Abgesicherter Zugriff für externe privilegierte Anwender Federated Authentication bestimmt die Regeln

Die Proliferation von Endgeräten sowie Plattformen und die starke Zunahme von eingesetzten Applikationen führt in Verbindung mit den verschiedenen Anwendergruppen zu einer explosionshaften Zunahme digitaler Identitäten. Im Zuge von IT-Outsourcing muss IT-Dienstleistern privilegierter Zugriff gewährt werden. Auch Partner und Kunden sollen auf das Firmennetzwerk zugreifen können. Hinzu kommt die wachsende Bedrohung durch Hacker. Diese Entwicklung treibt die Nachfrage von Unternehmen nach Lösungen zur Verwaltung und Sicherung von Sitzungen externer Anwender mit und ohne erweiterten Zugriffsrechten.

Ausgangslage

Eine sichere IT-Infrastruktur wird im Wettbewerb immer entscheidender, denn die Bedeutung von IT und Daten steigt kontinuierlich. Gleichzeitig müssen Kosten gesenkt werden. Immer mehr Unternehmen lagern daher beispielsweise IT-Administration sowie Applikationsentwicklung aus und verlassen sich bei der Fehlerbehebung in Systemen und Applikationen auf externe Anbieter. Laut Gartner wächst der Gesamtmarkt von IT-Outsourcing bis 2019 auf 335 Milliarden Dollar.

Zudem zeigt eine von Centrify in Auftrag gegebene Studie von Forrester Consulting, dass alle untersuchten Organisationen mindestens eine IT-Funktion sowie eine Funktion der Applikationsentwicklung ausgelagert haben. Neben IT-Dienstleistern benötigen auch Lieferanten, Händler und weitere externe Partner immer häufiger Zugriff auf das Unternehmensnetzwerk und Unternehmensdaten.

Parallel dazu wächst die Gefahr, die von Cyber-Angriffen ausgeht. Hacker zielen immer häufiger darauf ab, Zugangsdaten zu erbeuten. Derart kompromittierte Zugangsdaten sind mittlerweile die führenden Angriffsvektoren bei Datendiebstählen. Hacker haben es aber nicht nur auf Zugangsdaten von direkten Mitarbeitern eines Unternehmens abgesehen. Auch Zugangsdaten von Dritten, also z.B. von externen Dienstleistern, werden von Hackern gestohlen und eingesetzt.

Insbesondere sie waren in viele massive Einbrüche der letzten Zeit verwickelt. Unternehmen sollten daher schnellstmöglich eine Lösung einführen, mit der sie die Zugriffe von externen privilegierten Anwendern sichern, steuern, abbrechen, überwachen und protokollieren können. Damit können Unternehmen vertrauenswürdige, auf sicheren, digitalen Identitäten basierende Beziehungen mit externen Partnern realisieren und Mehrwert generieren. Außerdem reduzieren sie damit identitätsbezogene Risiken.

Negativbeispiel

Die Vorteile einer derartigen Lösung lassen sich gut mit einem Negativbeispiel illustrieren: Ein externer IT-Dienstleister wird mit der regelmäßigen Wartung diverser Server beauftragt. Dazu benötigt der zuständige Mitarbeiter des Dienstleisters erweiterte Zugriffsrechte, zählt also zur Gruppe der privilegierten Anwender. Traditionell würde das beauftragende Unternehmen zunächst eine digitale Identität für diesen externen Anwender in ihrer internen Umgebung erstellen und dem externen Administrator dann Zugriff via VPN gewähren.

Dieses Vorgehen birgt verschiedene Nachteile. Einerseits muss das Unternehmen diese digitale Identität verwalten, also regelmäßig prüfen, ob der Mitarbeiter des Dienstleisters dort überhaupt noch arbeitet. Andererseits steigen dadurch identitätsbezogene Risiken, denn die Anzahl von Accounts mit erweiterten Zugriffsrechten, die nicht mit einem zuverlässigen Anbieter digitaler Identitäten verbunden sind, steigt.

Zudem bauen mehr Computer via VPN eine Verbindung zum internen Netzwerk auf, was ein ernstes Sicherheitsrisiko darstellt. So kann nicht genau nachvollzogen werden, wer sich überhaupt per VPN einwählt, und wenn der Anwender eingewählt ist, hat er komplette Zugriffsrechte. Es ist nicht möglich, Zugriffe via VPN nach dem Least-Privilege-Prinzip (so wenig Rechte wie nötig) mit granularen Rechten einzuschränken.

Auch Session Monitoring bzw. Session Recording ist nicht möglich, was die Compliance vor große Herausforderungen stellt. Das Ergebnis dieser traditionellen Vorgehensweise ist eine Ausweitung von potenziellen Angriffspunkten für Hacker, unzufriedene Insider und Schadsoftware sowie gestiegener Verwaltungsaufwand. Außerdem muss sich der Mitarbeiter des Dienstleisters einen weiteren Benutzernamen und ein weiteres Passwort für den VPN-Zugang merken. Eventuell notiert er es auch einfach in einer unverschlüsselten Excel-Liste.

Anstatt also weiterhin veraltete und gefährliche VPNs zu nutzen, sollten Unternehmen mit einer aktuellen Lösung für Identity & Access Management (IAM) externen IT-Administratoren und anderen Dritten einen sicheren Fernzugriff per Federated Authentication auf ihre IT anbieten. Dazu benötigen das Unternehmen und der externe Partner IAM-Lösungen, die kompatibel sind und miteinander kommunizieren können.

Will ein Mitarbeiter eines externen Dienstleisters auf die Unternehmens-IT zugreifen, gestaltet sich der Prozess mit Federated Authentication wie folgt: Der Mitarbeiter meldet sich zunächst bei der IT seines Arbeitgebers an, wobei die dortige IAM-Lösung seine digitale Identität mittels Active Directory (AD), LDAP oder einem Cloud Directory überprüft. Anschließend meldet er sich über SAML Federated Login bei einem Cloud-basierten Privilege Service an. Bei diesem Anmeldevorgang überprüft der Privilege Service, ob der Mitarbeiter noch bei dem externen Dienstleister beschäftig ist, indem er dessen Cloud Directory bzw. per AD-Connector die AD des externen Dienstleisters abfragt. Der komplette Vorgang findet im Hintergrund statt und ist er erfolgreich, bekommt der Mitarbeiter Zugriff auf ein sicheres Web-basiertes Portal.

Granularität gefordert

Dank der eindeutig identifizierten digitalen Identität des externen Mitarbeiters kann das Unternehmen den privilegierten Zugriff auf wichtige Infrastruktur mittels Role Based Access Control (RBAC) steuern, also sehr granulare Rechte für Systeme sowie Applikationen vergeben. Für die Steuerung stehen Least Privilege Access, Zugriffsanfrage- und Zugriffsfreigabe-Workflows sowie die (zeitweilige) Erhöhung von Zugriffsrechten (Privilege Elevation) zur Verfügung.

Bei der Erhöhung von Zugriffsrechten kann sogar eine erneute Autorisierung per MFA (Multifaktor-Authentifizierung) vorgeschrieben – also erzwungen – werden. Zudem können Sitzungen privilegierter Anwender nicht nur überwacht, sondern auch abgebrochen, die Zugangsberechtigung entzogen und das Passwort geändert werden. Bei kritischer Infrastruktur erfolgt automatisch ein Abgleich zwischen freigegebenem Zugriff versus tatsächlichem Zugriff. Jeder Zugriff, Zugriffsfreigaben und die Gewährung erhöhter Privilegien lässt sich auch für Audits protokollieren, was zur Einhaltung der Compliance beiträgt und zum Erfüllen diverser Vorschriften unumgänglich ist.

Der externe Mitarbeiter hat über das Portal nur Zugriff auf die Ressourcen, die er benötigt, um seine Aufgaben auszuführen. Zudem entfällt der leidige VPN-Zugriff und das Shared Password bleibt geheim. Über das Portal sind Zugriffe auf Server-Konsolen-Interfaces sowohl für Unix und Linux als auch für Windows möglich, und zwar ohne das zusätzliche Software oder Plug-Ins installiert werden müssen. Entwickler von Anwendungen können damit auch auf interne Web-basierte Interfaces von Applikationen zugreifen. Federated Authentication bietet noch eine Reihe weiterer Features, die die IT-Sicherheit erhöhen. So können MFA für Logins auf Linux Servern erzwungen, Application-to-Application Password Management umgesetzt und Social Logins für Endanwender-Szenarien angeboten werden.

Generell gesehen ermöglicht die Federated Authentication ein Ökosystem von Geschäftspartnern und erlaubt es, privilegierte Zugriffe ohne VPN zu realisieren. Damit unterstützt Federated Authentication Unternehmen beim sicheren Outsourcing und bei der sicheren Vernetzung mit weiteren Partnern. Neben gesteigerter Sicherheit, leichterer Vernetzung, genauer Kontrolle und besserer Compliance reduziert Federated Authentication auch den Verwaltungsaufwand. Die Verwaltung der digitalen Identitäten externer Mitarbeiter verbleibt nämlich bei deren Arbeitgebern – inklusive der Deaktivierung ihrer digitalen Unternehmensidentität bei Beschäftigungsende.

Michael Neumayr

ist Regional Sales Director Zentraleuropa bei Centrify

Hier geht es zu Centrify