Cloud Infrastructure Entitlement Management (CIEM) – die Definition

Zum Cloud Infrastructure Entitlement Management (CIEM) zählen automatische Lösungen für Cloud-Sicherheit, die das Risiko von Datenpannen in öffentlichen Cloud-Umgebungen minimieren. CIEM-Lösungen können eine übermäßige Erteilung von Berechtigungen verhindern. Dazu überwachen sie permanent die Berechtigungen und Aktivitäten von menschlichen und maschinellen Entitäten und stellen dabei sicher, dass die jeweiligen Zugriffskontrollen beachtet werden.

Eine effektive CIEM-Lösung bietet ein umfassendes automatisiertes Reporting, das Organisationen mehrere Vorteile bringt. Hierzu zählen ein rationalisiertes Zugriffsmanagement, eine Stärkung des gesamten Sicherheitsstatus der Cloud sowie eine maximale Eindämmung von DevOps-Störungen.

 

Die Bestandteile von CIEM-Lösungen

Es gibt verschiedene CIEM-Lösungen auf dem Markt, die sich hinsichtlich Zusammensetzung und Funktionen voneinander unterscheiden. Einige zentrale Elemente sind ihnen jedoch allen gemein. Dazu zählen:

  • Identity Governance: Regeln darüber, welche menschlichen und maschinellen Entitäten bestimmten Richtlinien unterliegen
  • Sicherheitsrichtlinien: Regeln darüber, wer, was, wann, wo und warum auf die Cloud und Workloads zugreifen kann
  • Zentrale Verwaltung: Ein Dashboard, mit dem sich das gesamte Multicloud-Ökosystem von einem Ort aus verwalten lässt

 

Warum sind CIEM-Lösungen notwendig?

Aktuell lagern Organisationen ihre zentralen Abläufe immer mehr in die Cloud aus. Die Folge: Prozesse und damit verbundene Workloads, Anwendungen und Daten liegen auf einmal bei verschiedenen Cloud-Serviceanbietern wie etwa Amazon Web Services (AWS), Microsoft Azure und Google Cloud Platform (GCP). In manchen Multicloud-Umgebungen kommen dabei alle drei genannten Anbieter gleichzeitig zum Einsatz – und manchmal sogar noch weitere.

In einem Cloud-Ökosystem können Millionen von Berechtigungen für Personen, Systeme und Cloud-Services bestehen, darunter auch solche für nicht föderierte Konten, Standardberechtigungen, falsch konfigurierte und sogar ungenutzte Berechtigungen. Ohne ausreichende Kontrolle entsteht dadurch eine deutlich vergrößerte Angriffsfläche, die Angreifern das Infiltrieren von in der Cloud bereitgestellten Assets erleichtert. Laut Gartner ist davon auszugehen, dass der Anteil von Cloud-Sicherheitspannen, die auf unsachgemäßes Management von Identitäten, Zugriffsrechten und anderen Berechtigungen zurückzuführen sind, bis 2023 auf 75 % ansteigen wird.

Weitverbreitete Legacy-Sicherheitslösungen wie das Privileged Access Management (PAM) sind nicht für die heutigen Berechtigungsszenarien ausgelegt. Problematisch sind für sie etwa die Kurzlebigkeit und Flexibilität der Cloud oder der Fokus auf die Cloud-Konfiguration bei zugleich fehlendem Einblick in Unternehmensberechtigungen. CIEM liefert eine Antwort auf diese Probleme und bietet hierfür umfassenden Überblick über Cloud-Berechtigungen sowie automatische Fehlerbehebung – die Grundlage für eine Strategie der minimalen Rechtevergabe.

 

Die Rolle von CIEM in der modernen Cloud-Sicherheit

In modernen Organisationen reicht es in der Regel nicht, die Zugriffsrisiken in der Cloud allein anhand des Wissens über die Zugriffsberechtigungen der einzelnen Personen zu regeln. Tatsächlich gibt es in vielen Fällen gar keine menschlichen Akteure. Mehr als die Hälfte der Cloud-Berechtigungen entfallen heutzutage auf Anwendungen, Maschinen und Servicekonten. Der Grund dafür sind Betriebstechnologie (z. B. Server und Roboter in der Fertigungshalle) und IoT-Geräte (z. B. Kartenlesegeräte, Versand-Tracker und Drucker). Sie stellen Verbindungen zu Anwendungen und Datenbanken her, die sich wiederum selbst untereinander verbinden und permanent Informationen austauschen.

Berechtigungen müssen genau abgegrenzt sein, um einen unerwünschten Datenaustausch zu verhindern. Allerdings wäre menschliches Personal angesichts der schieren Menge an Berechtigungen mit der Verwaltung schlicht überfordert: Tausende User und Services, zehntausende Ressourcen und Abermillionen einzelne Berechtigungen machen ein schnelles und zielsicheres Handeln bei ständig wechselnden Anforderungen unmöglich. Nur CIEM und Automatisierung können das leisten.

 

Die Herausforderungen bei der Verwaltung von Berechtigungen

Zu einer wirksamen CIEM-Lösung gehören die Konfiguration des allgemeinen Identitäts- und Access-Managements (IAM), Privileged Access Management sowie automatische Governance. Doch welche konkreten Herausforderungen können mit CIEM dadurch bewältigt werden?

  • Überwindung von Hindernissen, die schnellen und flexiblen DevOps im Weg stehen, damit Entwickler Code schnell und sicher bereitstellen können
  • Verwaltung von komplexer Überwachung und Governance in dynamischen Multicloud-Umgebungen, die sich über den gesamten Globus erstrecken
  • Eindämmung von übermäßig erteilten Berechtigungen, um Missbrauch an menschlichen und maschinellen Konten zu verhindern, einschließlich privilegierter Konten
  • Gewährleistung von Transparenz und Compliance in Infrastrukturen mit mehreren Clouds und unterschiedlichen Sicherheits-Frameworks, Governance-Anforderungen usw.

Vorteile von CIEM

Eine gute CIEM-Lösung stellt die Berechtigungen von Usern, maschinellen Identitäten und Cloud-Ressourcen in einer Organisation grafisch dar, zeigt Risiken mittels Analysen der Berechtigungslandschaft auf, erkennt Bedrohungen und schützt das Prinzip des Zugriffs mit minimaler Rechtevergabe. Nachstehend werden die Vor- und Nachteile beider Ansätze ausführlicher erläutert.

 

Geschwindigkeit und Agilität für DevOps

DevOps-Teams verwalten die Zugriffskonfiguration der Cloud-Infrastruktur – dabei stehen in diesem Bereich eigentlich Innovation und Agilität im Mittelpunkt, nicht das Thema Sicherheit. DevOps können die arbeitsintensive manuelle Erteilung granularer Berechtigungen nicht leisten, die jedoch für die Umsetzung des Zugriffs mit minimaler Rechtevergabe nötig wäre. Daher erteilten DevOps häufig übermäßig viele Berechtigungen, um Einführungen neuer Produkte zu beschleunigen oder Services effizienter bereitzustellen.

CIEM-Tools korrigieren eine übermäßige Erteilung von Berechtigungen automatisch, ohne dass dabei Anwendungen oder DevOps beeinträchtigt werden. Die unternehmenseigenen Entwickler können dadurch ihren eigentlichen Aufgaben wieder mehr Aufmerksamkeit widmen.

 

Transparenz auf einem einzigen Dashboard

CIEM bietet einen zentralen Überblick über Berechtigungen auf mehreren Cloud-Plattformen und verleiht Organisationen dadurch bessere Kontrolle und eine allgemeine Übersicht über die Berechtigungsverhältnisse in der Cloud. So können Risiken besser eingeschätzt und Gegenmaßnahmen entwickelt werden.

CIEM liefert den zuständigen Mitarbeitern in der IT-Sicherheit zudem eine Handhabe dahingehend, welche menschlichen und maschinellen User Zugriff auf welche Ressourcen genießen – über mehrere Clouds, Services, User und Entitäten hinweg – und stellt unterstützend ausführliche automatische Reports bereit.

 

Allgemein soliderer Sicherheitsstatus

Eine gut durchdachte CIEM-Lösung reduziert die Angriffsfläche und das Risiko in öffentlichen Clouds und ermöglicht dadurch:

  • Eine genaue Bestandsaufnahme und Pflege aller vorhandenen Berechtigungen
  • Automatische Korrektur von Berechtigungen, die falsch konfiguriert, ungenutzt, richtlinienwidrig oder auf andere Weise problematisch sind
  • Die Aufspürung ungewöhnlicher Cloud-Transaktionen, die interne oder externe Bedrohungen darstellen könnten – etwa Aktivitäten von Angreifern, menschliche Fehler oder Abweichungen von den Sicherheitsrichtlinien
  • Die Erkennung von Problemen mit hoher Priorität und Entwicklung verwertbarer Pläne zu deren Behebung
  • Die Durchsetzung des Prinzips der minimalen Rechtevergabe – eine Schlüsselkomponente von Zero Trust
  • Die Festlegung einheitlicher Richtlinien für Multicloud-Umgebungen, die jeweils ihre eigenen Sicherheitseinstellungen und Begrifflichkeiten haben

CIEM und CSPM im Vergleich: Welche Lösung ist besser zur Reduzierung von Risiken in öffentlichen Cloud-Umgebungen geeignet?

Zum Blogbeitrag
CIEM und CSPM im Vergleich: Welche Lösung ist besser zur Reduzierung von Risiken in öffentlichen Cloud-Umgebungen geeignet?

5 Hauptvorteile einer Cloud Native Application Protection Platform (CNAPP)

Zum Blogbeitrag
CIEM und CSPM im Vergleich: Welche Lösung ist besser zur Reduzierung von Risiken in öffentlichen Cloud-Umgebungen geeignet?

Berechtigungen: Das am häufigsten übersehene Risiko in der öffentlichen Cloud

Zum Blogbeitrag
Berechtigungen: Das am häufigsten übersehene Risiko in der öffentlichen Cloud

CSPM und CIEM im Vergleich

Fehlkonfigurationen und übermäßig erteilte Berechtigungen sind heute das größte Sicherheitsrisiko in öffentlichen Cloud-Umgebungen.  Es gibt jedoch zwei verschiedene Arten von Tools, mit denen sich diese Herausforderungen bewältigen lassen und die das Risiko bei der Nutzung einer öffentlichen Cloud reduzieren: Cloud Security Posture Management (CSPM) und CIEM.

Im Folgenden werden beide Ansätze gegenübergestellt.

 

CSPM-Tools dämmen Fehlkonfigurationen ein

Die großen drei Cloud-Provider – Azure, AWS und Google Cloud – bieten hunderte von verschiedenen Services mit Konfigurationsoptionen an, die sich alle auf Sicherheit und Risiko auswirken. Selbst mit einer einfach gehaltenen Multicloud-Strategie können tausende von Feature-Konfigurationen entstehen, die überwacht werden müssen. CSPM-Tools bewältigen Probleme im Zusammenhang mit Fehlkonfigurationen bei diesen beliebten öffentlichen Cloud-Services. Möglich wird das durch:

  • Überwachung auf Probleme mit der Konfiguration der öffentlichen Clouds
  • Nachverfolgung des digitalen Inventars und Berechnung des Sicherheitsstatus
  • Priorisierung von Problemen nach Risikoprofil und automatische Behebung
  • Durchsetzung von Richtlinien zur Aufrechterhaltung von Sicherheit und Compliance

 

CIEM-Tools bei übermäßiger Erteilung von Berechtigungen

Während bei CSPM fehlerhafte Konfigurationen im Fokus stehen, konzentrieren sich CIEM-Tools auf eine andere typische Sicherheitslücke bei Bereitstellungen mit öffentlichen Clouds: die unzureichende Kontrolle über Identitäten und Berechtigungen. Angesichts von hunderten von Cloud-Usern müssen zehntausende Ressourcen und Millionen Einzelberechtigungen verwaltet werden – was die Kapazitäten der manuellen Verwaltung bei weitem überschreitet. CIEM-Tools bieten Unterstützung bei:

  • Erkennung der Zugriffsverhältnisse in Cloud-Umgebungen: Wer kann worauf zugreifen?
  • Einordnung der Berechtigungen menschlicher und maschineller Identitäten
  • Erstellung und Durchsetzung eines einfachen, transparenten und kostengünstigen Zugriffsmodells
  • Implementierung einer Multicloud-Sicherheitsrichtlinie für Berechtigungen

 

Wofür entscheiden: CSPM oder CIEM?

Sowohl CSPM- als auch CIEM-Tools leisten also auf ihre Weise einen Beitrag zur Reduzierung der Risiken bei der Nutzung der Cloud. Doch für welchen der beiden Ansätze sollten sich Organisationen nun entscheiden? Die Antwort: Beide werden gebraucht. Fehlerhafte Konfigurationen und die übermäßige Erteilung von Berechtigungen sind die beiden Hauptquellen für Sicherheitsrisiken in der öffentlichen Cloud. Durch eine Kombination aus CSPM und CIEM kann bereits die überwiegende Mehrheit der für öffentliche Clouds typischen Sicherheitsprobleme auf ein Minimum reduziert werden.

 

Die Zscaler-Lösung zum Schutz vor Ransomware

CIEM- und CSPM-Richtlinien sind nativ in Posture Control von Zscaler integriert. Die umfassende Cloud Native Application Protection Platform (CNAPP) bietet zuverlässigen Schutz für Cloud-Infrastrukturen, vertrauliche Daten und native Anwendungsbereitstellungen in allen Multicloud-Umgebungen einer Organisation.

Posture Control bietet mit seinen leistungsstarken CIEM-Funktionen folgende Vorteile:

Umfassender Einblick in IAM-Risiken
KI- und ML-gestützte Analysen ermöglichen die Verwaltung einer ansonsten nicht zu beherrschenden Menge an Berechtigungsdaten. Anhand der risikobasierten Visualisierung menschlicher und maschineller Identitäten lassen sich riskante Berechtigungen einfach erkennen und entsprechende Konfigurationen überprüfen.

Risikobasierte Priorisierung
Die meisten Sicherheitsplattformen generieren viel zu viele Warnungen. Posture Control priorisiert Sicherheitsrisiken auf der Basis des jeweiligen Unternehmensprofils und unterstützt dadurch ein optimales Risikomanagement bei minimalem Aufwand.

Aufhebung unnötiger Zugriffsberechtigungen
Posture Control nutzt maschinelle Lernalgorithmen, Kohortenanalyse und weitere Methoden zur Erkennung verborgener, unnötiger und falsch konfigurierter Berechtigungen sowie riskanter Verbindungspfade für den Zugriff auf gefährdete Ressourcen in der jeweiligen Cloud-Plattform. Dadurch wird die Verkleinerung der Angriffsfläche und die Durchsetzung einer minimalen Rechtevergabe unterstützt. 

Sichere DevOps
Durch eine effektive Verwaltung von Berechtigungen in DevOps-Prozessen müssen bei Sicherheit und Innovation keine Kompromisse mehr eingegangen werden. 

Einheitliche, vorschriftenkonforme IAM-Konfigurationen
Die konsequente Durchsetzung einheitlicher Richtlinien und automatisierter Regeln in sämtlichen Multicloud-Umgebungen gewährleistet Konformität mit Compliance-Frameworks wie CIS, GDPR, SOC2, NIST, PCI DSS, ISO usw. und gibt Organisationen granulare Kontrolle über den Zugriff auf wertvolle Ressourcen.

 

Weitere Informationen zu Posture Control

Demo anfordern