Ressourcen > Sicherheit – Glossar > Was ist unter Zugriff mit minimaler Rechtevergabe zu verstehen?

Was ist unter Zugriff mit minimaler Rechtevergabe zu verstehen?

Zugriff mit minimaler Rechtevergabe: Begriffsklärung

Als minimale Rechtevergabe wird eine Cybersicherheitsstrategie bezeichnet, die jedem User nur das Mindestniveau an Zugriffsberechtigungen zuweist, die für seinen jeweiligen Aufgabenbereich zwingend erforderlich sind. Sie stellt ein wesentliches Element der Informationssicherheit dar, das Organisationen beim Schutz vertraulicher Daten unterstützt, indem laterale Bewegungen innerhalb des Netzwerks sowie unbefugte Zugriffe auf unternehmenseigene Anwendungen und Ressourcen verhindert werden.

Mit dem Volumen des globalen Cloud-Traffics nimmt zugleich die Häufigkeit und Raffinesse von Cyberangriffen zu – und damit branchenübergreifend die dringende Notwendigkeit zuverlässiger Lösungen zum Schutz der wachsenden Angriffsflächen. Durch konsequente Umsetzung des Zugriffs mit minimaler Rechtevergabe schaffen Organisationen eine wesentliche Voraussetzung für ein ganzheitliches Zero-Trust-Konzept.

Zeitgemäße Sicherheitskonzepte für den Zugriff mit minimaler Rechtevergabe umfassen drei Schwerpunkte: Authentifizierung von Useridentitäten, Überprüfung des Sicherheitsstatus von Endgeräten und User-to-App-Segmentierung. Diese werden im Folgenden ausführlicher erläutert.

 

Zugriff mit minimaler Rechtevergabe und Zero Trust

Minimale Rechtevergabe und Zero Trust stehen in engem Zusammenhang zueinander, jedoch gibt es einige grundlegende Unterschiede zwischen beiden Konzepten.

Zugriff mit minimaler Rechtevergabe funktioniert ähnlich wie eine Schlüsselkarte mit einem eindeutigen Code, der dem Aufgabenbereich des jeweiligen Mitarbeiters entspricht. Dadurch lassen sich Zugriffskontrollen individualisieren, sodass die Mehrzahl der User auf Anwendungen wie Microsoft 365 zugreifen kann, während der Zugriff auf vertrauliche Ressourcen – Finanz- und Personaldaten o. ä. – ausschließlich Usern mit entsprechender Zuständigkeit vorbehalten bleibt. Auf diese Weise wird das Risiko unnötiger Zugriffsberechtigungen eingeschränkt, die zu Datenpannen führen können.

Das Zero-Trust-Modell geht einen Schritt weiter, indem auch User, die eine eindeutig codierte Schlüsselkarte vorlegen, nicht automatisch als vertrauenswürdig eingestuft werden. Bevor die Zugriffsanforderung genehmigt wird, überprüft eine Zero-Trust-Richtlinie die Identität des Users sowie umfassende Kontextdaten zum Endgerät und Standort, zur jeweils angeforderten Anwendung und den angeforderten Inhalten. Um noch einmal die Metapher der Schlüsselkarte zu bemühen: So wird verhindert, dass sich ein unbefugter User die Karte eines Kollegen schnappt, um sich Zugang zu Bereichen zu verschaffen, in denen er nichts zu suchen hat.

Wie funktioniert zeitgemäßer Zugriff mit minimaler Rechtevergabe?

Least Privilege Access

Minimale Rechtevergabe ist quasi untrennbar mit dem Zero-Trust-Modell verbunden. Zeitgemäße Sicherheitskonzepte umfassen Kontrollmechanismen zur Authentifizierung von Useridentitäten, Überprüfung des Sicherheitsstatus von Endgeräten sowie User-to-App-Segmentierung. Diese drei Kernelemente werden hier kurz erläutert.

  • Authentifizierung von Useridentitäten

Dadurch wird überprüft, ob es sich tatsächlich um legitime Zugriffsanforderungen entsprechend berechtigter User handelt. IAM-Anbieter und -Services (Identity and Access Management) wie Okta, Azure Active Directory oder Ping Identity stellen Funktionen zur Erstellung, Pflege und Verwaltung von Identitätsangaben sowie verschiedene Provisionierungs- und Authentifizierungsdienste bereit.

  • Sicherheitsstatus des Endgeräts

Leider können auch legitime User mit erhöhten Zugriffsrechten einem Malware-Angriff zum Opfer fallen. Zeitgemäße Richtlinien für den Zugriff mit minimaler Rechtevergabe beinhalten die Möglichkeit, die Berechtigungen eines Users ggf. auf der Basis des aktuellen Sicherheitsstatus seines Endgeräts einzuschränken. Zur laufenden Bewertung des Sicherheitsstatus werden Services wie CrowdStrike, VMware Carbon Black, SentinelOne usw. eingesetzt.

  • User-to-App-Segmentierung

Effektive Cybersicherheitskonzepte erfordern die Einschränkung der lateralen Bewegungsfreiheit innerhalb des Netzwerks und Begrenzung der Exposition von IT-Ressourcen. Zu diesem Zweck kamen bislang Firewalls innerhalb des Unternehmensnetzwerks zum Einsatz, die dafür sorgten, dass der Zugriff auf bestimmte Segmente ausschließlich Usern mit entsprechenden Berechtigungen vorbehalten bleibt. Dieser als Netzwerksegmentierung bezeichnete Ansatz ist eine wirksame Methode, um die laterale Ausbreitung von Bedrohungen zu verhindern. Er ist jedoch aufwendig und gewährleistet nicht die granulare Kontrolle, die für zukunftsfähige Organisationen unbedingt erforderlich ist.

Als effizientere Alternative empfiehlt sich die User-to-App-Segmentierung, wie sie durch einen ZTNA-Service (Zero Trust Network Access) ermöglicht wird. Dabei wird eine granulare Segmentierung anhand unternehmensspezifischer Richtlinien erzielt, die von der IT verwaltet werden. Der Einsatz von Firewalls erübrigt sich somit. ZTNA verbindet authentifizierte User direkt mit einzelnen Anwendungen, ohne ihnen jemals Zugang zum Netzwerk zu gewähren. Laterale Bewegungen innerhalb des Netzwerks werden dadurch konsequent verhindert. Zugriffsberechtigungen werden standortunabhängig – d. h. für Remote- und On-Premise-User – mit identischen Sicherheitskontrollen gewährt.

 

Least Privilege Access Diagram

3 Vorteile des Zugriffs mit minimaler Rechtevergabe

 

In Kombination mit einem effektiven ZTNA-Service bilden diese drei Kernelemente das Fundament einer robusten Sicherheitsstrategie, die die Erfüllung wesentlicher Grundvoraussetzungen für den Schutz geschäftskritischer IT-Ressourcen gewährleistet:

  1. Useridentitäten werden vor der Genehmigung einer Zugriffsanforderung immer überprüft
  2. Endgeräte werden laufend überwacht und Zugriffsberechtigungen ggf. entsprechend ihrem aktuellen Sicherheitsstatus angepasst
  3. Durch User-to-App-Segmentierung wird die laterale Bewegungsfreiheit innerhalb des Netzwerks auf ein Minimum reduziert, sodass der Aufwand für die Verwaltung und laufende Anpassung von Firewalls entfällt

 

Hinweise zu Administrator-Berechtigungen

In Bezug auf Administratorkonten sind einige zusätzliche Punkte zu berücksichtigen. Superuser benötigen zwingend uneingeschränkten Zugriff auf sämtliche Systeme und Ressourcen sowie Berechtigungen zum Bearbeiten von Konfigurationen. Früher ließen sich die daraus entstehenden Risiken mithilfe sogenannter PAM-Lösungen (Privileged Access Management) bewältigen, die die Verwaltung von Berechtigungen, Konten und Betriebssystemen auf Rechenzentrumsebene unterstützen. Mit der Verlagerung von Unternehmensressourcen in die Cloud haben diese Lösungen jedoch stark an Relevanz verloren.

Mit der zunehmenden Verbreitung von DevOps-Workflows vervielfachen sich auch die Berechtigungsänderungen. Im Zuge eines einzigen Tages können in der Cloud-Umgebung einer Organisation mehrere tausend Änderungen anfallen. Zum Schließen der Lücken, die PAM zunehmend entstehen lässt, empfiehlt sich eine CIEM-Lösung (Cloud Infrastructure Entitlement Management). Im Funktionsumfang effektiver CIEM-Lösungen ist die Verwaltung und Inventarisierung von Cloud-Berechtigungen ebenso inbegriffen wie regelmäßige Audits zur Erkennung und Behebung unnötiger Zugriffsberechtigungen, die Zuweisung von Administrator-Rechten an Services und weitere Funktionen. Im Vergleich zu PAM-Lösungen weist CIEM eine sehr viel höhere Skalierbarkeit auf und ist in der Lage, einen höheren Grad an Komplexität zu bewältigen.

Daher empfiehlt es sich, bei der Planung oder Weiterentwicklung einer Strategie für den Zugriff mit minimaler Rechtevergabe auch die Implementierung einer CIEM-Lösung in Erwägung zu ziehen.

Hinweise für Organisationen zur Umsetzung minimaler Rechtevergabe

Zur Umsetzung einer zeitgemäßen Strategie der minimalen Rechtevergabe mit Zero Trust sind nur drei einfache Schritte erforderlich:

  1. Identitätsanbieter-Service bereitstellen. Der Einsatz von SSO- (Single Sign-On) und anderen Identitätsanbieter-Services ist in vielen Organisationen bereits gang und gäbe.

  2. Device Posture Service zur Verstärkung einsetzen. Durch laufende Bewertung des Sicherheitsstatus von Endgeräten und entsprechende Anpassung der Zugriffsberechtigungen lässt sich das Risiko reduzieren, dass infizierte bzw. kompromittierte Geräte auf geschäftskritische Systeme und Daten zugreifen.

  3. ZTNA-Service aktivieren. Dadurch lassen sich mit einer einzigen Technologie sowohl laterale Bewegungen als auch der Einsatz interner Firewalls vermeiden. Heute sind ZTNA-Services erhältlich, deren komplette Bereitstellung lediglich ein paar Stunden in Anspruch nimmt.

 

Die Zscaler-Lösung zur Umsetzung minimaler Rechtevergabe

Durch Einsatz von herkömmlichen Firewalls, VPNs und unternehmensinternen Anwendungen entsteht eine massive externe Angriffsfläche. Öffentlich sichtbare Ressourcen können von Hackern und anderen Cyberkriminellen als Angriffsvektoren ausgenutzt werden. Erschwerend kommt hinzu, dass VPNs und andere veraltete Netzwerksicherheitslösungen Usern Zugang zum Netzwerk gewähren. Dadurch haben auch Angreifer leichtes Spiel und können auf vertrauliche Daten zugreifen. VPNs sind weder skalierbar noch in der Lage, eine zügige, reibungslose User Experience für dezentrale Belegschaften zu gewährleisten. Ganz im Gegenteil verursachen sie durch Backhauling des Traffics zusätzliche Kosten und Komplexität.

Zscaler Private Access™ (ZPA) ist die weltweit am häufigsten eingesetzte ZTNA-Plattform und funktioniert nach dem Prinzip der minimalen Rechtevergabe. So können User sicher und direkt auf private Anwendungen zugreifen, während unbefugte Zugriffe und laterale Bewegungen verhindert werden. ZPA kann innerhalb weniger Stunden bereitgestellt werden und ersetzt Legacy-VPNs und Tools für den Remotezugriff durch eine ganzheitliche Zero-Trust-Plattform. Zscaler Private Access ist die nächste Stufe in der Evolution von ZTNA.

Weitere Informationen stehen auf der Seite zu Zscaler Private Access bereit.