Cloud Infrastructure Entitlement Management (CIEM)

Was ist Cloud Infrastructure Entitlement Management?

In Rahmen seines Hype-Zyklus für Cloud-Sicherheit 2020 definierte Gartner Cloud Infrastructure Entitlement Management (CIEM) als spezielle identitätsbezogene SaaS-Lösungen für die Verwaltung von Cloud-Zugriffsrisiken. Sie ermöglichen eine verwaltungsbasierte Steuerung von Berechtigungen und Data Governance in Hybrid- und Multi-Cloud-IaaS-Architekturen. CIEM-Lösungen kamen auf, weil die Herausforderungen der Identitäts- und Zugriffsverwaltung mit der zunehmenden Nutzung von Multi-Cloud- und Hybrid-Cloud-Infrastrukturen komplexer geworden sind. Diese Tools regeln die Identity Governance für dynamische Cloud-Umgebungen. Dabei kommt in der Regel das Prinzip der geringsten Rechte zum Einsatz, nach dem Benutzer und Entitäten ausschließlich Zugriffsrechte erhalten, die sie aktuell tatsächlich benötigen.

Welche Herausforderungen ergeben sich für das Berechtigungsmanagement?

CIEM-Lösungen müssen nahtlos in dynamische Multi-Cloud- und Hybrid-Cloud-Umgebungen integriert sein. Dies beinhaltet eine privilegierte Zugriffsverwaltung ebenso wie Identitätsverwaltung und Identity Governance. Natürlich bringt dieser Ansatz eine Vielzahl von Herausforderungen mit sich, zu denen u. a. folgende zählen:

  • Schwierigkeiten bei der Überwachung einer dynamischen globalen Multi-Cloud-Infrastruktur
  • Verhinderung des Missbrauchs privilegierter Konten
  • mangelnde Transparenz im Hinblick auf Compliance und Überwachung
  • Governance-Schwierigkeiten in einer komplexen Cloud-Umgebung
  • zusätzliche Komplexität durch befristete Cloud-Berechtigungen
  • Uneinheitlichkeit verschiedener Cloud-Infrastrukturen
  • Konten mit übermäßigen Zugriffsrechten

Diese Herausforderungen stellen weiterhin den Hauptgrund für die zunehmende Verbreitung von CIEM-Lösungen in der Branche dar. Kurz gesagt: Die Identitäts- und Zugriffsverwaltung bei Multi-Cloud-Umgebungen machte einen präziseren Ansatz erforderlich. Im Folgenden erläutern wir, wie eine moderne Herangehensweise an das Cloud-Infrastruktur-Management und entsprechende Lösungsansätze für die genannten Herausforderungen aussehen können.

Was bei einer CIEM-Lösung wichtig ist

CIEM-Lösungen sollte ein gut durchdachter strategischer Ansatz zugrunde liegen. Das Wichtigste ist, dass eine CIEM-Lösung Einblick in die Entitäten bietet, die aktuell auf die Cloud-Infrastruktur eines Unternehmens zugreifen: Mitarbeiter, Kunden, Anwendungen, Cloud-Dienste usw. Diese Analyse muss auch die Ressourcen berücksichtigen, auf die zugefriffen wird, sowie die Art des Zugriffs und den Zugriffszeitpunkt. Vereinfacht gesagt sollten die Fragen nach dem Wer, dem Was und dem Wann beantwortet werden.

Die Analysedaten fließen dann in den nächsten Umsetzungsschritt ein, der das Risikomanagement in der Cloud-Infrastruktur betrifft. Die Hauptaufgabe in diesem Schritt ist die Umsetzung des zuvor erwähnten Prinzips der geringsten Rechte. Das bedeutet, dass Entitäten nur auf die Anwendungen und Daten zugreifen können, die sie für ihre Arbeit benötigen. Es sollten keine zusätzlichen Zugriffsrechte erteilt werden.

Und schließlich müssen Cloud Engineers die zur Überwachung der Cloud-Aktivitäten erforderlichen Mittel und Einblicke rund um die Uhr gewährt werden. Dazu gehört, dass sie bei verdächtigen Aktivitäten wie z. B. unbefugten Zugriffen handlungsrelevante Benachrichtigungen erhalten.

Durch die Partnerschaft mit einem erfahrenen CIEM-Anbieter können Unternehmen zusammen mit Experten eine Implementierungsstrategie entwickeln, die zu ihrem Ansatz im Bereich Cloud-Sicherheit passt. Da CIEM eine relativ neue Entwicklung im Bereich der Cloud-Technologie darstellt, sind die Best Practices für die Implementierung einer Plattform noch in der Entwicklung begriffen. Das macht die Unterstützung durch Experten noch viel wertvoller.

Typische Funktionen einer CIEM-Plattform

Eine geeignete CIEM-Plattform umfasst eine Reihe bewährter Funktionen. Beispielsweise hilft ein benutzerfreundliches Modul für die Zugriffssteuerung und -bereitstellung Cloud-Administratoren, die Rechte sämtlicher Konten zu verwalten, die auf die Cloud-Infrastruktur zugreifen. Dieses Modul muss auch die Durchsetzung des Prinzips der geringsten Rechte und der anderen Governance-Richtlinien des Unternehmens erleichtern.

Ein vergleichbares Modul für das Berechtigungsmanagement gibt Administratoren die Möglichkeit, bestimmte Rechte für jeden Benutzer individuell anzupassen. Eine automatisierte Audit-Funktion hilft Unternehmen, nicht länger genutzte Konten auszusortieren. Solche Konten müssen gegebenenfalls identifiziert und entfernt werden. Sie stellen ein erhebliches Sicherheitsrisiko für die Cloud-Infrastruktur eines Unternehmens dar. Auch Auditing hilft Cloud Administratoren, die aktuelle Berechtigungsstufe der einzelnen Konten im Blick zu behalten.

Darüber hinaus lassen sich viele führende CIEM-Plattformen nahtlos mit den gängigsten Cloud-Anbietern integrieren, darunter Amazon Web Services (AWS), Microsoft Azure und Google Cloud. Natürlich unterstützen wirklich gute Plattformen auch Multi-Cloud- und Hybrid-Cloud-Infrastrukturen. Bedenken Sie bei der Auswahl einer CIEM-Plattform, dass eine einfache Integration zur erfolgreichen Bereitstellung beiträgt.

Die Vorteile von CIEM

Unternehmen mit einer komplexen Cloud-Infrastruktur profitieren erheblich vom Einsatz einer CIEM-Lösung. Wie bereits erwähnt, bieten wirklich gute Plattformen Einblick in die aktuellen Cloud-Aktivitäten, und zwar auch in Hybrid- und Multi-Cloud-Umgebungen.

CIEM schützt die cloudbasierten Anwendungen und kritischen Daten eines Unternehmens vor Hackern und anderen gewissenlosen Cyberkriminellen. Denn potenzielle Bedrohungen wie z. B. länger nicht genutzte Konten oder ungewöhnliche Aktivitäten werden automatisch erkannt und gemeldet. Selbst Fehler bei der Erstellung neuer Benutzerkonten, beispielsweise die Zuweisung zu umfassender Berechtigungen, werden vom System erkannt. Auf diese Weise werden potenziell schädliche Auswirkungen auf die Geschäftsabläufe verhindert.

Darüber hinaus profitieren Unternehmen mit hohen behördlichen Compliance-Auflagen von den automatisierten Prüffunktionen einer CIEM-Plattform. Bei diesem Ansatz wird die strenge Kontrolle der Cloud-Zugriffsrechte durch das Unternehmen insbesondere auch im Hinblick auf kritische Datenschutzerwägungen über einen Dokumentationspfad protokolliert. Diese Funktion kommt Unternehmen aus dem Bank-, Versicherungs- und Finanzwesen besonders entgegen.

Wo CIEM (noch) an seine Grenzen stößt

Diese Funktion kommt Unternehmen aus dem Bank-, Versicherungs- und Finanzwesen besonders entgegen. Doch bereits jetzt überwiegen die Vorteile die Einschränkungen um ein Vielfaches.

Achten Sie allerdings bei der Suche nach einem geeigneten Partnerunternehmen darauf, dass dieses ganzheitliche CIEM-Lösungen anbietet. Viele Anbieter im Bereich Identitäts- und Zugriffsverwaltung verschieben einfach bestehende Produkte in die Cloud. Dabei übersehen sie, dass die komplexen Multi-Cloud-Umgebungen von heute eine nahtlose Integration notwendig machen. Effektive Lösungen für eine cloudbasierte Identitäts- und Zugriffsverwaltung müssen dem Cloud-Infrastruktur-Ansatz des jeweiligen Kunden Rechnung tragen. Das gilt insbesondere bei Unternehmen mit komplexen Richtlinien in Bezug auf Cloud-Zugriffsrechte.