Warum „rollenbezogene“ Berechtigungen für Ihre Cloud-Umgebung so gefährlich sind


This post is also available in: Englisch Französisch Italienisch Portugiesisch, Brasilien Spanisch Russisch

Zu den wesentlichen Herausforderungen, vor denen Unternehmen in der Cloud stehen, zählt die Vermeidung unverhältnismäßiger Berechtigungen. In der Cloud dreht sich alles um Agilität und Flexibilität. Aber diese Vorteile gehen oft zu Lasten der Sicherheit, weil immer mehr überflüssige und unverhältnismäßige Berechtigungen in der Cloud erteilt werden.

In diesem Webinar wird das Problem der unverhältnismäßigen Berechtigungen in der Cloud besprochen, und Sie erfahren, wie Sie diese unter Kontrolle bekommen.

Durch den Cloud-Umstieg verschieben sich die Bedrohungsgrenzen

Unternehmen stehen vor dem grundlegenden Problem, dass sich durch den Umstieg in die Cloud die Bedrohungsgrenzen verschieben.

In der „alten Welt“ der physischen On-Premise-Rechenzentren befanden sich Netzwerkressourcen und Administratoren am selben physischen Standort oder im selben Netzwerk. In diesen Umgebungen waren sie vor physischen Bedrohungen geschützt, und Abwehrmaßnahmen (wie Firewall, Secure Web Gateways, WAF usw.) dienten in erster Linie zum Perimeterschutz gegen Bedrohungen von außen. Administratoren hatten die volle Kontrolle über ihre Ressourcen und konnten im schlimmsten Fall nach Feststellung eines Problems einfach zum Server laufen, dessen Verbindung trennen und somit den Angriff blockieren.

In der Welt der Public Cloud gelten ganz andere Gesetze. Workloads, die in der Public Cloud gehostet werden, sind heute „remote“. Der gesamte Zugriff erfolgt über eine Remote-Verbindung, deren Mechanismen und APIs vom Anbieter der Public-Cloud-Dienste bereitgestellt werden. Somit haben Administratoren keine physische Kontrolle mehr über ihre Ressourcen und können nur noch aus der Ferne darauf zugreifen. Leider sind aber auch Hacker, Kriminelle und andere unberechtigte Dritte in der Lage, über dieselben standardisierten Protokolle, APIs und Zugangsmethoden auf diese Ressourcen zuzugreifen.

Folglich hängt die Sicherheit Ihrer Workloads davon ab, wer einen Zugriff erhält – und in welchem Umfang. Oder anders gesagt gilt: Ihre Berechtigungen = Ihre Angriffsfläche.

Une image contenant texte, périphérique, mètre, jauge

Description générée automatiquement

Das Streben nach Geschwindigkeit führt zu unverhältnismäßigen Berechtigungen

In der Cloud dreht sich alles um Agilität und Flexibilität. Die Geschwindigkeit und Benutzerfreundlichkeit der Cloud ermöglicht neue Ressourcen, eine dynamische Kapazitätserweiterung, die Bereitstellung von neuem Code und eine schnellere Markteinführung.

Es gibt mehrere Hauptgründe, aus denen unverhältnismäßige Berechtigungen in der Cloud so problematisch sind:

  1. Geschäftsanforderungen bestimmen die Cloud-Aktivitäten. Digitale Transformation dient vor allem zur schnelleren Markteinführung. Dabei erweist sich die Public Cloud als hilfreiches Instrument. In der Cloud dreht sich alles um Agilität und Flexibilität, und aus IT-Sicht ist sie der Ort, an dem „der Gummi auf die Straße der digitalen Transformation trifft“. Deshalb konzentrieren sich IT-Manager häufig mehr auf Geschwindigkeit und versäumen dabei, ihre Cloud-Umgebungen hinreichend zu schützen. Dadurch werden ihre Workloads und Kundendaten anfällig für Offenlegung und Datensicherheitsverletzungen.
  2. Benutzer wissen oft nicht, welche Berechtigungen sie benötigen. Sie wissen, welche Aufgaben sie erledigen müssen, kennen aber nicht all die kleinen Schritte, die dazu erforderlich sind. Folglich fordern sie deutlich mehr Berechtigungen an, als sie brauchen. Dies wird zur gefährlichen Gewohnheit und führt dazu, dass Unternehmen viel mehr Berechtigungen gewähren, als sie sollten. Denn sie setzen dadurch die Applikationen, Konfigurationen und Sicherheitsmaßnahmen in ihren Umgebungen höheren Risiken aus.
  3. Cloud-Administratoren möchten die Geschäfte nicht beeinträchtigen. Es ist nur allzu menschlich, dass Administratoren ihre Berechtigungen „sehr großzügig“ erteilen.
  4. Das Gewähren von Berechtigungen in der Cloud ist einfach. Dieses zentrale Problem erklärt, warum Berechtigungen quasi im Vorübergehen erteilt werden. Cloud-Abläufe sind häufig automatisiert oder basieren auf Skripten, wobei Geschwindigkeit und Benutzerfreundlichkeit oberste Priorität erhalten. Dadurch wird das Gewähren von Berechtigungen zum Kinderspiel, und viele Administratoren denken gar nicht groß darüber nach.

[Gefällt Ihnen dieser Artikel? Melden Sie sich jetzt an, um wöchentlich die neuesten Radware-Meldungen per E-Mail zu erhalten. Außerdem bekommen Sie Zugriff auf Radwares Premium-Inhalte.]

Die genauen Gründe mögen in jedem Unternehmen anders aussehen, aber das Ergebnis ist immer dasselbe: Viele Berechtigungen werden völlig unnötig gewährt. Wenn Sie zu viele Berechtigungen verteilen, kann ein gewisser Prozentsatz davon missbraucht werden und zu verheerenden Sicherheitsverletzungen führen. Zu den häufigsten Gründen für Datenlecks zählt die übermäßige Bereitstellung von Berechtigungen, die gar nicht oder unkontrolliert verwendet werden und damit massive Sicherheitsschwachstellen verursachen können.

Die Rolle der „Rollen“ bei unverhältnismäßigen Berechtigungen

Eine besonders problematische Art von Berechtigungen sind die „rollenbezogenen“ Berechtigungen. Im Gegensatz zu den herkömmlichen „Benutzer“- oder „Gruppen“-Berechtigungen, die in der Regel mit physischen Benutzern (oder Benutzergruppen) verknüpft werden, sind „rollenbezogene“ Berechtigungen flexibler und können Benutzern, Applikationen oder Diensten dynamisch zugewiesen werden. Gemäß einer Studie von Radware handelt es sich bei rund 80 % der unverhältnismäßigen Berechtigungen in Cloud-Umgebungen um „rollenbezogene“ Berechtigungen.

Anders als Benutzerberechtigungen, die meist an eine einzige Person gebunden sind, sollen rollenbezogene Berechtigungen ad hoc von beliebigen Personen (oder Elementen) während einer bestimmten Sitzung eingenommen werden können. Mit rollenbezogenen Berechtigungen für Cloud-Konten kann Benutzern oder Diensten ein Zugriff auf Cloud-Ressourcen erteilt werden, die normalerweise nicht für sie zugänglich sind.

Dies bedeutet zwar hohe Flexibilität, aber auch ein Sicherheitsproblem, weil die äußerst flexiblen Berechtigungen verschiedensten Personen oder Diensten zugewiesen werden können. Durch die Unbeständigkeit dieser Rollen und die Vielfalt ihrer Anwendungsfälle läuft der Zugriff schnell aus dem Ruder – ohne dass dafür eine geschäftliche Notwendigkeit besteht.

[Das könnte Sie auch interessieren: How One Organization Used Radware to Lock Down Their Public Cloud]

Vermeidung unverhältnismäßiger Berechtigungen

Vor Kurzem veranstaltete Radware zusammen mit AWS ein Webinar, in dem besprochen wurde, wie Identitäts- und Zugriffsmanagement funktioniert und wie es sich vor Missbrauch und versehentlicher Falschnutzung schützen lässt. Im Rahmen dieses Webinars berichtete Perion Network, ein langjähriger Kunde von Radware, wie das Unternehmen mithilfe von Radware seinen Cloud-Zugriff optimieren und mehr Cloud-Sicherheit erreichen konnte.

Klicken Sie hier, um das gemeinsame Webinar von Radware und AWS anzusehen.

AWS and Radware Webinar
https://www.radware.com/2021-aws-webinar?utm_source=Blog&utm_medium=Eyal+Blog+3+&utm_campaign=AWS+Radware+Blog

Eyal Arazi

Eyal is a Product Marketing Manager in Radware’s security group, responsible for the company’s line of cloud security products, including Cloud WAF, Cloud DDoS, and Cloud Workload Protection Service. Eyal has extensive background in security, having served in the Israel Defense Force (IDF) at an elite technological unit. Prior to joining Radware, Eyal worked in Product Management and Marketing roles at a number of companies in the enterprise computing and security space, both on the small scale startup side, as well as large-scale corporate end, affording him a wide view of the industry. Eyal holds a BA in Management from the Interdisciplinary Center (IDC) Herzliya and a MBA from the UCLA Anderson School of Management.

Contact Radware Sales

Our experts will answer your questions, assess your needs, and help you understand which products are best for your business.

Already a Customer?

We’re ready to help, whether you need support, additional services, or answers to your questions about our products and solutions.

Locations
Get Answers Now from KnowledgeBase
Get Free Online Product Training
Engage with Radware Technical Support
Join the Radware Customer Program

CyberPedia

An Online Encyclopedia Of Cyberattack and Cybersecurity Terms

CyberPedia
What is WAF?
What is DDoS?
Bot Detection
ARP Spoofing

Get Social

Connect with experts and join the conversation about Radware technologies.

Blog
Security Research Center