Zuerst zu den Begrifflichkeiten, die einem in letzter Zeit immer häufiger um die Ohren fliegen. PAM – Privileged Access Management, IAM – Identity & Access Management, gewürzt mit “Segmentierung” und “Jumphost”, hier geht es immer um den Zugangsschutz kritischer IT-Systeme. Angesichts der zunehmenden Bedrohungen durch Cyberangriffe, stellen privilegierte Zugänge ein massives Sicherheitsrisiko dar. Viele Unternehmen kämpfen aktuell damit, den Überblick über diese kritischen Berechtigungen zu behalten, was Compliance und Sicherheit gefährdet.
In diesem Blog stellen wir die PAM-Lösung von Fortinet vor, genannt FortiPAM. Sowenig die Namensgebung überrascht, so unklar ist vielleicht der Nutzen und das Konzept dahinter. Hacker versuchen IT-Systeme zu kapern und haben vor allem dann Erfolg, wenn sie über diverse Netzwerke privilegierte Systeme erreichen können. Sind ihnen dann noch Zugangsdaten in die Hände gefallen, ist das Übel kaum abzuwenden.
Anforderung: Keinen direkten Zugriff auf kritische Systeme erlauben.
Lösung: Der Zugriff muss über ein speziell abgesichertes Gerät erfolgen (PAM).
Anforderung: Keine Zugangsdaten zugänglich machen – für niemanden!
Lösung: Die Zugangsdaten kommen bei Bedarf automatisch zur Anwendung, ohne dass sie eingesehen werden können.
Anforderung: Nur bestimmte Benutzer sollen auf bestimmte Systeme Zugang haben.
Lösung: Erlaubte Benutzer müssen sich gegenüber dem PAM eindeutig zu erkennen geben, z.B. autorisieren mittels zwei Faktor.
Fortinet ist es ganz gut gelungen, ein sehr grundsätzliches Problem, sehr umfassend, aber einfach handhabbar auf den Punkt zu bringen. Dazu ein paar Worte, wie sich das in der Praxis abspielen könnte.
Administrator A erhält den Auftrag, eine Konfigurationsänderung am Backup-Server durchzuführen (das Backup wird von den Hackern als allererstes gelöscht). Er meldet sich also über seinen lokalen Internet-Browser mittels Benutzername, Passwort und Hardware-Token (2F) am FortiPAM an. Dort findet er eine Liste aller Zugänge vor, auf die er zugreifen darf. Mit einem Klick auf den entsprechenden Eintrag loggt sich FortiPAM automatisch am Backup-Server ein und überträgt den Inhalt der Management-Konsole auf seinen lokalen Internet-Browser.
Die wichtigsten Punkte zusammengefasst: Die kritischen IT-Systeme sind NUR vom PAM aus zu erreichen, das bedeutet eine minimale Angriffsfläche. Passwörter sind gesichert verwahrt, können also weitergegeben werden. Für administrative Tätigkeiten genügt ein Internet-Browser und (nur) der Zugang zum PAM.
EXACON-IT ist Fortinet-Partner und bietet entsprechende Leistungen an. Ganz speziell auch für ZTNA-Lösungen – auch gerne in Kombination mit FortiPAM. Wir freuen uns auf Ihre Anfragen unter sales@exacon.at oder gerne auch telefonisch.