PAM 
Bei der Entscheidung zwischen einer lokalen oder cloudbasierten Privileged Access Management (PAM)-Lösung wird eine cloudbasierte PAM-Lösung empfohlen, da sie einfacher zu verwalten, hochskalierbar und kostengünstig ist.
Privileged Access Management (PAM) ist eine Untergruppe von Identity and Access Management (IAM), die sich speziell mit der Kontrolle des Zugriffs für Benutzer befasst, die mit besonders sensiblen Systemen und Daten in einem Unternehmen arbeiten (z. B. IT-, Informationssicherheits- und DevOps-Personal). Unter anderem setzt PAM das Prinzip der geringsten Privilegien durch, das Benutzern nicht mehr als das Mindestmaß an System- und Datenzugriff gewährt, das sie für ihre Arbeit benötigen.
Da Cyberangriffe bezüglich Häufigkeit, Intensität und finanziellem Schaden zunehmen, ergänzen immer mehr Unternehmen ihre Sicherheitstechnologie-Stacks um PAM-Lösungen. Die Bewertung und Auswahl der richtigen Lösung kann angesichts der großen Zahl an konkurrierenden PAM-Produkten jedoch eine Herausforderung darstellen.
Lassen Sie uns die sechs wichtigsten Funktionen von Privileged Access Management ansehen, die Sie tatsächlich benötigen, um Ihr Unternehmen zuverlässig zu schützen.
1. Cloudbasierte Zero-Trust- und Zero-Knowledge-Sicherheit
Während Datenumgebungen von Unternehmen heute weitgehend oder komplett cloudbasiert sind, wurden viele „moderne“ PAM-Produkte ursprünglich für lokale Infrastrukturen entwickelt. Cloud-Funktionen wurden demnach oft nachträglich hinzugefügt. PAM-Produkte, die nicht in der Cloud entwickelt wurden, nutzen die Vorteile von Cloud-Funktionen nicht richtig. Dazu gehört die Möglichkeit, Cloud-Ressourcen bei Bedarf automatisch aufwärts oder abwärts zu skalieren (automatische Skalierung). Außerdem gibt es keine Zero-Trust-Sicherheit oder Zero-Knowledge-Verschlüsselung.
Produkte, die nicht Zero-Knowledge-basiert sind, sind von Natur aus weniger sicher, da der jeweilige Dienstanbieter Zugriff auf sensible Benutzerdaten hat. Anbieter von Nicht-Zero-Knowledge-Lösungen speichern Daten in einem lesbaren Format oder können Benutzerdaten entschlüsseln. Wenn deren Systeme kompromittiert werden, können Angreifer ggf. auf sensible Daten zugreifen. Anbieter von Zero-Knowledge-Lösungen hingegen können keinerlei Benutzerdaten lesen – selbst wenn es zu einer Sicherheitsverletzung kommt –, da Daten verschlüsselt sind und Benutzer allein die entsprechenden Schlüssel haben.
Zero-Knowledge-Verschlüsselung verhindert nicht nur die Kompromittierung sensibler Benutzerdaten durch externe Bedrohungsakteure oder bösartige Insider, sondern hält sensible Daten auch aus den Händen staatlicher Aufsichtsbehörden fern. Vom Anbieter gespeicherte Daten unterliegen lokalen Gesetzen und können ggf. ohne Zustimmung des Benutzers abgerufen oder überwacht werden. Außerdem können Regierungen bzw. Aufsichtsbehörden Zugriff auf Benutzerdaten anfordern. Unternehmen, die keine Zero-Knowledge-Verschlüsselung nutzen, können gesetzlich gezwungen werden, als Reaktion auf eine solche Aufforderung Benutzerdaten weiterzugeben. Wenn ein Unternehmen aber Zero-Knowledge-Verschlüsselung verwendet, kann es solchen Aufforderungen nicht nachkommen, da sich Benutzerdaten einfach nicht entschlüsseln lassen.
Schließlich schafft Zero-Knowledge Vertrauen zwischen Dienstleistern und ihren Kunden. Unternehmen müssen dem Dienstanbieter vertrauen, dass er ihre Daten verantwortungsvoll handhabt und schützt.
In einer Zero-Knowledge-Umgebung ist solches Vertrauen einfacher herzustellen, da der Dienstanbieter nicht auf sensible Benutzerdaten zugreifen kann – egal was passiert.
KeeperPAM®: Zero-Knowledge-Sicherheit – in der Cloud für die Cloud entwickelt
Im Gegensatz zu vielen unserer Konkurrenten ist KeeperPAM kein lokal bereitgestelltes Produkt mit Cloud-Funktionen, die später hinzugefügt wurden. KeeperPAM wurde in der Cloud für die Cloud entwickelt, und zwar mithilfe der Zero-Knowledge-Sicherheitsarchitektur von Keeper.. Das bedeutet, dass niemand außer dem Endbenutzer Passwörter, Dateien oder andere Daten einsehen kann, die er in seinem Keeper Vault gespeichert hat – auch nicht der lokale Administrator und nicht einmal Mitarbeiter von Keeper. Die Infrastruktur von Keeper vermittelt Verbindungen. Dabei werden durchgängig verschlüsselte Peer-to-Peer-Verbindungen vom Browser des Benutzers zur Zielinfrastruktur hergestellt.
2. Granulare Zugriffskontrolle und Durchsetzung von Richtlinien
Granulare Zugriffskontrollen helfen Unternehmen dabei, eine sichere, effiziente und konforme Umgebung zu schaffen, indem Zugriff auf genau das beschränkt wird, was Benutzer oder Systeme benötigen. Sie werden in der Regel mit rollenbasierter Zugriffskontrolle (RBAC) und Zugriff mit geringsten Privilegien (auch als Just-Enough-Privilege oder JEP bezeichnet) kombiniert, sodass Berechtigungen für Zugriff auf Systeme und Daten von der Jobfunktion des jeweiligen Mitarbeiters abhängen.Ziel ist es, dafür zu sorgen, dass Benutzer nur auf die Ressourcen zugreifen können, die sie für ihre Arbeit wirklich benötigen – und nicht mehr. Da granulare Zugriffskontrolle, RBAC und Least Privilege/JEP Eckpfeiler moderner Zero-Trust-Sicherheitsumgebungen sind, sollte Ihre PAM-Lösung diese Funktionen unbedingt unterstützen.
Just-in-Time (JIT)-Zugriff ist eine weitere wichtige Funktion zur Gewährleistung von sicherem privilegiertem Zugriff. JIT gewährt Benutzern oder Systemen nur dann vorübergehenden, zeitlich begrenzten Zugriff auf Ressourcen, wenn sie diese zur Erledigung bestimmter Aufgaben benötigen. Somit erfüllt Zugriff folgende Kriterien:
- Bereitstellung bei Bedarf: Wird aktiviert, wenn Zugriff angefordert oder durch ein bestimmtes Ereignis ausgelöst wird.
- Zeitlich begrenzt: Wird nach einem vordefinierten Zeitraum oder nach Erledigung der Aufgabe automatisch widerrufen.
- Kontextsensibel: Kann Bedingungen wie Benutzerrolle, Standort, Gerät oder Sicherheitsstatus berücksichtigen.
So vereinfacht KeeperPAM granulare Zugriffskontrollen und die Durchsetzung von RichtlinienKeeperPAM kann JIT-Zugriff auf beliebige Zielinfrastrukturen oder Zielsysteme ermöglichen, ohne dass Anmeldeinformationen preisgegeben werden. Sobald der Zugriff abgelaufen ist, lassen sich die Anmeldeinformationen automatisch rotieren. Durch Implementierung von JIT- und Least Privilege/JEP-Prinzipien reduziert KeeperPAM permanente Privilegien, schließt Sicherheitslücken und verringert das Risiko übermäßiger Berechtigungen. |
3. Verwaltung, Überwachung und Aufzeichnung von Sitzungen
Im Kontext von Privileged Access Management stellen die Verwaltung, Überwachung und Aufzeichnung von Sitzungen kritische Funktionen dar, die Übersicht, Kontrolle und Verantwortlichkeit hinsichtlich der Aktivitäten von privilegierten Benutzern bieten. Die Funktionen sorgen dafür, dass von privilegierten Konten ausgeführte Aktionen sorgfältig verfolgt, protokolliert und geprüft werden, um Risiken im Zusammenhang mit erhöhtem Zugriff zu mindern.
Sitzungsverwaltung umfasst die Kontrolle von Sitzungen privilegierter Benutzer, einschließlich der Initiierung, Wahrung und Beendigung des Zugriffs auf sensible Systeme. Stellen Sie sicher, dass Ihre PAM-Lösung über folgende Funktionen verfügt:
- Initiierung von Sitzungen: Unterstützung sicherer, zeitlich begrenzter Verbindungen zu Zielsystemen.
- Zugriffskontrolle: Durchsetzung von Richtlinien wie Zeitlimits oder Nutzung bestimmter Geräte während Sitzungen.
- Beendigung von Sitzungen: Automatische Beendigung von Sitzungen auf Grundlage von Inaktivität oder Verstößen gegen Richtlinien.
- Überwachung von Sitzungen: Echtzeit-Verfolgung von Benutzeraktivitäten während privilegierter Sitzungen, sodass IT- und Sicherheitspersonal durchgeführte Aktionen einsehen kann. Das geschieht häufig mittels Live-Dashboards oder Verfahren zur Bildschirmfreigabe.
- Aufzeichnung von Sitzungen: Erfassung und Speicherung detaillierter Protokolle sowie häufig videoähnliche Wiedergabe privilegierter Sitzungen. Aufzeichnungen enthalten in der Regel Tastatureingaben, ausgeführte Befehle, angesehene Bildschirme und mehr.
Die Verwaltung, Überwachung und Aufzeichnung von Sitzungen helfen dabei, bösartige Aktivitäten zu verhindern, da Sicherheitsteams eingreifen können, wenn während einer privilegierten Sitzung verdächtige oder nicht autorisierte Aktionen ermittelt werden. Sie reduzieren Insider-Bedrohungen, indem sie den Missbrauch von Privilegien verhindern und bei Vorfällen Beweise für forensische Untersuchungen liefern. Die Verwaltung von Sitzungen, insbesondere die Aufzeichnung von Sitzungen, ist zudem von entscheidender Bedeutung für die Compliance. Viele Branchenstandards und regulatorische Frameworks (z. B. HIPAA, PCI DSS und DSGVO) schreiben eine Nachverfolgung, Dokumentation und Berichterstattung bezüglich der Aktivitäten privilegierter Benutzer vor, um sensible Daten zu schützen.
Entscheiden Sie sich für eine PAM-Lösung, die Tunneling und Bring Your Own Tools (BYOT) unterstützt. Tunneling bezieht sich auf die Möglichkeit, Übertragungen oder Interaktionen mit Remote-Systemen über einen Intermediär oder Proxy sicher zu routen und zu verwalten, ohne dass direkter Zugriff auf das Zielsystem benötigt wird. Das ist bei PAM-Lösungen besonders wichtig, da Tunneling sichere, verschlüsselte Kommunikation zwischen dem Gerät des Benutzers und dem Zielsystem ermöglicht, die ganze Kommunikation über ein PAM-Gateway oder einen Proxy leitet, damit RBAC durchgesetzt und eine Verwaltung von Sitzungen möglich wird, und verschiedene Protokolle (z. B. SSH, RDP, HTTPS) unterstützt, sodass Benutzer unterschiedliche Umgebungen sicher verwalten können.
BYOT ist ein Leistungsmerkmal umfassender PAM-Lösungen, das es Benutzern erlaubt, bevorzugte Tools und Anwendungen zur sicheren Interaktion mit Systemen zu verwenden. Das heißt, dass sie nicht nur die Tools der PAM-Plattform verwenden müssen. So können Systemadministratoren beispielsweise ihre bevorzugten SSH-Clients wie PuTTY oder Terminal nutzen, um über die PAM-Plattform Verbindungen mit einem Server herzustellen. So werden Workflows unterstützt, die spezielle Tools oder Benutzereinstellungen erfordern, während Sicherheit und Governance gewährleistet bleiben.
So verbessert KeeperPAM die Verwaltung, Überwachung und Aufzeichnung von Sitzungen
Privileged Session Management (PSM)-Tools von KeeperPAM nutzen Secrets-Vaulting, JIT/JEP sowie die Aufzeichnung und Wiedergabe von Remote-Sitzungen, um dafür zu sorgen, dass kritische Anmeldeinformationen und Infrastrukturen geschützt bleiben. Durch die Aufzeichnung von Sitzungen und Protokollierung von Tastatureingaben können Benutzeraktivitäten im Zuge von Verbindungen und für geschützte Websites zu Überprüfungs-, Compliance- oder Sicherheitszwecken erfasst werden. Das sorgt für angemessene Interaktionen und verringert Insider-Bedrohungen sowie Betrugsversuche.
Benutzeraktionen im Keeper Vault werden ebenfalls aufgezeichnet. Das Advanced Reporting and Alerts Module (ARAM)-Tool von Keeper ermöglicht es Unternehmen, Warnungen für verdächtige Aktivitäten einzurichten (z. B. für fehlgeschlagene Anmeldeversuche, Änderungen administrativer Richtlinien, Freigabe von Datensätzen und Änderungen im Benutzerlebenszyklus). Außerdem kann ARAM Berichte speziell für Compliance-Frameworks wie FedRAMP, SOC 2, ISO 27001 und HIPAA erstellen.
Unternehmen können Keeper in vorhandene Security Information and Event Management (SIEM)-Tools integrieren, um ausgefeiltere Analysen durchzuführen. Keeper lässt sich in beliebige SIEM-Systeme integrieren, die Syslog-Push unterstützen. Zudem bietet Keeper sofort einsatzbereite Integrationen für viele Lösungen, darunter für Splunk, Datadog, Azure und LogRhythm.
KeeperPAM gibt Entwicklern unterschiedliche Möglichkeiten für Zugriff auf Systeme. So können sie die visuelle Benutzeroberfläche von Keeper Connection Manager nutzen, um auf Ressourcen zuzugreifen. Oder sie erstellen verschlüsselte TCP-Tunnel, um mit ihren bevorzugten Tools (wie Datenbanken oder Terminal-Emulatoren) auf Systeme zuzugreifen.
Außerdem bietet KeeperPAM Remote-Browser-Isolation (RBI). Diese Funktion isoliert Web-Browsing-Aktivitäten der Benutzer von ihrem lokalen Gerät, indem die Aktivitäten in einer isolierten virtuellen Umgebung (wie in einer Sandbox oder auf einem virtuellen Computer) auf einem Remote-Server ausgeführt werden. Webinhalte werden auf dem Remote-Server gerendert, sodass bösartige Skripte, Malware oder Exploits nicht auf die Geräte von Benutzern gelangen können.
4. Unterstützung für Passkeys
Passkeys sind eine moderne, Phishing-resistente Authentifizierungsmethode, die herkömmliche Passwörter ersetzen soll. Dabei handelt es sich um eine Art passwortloses Anmeldesystem, das Kryptografie mit öffentlichen Schlüsseln verwendet, um die Sicherheit und Benutzerfreundlichkeit zu erhöhen. Passkeys werden von großen Technologieunternehmen wie Apple, Google und Microsoft genutzt und von der FIDO-Alliance unterstützt. Mit zunehmender Verbreitung werden sie passwortbezogene Cyberangriffe drastisch reduzieren, Online-Erlebnisse sicherer und bequemer machen und die Überprüfung digitaler Identitäten durch eine Standardisierung sicherer, benutzerfreundlicher Methoden positiv verändern.
Mit Passkeys können Unternehmen ihre Sicherheit erheblich erhöhen und die Komplexität im Zusammenhang mit herkömmlicher Passwortverwaltung reduzieren. Sorgen Sie also dafür, dass Ihre PAM-Lösung diese Funktionen unterstützt.
KeeperPAM macht es leicht, Passkeys sicher zu speichern und zu verwenden
KeeperPAM bietet Ihrem Unternehmen eine bequeme und sichere Möglichkeit, Passwörter, Passkeys und Dateien für alle Mitarbeiter und auf jedem Gerät zu speichern. In Kombination mit SSO-Integration stellt KeeperPAM Benutzern ein nahtloses, passwortloses Erlebnis bereit.
5. Passwort-Vaulting und -Verwaltung mit automatisierter Rotation
Automatisierte Passwortrotation und Vaulting sind Funktionen moderner PAM-Lösungen. Sie erhöhen die Sicherheit und erleichtern die Verwaltung privilegierter Konten, indem sie die Handhabung von Passwörtern automatisieren und Passwörter sicher speichern.
Automatisierte Passwortrotation ändert in festgelegten Intervallen oder nach jeder Verwendung automatisch die Passwörter privilegierter Konten. Dieser Prozess wird durch vordefinierte Richtlinien geregelt und erfordert keine manuellen Eingriffe. Automatisierte Passwortrotation verringert das Risiko unbefugter Zugriffe, das durch kompromittierte oder veraltete Anmeldeinformationen entsteht. Die Funktion stellt sicher, dass Benutzer keinen dauerhaften Zugriff auf privilegierte Konten haben. Zudem erfüllt sie regulatorische Anforderungen wie PCI DSS und HIPAA, die eine Rotation von Passwörtern vorschreiben.
Passwort-Vaulting bezieht sich auf die sichere Speicherung von Anmeldeinformationen privilegierter Konten in einem verschlüsselten, zentralen Repository („Tresor“). Benutzer oder Systeme müssen sich mit der PAM-Lösung authentifizieren, um Passwörter für Zugriff auf Ressourcen aufrufen zu können. Der Zugriff auf den Tresor wird durch Richtlinien wie RBAC beschränkt. Anmeldeinformationen können für bestimmte Sitzungen abgerufen werden und für Benutzer verborgen bleiben. Das verhindert die Speicherung sensibler Anmeldeinformationen in verschiedenen Systemen oder persönlichen Geräten. Die Funktion lässt sich in Zugriffskontrollrichtlinien integrieren, um zu beschränken, wer bestimmte Passwörter abrufen oder nutzen kann. Zudem wird jeder Zugriff auf den Tresor protokolliert, was eine transparente Verwendung von Anmeldeinformationen erlaubt.
Best Practices für Cybersicherheit raten im Allgemeinen von der Freigabe von Passwörtern ab. Im Idealfall sollten alle Benutzer für alle Systeme und Anwendungen über individuelle Anmeldungen verfügen. In der Praxis ist das jedoch nicht immer realistisch. Daher ist es wichtig, dass Ihre PAM-Lösung eine sichere Freigabe von Passwörtern ermöglicht. Achten Sie neben der Freigabe von Konten auf Funktionen wie temporäre Freigaben (zeitlich begrenzter Zugriff), einmalige Freigaben und sich selbst zerstörende Freigaben.
So schützt KeeperPAM Passwort-Vaulting und automatisiert die Rotation
Mit KeeperPAM können Benutzer Zugriff auf Konten sicher teilen, ohne Anmeldeinformationen preisgeben zu müssen. Freigegebener Zugriff kann unbegrenzt oder zeitlich begrenzt erfolgen. Dazu gehören einmalige Freigaben bzw. Freigaben, die sich nach einem bestimmten Zeitraum selbst zerstören. Sobald Zugriff abgelaufen ist, lassen sich die entsprechenden Anmeldeinformationen automatisch rotieren. KeeperPAM bietet IT- und Sicherheitsteams die volle Kontrolle darüber, welche Benutzer Anmeldeinformationen und Dateien teilen können. Indem sie dafür sorgen, dass ausschließlich autorisierte Benutzer Freigaben initiieren können, können Unternehmen Datenverluste verhindern und Compliance-Vorschriften einfacher einhalten.
Die Zero-Knowledge-Sicherheitsarchitektur von KeeperPAM sorgt für ein absolut sicheres Passwort-Vaulting. Keeper kann in Tresoren von Benutzern auf nichts zugreifen. Außerdem wird keinerlei Datenverkehr über das Keeper-Netzwerk geleitet, was absolute Datensicherheit gewährleistet. Niemand (nicht einmal Mitarbeiter von Keeper) kann Daten in Benutzertresoren aufrufen oder entschlüsseln.
Automatisierte Passwortrotation in KeeperPAM ermöglicht es Administratoren, Anmeldeinformationen für Dienst- oder Administratorkonten in geschäftlichen Datenumgebungen zu erkennen, zu verwalten und zu rotieren. Die zentrale Funktion für Vaulting und Passwortrotation von Keeper beruht auf dem Zero-Trust-Modell. Sie sorgt dafür, dass Anmeldeinformationen nicht dauerhaft zugänglich sind und alle Zugriffe überprüft und überwacht werden.
6. Schützt Ihr gesamtes Unternehmen, nicht nur die IT
Manche PAM-Produkte auf dem Markt sind darauf ausgelegt, lediglich IT-Administratoren, DevOps-Mitarbeiter und andere privilegierte Benutzer zu schützen. Es ist jedoch unerlässlich, dass alle Benutzer in Ihrem Unternehmen geschützt werden – nicht nur diejenigen mit privilegiertem Zugriff. Das bedeutet, dass Sie sowohl eine PAM-Lösung als auch eine allgemeine IAM-Lösung bereitstellen sowie beide Produkte verwalten und pflegen müssten. Das bedeutet mehr Arbeit für Ihre IT- und Sicherheitsteams. Zudem wird es schwieriger, dafür zu sorgen, dass interne Richtlinien und Kontrollen in der gesamten Benutzerbasis konsistent angewendet werden.
KeeperPAM wurde entwickelt, um alle Ihre Benutzer zu schützen
Bei KeeperPAM müssen Unternehmen lediglich für alle Benutzer den Keeper Vault bereitstellen, um vollständige Abdeckung zu erzielen. KeeperPAM bietet rollenbasierte Zugriffskontrollen mit geringsten Privilegien, die auf Jobfunktionen zugeschnitten sind. So können Unternehmen Benutzerzugriff rationalisieren und gleichzeitig strenge Sicherheitsrichtlinien einhalten. Das verringert den Verwaltungsaufwand für IT-Teams und reduziert Probleme für Endbenutzer.
KeeperPAM ist für alle Mitarbeiter im Unternehmen leicht zu verwenden. So benötigen Benutzer keinen direkten Zugriff auf die Infrastruktur oder das Keeper Gateway. Stellen Sie Ihren Benutzern einfach den Web-Tresor von Keeper bereit. Dabei ist alles vollständig eingebettet, sodass keine Desktop-Installation oder Agenten erforderlich sind.
Wählen Sie KeeperPAM als PAM-Lösung für Ihr Unternehmen
KeeperPAM ist die erste Lösung auf dem Markt, die kritische PAM-Funktionen in einen Cloud-Tresor integriert. Somit wird Zugriff für alle Benutzer – und nicht nur die IT-Abteilung – geschützt. Als vollständig cloudnative Plattform fasst KeeperPAM Vaulting, Geheimnisverwaltung, Verbindungsverwaltung, Zero-Trust-Zugriff und Remote-Browser-Isolation in einer einheitlichen Oberfläche zusammen.
Vereinbaren Sie eine Demo für KeeperPAM, um mehr über den proaktiven Ansatz von Keeper zum Schutz von Zugriffen sowie zur Vereinheitlichung der Verwaltung aller Ihrer kritischen Ressourcen zu erfahren.
