Übersicht
Die Sicherung und Verwaltung des Zugriffs auf privilegierte Konten ist für die Sicherheitsstrategie jedes Unternehmens von entscheidender Bedeutung. Dies gilt besonders in der heutigen Zeit der zunehmenden Angriffe durch Malware, Ransomware, und Sicherheitsrisiken. Die Pandemie hat sicherlich zu dieser Situation beigetragen, da eine viel größere Anzahl von Mitarbeitern extern gearbeitet hat, was die Sicherheitsrisiken und -lücken erhöht hat. Viele Unternehmen vollziehen gleichzeitig eine Modernisierung ihrer Datenverarbeitung.
Neue Technologien wie hybrides Arbeiten, Multi-Cloud, KI, Prozessautomatisierung, IoT, DevOps, Edge und Analytik bieten den Unternehmen erhebliche Möglichkeiten, um flexibler zu werden und ihre Wettbewerbsfähigkeit zu steigern. Allerdings erhöhen sie auch die Komplexität und die Sicherheitsrisiken. Die Zunahme von Remote-Zugriffen und die neuen Technologien der digitalen Transformation vergrößern die Angriffsfläche eines Unternehmens und machen es schwieriger als je zuvor, den Zugang zu Ihren geschäftskritischen Anwendungen und Diensten zu sichern.
Herausforderungen beim Remote-Zugriff
Einige der Hauptprobleme, mit denen Unternehmen heute konfrontiert sind, betreffen die Mitarbeiter und deren Gebrauch oder Missbrauch von Sicherheitsdaten und Berechtigungen. Ein großes Problem sind natürlich die Passwörter. Mitarbeiter verwenden oft schwache Passwörter und sie neigen dazu, diese für mehrere Websites und Anwendungen wiederzuverwenden - oft notieren sie sie sogar auf gelben Notizzetteln.
Es überrascht nicht, dass Mitarbeiter in der Regel die Produktivität der Sicherheit und dem Schutz vorziehen. Hinzu kommt, dass Unternehmen ihren Mitarbeitern oft mehr Rechte einräumen, als sie eigentlich benötigen, weil dies ihnen die Erledigung der verschiedenen Aufgaben erleichtern kann, die sie zu erfüllen haben.
Darüber hinaus können auch die Administratoren selbst ein Sicherheitsrisiko darstellen - insbesondere in kleinen und mittelständischen Unternehmen. Administrative Konten wie Root für Unix/Linux-Systeme oder Administrator für Windows-Systeme beinhalten oft ein hohes Maß an uneingeschränktem Zugang zu Ihren Servern, einschließlich vollem Zugriff auf Dateien, Verzeichnisse und Ressourcen mit Lese-, Schreib- und Ausführungsberechtigungen. Sie können auch Systemänderungen vornehmen wie das Herunterfahren von Systemen, das Laden von Gerätetreibern, die Konfiguration von System- und Netzwerkeinstellungen sowie das Erstellen und Konfigurieren von Konten und sogar Cloud-Ressourcen.
Schlimmer noch ist die Tatsache, dass die Administratoren in vielen Fällen diese hoch privilegierten Konten für den alltäglichen Anwendungszugriff und andere Büroarbeiten nutzen, was Malware und Ransomware Tür und Tor öffnet, um sich mit erweiterten Rechten Zugang zu Ihrem Netzwerk zu verschaffen. Oft gibt es keine sichere Möglichkeit, privilegierte Anmeldeinformationen weiterzugeben, ohne die Konto- und Passwortinformationen tatsächlich preiszugeben. Und oft gibt es keine Aufzeichnungen über Aktivitäten mit hoher Berechtigung. Darüber hinaus können Unternehmen auch durch Konten verwundbar sein, die noch für Personen zugänglich sind, die gar nicht mehr im Unternehmen tätig sind oder die keine privilegierten Konten mehr benötigen.
Cyberkriminelle, Hacker und Malware werden immer besser darin, Zugangsdaten zu stehlen und zu nutzen, um unbefugten Zugriff auf wichtige Unternehmensressourcen und -daten zu bekommen. Zusätzlich erschwert heutzutage die zunehmende Anzahl von externen Mitarbeitern die Sicherheit und die Verwaltung von Berechtigungen. Externe Mitarbeiter verwenden oft persönliche Geräte und unsichere Heimnetzwerke für berufliche Tätigkeiten. In vielen Fällen sind diese externen Mitarbeiter das schwächste Glied in Bezug auf die Sicherheit Ihres Unternehmens. Dies gilt besonders für Nutzer, die privilegierten Zugriff benötigen. Die Unternehmen von heute brauchen eine solide Strategie und Tools für die Verwaltung von Remote-Zugriffen und privilegierten Konten, um zu verhindern, dass diese zu Schwachstellen und potenziellen Sicherheitslücken werden.
Privileged Access Management (PAM) zur Verwaltung der Kontosicherheit nutzen
PAM ermöglicht es Ihnen, die Kontrolle und den Überblick über die wichtigsten Systeme und Daten Ihres Unternehmens zu behalten. PAM ist einer der wichtigsten Bereiche der Identitäts- und Zugriffsverwaltung (IAM). PAM kann dabei helfen, Datenschutzverletzungen zu entdecken und zu verhindern, die sowohl von böswilligen internen als auch externen Cyberkriminellen verursacht werden. Die Bedrohung durch unbefugten Zugriff nimmt zu und damit auch die Möglichkeit der Offenlegung von Daten und wichtigen Ressourcen.
Privilegierter Zugriff ermöglicht Sicherheits- und Wartungsfunktionen sowie systemweite Konfigurationsänderungen, indem er hoch autorisierten Administrator- oder Supernutzer-Zugang gewährt. Moderne PAM-Lösungen sind dazu konzipiert, Sicherheitsverletzungen zu verhindern und den Mitarbeitern den effizienten Zugang zu den Unternehmensressourcen zu gewähren, den sie benötigen. PAM bietet Ihnen die Möglichkeit, Anmeldeinformationen in Konten einzufügen, wenn sie benötigt werden - und, was noch wichtiger ist, sie zu entfernen, wenn sie nicht mehr benötigt werden.
So kann es beispielsweise vorkommen, dass Mitarbeiter privilegierten Zugang benötigen, um eine bestimmte Aufgabe zu erledigen und diesen nicht mehr benötigen, wenn diese abgeschlossen ist. Ebenso können Dienstleister für kurze Zeit vor Ort oder extern arbeiten und für alle oder einen Teil ihrer Aufgaben privilegierten Zugriff benötigen. PAM-Lösungen können diese Art von begrenztem Zugriff ermöglichen und dabei die privilegierten Aktivitäten verfolgen und den Zugriff beenden, wenn er nicht mehr benötigt wird.
PAM muss mehr leisten als nur den Zugriff auf privilegierte Konten zu ermöglichen. PAM ist auch dazu in der Lage, den Zugriff für lokale Mitarbeiter sowie Dienstleister und externe Mitarbeiter zu überwachen. Einige PAM-Lösungen erlauben unterschiedliche Zugriffsrechte, sodass direkte Vorgesetzte bestimmten Mitarbeitern und Gruppen Zugang gewähren können. Zu den Problemen, die PAM-Lösungen bewältigen müssen, gehören:
- Schwache Passwörter
- Wiederverwendung von Passwörtern
- Passwortrotation
- Zu viel privilegierter Zugriff
- Verwendung privilegierter Konten für normale Arbeit
- Keine sichere Möglichkeit zur gemeinsamen Nutzung privilegierter Anmeldeinformationen
- Keine Möglichkeit, Sicherheit und Zugriff von mehreren Rollen zu delegieren
- Die Notwendigkeit der Integration von Active Directory
- Keine Protokollierung hochgradig autorisierter Aktivitäten
Es ist wichtig, sich daran zu erinnern, dass es bei der Sicherung Ihres Unternehmens heutzutage nicht mehr nur um einen physischen Ort geht. Vielmehr muss Ihre PAM-Lösung überall in Ihrem Unternehmen zugänglich und dazu in der Lage sein, mehrere Standorte zu sichern - einschließlich der heute üblichen externen Mitarbeiter.
PAM-Komponenten
PAM-Lösungen bestehen typischerweise aus folgenden Komponenten:
-
Verschlüsselter gemeinsamer Password-Tresor – Der Password-Tresor bietet einen sicheren Ort zum Speichern und Schützen von Passwörtern und Anmeldeinformationen.
-
Zugriffsmanager – Der Zugriffsmanager steuert den Zugriff auf Mitarbeiterkonten. Er wird verwendet, um den Zugriff für privilegierte Kontoinhaber zu erstellen, hinzuzufügen, zu löschen und zu verwalten.
-
Sitzungsmanager – Der Sitzungsmanager verfolgt die Kontobewegungen und kann eine Aufzeichnung darüber erstellen, was Benutzer von Privilegierten Konten tun. Unternehmen können Sitzungsprotokolle nutzen, um verdächtiges Verhalten zu verfolgen und potenzielle Sicherheitsschwachstellen zu finden.
Unverzichtbare Funktionen für Remote-PAM
Heutige PAM-Lösungen müssen sowohl die Anforderungen lokaler als auch einer ständig wachsenden Zahl externer Mitarbeiter erfüllen. Um eine effektive Lösung für externe Mitarbeiter zu sein, muss sich Ihre PAM-Lösung auf drei Schlüsselbereiche konzentrieren: einen sicheren Passwortspeicher, eine effiziente Methode für den sicheren Zugriff auf Anwendungen und einen sicheren Weg, um Passwörter mit Kollegen zu teilen.
Sicherer Passwortspeicher
Während einige Unternehmen damit begonnen haben, sich von Passwörtern zu verabschieden, besteht kein Zweifel daran, dass Passwörter immer noch die Standardlösung zur Sicherung des Zugangs zu IT-Ressourcen sind. Leider müssen Nutzer heute oft mit einer Vielzahl von Passwörtern mit unterschiedlichen Anforderungen umgehen. Und dafür greifen sie oft auf eine ganze Reihe unterschiedlicher und höchst unsicherer Methoden zurück, wie z. B. das Notieren auf Post-It-Zetteln, die sie dann auf den Bildschirm kleben, die Wiederverwendung des gleichen Passworts für mehrere Websites und das Speichern von Passwörtern in verschiedenen ungesicherten Dokumenten wie Excel-Tabellen und Textdateien.
Eine Google-Umfrage hat ergeben, dass mindestens 65 % der Nutzer ihre Passwörter auf mehreren, wenn nicht sogar allen Websites wiederverwenden. Diese provisorischen Lösungen sind nicht für die Verwaltung von Passwörtern ausgelegt und machen Konten anfällig und angreifbar. Der ‚Verizon Data Breach Investigations Report‘ hat aufgedeckt, dass kompromittierte Passwörter für 81 % der durch Angriffe von Hackern verursachten Sicherheitsverletzungen verantwortlich sind.
Ein verschlüsselter gemeinsamer Passwort-Tresor ist unerlässlich für den Schutz von Passwörtern und Anmeldeinformationen sowohl für reguläre Mitarbeiter als auch für Administratoren. Ein sicherer Passwort-Tresor bietet den Nutzern einen bequemen zentralen und sicheren Ort zum Speichern ihrer Passwörter. Für den administrativen Zugriff speichern PAM-Lösungen hier auch Anmeldeinformationen für privilegierte Konten. Dieses Repository kann entweder lokal oder in der Cloud gespeichert sein.
Administratoren müssen das PAM-System durchlaufen, um auf diese privilegierten Anmeldeinformationen zuzugreifen. Sie können die Anmeldeinformationen eingeben, werden so für die Anwendung, den Dienst oder die Website authentifiziert, die sie nutzen müssen, und ihr Zugriff wird protokolliert. Wenn sie fertig sind, werden die Anmeldeinformationen erneut überprüft und automatisch rotiert. Wenn sie diese Anmeldeinformationen das nächste Mal verwenden wollen, müssen sie erneut das PAM-System durchlaufen. Die Sicherheit ist wesentlich höher, da die Mitarbeiter nicht auf vereinfachte selbst erdachte Lösungen zurückgreifen müssen. Es werden keine Passwörter enthüllt und ein verschlüsselter gemeinsamer Passwort-Tresor gibt Ihnen die Gewissheit, dass die Passwörter Ihres Unternehmens sicher sind und bei Bedarf leicht abgerufen werden können.
Zusätzlich zu dem sicheren gemeinsamen Speicherort können PAM-Lösungen auch verschiedene andere Verwaltungsfunktionen für Passwörter bieten. Sie können Vorlagen für Passwörter bereitstellen und anpassbare Regeln für Passwörter mit einer Vielzahl von komplexen Spezifikationen und Anforderungen einfordern. Bei Bedarf können sie auch sichere Passwörter erstellen und automatische Passwort-Randomisierung sowie automatische Passwortverwaltung und -erneuerung durchführen.
Effizienter sicherer Zugriff auf Anwendungen und Dienste
Für eine effektive Remote-PAM-Lösung ist es unerlässlich, dass sie das korrekte Maß an Zugang zu Ihren Anwendungen und Diensten bereitstellt. Die Verwaltung der Zugriffsberechtigungen für mehrere Nutzer und Gruppen kann sogar in kleinen Unternehmen kompliziert sein. Die Unterstützung einer rollenbasierten Zugriffskontrolle (RBAC) kann zur Optimierung der laufenden Verwaltung einer PAM-Lösung beitragen. Die Möglichkeit, Befugnisse zu erteilen, vereinfacht die Verwaltung indem Nutzern verschiedene Rollen zugewiesen werden, die ihnen nur Zugriff auf die privilegierten Anmeldeinformationen gewähren, zu deren Verwendung sie berechtigt sind. RBAC macht es Unternehmen leichter, Aufgaben zu trennen und sicherzustellen, dass Anmeldeinformationen nicht versehentlich an nicht autorisierte Nutzer weitergegeben werden. Für eine PAM-Lösung mit RBAC ist es ebenso wichtig, in Kombination mit Active Directory arbeiten zu können, damit Sie vorhandene Benutzer und Gruppen verwenden können.
Als Nächstes sollten Sie sicherstellen, dass Ihre Administratoren keinen erweiterten Zugriff verwenden, um normale Anwendungen wie Office, E-Mail oder das Surfen im Internet auszuführen. Wenn Sie eine PAM-Lösung verwenden, müssen die Systemadministratoren das PAM-System durchlaufen, um auf ihre Anmeldeinformationen zuzugreifen. Hoch privilegierte Anmeldeinformationen werden grundsätzlich nur freigegeben, wenn sie verwendet werden, die Konten werden authentifiziert, ihr Zugriff wird protokolliert und schließlich werden sie wieder gesperrt, wenn diese Nutzung beendet ist. Die PAM-Lösung sollte dazu in der Lage sein, aufzuzeichnen, wer wann und wo welche Anmeldedaten verwendet, sowie alle passwortbezogenen Aktivitäten, einschließlich der Anmeldeversuche und des Verlaufs. Zudem sollte sie Berichte liefern, die einen Einblick in die Aktivitäten hoch privilegierter Konten bieten.
Sichere Weitergabe von Passwörtern
Passwörter weiterzugeben - besonders administrative Passwörter - kann für die meisten Unternehmen ein echtes Sicherheitsrisiko darstellen. Dies gilt insbesondere für die Weitergabe von Passwörtern an externe Mitarbeiter, da die Passwörter häufig über unverschlüsselte E-Mails übermittelt werden, die leicht kompromittiert werden können. Wenn das Konto ein administratives Active-Directory-Konto ist, kann dies ein großes Sicherheitsrisiko für das gesamte Unternehmen darstellen.
Durch die Zentralisierung privilegierter Anmeldeinformationen an einem Ort gewährleisten PAM-Systeme ein hohes Maß an Sicherheit für den privilegierten Zugang. Einige PAM-Lösungen speichern jedoch nicht nur sicher Passwörter und kontrollieren den Zugriff auf diese, sie übertragen auch sicher Anmeldeinformationen zwischen dem Passwortserver und der Client-Software, sodass Nutzer niemals das aktuelle Passwort für ein privilegiertes Konto kennen müssen. Diese Fähigkeit hebt PAM auf eine neue Sicherheitsebene und ermöglicht Administratoren, auf hoch autorisierte Anmeldeinformationen zuzugreifen und diese zu teilen, ohne dass sie die Passwörter jemals sehen müssen. Bei dieser Art von Kontovermittlung können Benutzer und Administratoren Remote-Verbindungen zu Servern, Anwendungen und Websites herstellen, ohne jemals die verwendeten Passwörter kennen zu müssen, was eine sichere gemeinsame Nutzung von Passwörtern und Anmeldedaten durch die Mitarbeiter ermöglicht.
Devolutions Remote-PAM-Lösungen
Devolutions Server erfüllt diese entscheidenden PAM-Anforderungen für lokale und Remote-Verbindungen. Es bietet Funktionen auf Unternehmensniveau auf einer Plattform, die für kleine und mittlere Unternehmen (KMUs) einfach genug zu bedienen ist. Devolutions Server bietet ein Ausmaß an Schutz, das normalerweise nur großen Unternehmen zur Verfügung steht, ist dabei jedoch einfach zu implementieren und zu verwalten. Devolutions Server ist direkt auf die wesentlichen Anforderungen von Remote-PAM ausgerichtet und bietet die folgenden Funktionen:
Sicherer Passwort Tresor
Der Kern von Devolutions Server ist der sichere Passwort-Tresor. Der Tresor schützt Anmeldeinformationen ebenso wie andere privilegierte Informationen wie Zertifikate, geheime Schlüssel, Dateien, Bilder, Lizenzschlüssel, Kreditkarten und den Zugang zu privilegierten Konten unter Verwendung von AES 256-Bit-Verschlüsselung. Es kann entweder vor Ort oder in Ihrer privaten Azure-Cloud installiert werden. Der Passwort-Tresor biete die Möglichkeit, privilegierte Konten automatisch zu scannen und zu erkennen. Er kann auch verwendet werden, um Mitarbeitern ihren ganz persönlichen Benutzertresor zur Verfügung zu stellen, in dem sowohl private als auch unternehmensbezogene Passwörter und Informationen gespeichert werden können.
Sichere Verwaltung privilegierter Sitzungen
Devolutions PAM-Lösung ist dazu in der Lage, Kontovermittlungen durchzuführen, bei denen die Anmeldeinformationen direkt in Remote-Sitzungen eingespeist werden, ohne dass der Nutzer sie jemals zu Gesicht bekommt. Für den Check-out sind privilegierte Konten erforderlich, die den Administratoren automatisch zur Genehmigung angezeigt werden, womit die Protokollierung der Kontoaktivitäten beginnt. Diese Art der Kontovermittlung ermöglicht Ihnen die gemeinsame Nutzung von Anmeldeinformationen, ohne dass Sie die Passwörter für hoch privilegierte Konten jemals preisgeben oder gar kennen müssen.
Darüber hinaus können Sie für zusätzliche Sicherheit sorgen, indem Sie Zeitlimits für privilegierte Sitzungen festlegen. Auf diese Weise wird sichergestellt, dass sie nicht ohne Aufsicht gelassen werden, wo sie potenziell ungeschützt sein könnten. Ebenso kann die Rotation des Passworts bei jeder Anmeldung für ein privilegiertes Konto vorgeschrieben werden, was sowohl das System als auch die Anmeldeinformationen von Devolutions Server ändert. Diese Art der Automatisierung der Passwortpflege entlastet die Administratoren von der manuellen Überarbeitung der Konten nach einem vorgegebenen Zeitplan. Devolutions Server kann auch mit Devolutions Remote Desktop Manager für den Remote-Systemzugriff kombiniert werden. Sie können Remote-Sitzungen vom Webbrowser aus starten, indem Sie Anmeldeinformationen aus dem gemeinsamen Passwort-Tresor verwenden.
Passwortverwaltung und Zwei-Faktor-Authentifizierung
Weiterhin stehen auch verschiedene Ebenen des Passwortschutzes zur Verfügung. Zum einen können Sie eine Vielzahl von Passwortregeln mit vielseitigen Anpassungsmöglichkeiten festlegen und einfordern. Sie haben die Möglichkeit, spezielle Vorlagen für Passwörter einzusetzen, mit denen Sie Ihre eigenen individuellen Anforderungen an Ihre Passwortrichtlinien erfüllen können. Mit dem integrierten Passwortgenerator können Sie sichere Passwörter erzeugen. Darüber hinaus bietet das Programm eine Kontoerkennung und sicheren Remote-Zugriff. Die Funktionen für den Remote-Zugriff sind weit gefächert und unterstützen verschiedene Arten des Remote-Zugriffs auf eine Vielzahl von Systemen.
Zwei-Faktor-Authentifizierung kann systemweit oder für jeden einzelnen Nutzer implementiert werden.Devolutions Server kann mit einer Vielzahl von Lösungen zur Zwei-Faktor- und Multi-Faktor-Authentifizierung kombiniert werden. Dazu gehören: Office 365, SMS, Email, Devolutions Workspace, Duo, Google Authenticator, Yubikey, Radius Server, Azure Multi-Factor und SafeNet.
Rollenbasierte Zugangskontrolle und Integration von Active Directory
Die RBAC in Devolutions Server ermöglicht eine flexible Verwaltung der Zugriffsrechte mit der Möglichkeit, verschiedene Berechtigungsstufen zu delegieren. Sie können detaillierte Berechtigungen zuweisen und so kontrollieren, wer Zugriff zum Anzeigen, Bearbeiten und Löschen von Tresoren, Ordnern und Einträgen in den Passwort-Tresor hat. Durch die Möglichkeit, diese Aufgaben zu delegieren, wird den Sicherheitsadministratoren ein Teil der Verwaltungslast abgenommen. Devolutions Server kann auch mit Microsoft Active Directory kombiniert werden. Mit Active Directory können Nutzer und Gruppen synchronisiert werden, um die bestehende Infrastruktur Ihrer Nutzer widerzuspiegeln.
Protokollierung und Aufzeichnung von Sitzungen
Wie Sie bereits gesehen haben, ist ein Einblick in die Aktivitäten privilegierter Konten unerlässlich, um sicherzustellen, dass sie nicht missbraucht werden. Devolutions Server sorgt für Transparenz bei privilegierten Konten, indem es alle Aktionen in Bezug auf privilegierte Konten, Passwörter und Sitzungen aufzeichnet. Sie können überwachen, wie und wann Konten verwendet wurden und wer auf sie zugegriffen hat. Darüber hinaus protokolliert es privilegierte Zugriffe und kann die Syslog-Datei zu Berichts- und Prüfungszwecken an externe Tools senden. Devolutions Server ermöglicht Ihnen, die Aufzeichnungen von Remote-Sitzungen zu speichern und auf sie zuzugreifen, um sie abzuspielen und zu überprüfen. Weiterhin bietet es Funktionen zur Erstellung von Kontoberichten, die Informationen über die Nutzung von Konten, erfolgreiche und fehlgeschlagene Anmeldeversuche sowie den Anmeldeverlauf für alle Nutzer und Konten enthalten.
Devolutions Server-Editionen
Es gibt drei Editionen von Devolutions Server, die für Unternehmen unterschiedlicher Größe konzipiert sind. Alle Editionen unterstützen Nutzer, Gruppen und RBAC, Zwei-Faktor-Authentifizierung, Active Directory und die Integration von Microsoft 365, Passwortverlauf, Verbindungsverlauf, Verbindungsprotokolle, E-Mail-Benachrichtigungen und Veranstaltungs-Abonnements.
Die drei Editionen von Devolutions Server sind:
- Team – 15 Nutzer, 1 Datenquelle, 1 Domain - $499.99
- Enterprise – 50 Nutzer, 3 Datenquellen, 1 Domain - $1,999.99
- Platinum – Unbegrenzte Nutzer, Datenquellen, Domains – Pro Vertriebskontakt
Devolutions Server meistert die Herausforderungen von Remote-PAM
In dieser Zeit der ständig zunehmenden Sicherheitsbedrohungen, Ransomware und Sicherheitsverletzungen ist PAM zu einer unverzichtbaren Technologie für Unternehmen jeder Art und Größe geworden, um ihre wichtigsten Informationen und Ressourcen zu schützen. Die heute üblichen externen Mitarbeiter tragen zu diesen Sicherheitsrisiken bei. PAM-Lösungen wie Devolutions Server können die Sicherheitslücken Ihres Unternehmens schließen und Ihnen die Kontrolle über die Nutzung Ihrer privilegierten Konten geben, sowohl für lokale als auch externe Nutzer.