Ein ganzheitlicher Ansatz für die Sicherheit: Identitäts- und Zugriffsmanagement (IAM)

Identitäts- und Zugriffsmanagement (IAM) geht weit über den einfachen Begriff der Benutzerauthentifizierung hinaus. Das ist sicherlich ein zentraler Punkt, aber moderne Arbeitsumgebungen erfordern Änderungen an der IT-Infrastruktur, damit die Benutzer*innen sicher bleiben und gleichzeitig von jedem Gerät und über jedes Netzwerk produktiv arbeiten können, während sie sich physisch überall aufhalten. Hier sind modernisierte IAM-Workflows in Verbindung mit der Integration von Erst- und Drittanbietern von entscheidender Bedeutung, um den Zugriff durch größere Flexibilität zu erweitern und gleichzeitig die Sicherheit für alle Beteiligten zu erhöhen.

November 17 2022 Von

Jesus Vigo

Viewport offering a deep, fisheye view into a long hallway and all angles

Wenn man an Identität und Zugriffdenkt, kommt vielen IT-Administrator*innen als erstes Beispiel die Authentifizierung in den Sinn. Wenn wir noch etwas tiefer in den Kaninchenbau einsteigen, kommen wir zur Einrichtung von Benutzerkonten. Dies führt uns zu dem allgegenwärtigen 800 Pfund schweren Gorilla im Raum - den Passwörtern.

Es handelt sich um einen einfachen Arbeitsablauf, der sich als Eckpfeiler für den Schutz des Zugriffs auf Ressourcen vor unbefugten Benutzer*innen bewährt hat. Eine Kombination aus acht bis zwölf Zeichen und Zahlen - vielleicht auch ein paar mehr, wenn Ihr Unternehmen das Passwort etwas schwieriger zu knacken machen will - ist alles, was zwischen einem bösen Akteur/einer bösen Akteurin und wichtigen Unternehmensdaten oder sensiblen persönlichen Daten und Benutzerdaten steht.

Aber... ist das genug? Bevor Sie diese Frage beantworten, sollten Sie über die folgende Statistik nachdenken, und lesen Sie weiter, warum IAM bei der Einrichtung von Identitäts- und Zugriffsworkflows in Ihrem Unternehmen so wichtig ist.

„Ein Drittel (29%) der Unternehmen ist im Jahr 2021 mindestens ein Nutzer/eine Nutzerin auf einen Phishing-Angriff hereingefallen.“ - Jamf Threat Labs

Warum IAM wichtig ist

Ein wirksamer Schutz von Ressourcen vor der modernen Bedrohungslandschaft bedeutet mehr als nur ein sicheres Passwort. Das ist zwar zweifellos immer noch wichtig, aber wie die obige Statistik zeigt, wird in fast einem Drittel der Unternehmen mindestens ein autorisierter Benutzer/eine autorisierte Benutzerin zum Opfer eines Phishing-Angriffs. Das bedeutet, dass unabhängig von der relativen Stärke des Kennworts des betroffenen Benutzers/der betroffenen Benutzerin oder von den Kennwortrichtlinien, die zur Begrenzung der Schwäche von Kennwörtern eingeführt wurden, keine dieser Praktiken einen unbefugten Zugriff verhindern kann, wenn der Benutzer/die Benutzerin seine Anmeldedaten einfach aushändigt.

Um dies zusätzlich zu anderen Sicherheitsherausforderungen, die die Zugriffsverwaltung und Benutzerauthentifizierung betreffen, zu bewältigen, müssen die Lösungen von Identitäts- und Zugriffsmanagement mit der Sicherheit zusammenarbeiten. Schließlich macht es Sinn, dass Verwaltungs- und Sicherheitsabläufe - die beide darauf abzielen, die Unternehmensressourcen zu schützen - auf derselben Infrastruktur aufbauen, nicht wahr?

Jamf Connect ist ein perfektes Beispiel dafür, wie diese Verbindung zwischen IAM und Sicherheit nicht nur die Authentifizierung sicherstellt, sondern auch den kontinuierlichen Zugriff auf Ressourcen, indem sichergestellt wird, dass die Arbeitsabläufe konsistent sind und mit allem übereinstimmen, mit dem ein Benutzer/eine Benutzerin interagiert, unabhängig vom Gerät.

Moderne Authentifizierung

Identität ist ein fester Bestandteil der Absicherung von Geräten und Benutzerkonten bis hin zu Unternehmensressourcen, in die Unternehmen bereits investieren und auf die sie sich verlassen, um das Mitarbeitererlebnis zu verbessern. Durch die Kombination mit Cloud Identitätsanbietern wie Google, Microsoft und Okta sowie vielen anderen kann die IT-Abteilung eine Zero-Touch-Bereitstellung ermöglichen und die Bereitstellung von Konten auf der Grundlage von Cloud Identitätsattributen und -verwaltung für Benutzer*innen optimieren, die weit über die physischen Wände des Büros hinausgehen.

Dies stellt nicht nur sicher, dass eine benutzerfreundliche IAM-Lösung Unternehmensapps auf allen Geräten, einschließlich mobilen, authentifiziert, sondern erstreckt sich auch auf alle Unternehmensressourcen - vor Ort und in der Cloud - und verwaltet den Zugriff sicher, unabhängig vom Gerätetyp, der Eigentumsstufe oder dem Ort, an dem der Benutzer/die Benutzerin möglicherweise arbeitet.

Durchsetzung der Politik

Die in IAM-Lösungen integrierten Zugriffsrichtlinien tragen in mehrfacher Hinsicht zur Erhöhung der Sicherheit bei. Durch die Einbeziehung richtlinienbasierter Risikobewertungen für Geräte stellen IT- und Sicherheitsteams sicher, dass die Risikolage des Geräts berücksichtigt wird. Gehen wir noch einmal auf das obige Beispiel ein, bei dem das Passwort eines Benutzers/einer Benutzerin während eines Phishing-Angriffs an einen bösartigen Akteur/einer bösartigen Akteurin weitergegeben wurde. Eine Richtlinie, die durch die Integration mit Microsoft oder Google mit einer Zugangskontrolle verknüpft ist, würde zu einem Arbeitsablauf führen, der automatisch die Zugriffsberechtigungen der Benutzer*innen in Abhängigkeit von den kompromittierten Anmeldedaten einschränktund so den Zugang zu den Unternehmensressourcen effektiv einschränkt.

Ein weiteres Beispiel ist Zero Trust Network Access oder ZTNA , auf das wir später noch eingehen werden. Durch die Verwendung von ZTNA - einer zentralen Komponente von Jamf Private Access - ist ein autorisierter Benutzer/eine autorisierte Benutzerin erforderlich, um den Zugriff auf wichtige Geschäftsapps zu ermöglichen. Darüber hinaus schränkt eine Richtlinie für autorisierte Geräte den Zugriff auf die Geräte in Ihrer Flotte ein, die von den IT- und Sicherheitsteams zugelassen wurden.

Moderne Bedrohungslandschaft

So wie sich die moderne Computerlandschaft durch die Einführung mobiler Geräte und die Umstellung von Unternehmen auf Remote-/Hybrid-Arbeitsumgebungen stark verändert hat, so hat sich auch die moderne Bedrohungslandschaft zu unserem Leidwesen weiterentwickelt und böswillige Akteur*innen dazu herausgefordert, clevere und neuartige Methoden zu entwickeln, um Ihre Geräte und Benutzer*innen anzugreifen und an Unternehmensdaten zu gelangen.

Wirksame IAM-Lösungen erfordern anpassungsfähige und flexible Sicherheitskontrollen, die weit über die Netzwerkgrenzen des Büros hinausgehen. Eine dieser Praktiken bewertet, wie bereits erwähnt, kontinuierlich die Risikolage eines Geräts, und zwar während der gesamten Dauer der Sitzung. Sicherzustellen, dass ein Gerät nicht kompromittiert ist, bevor der Zugriff erlaubt wird, ist eine Sache, aber was passiert, wenn das Gerät während der Sitzung nicht mehr konform ist? Das Endergebnis wäre immer noch dasselbe - unberechtigter Zugang.

Die kontinuierliche Risikobewertung durch ZTNA oder bedingten Zugriff nutzt kontextbezogene Richtlinien, die den Zugriff auf sensible Daten, Apps und Ressourcen gewähren oder verweigern, während die Cloudbasierte Natur der IT einen effektiven, skalierbaren Netzwerkschutz bietet, der die Anforderungen ihrer individuellen Bedürfnisse erfüllt. Und das alles, ohne dass Sie Sicherheitsapps, komplexe Softwarekonfigurationen oder teure Supportverträge verwalten müssen.

Mehr als nur die Verbindung von Nutzer*innen zu Ressourcen

Wir betonen immer wieder das Wort „modern“, weil es wichtig ist, zwischen der bloßen Bereitstellung eines Authentifizierungsmechanismus und den unzähligen Schutzmechanismen zu unterscheiden, die über die Authentifizierung hinaus von einer echten Identitäts- und Zugriffsmanagementlösung geboten werden.

Betrachten Sie IAM als ein Puzzleteil. Es ist zwar eine eigenständige Lösung, die auch unabhängig funktionieren kann, aber sie ist weitaus wirkungsvoller, wenn sie mit anderen Lösungen als Teil einer größeren Defense-in-Depth-Strategie kombiniert wird. Ähnlich wie bei einem Puzzleteil, das ein Bild für sich ist, wird das gesamte Bild erst dann enthüllt, wenn alle Teile an der richtigen Stelle liegen.

Einige der Sicherheitsvorteile sind inhärent, andere werden durch die Integration mit Lösungen von Erstanbieter*innen und Drittanbietern ermöglicht, z. B:

Ein Passwort für alle Fälle

Die Vereinheitlichung des Identitätsmanagements für alle Unternehmensapps und Unternehmensressourcen haben wir bereits angesprochen. Die Standardisierung des Schutzes für Ihre gesamte Infrastruktur, insbesondere für die verschiedenen verwalteten und nicht verwalteten Geräte, die darauf zugreifen, wird durch die Aktivierung von Single Sign-On (SSO) ermöglicht. Dies vereinfacht nicht nur die Zugriffsverwaltung für die IT-Abteilung, sondern auch den Arbeitsablauf, da sich die Benutzer*innen nur noch ein einziges Passwort merken müssen und nicht mehr mit mehreren Anmeldedaten jonglieren müssen, die möglicherweise nicht mit den Unternehmensrichtlinien übereinstimmen (oder auch nicht).

Darüber hinaus erleichtert SSO die Verwaltung mehrerer Dienste mit jeweils eigenen Anmeldedaten, indem es Passwörter zwischen Unternehmensressourcen und Mac Endpoints im Hintergrund synchronisiert und einen IdP bereitstellt, der für alle Beteiligten funktioniert.

Zwei sind besser als einer

Passwörter sind in puncto Sicherheit ein zweischneidiges Schwert. Obwohl es sich um einen akzeptierten Aspekt der Sicherung des Zugangs zu Ressourcen handelt, ist es nicht ohne Probleme - sowohl aus der Sicht eines Administrators/einer Administratorin als auch aus der des Benutzers/der Benutzerin. Wenn man dann noch bedenkt, was wir zuvor über die Sicherheit von Passwörtern gesagt haben und wie leicht ein Phishing-Angriff trotz aller Bemühungen alle außer den stärksten Kontrollen umgehen kann, wünscht man sich etwas Besseres und Effektiveres für den Schutz von Ressourcen.

Die Multi-Faktor-Authentifizierung (MFA) bietet genau das, indem sie von den Benutzer*innen verlangt, dass sie anhand einer Kombination von Faktoren bestätigen, dass sie die Person sind, die sie vorgeben zu sein:

  • Etwas, das Sie wissen
  • Etwas, das Sie haben
  • Etwas, das Sie sind

Durch die Aktivierung dieser Funktion innerhalb von Jamf Connect und Ihrer IDP wird sichergestellt, dass der richtige Benutzer/die richtige Benutzerin auf dem richtigen Gerät den Zugriff auf Unternehmensressourcen anfordert, wodurch das Risiko, dass sensible Daten in die falschen Hände gelangen, minimiert wird.

Vertraue nie – überprüfe immer

Wir haben ZTNA bereits erwähnt und werden in diesem Abschnitt einige der Vorteile für die Sicherheit erörtern, die Unternehmen durch die Erweiterung von IAM mit ZTNA erzielen können.

Erstens: Mikrotunnel. Das Konzept des Datentunnels ist in der Welt der Sicherheit nicht neu. VPN tut dies schließlich schon seit Jahrzehnten. Aber denken Sie daran, dass wir über moderne Lösungen sprechen, nicht über alte - und alte VPNs haben sicherlich einige Sicherheitsprobleme, die nur ZTNA vor dem Hintergrund der modernen Bedrohungslandschaft lösen kann und wird.

Mikrotunnel sind eine dieser Lösungen, wobei für jede geschützte Ressource ein eigener Mikrotunnel erforderlich ist, wenn Benutzer*innen den Zugang anfordern. Anstatt wie herkömmliche VPNs Zugang zum gesamten Netzwerk zu gewähren, nutzt ZTNA unabhängige Mikrotunnel, um den Zugang zu jeder Ressource zu sichern. Dadurch wird sichergestellt, dass der Datenverkehr voneinander getrennt wird, um seitliche Netzwerkangriffe zu verhindern, aber auch, dass im Falle einer Kompromittierung einer App nur der Zugriff auf die betroffene App verweigert werden muss, sodass die Benutzer*innen weiterhin mit nicht betroffenen Apps/Ressourcen arbeiten können, während die IT-Abteilung das Problem behebt.

Eine weitere Herausforderung, der ZTNA begegnet, sind Probleme mit der Bandbreitennutzung im Netzwerk, da jeder Mikrotunnel geräte- und netzwerkintern betrieben wird, ohne dass der Datenverkehr durch VPN-Hardware zurückgeführt werden muss. Ein zusätzlicher Vorteil dieser effizienten Leistung ist der Einsatz der Split-Tunneling-Technologie, die den geschäftlichen Datenverkehr automatisch identifiziert und durch einen Mikrotunnel sichert, während der nicht geschäftliche Datenverkehr direkt ins Internet geleitet wird - so bleiben sowohl die Privatsphäre der Benutzer*innen als auch die Unternehmensdaten geschützt, ohne dass beides gefährdet wird.

Das Beste aus allen Welten

Die Erweiterung der Fähigkeiten, um die Vorteile von Erst- und Drittanbieterlösungen zu nutzen, ist eine leistungsstarke Fähigkeit in einem modernen IAM. Das sollte nicht übersehen werden, wenn man bedenkt, dass sich die Sicherheit, ähnlich wie die Technologie, in einem unglaublichen Tempo weiterentwickelt. Vielleicht benötigte Ihr Unternehmen in der Vergangenheit nur eine IdP- und MDM-Lösung vor Ort, um Ihre Apple Flotte ganzheitlich zu verwalten. Heutzutage ist das Unternehmen jedoch darauf angewiesen, dass seine Mitarbeiter*innen aus der Ferne arbeiten, und daher erfordern die heutigen Anforderungen Cloudbasierte IdP-, MFA- und MDM-Lösungen, um den Geräte- und Identitätsmanagementteil Ihrer Infrastruktur in Gang zu bringen.

In der Zukunft wird sich diese Anforderung vielleicht auf die Abwehr mobiler Bedrohungen und eine bessere Zugriffsverwaltung, wie ZTNA, ausweiten. Eine flexible IAM-Lösung macht den Unterschied aus, wenn es darum geht, den aktuellen und zukünftigen Anforderungen Ihres Unternehmens gerecht zu werden.

Denken Sie noch einmal über Passwörter nach. Wie wäre es, wenn wir Ihnen sagen würden, dass es eine Möglichkeit gibt, eine MFA-Lösung zu implementieren, um eine zusätzliche Sicherheitsebene für Zugriffsanfragen zu schaffen und gleichzeitig Passwörter vollständig zu eliminieren? Ist eine passwortlose Mac Authentifizierung überhaupt möglich oder sicher?

Ja, und zwar absolut ja! (Wir wagen zu behaupten, dass sogar sicherer ist.)

Hier kommt Jamf Unlock ins Spiel, der passwortlose Arbeitsablauf, der durch die Integration von Jamf Connect + Jamf Pro und einem iOS basierten Gerät mit Version 14.0 oder höher ermöglicht wird. Da Passwörter selbst zu Sicherheitslücken führen können, z. B. aufgrund von Datenschutzverletzungen, Verlust durch Phishing-Angriffe oder weil sie einfach zu schwach oder leicht zu erraten sind, kann mit einem passwortlosen Authentifizierungsworkflow diese Sicherheitsprobleme vollständig umgehen. Und das alles bei gleichzeitiger Sicherheit für Ihre Mitarbeiter*innen und den Schutz Ihrer Daten sowie einer nahtlosen Endbenutzererfahrung.

Die wichtigsten Erkenntnisse

  • Das Identitäts- und Zugriffsmanagement ist ein entscheidender Schritt, um den Anforderungen des modernen, ortsunabhängigen Arbeitsplatzes gerecht zu werden
  • Ein integraler Bestandteil einer effektiven Defense-in-Depth-Strategie mit mehrschichtigen Sicherheitslösungen, die zusammenarbeiten, um Bedrohungen abzuschwächen
  • Ermöglichen Sie Zero-Touch-Bereitstellungen und rationalisieren Sie die Arbeitsabläufe für die Kontobereitstellung mit Hilfe von Cloud IdP
  • Richtlinienbasiertes IAM richtet die Kontoverwaltung an den Unternehmensrichtlinien aus und standardisiert und erweitert sie auf alle Geräte in der Infrastruktur
  • Vereinfachte Authentifizierungsworkflows, die SSO und MFA nutzen, um das Benutzererlebnis zu verbessern und zu sichern
  • Erweitern Sie Ihre Möglichkeiten durch die Integration mit Lösungen von Erst- und Drittanbietern, um Ihre heutigen Anforderungen zu erfüllen - und schaffen Sie gleichzeitig die Grundlage für zukünftige Anforderungen
  • Umgehen Sie passwortbasierte Sicherheitsprobleme vollständig durch die nahtlose Implementierung eines passwortlosen Authentifizierungs-Workflows mit Jamf Unlock

***

Dieser Beitrag ist Teil einer Serie über einen ganzheitlichen Ansatz für die Sicherheit. Eine Zusammenfassung aller Beiträge finden Sie unter, oder lesen Sie einen Beitrag weiter unten:

Verlassen Sie sich immer noch auf starke und komplexe, aber leicht vergessene oder verlorene Passwörter, um Ihre Unternehmensressourcen zu schützen?

Raus aus der Vergangenheit! Leben Sie in der passwortlosen Zukunft mit einer modernen Identitäts- und Zugriffsmanagementlösung.

Abonnieren Sie den Jamf Blog

Wir sorgen dafür, dass Apple Updates sowie Jamf Neuigkeiten direkt bei Ihnen im Postfach landen.

Um mehr darüber zu erfahren, wie wir Ihre Informationen sammeln, verwenden, offenlegen, übertragen und speichern, werfen Sie bitte einen Blick auf unsere Datenschutzbestimmungen.