Automatisierung in der IT-Sicherheit: Privilegierte Accounts

Es gibt verschiedenste Technologien die heutzutage benutzt werden, um wichtige Prozesse zu automatisieren. Diese Automatisierungen bergen bei all ihren Vorteilen auch bestimmte Risiken. Oft brauchen Automatisierungstechnologien privilegierten Zugriff auf bestimmte Systeme, damit sie ihre Arbeit korrekt verrichten können.

Was ist ein "privilegierter Zugriff"? Es handelt sich dabei um einen Zugriff mit wenigen bis keinen Beschränkungen auf einem System. Wenn sich ein Angreifer privilegierten Zugriff verschaffen kann, hat er unter Umständen kompletten Zugriff auf alle Daten auf dem System und kann damit machen, was er will. Er könnte theoretisch sogar die komplette IT-Umgebung übernehmen!

Damit das nicht passiert, nutzt man sogenannte "Privileged Access Management"- Systeme (PAM). Diese Systeme sind dazu da, privilegierte Accounts zu schützen. Indem die privilegierten Accounts/Keys/Tokens des PAM-Systems sicher verwaltet werden, erhöht man die Zugriffssicherheit auf die Zielsysteme drastisch. Durch eine Multi-Faktor-Authentifizierung wird der Zugriff zum PAM-System zusätzlich geschützt. Mit einer LDAP-Anbindung bekommt man aus­serdem die Möglichkeit, auf die LDAP-Ressourcen zugreifen zu können. Die Verwaltung dieser privilegierten Accounts werden über Regeln gesteuert, die man im PAM-System definiert. In diesen Regeln wird unter anderem bestimmt:

• wie lange die Passwortrotationsintervalle sind

• wie oft das Passwort überprüft wird und ob es das ­gleiche auf dem Zielsystem ist

• ob eine mehrstufige Genehmigung des Passwortzugriffs konfiguriert wird, um eine zusätzliche Genehmigung durch einen anderen Mitarbeiter/Manager zu ermöglichen

• ob ein exklusiver Accountzugriff gewährt wird, sodass zur gleichen Zeit nur ein Nutzer den privilegierten Zugriff nutzen kann

• ob beim Aktivieren der One-Time-Passwort-Option das Passwort nach jedem Verwenden gewechselt wird

• welche Zeitdauer für die Auditdatenspeicherung fest­gelegt wird, sodass die nötigen Standards eingehalten werden.

• welche Accounts über den Jump Server auf das Zielsystem zugreifen können und ob die Nutzer dabei überwacht werden (über das Session Management definierbar)

Wie unterstützt dies bei der Automatisierung? Wie können die privilegierten Accounts nun automatisch genutzt werden? Durch RestAPI oder Clients können die Automatisierungstools ans PAM-System angebunden werden. Durch verschiedene Authentisierungsfaktoren wie Zertifikat, Applikationspfad, OS-Nutzer, Hash-Wert oder IP-Adresse kann sich das Automatisierungstool beim PAM-System authentisieren und erhält die für diese Applikation erlaubten privilegierten Zugriffe aufs Zielsystem.

Zusätzlich gibt es spezielle Jump Server, worüber die Applikation sich in das Zielsystem einloggen kann, ohne dass sie jemals den Account, Key oder Token sieht. Dies funktioniert durch die Anmeldung der Applikation beim PAM-System und durch Beantragung eines privilegierten Zielsystemzugriffs. Der Jump Server loggt sich für die Applikation ins Zielsystem ein und baut eine sichere Verbindung zwischen dem Automatisierungstool und dem Zielsystem auf.

Revisionssicherheit ist ein grosser Vorteil bei Automatisierungen mit PAM-Systemen. Es ist immer ersichtlich, wer Zugriff zu den privilegierten Accounts/Keys/Tokens hatte, wann es rotiert wurde und ob es Probleme gab. Durch Reports wird ein Überblick über alle privilegierten Zugriffe auf die Zielsysteme gewährleistet. So kann mithilfe von PAM-Systemen die Sicherheit von automatisierten Prozessen erhöht werden.