Automatisierung in der IT-Sicherheit : Privilegierte Accounts

/ News

Privileged Access Management

Der Autor:
Darko Dimitrijevic, Cyber Security Engineer, eb-Qual AG

 

Der Schutz von privilegierten Accounts hat die höchste Priorität in einem Unternehmen. Bei der Anwendung von Automatisierungstools werden diese Accounts oft verwendet. Die richtige Anwendung der verfügbaren Tools eliminieren die Risiken und erhöhen die Effizienz.

Es gibt verschiedenste Technologien die heutzutage benutzt werden, um wichtige Prozesse zu automatisieren. Diese Automatisierungen bergen bei all ihren Vorteilen, auch bestimmte Risiken. Oft brauchen Automatisierungstechnologien privilegierten Zugriff auf bestimmte Systeme, damit sie ihre Arbeit korrekt verrichten können. Was ist ein «privilegierter Zugriff»? Es handelt sich dabei um einen Zugriff mit wenigen bis keinen Beschränkungen auf einem System. Wenn ein Angreifer sich privilegierten Zugriff verschaffen kann, hat er unter Umständen kompletten Zugriff auf alle Daten auf dem System und kann damit machen was er will. Er könnte theoretisch sogar die komplette IT Umgebung übernehmen!

Damit das nicht passiert, nutzt man sogenannte «Privileged Access Management» (PAM)- Systeme. Diese Systeme sind dazu da, privilegierte Accounts zu schützen. Indem die privilegierten Accounts/Keys/Tokens von dem PAM System sicher verwaltet werden, erhöht man die Zugriffssicherheit auf die Zielsysteme drastisch. Durch eine Multi-Faktor-Authentifizierung wird der Zugriff zum PAM System zusätzlich geschützt. Mit einer LDAP Anbindung bekommt man ausserdem die Möglichkeit, auf die LDAP Ressourcen zuzugreifen. Die Verwaltung von diesen privilegierten Accounts werden über Regeln gesteuert, die man im PAM System definiert. In diesen Regeln wird unter anderem bestimmt:

  • wie lange die Passwortrotationsintervalle sind
  • wie oft das Passwort überprüft wird und ob es das gleiche auf dem Zielsystem ist
  • ob eine mehrstufige Genehmigung des Passwortzugriffs konfiguriert wird, um eine zusätzliche Genehmigung durch einen anderen Mitarbeiter/Manager zu ermöglichen
  • ob ein exklusiver Accountzugriff gewährt wird, so dass zur gleichen Zeit nur ein Nutzer den privilegierten Zugriff nutzen kann
  • ob beim Aktivieren der One-Time-Passwort-Option das Passwort nach jedem Verwenden gewechselt wird
  • welche Zeitdauer für die Auditdatenspeicherung festgelegt wird, so dass die nötigen Standards eingehalten werden.
  • welche Accounts über den Jump Server auf das Zielsystem zugreifen können und ob die Nutzer dabei überwacht werden (über das Session Management definierbar)

Wie unterstützt dies bei der Automatisierung? Wie können die privilegierten Accounts nun automatisch genutzt werden? Durch RestAPI oder Clients können die Automatisierungstools ans PAM System angebunden werden. Durch verschiedene Authentisierungsfaktoren wie Zertifikat, Applikationspfad, OS Nutzer, Hash Wert, IP Adresse u.a. kann sich das Automatisierungstool beim PAM System authentisieren und erhält die für diese Applikation erlaubten privilegierten Zugriffe aufs Zielsystem.


Zusätzlich gibt es spezielle Jump Server, worüber die Applikation sich in das Zielsystem einloggen kann, ohne dass sie jemals den Account, Key oder Token sieht. Dies funktioniert durch die Anmeldung der Applikation beim PAM System und durch Beantragung eines privilegierten Zielsystemzugriffs. Der Jump Server loggt sich für die Applikation ins Zielsystem ein und baut eine sichere Verbindung zwischen dem Automatisierungstool und dem Zielsystem auf.


Revisionssicherheit ist ein grosser Vorteil bei Automatisierungen mit PAM Systemen. Es ist immer ersichtlich, wer Zugriff zu den privilegierten Accounts/Keys/Tokens hatte, wann es rotiert wurde und ob es Probleme gab. Durch Reports wird ein Überblick über alle privilegierten Zugriffe auf die Zielsysteme gewährleistet. So kann mit Hilfe von PAM Systemen die Sicherheit von automatisierten Prozessen erhöht werden.