Zpedia 

/ Was ist Cloud Infrastructure Entitlement Management (CIEM)?

Was ist Cloud Infrastructure Entitlement Management (CIEM)?

Cloud Infrastructure Entitlement Management (CIEM) ist eine Art automatisierte Cloud-Sicherheitslösung, die das Risiko von Datenschutzverletzungen in öffentlichen Cloud-Umgebungen verringert. CIEM-Lösungen können eine übermäßige Erteilung von Berechtigungen verhindern. Dazu überwachen sie permanent die Berechtigungen und Aktivitäten von Entitäten und stellen dabei sicher, dass die jeweiligen Zugriffskontrollen beachtet werden. Eine effektive CIEM-Lösung bietet umfassendes Reporting, um das Zugriffsmanagement zu optimieren, die Cloud-Sicherheitslage zu stärken und DevOps-Unterbrechungen zu minimieren.
Lösen Sie die vier größten Herausforderungen bei Berechtigungen in der öffentlichen Cloud
Cloud-SicherheitDatensicherheit
  1. Bedeutung für die Praxis
  2. Vorteile von CIEM
  3. CSPM im Vergleich zu CIEM
  4. Vorteile der Zscaler-Lösung
  5. Empfohlene Ressourcen
  6. Ähnliche Themen

Warum sind CIEM-Lösungen notwendig?

Aktuell lagern Organisationen ihre zentralen Abläufe immer mehr in die Cloud aus. Die Folge: Prozesse und damit verbundene Workloads, Anwendungen und Daten liegen auf einmal bei verschiedenen Cloud-Serviceanbietern wie etwa Amazon Web Services (AWS), Microsoft Azure und Google Cloud Platform (GCP). In manchen Multicloud-Umgebungen kommen dabei alle drei genannten Anbieter gleichzeitig zum Einsatz – und manchmal sogar noch weitere.

In einem Cloud-Ökosystem können Millionen von Berechtigungen für Personen, Systeme und Cloud-Services bestehen, darunter auch solche für nicht föderierte Konten, Standardberechtigungen, falsch konfigurierte und sogar ungenutzte Berechtigungen. Ohne ausreichende Kontrolle entsteht dadurch eine deutlich vergrößerte Angriffsfläche, die Angreifern das Infiltrieren von in der Cloud bereitgestellten Assets erleichtert. Laut Gartner ist davon auszugehen, dass der Anteil von Cloud-Sicherheitspannen, die auf unsachgemäßes Management von Identitäten, Zugriffsrechten und anderen Berechtigungen zurückzuführen sind, bis 2023 auf 75 % ansteigen wird.

Weitverbreitete Legacy-Sicherheitslösungen wie das Privileged Access Management (PAM) sind nicht für die heutigen Berechtigungsszenarien ausgelegt. Problematisch sind für sie etwa die Kurzlebigkeit und Flexibilität der Cloud oder der Fokus auf die Cloud-Konfiguration bei zugleich fehlendem Einblick in Unternehmensberechtigungen. CIEM liefert eine Antwort auf diese Probleme und bietet hierfür umfassenden Überblick über Cloud-Berechtigungen sowie automatische Fehlerbehebung – die Grundlage für eine Strategie der minimalen Rechtevergabe.

Die Bestandteile von CIEM-Lösungen

Es gibt verschiedene CIEM-Lösungen auf dem Markt, die sich hinsichtlich Zusammensetzung und Funktionen voneinander unterscheiden. Einige zentrale Elemente sind ihnen jedoch allen gemein. Dazu zählen:

  • Identitätsverwaltung: Regeln, die festlegen, welche menschlichen und maschinellen Entitäten welchen Richtlinien unterliegen
  • Sicherheitsrichtlinien: Regeln, die festlegen, wer zu welchem Zeitpunkt von welchem Standort und Gerät auf welche Ressourcen zugreifen darf
  • Zentrale Verwaltung: Ein Dashboard, mit dem sich das gesamte Multicloud-Ökosystem von einem Ort aus verwalten lässt

Die Rolle von CIEM in einer zukunftsfähigen Cloud-Sicherheitsstrategie

In modernen Organisationen reicht es in der Regel nicht, die Zugriffsrisiken in der Cloud allein anhand des Wissens über die Zugriffsberechtigungen der einzelnen Personen zu regeln. Tatsächlich gibt es in vielen Fällen gar keine menschlichen Akteure. Mehr als die Hälfte der Cloud-Berechtigungen entfallen heutzutage auf Anwendungen, Maschinen und Servicekonten. Der Grund dafür sind OT- (z. B. Server und Roboter in der Fabrikhalle) und IoT-Geräte (z. B. Kartenleser, Sendungs-Tracker, Drucker) werden mit Anwendungen und Datenbanken verbunden, die ebenfalls miteinander vernetzt sind und ständig Informationen austauschen.

Berechtigungen müssen genau abgegrenzt sein, um einen unerwünschten Datenaustausch zu verhindern. Allerdings wäre menschliches Personal angesichts der schieren Menge an Berechtigungen mit der Verwaltung schlicht überfordert: Tausende User und Services, zehntausende Ressourcen und Abermillionen einzelne Berechtigungen machen ein schnelles und zielsicheres Handeln bei ständig wechselnden Anforderungen unmöglich. Nur CIEM und Automatisierung können das leisten.

Die Herausforderungen bei der Verwaltung von Berechtigungen

Zu einer wirksamen CIEM-Lösung gehören die Konfiguration des allgemeinen Identitäts- und Access-Managements (IAM), Privileged Access Management sowie automatische Governance. Doch welche konkreten Herausforderungen können mit CIEM dadurch bewältigt werden?

  • Überwinden Sie Hindernisse auf dem Weg zu schnellen, agilen DevOps, damit Entwickler weiterhin schnell und sicher Code bereitstellen können.
  • Verwalten Sie komplexe Überwachungs- und Governance-Umgebungen in dynamischen Multicloud-Umgebungen, die sich über den ganzen Globus erstrecken können
  • Verhindern Sie übermäßige Berechtigungen, um Missbrauch oder Missbrauch durch menschliche und maschnielle Konten, einschließlich privilegierter Konten, zu verhindern
  • Behalten Sie den Überblick und gewährleisten Sie Compliance in mehreren Cloud-Infrastrukturen mit unterschiedlichen Sicherheits-Frameworks, Governance-Anforderungen usw

Vorteile von CIEM

Eine gute CIEM-Lösung stellt die Berechtigungen von Usern, maschinellen Identitäten und Cloud-Ressourcen in einer Organisation grafisch dar, zeigt Risiken mittels Analysen der Berechtigungslandschaft auf, erkennt Bedrohungen und schützt das Prinzip des Zugriffs mit minimaler Rechtevergabe. Nachstehend werden die Vor- und Nachteile beider Ansätze ausführlicher erläutert.

Geschwindigkeit und Agilität für DevOps

DevOps-Teams verwalten die Zugriffskonfiguration der Cloud-Infrastruktur – dabei stehen in diesem Bereich eigentlich Innovation und Agilität im Mittelpunkt, nicht das Thema Sicherheit. DevOps können die arbeitsintensive manuelle Erteilung granularer Berechtigungen nicht leisten, die jedoch für die Umsetzung des Zugriffs mit minimaler Rechtevergabe nötig wäre. Daher erteilten DevOps häufig übermäßig viele Berechtigungen, um Einführungen neuer Produkte zu beschleunigen oder Services effizienter bereitzustellen.

CIEM-Tools korrigieren eine übermäßige Erteilung von Berechtigungen automatisch, ohne dass dabei Anwendungen oder DevOps beeinträchtigt werden. Die unternehmenseigenen Entwickler können dadurch ihren eigentlichen Aufgaben wieder mehr Aufmerksamkeit widmen.

Transparenz auf einem einzigen Dashboard

CIEM bietet einen zentralen Überblick über Berechtigungen auf mehreren Cloud-Plattformen und verleiht Organisationen dadurch bessere Kontrolle und eine allgemeine Übersicht über die Berechtigungsverhältnisse in der Cloud. So können Risiken besser eingeschätzt und Gegenmaßnahmen entwickelt werden.

CIEM liefert den zuständigen Mitarbeitern in der IT-Sicherheit zudem eine Handhabe dahingehend, welche menschlichen und maschinellen User Zugriff auf welche Ressourcen genießen – über mehrere Clouds, Services, User und Entitäten hinweg – und stellt unterstützend ausführliche automatische Reports bereit.

Allgemein soliderer Sicherheitsstatus

Eine gut durchdachte CIEM-Lösung reduziert die Angriffsfläche und das Risiko in öffentlichen Clouds und ermöglicht dadurch:

  • Eine genaue Bestandsaufnahme und Pflege aller vorhandenen Berechtigungen
  • Automatische Korrektur von Berechtigungen, die falsch konfiguriert, ungenutzt, richtlinienwidrig oder auf andere Weise problematisch sind
  • Die Aufspürung ungewöhnlicher Cloud-Transaktionen, die interne oder externe Bedrohungen darstellen könnten – etwa Aktivitäten von Angreifern, menschliche Fehler oder Abweichungen von den Sicherheitsrichtlinien
  • Die Erkennung von Problemen mit hoher Priorität und Entwicklung verwertbarer Pläne zu deren Behebung
  • Die Durchsetzung des Prinzips der minimalen Rechtevergabe – eine Schlüsselkomponente von Zero Trust
  • Die Festlegung einheitlicher Richtlinien für Multicloud-Umgebungen, die jeweils ihre eigenen Sicherheitseinstellungen und Begrifflichkeiten haben

CSPM im Vergleich zu CIEM

Fehlkonfigurationen und übermäßig erteilte Berechtigungen sind heute das größte Sicherheitsrisiko in öffentlichen Cloud-Umgebungen.  Es gibt jedoch zwei verschiedene Arten von Tools, mit denen sich diese Herausforderungen bewältigen lassen und die das Risiko bei der Nutzung einer öffentlichen Cloud reduzieren: Cloud Security Posture Management (CSPM) und CIEM.

Im Folgenden werden beide Ansätze gegenübergestellt.

Sichere Cloud-Posture dank CSPM und CIEM

CSPM-Tools reduzieren Fehlkonfigurationen

Die großen drei Cloud-Provider – Azure, AWS und Google Cloud – bieten hunderte von verschiedenen Services mit Konfigurationsoptionen an, die sich alle auf Sicherheit und Risiko auswirken. Selbst mit einer einfach gehaltenen Multicloud-Strategie können tausende von Feature-Konfigurationen entstehen, die überwacht werden müssen. CSPM-Tools bewältigen Probleme im Zusammenhang mit Fehlkonfigurationen bei diesen beliebten öffentlichen Cloud-Services. Möglich wird das durch:

  • Überwachung auf Probleme mit der Konfiguration der öffentlichen Clouds
  • Nachverfolgung des digitalen Inventars und Berechnung des Sicherheitsstatus
  • Priorisierung von Problemen nach Risikoprofil und automatische Behebung
  • Durchsetzung von Richtlinien zur Aufrechterhaltung von Sicherheit und Compliance

CIEM-Tools beheben übermäßige Berechtigungen

Während bei CSPM fehlerhafte Konfigurationen im Fokus stehen, konzentrieren sich CIEM-Tools auf eine andere typische Sicherheitslücke bei Bereitstellungen mit öffentlichen Clouds: die unzureichende Kontrolle über Identitäten und Berechtigungen. Angesichts von hunderten von Cloud-Usern müssen zehntausende Ressourcen und Millionen Einzelberechtigungen verwaltet werden – was die Kapazitäten der manuellen Verwaltung bei weitem überschreitet. CIEM-Tools bieten Unterstützung bei:

  • Erkennung der Zugriffsverhältnisse in Cloud-Umgebungen: Wer kann worauf zugreifen?
  • Einordnung der Berechtigungen menschlicher und maschineller Identitäten
  • Erstellen und Durchsetzen eines einfachen, transparenten Zugriffsmodells nach dem Prinzip der minimalen Rechtevergabe
  • Implementierung einer Multicloud-Sicherheitsrichtlinie für Berechtigungen

Wofür entscheiden: CSPM oder CIEM?

Sowohl CSPM- als auch CIEM-Tools leisten also auf ihre Weise einen Beitrag zur Reduzierung der Risiken bei der Nutzung der Cloud. Doch für welchen der beiden Ansätze sollten sich Organisationen nun entscheiden? Die Antwort: Beide werden gebraucht. Fehlerhafte Konfigurationen und die übermäßige Erteilung von Berechtigungen sind die beiden Hauptquellen für Sicherheitsrisiken in der öffentlichen Cloud. Durch eine Kombination aus CSPM und CIEM kann bereits die überwiegende Mehrheit der für öffentliche Clouds typischen Sicherheitsprobleme auf ein Minimum reduziert werden.

Vorteile der Zscaler-Lösung

CIEM-und CSPM-Richtlinien sind nativ in Posture Control von Zscalerintegriert. Die umfassende Cloud Native Application Protection Platform (CNAPP) bietet zuverlässigen Schutz für Cloud-Infrastrukturen, vertrauliche Daten und native Anwendungsbereitstellungen in allen Multicloud-Umgebungen des Unternehmens.

Posture Control bietet mit seinen leistungsstarken CIEM-Funktionen folgende Vorteile:

Umfassender Einblick in IAM-Risiken

KI- und ML-gestützte Analysen unterstützen Organisationen bei der Verwaltung eines hohen Volumens von Berechtigungsdaten. Anhand der risikobasierten Visualisierung menschlicher und maschineller Identitäten lassen sich riskante Berechtigungen einfach erkennen und entsprechende Konfigurationen überprüfen.

Risikobasierte Priorisierung

Häufig verhindert die schiere Masse der von Sicherheitsplattformen generierten Warnmeldungen eine effiziente Priorisierung und Behebung von Risiken. Posture Control priorisiert Sicherheitsrisiken auf der Basis des jeweiligen Unternehmensprofils und unterstützt dadurch ein optimales Risikomanagement bei minimalem Aufwand.

Aufhebung unnötiger Zugriffsberechtigungen

Posture Control nutzt maschinelle Lernalgorithmen, Kohortenanalyse und weitere Methoden zur Erkennung verborgener, unnötiger und falsch konfigurierter Berechtigungen sowie riskanter Verbindungspfade für den Zugriff auf gefährdete Ressourcen in der jeweiligen Cloud-Plattform und unterstützt dadurch die Verkleinerung der Angriffsfläche und die Durchsetzung einer minimalen Rechtevergabe.

Schutz für DevOps

Durch Integration des Berechtigungsmanagements in DevOps-Workflows wird gewährleistet, dass Sicherheit und Innovation Hand in Hand gehen.

Einheitliche, vorschriftenkonforme IAM-Konfigurationen

Die konsequente Durchsetzung einheitlicher Richtlinien und automatisierter Regeln in sämtlichen Multicloud-Umgebungen gewährleistet Konformität mit Compliance-Frameworks wie CIS, GDPR, SOC2, NIST, PCI DSS, ISO usw. und gibt Organisationen granulare Kontrolle über den Zugriff auf wertvolle Ressourcen.

Empfohlene Ressourcen

CIEM und CSPM im Vergleich: Welche Lösung ist besser zur Reduzierung von Risiken in öffentlichen Cloud-Umgebungen geeignet?
Zum Blogbeitrag
5 Hauptvorteile einer Cloud Native Application Protection Platform (CNAPP)
Zum Blogbeitrag
Berechtigungen: Das am häufigsten übersehene Risiko in der öffentlichen Cloud
Zum Blogbeitrag