Über den Einsatz von Cookies auf dieser Website Unsere Websites benötigen einige Cookies, um ordnungsgemäß zu funktionieren (erforderlich). Darüber hinaus können mit Ihrer Zustimmung weitere Cookies verwendet werden, um die Nutzung der Website zu analysieren, die Benutzerfreundlichkeit zu verbessern und Werbung zu schalten. Weitere Informationen finden Sie in Ihren. Durch den Besuch unserer Website erklären Sie sich mit der Verarbeitung von Informationen einverstanden, wie in der IBMDatenschutzbestimmung beschrieben. Um eine reibungslose Navigation zu ermöglichen, werden Ihre Cookie-Präferenzen über die hier aufgeführten IBM Web-Domains hinweg gemeinsam genutzt.
Was ist die Verwaltung privilegierter Zugriffe (Privileged Access Management, PAM)?
Veröffentlicht: 19. Juli 2024
Mitwirkender: Matthew Kosinski
Was ist die Verwaltung privilegierter Zugriffe (Privileged Access Management, PAM)?
Privileged Access Management (PAM) ist die Cybersicherheits-Disziplin, die privilegierte Konten (z. B. Administratorkonten) und privilegierte Aktivitäten (z. B. die Arbeit mit sensiblen Daten) regelt und absichert.
In einem Computersystem bezieht sich der Begriff „Privileg“ auf Zugriffsberechtigungen, die höher sind als die eines Standardnutzers. Ein reguläres Benutzerkonto kann die Berechtigung haben, Einträge in einer Datenbank anzuzeigen, während ein privilegierter Administrator in der Lage ist, Einträge zu konfigurieren, hinzuzufügen, zu ändern und zu löschen.
Auch nichtmenschliche Benutzer, wie etwa Maschinen, Apps und Workloads, können über übermäßig hohe Berechtigungen verfügen. Ein automatisierter Backup- Prozess könnte zum Beispiel Zugriff auf vertrauliche Dateien und Systemeinstellungen haben.
Privilegierte Konten sind hochwertige Ziele für Hacker, die ihre Zugriffsrechte missbrauchen können, um Daten zu stehlen und kritische Systeme zu beschädigen, während sie unerkannt bleiben. Tatsächlich ist das Hijacking gültiger Konten heutzutage der häufigste Cyberangriffsvektor, wie aus dem IBM® X-Force® Threat Intelligence Index hervorgeht.
PAM-Tools und -Praktiken helfen Unternehmen, privilegierte Konten vor identitätsbasierten Angriffen zu schützen. Insbesondere stärken PAM-Strategien die Sicherheitslage eines Unternehmens, indem sie die Anzahl der privilegierten Benutzer und Konten verringern, privilegierte Anmeldeinformationen schützen und das Prinzip der minimalen Rechtevergabe durchsetzen.
Was ist der Unterschied zwischen PAM und IAM?
Identity und Access Management (IAM) ist ein breites Feld, das alle Identitätssicherheitsbemühungen eines Unternehmens für alle Benutzer und Ressourcen umfasst. PAM ist eine Teilmenge von IAM, die sich auf die Sicherung privilegierter Konten und Benutzer konzentriert.
Es gibt erhebliche Überschneidungen zwischen IAM und PAM. Beide beinhalten die Bereitstellung digitaler Identitäten, die Implementierung von Zugriffskontrollrichtlinien und den Einsatz von Authentifizierungs- und Autorisierungssystemen.
PAM geht jedoch über die Standard-IAM-Maßnahmen hinaus, da privilegierte Konten stärker geschützt werden müssen als Standardkonten. PAM-Programme verwenden fortschrittliche Sicherheitsmaßnahmen wie Anmeldetresore und Sitzungsaufzeichnungen, um streng zu kontrollieren, wie Benutzer erhöhte Privilegien erhalten und was sie damit tun.
Es wäre unpraktisch und ineffektiv, solch strenge Maßnahmen auf nicht privilegierte Konten anzuwenden. Diese Maßnahmen würden den regulären Benutzerzugang unterbrechen und es den Menschen schwer machen, ihre tägliche Arbeit zu erledigen. Diese unterschiedlichen Sicherheitsanforderungen sind der Grund, warum sich PAM und IAM in verschiedene, aber verwandte Disziplinen aufgeteilt haben.
Warum die Steuerung privilegierter Zugriffsrechte wichtig ist
Privilegierte Konten stellen erhöhte Sicherheitsrisiken dar. Ihre erhöhten Berechtigungen sind ein gefundenes Fressen für Missbrauch, und viele Unternehmen haben Schwierigkeiten, privilegierte Aktivitäten in lokalen und Cloud-Systemen zu verfolgen. PAM hilft Unternehmen, mehr Kontrolle über privilegierte Konten zu erlangen, um Hacker zu stoppen und gleichzeitig Benutzer mit den erforderlichen Berechtigungen zu verbinden.
Identitätsbasierte Angriffe, bei denen Hacker Benutzerkonten übernehmen und deren gültige Privilegien missbrauchen, sind auf dem Vormarsch. X-Force von IBM berichtet, dass diese Angriffe im letzten Jahr um 71 % zugenommen haben. Sie machen jetzt 30 % der Sicherheitsverletzungen aus. Diese Angriffe zielen oft auf privilegierte Konten ab, entweder direkt oder durch laterale Bewegungen.
Böse Akteure –Insider-Threats oder externe Angreifer –, die privilegierte Konten in die Hände bekommen, können schwerwiegenden Schaden anrichten. Sie können die erhöhten Berechtigungen nutzen, um Malware zu verbreiten und uneingeschränkt auf kritische Ressourcen zuzugreifen, während sie Sicherheitslösungen vorgaukeln, sie seien legitime Benutzer mit gültigen Konten.
Laut dem Cost of a Data Breach Report von IBM gehören Verstöße, bei denen Hacker gestohlene Anmeldedaten verwenden, mit durchschnittlich 4,62 Millionen USD zu den teuersten. Insider-Threats, die ihre gültigen Privilegien missbrauchen, können sogar noch mehr Schaden anrichten, denn diese Verstöße kosten im Durchschnitt 4,90 Millionen USD.
Darüber hinaus haben die digitale Transformation und das Wachstum der künstlichen Intelligenz die Zahl der privilegierten Nutzer in einem durchschnittlichen Netzwerk erhöht. Jeder neue Cloud-Service, jede KI-Anwendung, jede Workstation und jedes Gerät des Internets der Dinge (IoT) bringt neue privilegierte Konten mit sich. Zu diesen Konten gehören sowohl die Administratorkonten, die menschliche Benutzer zur Verwaltung dieser Assets benötigen, als auch die Konten, die diese Assets zur Interaktion mit der Netzwerkinfrastruktur verwenden.
Erschwerend kommt hinzu, dass Menschen oft privilegierte Konten gemeinsam nutzen. Anstatt beispielsweise jedem Systemadministrator ein eigenes Konto zuzuweisen, richten viele IT-Teams ein Administratorkonto pro System ein und geben die Anmeldedaten an die Benutzer weiter, die sie benötigen.
Infolgedessen ist es für Unternehmen schwierig, privilegierte Konten zu verfolgen, während böswillige Akteure ihre Aufmerksamkeit auf eben diese Konten richten.
PAM-Technologien und -Strategien helfen Unternehmen, mehr Einblick in und Kontrolle über privilegierte Konten und Aktivitäten zu erhalten, ohne die legitimen Workflows der Benutzer zu stören. Das Center for Internet Security zählt die wichtigsten PAM-Aktivitäten zu den „kritischen“ Sicherheitskontrollen.1
Tools wie Credential Vaults und Just-in-Time-Privilegienerweiterung können den sicheren Zugang für Benutzer, die ihn benötigen, erleichtern und gleichzeitig Hacker und nicht autorisierte Insider fernhalten. Tools zur Überwachung von privilegierten Sitzungen ermöglichen es Unternehmen, alles zu verfolgen, was jeder Benutzer mit seinen Privilegien im gesamten Netzwerk tut. So können IT- und Sicherheitsteams verdächtige Aktivitäten erkennen.
So funktioniert die Verwaltung privilegierter Zugriffsrechte
Die Verwaltung privilegierter Zugriffsrechte kombiniert Prozesse und technologische Tools, um zu kontrollieren, wie Privilegien zugewiesen, darauf zugegriffen und sie genutzt werden. Viele PAM-Strategien konzentrieren sich auf drei Säulen:
Privilegiertes Account-Management: Die Erstellung, Bereitstellung und sichere Entsorgung von Konten mit erweiterten Berechtigungen.
Berechtigungsverwaltung: Verwalten, wie und wann Benutzer Berechtigungen erhalten und was sie mit ihren Berechtigungen tun können.
Privilegierte Sitzungsverwaltung: Überwachen Sie privilegierte Aktivitäten, um verdächtiges Verhalten zu erkennen und die Compliance zu gewährleisten.
Steuerung privilegierter Zugriffsrechte
Die Verwaltung privilegierter Konten überwacht den gesamten Lebenszyklus von Konten mit erhöhten Berechtigungen, von der Erstellung bis zur Stilllegung.
Ein privilegiertes Konto ist jedes Konto mit überdurchschnittlich hohen Zugriffsrechten in einem System. Benutzer von privilegierten Konten können Dinge tun wie Systemeinstellungen ändern, neue Software installieren und andere Benutzer hinzufügen oder entfernen.
In modernen IT-Umgebungen gibt es viele Formen von privilegierten Konten. Sowohl menschliche Benutzer als auch nicht-menschliche Benutzer, wie IoT-Geräte und automatisierte Workflows, können privilegierte Konten haben. Einige Beispiele:
Lokale Administratorkonten geben Benutzern die Kontrolle über einen einzelnen Laptop, Server oder ein anderes individuelles Endgerät.
Domänenadministrationskonten geben Benutzern die Kontrolle über eine ganze Domäne, wie z. B. alle Benutzer und Arbeitsstationen in einer Microsoft Active Directory-Domäne.
Privilegierte Geschäftsbenutzerkonten geben Benutzern erhöhten Zugriff für Nicht-IT-Zwecke, wie z. B. das Konto, das ein Finanzmitarbeiter für den Zugriff auf Firmengelder verwendet.
Superuser-Konten gewähren uneingeschränkte Privilegien in einem bestimmten System. In Unix- und Linux®-Systemen werden Superuser-Konten als „Root“-Konten bezeichnet. In Microsoft Windows werden sie als „Administrator“-Konten bezeichnet.
Mit Service-Konten können Apps und automatisierte Workflows mit Betriebssystemen interagieren.
Mit Anwendungskonten können Apps miteinander interagieren, Anrufe an Anwendungsprogrammierschnittstellen (APIs) tätigen und andere wichtige Funktionen ausführen.
Die Verwaltung privilegierter Konten behandelt den gesamten Lebenszyklus dieser privilegierten Konten, einschließlich:
Erkennung: Inventarisierung aller vorhandenen privilegierten Konten in einem Netzwerk.
Bereitstellung: Erstellung neuer privilegierter Konten und Zuweisung von Berechtigungen nach dem Prinzip der geringsten Privilegien.
Zugriff: Verwalten, wer auf privilegierte Konten zugreifen kann und wie.
Entsorgung: Sicheres Auflösen von privilegierten Konten, die nicht mehr benötigt werden.
Ein wichtiges Ziel der Verwaltung privilegierter Konten ist die Reduzierung der Anzahl privilegierter Konten in einem System und die Einschränkung des Zugriffs auf diese Konten. Die Verwaltung von Anmeldedaten ist ein wichtiges Instrument, um dieses Ziel zu erreichen.
Anstatt einzelnen Benutzern privilegierte Konten zuzuweisen, zentralisieren viele PAM-Systeme diese Konten und speichern ihre Anmeldedaten in einem Passwort-Tresor. Im Tresor werden Passwörter, Token, Secure Shell (SSH)-Schlüssel und andere Anmeldeinformationen in verschlüsselter Form sicher aufbewahrt.
Wenn ein Benutzer – ob menschlich oder nicht – eine privilegierte Aktivität durchführen möchte, muss er die Anmeldedaten des entsprechenden Kontos aus dem Tresor auschecken.
Angenommen, ein IT-Teammitglied muss Änderungen an einem Firmenlaptop vornehmen. Dazu müssen sie das lokale Administratorkonto für diesen Laptop verwenden. Die Anmeldedaten für das Konto sind in einem Passwort-Tresor gespeichert, sodass das IT-Team-Mitglied zunächst das Passwort für das Konto anfordert.
Das Teammitglied muss zunächst eine starke Authentifizierungs-Herausforderung bestehen, wie z.B. die Multi-Faktor-Authentifizierung (MFA), um seine Identität zu beweisen. Dann verwendet der Tresor rollenbasierte Zugriffskontrollen (RBAC) oder ähnliche Richtlinien, um zu bestimmen, ob dieser Benutzer auf die Anmeldeinformationen für dieses Konto zugreifen darf.
Dieses IT-Teammitglied ist berechtigt, dieses lokale Administratorkonto zu verwenden, sodass der Tresor für Anmeldedaten den Zugriff gewährt. Das IT-Teammitglied kann nun das lokale Administratorkonto verwenden, um die notwendigen Änderungen am Firmen-Laptop vorzunehmen.
Um die Sicherheit zu erhöhen, geben viele Anmeldedaten-Tresore die Anmeldedaten nicht direkt an die Benutzer weiter. Stattdessen verwenden sie Single Sign-on (SSO) und Session Brokering, um sichere Verbindungen zu initiieren, ohne dass der Benutzer jemals das Passwort sieht.
Der Zugriff auf das Benutzerkonto läuft in der Regel nach einer bestimmten Zeit oder nach Abschluss der Aufgabe ab. Viele Anmeldedaten-Tresore können Anmeldedaten automatisch nach einem bestimmten Zeitplan oder nach jeder Verwendung austauschen, was es böswilligen Akteuren erschwert, diese Anmeldedaten zu stehlen und zu missbrauchen.
Berechtigungsmanagement
PAM ersetzt permanente Berechtigungsmodelle, bei denen ein Benutzer immer dieselbe statische Berechtigungsstufe hat, durch Just-in-Time-Zugriffsmodelle, bei denen Benutzer erhöhte Berechtigungen erhalten, wenn sie bestimmte Aufgaben erledigen müssen. Das Berechtigungsmanagement ist die Art und Weise, wie Unternehmen diese dynamischen Modelle der minimalen Rechtevergabe umsetzen.
Der Tresor für Anmeldedaten ist eine Möglichkeit für Unternehmen, dauerhafte Berechtigungen zu beseitigen, da Benutzer nur für eine begrenzte Zeit und für begrenzte Zwecke auf bevorrechtigte Accounts zugreifen können. Tresore sind jedoch nicht die einzige Möglichkeit, Benutzerrechte zu kontrollieren.
Einige PAM-Systeme verwenden ein Modell namens Just-in-Time (JIT) Privilege Elevation. Anstatt sich bei separaten privilegierten Konten anzumelden, werden die Berechtigungen der Benutzer vorübergehend erhöht, wenn sie privilegierte Aktivitäten ausführen müssen.
Im JIT Privilege Elevation-Modell verfügt jeder Benutzer über ein Standardkonto mit Standardberechtigungen. Wenn ein Benutzer etwas tun muss, für das er erweiterte Berechtigungen benötigt – z. B. wenn ein Mitglied des IT-Teams wichtige Einstellungen auf einem Firmen-Laptop ändert –, stellt er eine Anfrage an ein PAM-Tool. Die Anfrage kann eine Art Begründung enthalten, in der beschrieben wird, welche Aufgabe der Benutzer erfüllen muss und warum.
Das PAM-Tool prüft die Anfrage anhand einer Reihe von vordefinierten Regeln. Wenn dieser Benutzer berechtigt ist, diese Aufgabe auf diesem System auszuführen, erhöht das PAM-Tool seine Berechtigungen. Diese erhöhten Berechtigungen sind nur für einen kurzen Zeitraum gültig und erlauben dem Benutzer nur, die spezifischen Aufgaben auszuführen, die er erledigen muss.
Die meisten Unternehmen verwenden für die Verwaltung von Berechtigungen sowohl die Erhöhung von Berechtigungen als auch das Vaulting von Anmeldeinformationen. Für einige Systeme sind spezielle privilegierte Konten erforderlich – wie z.B. die standardmäßigen administrativen Konten, die in einigen Geräten eingebaut sind – und für andere nicht.
Verwaltung privilegierter Sitzungen
Privileged Session Management (PSM) ist der Aspekt des PAM, der privilegierte Aktivitäten überwacht. Wenn ein Benutzer ein privilegiertes Konto auscheckt oder die Rechte einer Anwendung erhöht werden, verfolgen PSM-Tools, was der Benutzer mit diesen Berechtigungen macht.
PSM-Tools können privilegierte Sitzungsaktivitäten aufzeichnen, indem sie Ereignisse und Tastenanschläge protokollieren. Einige PSM-Tools erstellen auch Videoaufzeichnungen von privilegierten Sitzungen. PSM-Datensätze helfen Unternehmen, verdächtige Aktivitäten zu erkennen, privilegierte Aktivitäten einzelnen Benutzern zuzuordnen und Prüfpfade für Compliance-Zwecke zu erstellen.
PAM vs. PIM vs. PUM
Privileged Identity Management (PIM) und Privileged User Management (PUM) sind sich überschneidende Teilbereiche des Privileged Access Management. Bei PIM-Prozessen liegt der Schwerpunkt auf der Zuweisung und Aufrechterhaltung von Berechtigungen für einzelne Identitäten in einem System. PUM-Prozesse konzentrieren sich auf die Wartung privilegierter Benutzerkonten.
Die Unterscheidung zwischen PIM, PUM und anderen Aspekten von PAM ist jedoch nicht allgemein anerkannt. Einige Praktiker verwenden die Begriffe sogar synonym. Letztendlich ist es wichtig, dass alles unter den Oberbegriff PAM fällt. Verschiedene Unternehmen können die Aufgaben von PAM unterschiedlich konzipieren, aber alle PAM-Strategien haben das Ziel, den Missbrauch von privilegiertem Zugriff zu verhindern.
Es ist ineffizient und oft unmöglich, zentrale PAM-Aufgaben wie die Erhöhung von Berechtigungen und die regelmäßige Änderung von Passwörtern manuell durchzuführen. Die meisten Unternehmen verwenden PAM-Lösungen, um einen Großteil des Prozesses zu rationalisieren und zu automatisieren.
PAM-Tools können als Software- oder Hardware-Appliances vor Ort installiert werden. Sie werden zunehmend als cloudbasierte Software-as-a-Service (SaaS)-Apps bereitgestellt.
Das Analyseunternehmen Gartner unterteilt PAM-Tools in vier Klassen:
Tools für die Verwaltung privilegierter Konten und Sitzungen (Privileged Account and Session Management, PASM) übernehmen die Verwaltung des Lebenszyklus von Konten, die Verwaltung von Passwörtern, die Aufbewahrung von Anmeldeinformationen und die Echtzeitüberwachung privilegierter Sitzungen.
Die Tools für die Verwaltung von Berechtigungserweiterung und -delegation (Privilege Elevation and Delegation Management, PEDM) ermöglichen eine zeitnahe Berechtigungserweiterung, indem sie Anfragen für privilegierten Zugriff automatisch bewerten, genehmigen und ablehnen.
Tools für das Secrets Management konzentrieren sich auf den Schutz von Anmeldeinformationen und die Verwaltung von Privilegien für nicht-menschliche Benutzer, wie Anwendungen, Workloads und Server.
Cloud Infrastructure Entitlement Management (CIEM)-Tools sind für die Identitäts- und Zugriffsverwaltung in Cloud-Umgebungen konzipiert, in denen Benutzer und Aktivitäten diffuser sind und andere Kontrollen erfordern als in lokalen Umgebungen.
Während es sich bei einigen PAM-Tools um Einzellösungen handelt, die eine Klasse von Aktivitäten abdecken, setzen viele Unternehmen auf umfassende Plattformen, die Funktionen von PASM, PEDM, Secrets Management und CIEM kombinieren. Diese Tools unterstützen möglicherweise auch Integrationen mit anderen Sicherheitstools, wie das Senden von Protokollen privilegierter Sitzungen an eine SIEM-Lösung (Security Information and Event Management).
Einige umfassende PAM-Plattformen verfügen über zusätzliche Funktionen, wie zum Beispiel:
Die Möglichkeit, zuvor unbekannte privilegierte Konten automatisch zu entdecken
Die Möglichkeit, MFA für Benutzer durchzusetzen, die privilegierten Zugriff beantragen
Sicherer Remotezugriff für privilegierte Aktivitäten und Benutzer
VPAM-Funktionen (Vendor Privileged Access Management) für externe Auftragnehmer und Partner
PAM und KI
Analysten gehen davon aus, dass PAM-Tools wie andere Sicherheitskontrollen zunehmend KI und maschinelles Lernen (ML) integrieren werden. Tatsächlich nutzen einige PAM-Tools bereits KI und ML in risikobasierten Authentifizierungssystemen.
Die risikobasierte Authentifizierung bewertet kontinuierlich das Benutzerverhalten, berechnet das Risikoniveau dieses Verhaltens und ändert dynamisch die Authentifizierungsanforderungen basierend auf diesem Risiko. Ein Benutzer, der Berechtigungen für die Konfiguration eines einzelnen Laptops anfordert, muss zum Beispiel die Zwei-Faktor-Authentifizierung absolvieren. Ein Benutzer, der die Einstellungen für alle Arbeitsstationen in einer Domäne ändern möchte, muss möglicherweise noch mehr Nachweise zur Überprüfung seiner Identität erbringen.
Eine Studie von OMDIA2 prognostiziert, dass PAM-Tools generative KI verwenden könnten, um Zugriffsanfragen zu analysieren, die Erhöhung von Zugriffsrechten zu automatisieren, Zugriffsrichtlinien zu erstellen und zu verfeinern und verdächtige Aktivitäten in Aufzeichnungen von privilegierten Sitzungen zu erkennen.
Anwendungsfälle zur Verwaltung privilegierter Zugriffsrechte
PAM-Tools und -Taktiken regeln nicht nur privilegierte Aktivitäten im gesamten Unternehmen, sondern können auch zur Bewältigung spezifischer Herausforderungen im Bereich der Identitäts- und Zugriffssicherheit beitragen.
- Verringerung der Angriffsfläche für Identitätsangriffe
- Verwaltung der Berechtigungsflut
- Einhaltung von Vorschriften
- Verwaltung von DevOps-Secrets
Bedrohungsakteure verwenden zunehmend gültige Konten, um in Netzwerke einzudringen. Gleichzeitig leiden viele Unternehmen unter einer schleichenden Ausweitung der Berechtigungen. Benutzer haben mehr Berechtigungen, als sie benötigen, und veraltete privilegierte Konten werden nicht ordnungsgemäß stillgelegt.
Infolgedessen sind Identitäten für viele Unternehmen zu den größten Risiken geworden. PAM-Tools und -Taktiken können helfen, diese Schwachstellen zu beheben.
Credential Vaults (Berechtigungs-Tresore) machen es schwieriger, privilegierte Konten zu stehlen, und PEDM-Tools erzwingen einen granularen, am wenigsten privilegierten Zugriff, der seitliche Bewegungen einschränkt. Unternehmen können diese und andere PAM-Lösungen verwenden, um dauerhafte Berechtigungen durch ein Zero-Trust-Modell zu ersetzen, bei dem Benutzer für jede Verbindung und Aktivität authentifiziert und autorisiert werden müssen. Dieses Modell kann dazu beitragen, die Angriffsfläche zu verkleinern und die Möglichkeiten von Hackern zu begrenzen.
Die digitale Transformation hat zu einer explosionsartigen Zunahme von privilegierten Identitäten in Unternehmensnetzwerken geführt, was eine große Herausforderung für die Informationssicherheit darstellt.
Die durchschnittliche Unternehmensabteilung verwendet 87 verschiedene SaaS-Apps3, ganz zu schweigen von den verschiedenen IoT-Geräten, Cloud-Infrastruktur-Services und Remote-Benutzern mit BYOD-Geräten, die heute die Unternehmensnetzwerke bevölkern. Viele dieser Anlagen und Benutzer benötigen privilegierte Konten, um mit IT-Ressourcen zu interagieren.
Und da immer mehr Unternehmen generative KI in ihre Abläufe integrieren, bringen diese neuen KI-Apps und Integrationen eine weitere Gruppe von privilegierten Identitäten auf den Plan.
Viele dieser privilegierten Identitäten gehören nicht-menschlichen Nutzern, wie KI-Apps und IoT-Geräten. In vielen Netzwerken gibt es heute mehr nicht-menschliche Benutzer als menschliche Benutzer, und sie sind notorisch schlecht darin, ihre Anmeldedaten geheim zu halten. Einige Anwendungen geben beispielsweise ihre Anmeldedaten im Klartext in Systemprotokollen und Fehlerberichten aus.
PAM kann Unternehmen dabei helfen, die Ausbreitung von Identitäten in den Griff zu bekommen, indem es privilegierte Anmeldeinformationen für menschliche und nicht-menschliche Benutzer verwahrt und den Zugriff auf diese zentral kontrolliert. Eine automatische Rotation der Anmeldedaten kann den Schaden begrenzen, der durch undichte Stellen entsteht, und Tools zur Sitzungsüberwachung helfen dabei, zu verfolgen, was all diese unterschiedlichen Benutzer mit ihren Berechtigungen tun.
Datenschutz und Sicherheitsvorschriften wie der Health Insurance Portability and Accountability Act (HIPAA), der Payment Card Industry Data Security Standard (PCI DSS) und die Datenschutz-Grundverordnung (DSGVO) verlangen, dass Unternehmen den Zugriff auf Gesundheitsinformationen, Kreditkartennummern und andere sensible Daten kontrollieren.
PAM kann Unternehmen auf verschiedene Weise dabei unterstützen, Compliance-Anforderungen zu erfüllen. PAM-Tools können granulare Zugriffsrechte erzwingen, sodass nur die erforderlichen Benutzer und nur aus autorisierten Gründen auf vertrauliche Daten zugreifen können.
Durch Tresore für Anmeldedaten (Credential Vaults) und die Erhöhung von Berechtigungen entfällt die Notwendigkeit gemeinsam genutzter Administratorkonten, die dazu führen können, dass nicht autorisierte Benutzer auf sensible Daten zugreifen.
Die Überwachung privilegierter Sitzungen hilft Unternehmen dabei, Aktivitäten zuzuordnen und Prüfprotokolle zu erstellen, um im Falle eines Verstoßes oder einer Untersuchung die Einhaltung der Vorschriften nachzuweisen.
Die Verwaltung privilegierter Anmeldedaten, in DevOps-Umgebungen oft als „Geheimnisse“ bezeichnet, kann für DevOps-Teams besonders schwierig sein.
Die DevOps-Methode nutzt in hohem Maße Cloud-Services und automatisierte Prozesse, was bedeutet, dass es viele privilegierte menschliche und nicht-menschliche Benutzer gibt, die über viele verschiedene Teile des Netzwerks verstreut sind.
Es ist nicht ungewöhnlich, dass SSH-Schlüssel, Passwörter, API-Schlüssel und andere Geheimnisse in Anwendungen fest einkodiert oder als Klartext in Versionskontrollsystemen und anderswo gespeichert sind. Dies macht es Benutzern leicht, Anmeldedaten zu erhalten, wenn sie sie brauchen, sodass Workflows nicht unterbrochen werden – aber es macht es auch böswilligen Akteuren leichter, diese Anmeldedaten zu stehlen.
PAM-Tools können helfen, indem sie DevOps-Secrets in einem zentralisierten Tresor speichern. Nur legitime Benutzer und Workloads können auf die Secrets zugreifen, und zwar nur aus legitimen Gründen. Tresore können Secrets automatisch rotieren, sodass gestohlene Anmeldeinformationen schnell unbrauchbar werden.
Weiterführende Lösungen
Schützen und verwalten Sie Kunden-, Mitarbeiter- und privilegierte Identitäten in der Hybrid Cloud mit Hilfe von KI.
Schützen Sie Ihre Benutzer und Apps innerhalb und außerhalb des Unternehmens mit einem reibungsarmen, cloudnativen Software-as-a-Service (SaaS)-Ansatz, der die Cloud nutzt.
Erfahren Sie mehr über ein umfassendes, sicheres und konformes Identity und Access Management (IAM) für das moderne Unternehmen.
Ressourcen
Machen Sie sich mit den Ursachen von Sicherheitsverletzungen und den Kostenfaktoren vertraut.
Verstehen Sie die gängigen Taktiken der Angreifer, um Ihre Mitarbeiter, Daten und Infrastruktur besser zu schützen.
Lesen Sie mehr über Identitätsorchestrierung und die Koordinierung verteilter Systeme für das Identity und Access Management (IAM) in reibungslosen Workflows.
Fußnoten
Alle Links befinden sich außerhalb von ibm.com.
1 CIS Critical Security Controls, Center for Internet Security, Juni 2024.
2 Generative AI Trends in Identity, Authentication and Access (IAA), Omdia, 15. März 2024.
3 2023 State of SaaS Trends, Productiv, 21. Juni 2023.