Praktische Anwendung der 8 Grundsätze des Infrastrukturzugangs
Es ist die Aufgabe von IT- und Sicherheitsteams, vertrauliche Daten und Systeme vor Online-Bedrohungen schützen, die sowohl das Geschäftsergebnis als auch den guten Ruf ihres Unternehmens gefährden. Dafür müssen sie den Zugang zur Infrastruktur in der Cloud und vor Ort absichern. Die bisherigen Techniken lassen Nutzer und IT-Administratoren in dieser Hinsicht jedoch weitgehend im Stich – es ist Zeit für einen modernen Ansatz.
Warum sind die bisherigen Tools nicht geeignet?
Da Unternehmen zunehmend Cloud-IaaS parallel zur herkömmlichen lokalen Infrastruktur einsetzen, müssen sie ein sicheres Identitäts- und Zugriffsmanagement (IAM) für den Zugriff auf wichtige Infrastrukturelemente einrichten.
Herkömmliche statische Anmeldedaten, die für den Zugriff auf Server verwendet werden, sind nicht geeignet, weil sie zu leicht verloren gehen oder gestohlen werden können. Da nicht automatisch eine Verknüpfung mit den Identitätsprofilen der Benutzer besteht, ist es schwierig, sie in großem Umfang zu verwalten. Wenn Berechtigungen manuell erteilt oder entzogen und Anmeldedaten für mehrere Systeme gemeinsam genutzt werden, entstehen Sicherheitsrisiken für das Unternehmen.
Unternehmen suchen nach einem neuen Ansatz, der speziell für moderne Cloud-Umgebungen entwickelt wurde und die Automatisierung ihrer DevOps-Praktiken unterstützt. Die Antwort ist der bahnbrechende Zero-Trust-Ansatz von Okta für den Infrastrukturzugang mit Advanced Server Access (ASA).
Oktas acht Grundsätze für eine erfolgreiche Infrastruktursicherheit
Um den Infrastrukturzugang ausreichend abzusichern, empfiehlt Okta Unternehmen, acht wichtige Grundsätze zu befolgen, mit denen sie den Herausforderungen eleganter begegnen können als mit herkömmlichen Ansätzen.
Mailchimp ist ein hervorragendes Beispiel für ein modernes, DevOps-orientiertes Unternehmen, das mit diesem Ansatz für die erfolgreiche Zero-Trust-Sicherheit enorme Verbesserungen erzielt hat. Jordan Conway von Mailchimp hat auf der Oktane19 erläutert, wie das Unternehmen mit Oktas Advanced Server Access seine Infrastruktur effektiver absichert. Hier sehen Sie eine Zusammenfassung davon, wie Mailchimp diese 8 Grundsätze mit Okta umgesetzt hat.
1. Automatisierung statt manueller Betrieb
In einer zunehmend Cloud-orientierten Welt sollten effektive Zugriffskontrollen vollständig automatisiert sein – und nicht herkömmliche manuelle Verfahren. Von der Registrierung bis zur Bereitstellung und Konfiguration sollte alles automatisiert sein, um mit der Geschwindigkeit des Unternehmens Schritt halten zu können.
Mailchimp implementierte mithilfe von Okta nahtlose automatisierte Identitäts- und Zugriffskontrollen für seinen gesamten Serverbestand und erzielte so direkt einen hohen Mehrwert. ASA ersetzte auf einen Streich manuelle Schlüsselverwaltungsprozesse und vereinfachte das Onboarding und Offboarding von Server-Admins.
2. Vorübergehend gültige Anmeldedaten statt statischen Schlüsseln
In einer automatisierten Infrastruktur ist die herkömmliche Verfolgung und Verwaltung von Anmeldedaten unabhängig von der Skalierung nicht möglich. Mit Zero Trust ermöglicht der kontextabhängige Zugriff eine intelligentere Entscheidungsfindung, muss aber durch einen auf den Einzelfall zugeschnittenen Mechanismus für Anmeldedaten unterstützt werden. Okta hat einen revolutionären Ansatz für die Herausforderung der Anmeldedaten entwickelt, der das Risiko stärker mindert.
Bei Mailchimp speicherten Entwickler statische Schlüssel auf ihren persönlichen Laptops. Dies stellte das Unternehmen vor einige Herausforderungen in Bezug auf Vertrauen und Sicherheit. Durch die Einführung von ASA hat Mailchimp den Anmeldevorgang für Serveradminstratoren und Entwickler optimiert und muss sich nun keine Gedanken mehr darüber machen, wer Schlüssel für welche Server besitzt.
3. Benutzeridentitäten statt gemeinsam genutzter Konten
Gemeinsam genutzte Administratorkonten führen zu Sicherheitsrisiken, auch wenn sie theoretisch gut geschützt sind. Das liegt daran, dass nur schwer nachzuvollziehen ist, wer wann auf was zugegriffen hat. Darüber hinaus ist es schwierig, Richtlinien dafür zu schreiben, wer wann auf was zugreifen können sollte. Um die Unternehmensrichtlinien einzuhalten, sollte jeder Zugriff direkt einem einzelnen Benutzerkonto zugeordnet werden.
Mailchimp sieht es als „riesigen Pluspunkt“, dass jeder Benutzer für Aktionen auf einem Server über seine eigene Identität verfügt. So kann das Unternehmen jetzt auf akkurate Aufzeichnung aller Aktivitäten zurückgreifen. Alles lässt sich zuordnen und obendrein werden Risiken durch gemeinsam genutzte Anmeldedaten eliminiert.
4. Lokale Konten statt Verzeichnisschnittstellen
Verzeichnisschnittstellen wie LDAP bereiten Administratoren von großen Unternehmen so einiges Kopfzerbrechen, insbesondere hinsichtlich der Anbindung an das Aufzeichnungssystem. Okta bietet jetzt die Möglichkeit, eine zwischengeschaltete Schnittstelle zu vermeiden, indem Konten für lokale Computer direkt aus dem Aufzeichnungssystem bereitgestellt werden.
Jahrzehntelang haben Unternehmen versucht, herauszufinden, wie sie Serverbenutzer mit ihrem Aufzeichnungssystem synchronisieren können. Okta löst diese Problematik äußerst elegant gelöst und spart Administratoren damit viel Aufwand und Ärger. Mailchimp profitiert von diesem Ansatz durch einen reduzierten Administrationsaufwand und eine insgesamt verbesserte Sicherheit.
5. Single Sign-On statt Checkout
Herkömmliche Tools und Praktiken zwingen Systemadministratoren zu mühevollen externen Checkout-Vorgängen – und derart aufgehalten zu werden, ist bei Admins nicht gerade beliebt. Dagegen hilft Single Sign-On (SSO), das im Infrastrukturbereich genauso benutzerfreundlich ist wie für die Mitarbeiter, die auf Geschäftsanwendungen zugreifen.
Bei Mailchimp waren die IT-Mitarbeiter zunächst nicht begeistert von dem Gedanken, sich auf einen neuen Workflow umzustellen, da sie es gewohnt waren, manuell mit ihren eigenen Schlüsseln zu arbeiten. Sobald sie mit der Nutzung von ASA begannen, erkannten sie jedoch die Sicherheitsvorteile und stellten fest, dass die Arbeitsabläufe nicht störend waren.
6. Rollenbasierter Zugriff statt Rechteausweitung
Traditionell delegieren Unternehmen Berechtigungen von gemeinsam genutzten Konten für bestimmte Aufgaben an Benutzer und erzwingen so den Zugriff mit den geringsten Rechten. Diese Methode kann missbraucht werden, da schwer zu erkennen ist, ob einem bestimmten Benutzer privilegierter Zugriff gewährt werden sollte. Identitätsbasierte Zugriffskontrollen gewähren Berechtigungen, die explizit an die Rolle des Benutzers gebunden sind.
Für Mailchimp bietet dieser neue Ansatz „die richtige Rolle und den richtigen Zugriff für die richtigen Entwickler“ und erhöht damit die Sicherheit. Dies ist wichtig, da das Unternehmen wächst und die Spezialisierungen innerhalb seiner technischen Abteilungen vorantreibt.
7. Bastionen statt VPNs
Da der herkömmliche Netzwerkperimeter nicht mehr existiert, sind VPNs überflüssig geworden. Stattdessen bieten „Bastion“-Hosts den Benutzern ein Authentifizierungs-Gateway, über das sie die private Infrastruktur erreichen können. So können sie sich nahtloser anmelden.
Mailchimp verwendet zwar immer noch VPNs, weiß aber jetzt um ihre Schwächen. Wenn Netzwerkgeräte, ein Büro oder ein Standort hinzukommen, entstehen erhebliche Kosten für die Neukonfiguration des VPN und der entsprechenden Zugriffsrechte. Für ein schnell wachsendes Unternehmen wie Mailchimp ist das ein erhebliches Problem. Durch den Wegfall von VPNs wird das Risiko von IP-basierten Konfigurationsfehlern eliminiert und das Benutzererlebnis vereinfacht.
8. Strukturierte Protokolle statt Sitzungsaufzeichnungen
Die meisten Compliance-Anforderungen sehen eine Aufzeichnung von Administratoraktivitäten vor, die später wiedergegeben werden kann. Zur besseren Übersichtlichkeit geschieht dies am besten in strukturierten Protokollen statt in Sitzungsaufzeichnungen.
Die Erfahrung von Mailchimp zeigt dies deutlich. Mailchimp verfügt nun über ein leicht indizierbares und durchsuchbares System – statt schwer lesbarer Auditprotokolle. Es zeigt leicht verständlich, was die Benutzer gerade tun und mit welchen Endpunkten sie sich verbinden.
Möchten Sie mehr erfahren?
Um mehr über die Advanced Server Access-Lösung von Okta zu erfahren, lesen Sie unsere aktuelle ASA-Produktveröffentlichung. Sie können auch mehr über die 8 Grundsätze des modernen Infrastrukturzugangs lesen oder sich weiter unten das vollständige Video der Oktane19-Sitzung Bringing Modern Identity to Infrastructure Access ansehen.