Gastbeitrag von CyberArk

Ohne Least Privilege keine Cloud-Sicherheit

Cloud Entitlements Manager
Der Cloud Entitlements Manager liefert in einem zentralen Dashboard einen Gesamtüberblick zu den Berechtigungen über Amazon Web Services, Amazon Elastic Kubernetes Service, Google Cloud Platform und Azure-Umgebungen hinweg.
© CyberArk

Unternehmen nutzen in immer größerem Umfang Cloud-Services. Um Sicherheitsgefahren auszuschließen, müssen sie dabei vor allem die Zugriffsrechte der Anwender adäquat verwalten, sichern und überwachen. Auf Basis eines Least-Privilege-Prinzips dürfen Unternehmen Nutzern nur die für ihre Tätigkeit erforderliche Berechtigungsebene gewähren.

Die Nutzung von Public-Cloud-Services, SaaS-Anwendungen (Software as a Service) und die Remote-Arbeit haben den traditionellen Netzwerkperimeter de facto wertlos gemacht. Der neue Perimeter, der aus dieser Entwicklung resultiert, ist die Identität. Sie muss damit eine wichtige Verteidigungslinie für Unternehmen sein. Gerade im Zuge der Umsetzung von Zero-Trust-Modellen, die Unternehmen aktuell massiv vorantreiben, ist die Authentifizierung und Autorisierung aller Identitäten ein absolutes Muss. Das Zero-Trust-Prinzip sieht die Überprüfung sämtlicher Akteure und Prozesse vor, die eine Verbindung zu kritischen Systemen herstellen wollen. Das heißt, jede Identität, die auf Unternehmensressourcen zugreifen will, muss verifiziert sein – verbunden mit einer intelligenten Begrenzung der Zugriffsmöglichkeiten. Das Least-Privilege-Prinzip ist somit ein grundlegender Bestandteil von Zero-Trust-Frameworks.

Die Herausforderung besteht darin, dass in Cloud-Umgebungen prinzipiell jede menschliche oder maschinelle Identität mit (pro Cloud unterschiedlichen) Tausenden von Berechtigungen konfiguriert sein kann. So ist es etwa möglich, Benutzer, Gruppen und Rollen abhängig vom jeweiligen Aufgabenprofil mit Berechtigungen zu versehen. Viele Unternehmen konfigurieren aber ungewollt die verschiedenen Identitäten mit Zugriffsrechten innerhalb der Cloud-Services, die sie eigentlich nicht nutzen oder benötigen. Laut einer aktuellen Umfrage des Analystenhauses Enterprise Strategy Group zählen Accounts und Rollen, die über zu viele Berechtigungen verfügen, zu den häufigsten Fehlkonfigurationen von Cloud-Services. Zudem seien die meisten Cyber-Angriffe auf Cloud-Anwendungen und -Services in den letzten zwölf Monaten gerade auf die missbräuchliche Nutzung dieser unnötigen Privilegien zurückzuführen [1].

Erschwerend kommt hinzu, dass die Anzahl der Cloud-Dienste kontinuierlich steigt und dementsprechend damit auch die Risiken einer Fehlkonfiguration. Führende Cloud-Plattformen wie AWS (Amazon Web Services), Microsoft Azure oder GCP (Google Cloud Platform) führen ständig neue Services ein, um sich vom Wettbewerb zu differenzieren. Diese rasante Innovation steigert zum einen die Produktivität von Unternehmen, da leistungsstarke Tools für Anforderungen wie Daten-Streaming, Blockchain-Netzwerke und IoT (Internet-of-Things)-Analytics leichter zugänglich sind als je zuvor. Zum anderen bedeutet die Konfiguration weiterer Cloud-Dienste für Unternehmen jedes Mal eine neue Herausforderung, zumal die Rechte bei jedem Hyperscaler unterschiedlich benannt und umfangreich sind. Bereits eine einfache Fehlkonfiguration kann Angreifern Tür und Tor öffnen.


  1. Ohne Least Privilege keine Cloud-Sicherheit
  2. Identitätsbasierte Sicherheitsstrategie

Verwandte Artikel

CyberArk Germany GmbH

Cloud-Sicherheit

Cloud-Services