Schritte zur Cloud-Sicherheit 6 Tipps zur Reduzierung des Saas- und IaaS-Risikos

Von Michael Scheffler

Mit zunehmender Abhängigkeit von Software as a Service (SaaS) steigt auch die Abhängigkeit von Public Clouds, während sich gleichzeitig die Bedrohungslage verändert: Unzureichend geschützte Anmeldedaten für kritische SaaS- und IaaS-Konten, übermäßig privilegierte Cloud-Benutzeridentitäten und Schatten-IT-Administratorkonten schaffen potenzielle Einstiegspunkte für Angriffe und gefährden geschäftskritische Ressourcen.

Firmen zum Thema

SaaS ist die neue IT und Cloud-Identitäten sind der neue Perimeter. Je mehr Mitarbeiter mit und in der Cloud arbeiten, desto größer ist die Angriffsfläche eines Unternehmens und desto anfälliger ist es für Sicherheitsvorfälle.
SaaS ist die neue IT und Cloud-Identitäten sind der neue Perimeter. Je mehr Mitarbeiter mit und in der Cloud arbeiten, desto größer ist die Angriffsfläche eines Unternehmens und desto anfälliger ist es für Sicherheitsvorfälle.
(© Tierney - stock.adobe.com)

Durch die Cloud ist die IT deutlich dynamischer geworden: Neue Cloud-Services werden eingeführt, um veränderten Anforderungen der Unternehmen Rechnung zu tragen. Neue Benutzer und Administratoren werden im Zuge des Wechsels von Mitarbeitern eingerichtet und die Berechtigungen von Mitarbeitern, die neue Rollen übernehmen, werden erweitert. Immer mehr Informationen werden in der Cloud gespeichert und gemeinsam genutzt, wodurch das Risiko um ein Vielfaches steigt. Diese wechselnden Angriffspunkte erhöhen dabei die Gefahr von Kontoübernahmen und Datenverlusten.

Um eine sichere, identitätsdefinierte Cloud-Umgebung zu schaffen und die Angriffsfläche für die Cloud reduzieren, sollten Sicherheitsverantwortliche diese sechs Schritte umsetzen.

Reduzieren Sie öffentlich verfügbare Ressourcen

Ein durchschnittlicher Mitarbeiter kann an seinem ersten Arbeitstag auf mehr als 17 Millionen Dokumente zugreifen. Cloud-Dienste machen es den Mitarbeitern leicht, diese Dokumente innerhalb und außerhalb des Unternehmens zu teilen und zu verbreiten. Und als wäre dies nicht schon beängstigend genug, katalogisieren Suchmaschinen in einigen Fällen sogar diese Dokumente und zeigen sie in den Suchergebnissen an, wodurch sie für jeden zugänglich sind, der über einen entsprechenden Link verfügt.

Die Mitarbeiter müssen geschult werden, Dokumente nur für bestimmte Benutzer und nicht für das gesamte Unternehmen freizugeben. Die Reduzierung von Zugriffsrechten auf exponierte Informationen ist zwar zeitaufwändig, aber alternativlos. Es ist von größter Wichtigkeit, dass die kritischen und sensiblen Daten in Ihrem Unternehmen bleiben. Zudem wird es hierdurch auch einfacher, einen potenziellen Verstoß zu identifizieren.

Setzen Sie das Least-Privilege-Prinzip um

Minimieren Sie die Zugriffsrechte Ihrer Mitarbeiter, damit sie nur auf die Informationen zugreifen können, die sie für ihre Arbeit benötigen. Benötigen Ihre externen Auftragnehmer unkontrollierten Zugriff auf Kundendaten in Salesforce? Müssen Praktikanten Zugang zu sensiblen technischen Dokumenten in Jira haben? Möglicherweise, vielleicht aber auch nicht. Dies muss von Datenverantwortlichen geprüft werden, um dann die Zugriffsrechte entsprechend zu gewähren oder zu beschränken.

In einem weiteren Schritt sollten ungenutzte oder veraltete Berechtigungen von ehemaligen Mitarbeitern, Auftragnehmern und Partnern identifiziert und entfernt werden. Least Privilege reduziert die Angriffsfläche, indem es die Möglichkeiten für Kontoübernahmen und Datenverluste minimiert und den Explosionsradius reduziert.

Aktivieren Sie MFA für alle wichtigen SaaS- und Cloud-Dienste

Multi-Faktor-Authentifizierung (MFA) ist Ihre erste Verteidigungslinie in der Cloud. Sie stellt sicher, dass gestohlene Passwörter allein Cyberkriminellen keinen Zugriff auf Ihre wichtigen Daten gewähren. Geschäftskritische Ressourcen sollten nur in von der IT genehmigten Cloud-Anwendungen konsolidiert werden. Dabei ist darauf zu achten, dass diese MFA-Unterstützung, PII-Sicherheitskontrollen, SOC-2-Konformität und Verschlüsselung bieten.

Beseitigen Sie Redundanzen

Um wirkungsvolle Sicherheitsrichtlinien und eine adäquate Konfigurationshygiene aufrechtzuerhalten, sollten Sie Redundanzen kontinuierlich überprüfen und beseitigen. Redundante Rollen können Benutzern übermäßig weitreichende Berechtigungen gewähren und die Wahrscheinlichkeit von Fehlern und letztlich von Sicherheitsvorfällen erhöhen. Zudem können Redundanzen dazu führen, dass unangemessene Richtlinien oder falsch konfigurierte Berechtigungen neue, genehmigte Richtlinien aushebeln.

Halten Sie die Konten für Administratoren getrennt

Ihre SaaS- und IaaS-Administratoren bedürfen besonderer Aufmerksamkeit, da ihr Zugriff und ihre Berechtigungen das Unternehmen einem großen Risiko aussetzen können. Richten Sie zunächst Kontrollen für Ihre SaaS- und IaaS-Administratoren ein, um zu verhindern, dass ihre Rechte missbraucht werden. Stellen Sie dann für privilegierte Benutzer getrennte Konten für administrative Aktivitäten und die alltägliche Nutzung zur Verfügung. Auf diese Weise sind Admin-Konten weniger anfällig für Phishing-Angriffe und andere Bedrohungen.

Darüber hinaus müssen alle Schattenadministratoren identifiziert werden. Hierbei handelt es sich um nicht privilegierte Nutzer, die ohne Einbindung der IT-Abteilung Kontrolle über Ihre Cloud-Umgebung auf Administratorebene ausüben, entweder durch eine Fehlkonfiguration oder in böser Absicht. Eine Anpassung der Berechtigungen verhindert, dass Schattenadministratoren systemweiten Schaden in den Cloud-Konten anrichten, und kann das Potenzial für die Datenexfiltration verringern.

Setzen Sie Offboarding-Prozesse durch

Wenn ein Mitarbeiter oder Auftragnehmer das Unternehmen verlässt, müssen seine Berechtigungen für alle Cloud-Dienste entzogen werden. Der 2021 SaaS Risk Report hat gezeigt, dass 3 von 4 Cloud-Identitäten von externen Auftragnehmern nach dem Ausscheiden aktiv bleiben. Sicherheitsverantwortliche müssen deshalb routinemäßig ihre automatischen Richtlinien für die Deaktivierung von Benutzern in Ihrem IDaaS (wie Okta) bestätigen.

Verteiltes Arbeiten und das Aufkommen von SaaS haben dazu geführt, dass herkömmlicher Perimeterschutz und traditionelle Sicherheitsprotokolle moderne Angriffe nicht hinreichend abwehren können. Deshalb sollte die Sicherung von Identitäten und den damit verbundenen Berechtigungen und Zugängen im Mittelpunkt einer wirkungsvollen Strategie zur Reduzierung der Angriffsfläche in der Cloud stehen. Eine rein User-zentrierte Lösung hat allerdings auch ihre Grenzen: Sie kann beispielsweise nicht erkennen, wenn sich ein nicht mehr aktiver Benutzer wieder anmeldet, da er ja „bekannt“ ist. Mithilfe eines datenzentrierten Sicherheitsansatz, der auch das Nutzerverhalten einbezieht, ist es jedoch möglich, dies zu erkennen und etwa auch festzustellen, dass sich dieses Konto anders verhält, also etwa Dateien öffnet, die früher nie angesehen wurden. Dieses abnormale Verhalten kann dann automatisch gestoppt werden. Denn ganz gleich, ob der Zugriff lokal oder über SaaS erfolgt: Im Zentrum stehen die Daten. Sie sind das wertvolle Gut, das es zu schützen gilt.

Über den Autor: Michael Scheffler ist Country Manager DACH von Varonis Systems.

(ID:47907679)