effektives IAM kann ein Unternehmen die Vertraulichkeit, Integrität und Verfügbarkeit seiner Systeme und Daten sicherstellen. Es ermöglicht auch die Einführung eines Zero-Trust-Sicherheitsframeworks, gewährleistet die Einhaltung gesetzlicher Vorschriften und mindert das Risiko von Cyberbedrohungen wie Ransomware und Privilegieneskalation.

1. Identity Governance and Administration (IGA)

Identity Governance and Administration (IGA) ermöglicht Sicherheitsadministratoren die effiziente Verwaltung von Benutzeridentitäten und -zugriffen im gesamten Unternehmen. Es verbessert die Transparenz von Identitäten und Zugriffsrechten und hilft dabei, die notwendigen Kontrollen zu implementieren, um unangemessenen oder riskanten Zugriff zu verhindern.

Eine typische IGA-Implementierung bietet folgende Identity Administration-Funktionen:

• Automatisierte Workflows zur Verwaltung von Zugriffsanfragen
• Automatisierte Workflows für Provisionierung und Deprovisionierung auf Benutzer- und Anwendungsebene
• Hervorragende Integration über Konnektoren für die Arbeit mit Verzeichnissen und anderen Unternehmenssystemen
• Berechtigungsverwaltung, mit der Sicherheitsadministratoren festlegen und verifizieren können, wozu Benutzer berechtigt sind

Im Hinblick auf Identity Governance ist von IGA Folgendes zu erwarten:

• Funktionstrennung (Segregation of Duties, SoD) zum Verhindern von Fehlern und Betrug durch Begrenzung der Zugriffs- und Transaktionsrechte, die einer einzelnen Person gewährt werden
• Zugriffsüberprüfungsworkflows für optimierte Überprüfung und Verifizierung des Benutzerzugriffs
• Rollenbasiertes Zugriffsmanagement (Role-based Access Management) zur Beschränkung des Zugriffs auf die erforderlichen Ebenen
• Analyse- und Berichterstellungs-Tools für mehr Einblicke in Benutzeraktivitäten und die Erfüllung von Auditanforderungen

IGA sorgt dafür, dass Benutzer nur die Zugriffsrechte erhalten, die sie tatsächlich benötigen. Dies verkleinert die Angriffsfläche und senkt das Risiko einer Kompromittierung. Darüber hinaus automatisiert IGA kritische Sicherheitsvorgänge wie die Provisionierung und Deprovisionierung des Benutzerzugriffs, wodurch die Betriebskosten gesenkt und das Risiko menschlicher Fehler minimiert werden können.

Durch die Gewährung und Verwaltung von Zugriffsrechten gemäß festgelegten Richtlinien können Unternehmen mit IGA die für sie geltenden gesetzlichen Vorschriften und Complianceanforderungen erfüllen. So können Unternehmen kostspielige Bußgelder und Strafen für die Nichteinhaltung von Vorschriften vermeiden.

2. Access Management (AM)

AM ist eine Komponente des IAM, die sich auf die Verwaltung des Benutzerzugriffs für Anwendungen, Daten und Systeme konzentriert. AM-Lösungen ermöglichen es Administratoren, Autorisierungsrichtlinien für alle Benutzer zu definieren, einschließlich interner Benutzer, Dritter und privilegierter Benutzer. Einige Lösungen für IGA enthalten auch Access Management-Funktionen, doch spezielle AM-Lösungen bieten in der Regel ein höheres Maß an Granularität und Kontrolle.

Eine typische AM-Implementierung kann die folgenden Funktionen umfassen:

• Zentralisierte Definition und Verwaltung von Benutzerrollen und -berechtigungen
• Unterstützung mehrerer Authentifizierungsprotokolle, beispielsweise OAuth, Lightweight Directory Access Protocol (LDAP) und OpenID Connect
• Role-Based Access Control (RBAC) zur Zuweisung von Zugriffsrechten an Benutzer auf der Grundlage ihrer Position im Unternehmen
• Multi-Faktor-Authentifizierung (MFA) zur Stärkung der Authentifizierung (z. B. mit Einmalkennwörtern (One-Time Passwords, OTPs))
• Vorübergehende Zuweisung von Privilegien unter bestimmten Umständen

Mithilfe von AM können Unternehmen strikte Autorisierungsrichtlinien in der gesamten Infrastruktur durchsetzen, ohne die Benutzerfreundlichkeit zu beeinträchtigen. Durch die Gewährung von Zugriffsprivilegien basierend auf der Position im Unternehmen stellt AM sicher, dass Benutzer nur auf die Daten und Systeme zugreifen können, die sie für ihre Arbeit benötigen.

Dank Unterstützung mehrerer Protokolle ermöglichen AM-Lösungen Unternehmen die Absicherung von Legacy- und modernen Anwendungen, die über ihre hybriden Infrastrukturen verteilt sind. Ein gut durchdachtes Access Management-Framework kann den Sicherheitsstatus eines Unternehmens erheblich verbessern.

3. Privileged Access Management (PAM)

Privileged Access Management (PAM) bezeichnet eine Reihe von Tools und Prozessen, die dazu dienen, eine spezielle Zugriffskontrolle für privilegierte Konten durchzusetzen. Diese Konten verfügen über erweiterte Berechtigungen für sensible Systeme und Daten, was sie zu einem bevorzugten Ziel für Cyberangriffe macht. Beispiele für privilegierte Konten sind Netzwerkadministratoren, Datenbankadministratoren, Root-Benutzer und Dienstkonten.

Typische PAM-Lösungen zeichnen sich durch folgende Funktionen und Merkmale aus:

• Zentralisierte Speicherung und Verwaltung von privilegierten Konten und Anmeldeinformationen
• Definition von fein abgestuften Berechtigungen für privilegierte Konten
• Möglichkeit zum Einrichten benutzerdefinierter Genehmigungsworkflows für Zugriffsanfragen
• Vorübergehende Zuweisung von Privilegien und automatische Kennwortrotation
• Überwachung, Aufzeichnung und Analyse von Sitzungen für Auditierungs- und Compliance-Zwecke

PAM steuert wichtige Aspekte des sicheren Zugriffs und vereinfacht die Provisionierung von Administratorbenutzerkonten, erweiterten Zugriffsrechten und die Konfiguration für Cloud-Anwendungen. In Bezug auf die IT-Sicherheit reduziert PAM die Angriffsfläche eines Unternehmens – und das über alle Netzwerke, Server und Identitäten hinweg. Zudem verringert es die Wahrscheinlichkeit von Datensicherheitsverletzungen durch interne und externe Cyberbedrohungen.

Mit PAM können Unternehmen auch das Least-Privilege-Prinzip durchsetzen, d. h. jeder Benutzer erhält nur gerade so viele Berechtigungen, wie er benötigt, um seine Arbeit zu erledigen. Die zeitlich begrenzte, zeitnahe Zuweisung von Berechtigungen verringert die Gefahr von Angriffen zur Privilegieneskalation.

4. Active Directory Management (ADMgmt)

Active Directory Management (ADMgmt) ist eine wichtige Komponente des IAM, insbesondere für Unternehmen, die Microsoft Active Directory für die Identitäts- und Zugriffsverwaltung verwenden. Im Mittelpunkt steht die Verwaltung von AD-Komponenten, um eine angemessene Sicherheit und Zugriffskontrolle zu gewährleisten.

Die meisten ADMgmt-Lösungen bieten die folgenden Funktionen:

• Möglichkeit zur Integration eines AD-Servers mit Cloud-Identitätsanbietern und anderen IAM-Komponenten wie PAM
• Provisionierung von AD-Benutzern und -Gruppen mit den erforderlichen Berechtigungen
• Überwachung und Auditierung von Änderungen an der AD-Umgebung
• Berichterstellung zu allen sicherheitskritischen Ereignissen für Compliance- und regulatorische Zwecke
• Erzwingen von Role-Based Access Control gegenüber der AD-Authentifizierung
• Schutz vor typischen Active Directory-Schwachstellen wie hartcodierten Anmeldeinformationen, LLMNR, Kerberoasting usw.

ADMgmt-Lösungen ermöglichen es Unternehmen, AD-Identitäten effizient und sicher zu verwalten und Zugriff auf Ressourcen nach dem Least-Privilege-Prinzip zu gewähren. Sie erleichtern die Implementierung einer standardisierten Authentifizierung sowohl für Legacy- als auch für moderne Anwendungen und verbessern so den Sicherheitsstatus des Unternehmens.

Durch die Integration eines AD-Servers in andere IAM-Lösungen können Unternehmen bestehende AD-Implementierungen um moderne Sicherheitsfunktionen erweitern. Wenn beispielsweise ein AD-Server in eine PAM-Lösung integriert wird, ermöglicht dies eine bessere Governance für privilegierte AD-Konten.

Eine Unified Identity Platform beruht auf allen vier IAM-Säulen. Sie vereint die Funktionen von IGA, AM, PAM und ADMgmt, um Unternehmen eine Komplettlösung für Zugriffskontrolle, PAM, Lebenszyklusverwaltung, AD-Governance und vieles mehr zu bieten.

Statt Einzellösungen für jede IAM-Säule zu integrieren, ist es sinnvoller, in eine einheitliche Plattform zu investieren, die von Anfang an alle Kernfunktionen bietet.