Was sind Non-Human Identities (NHIs)?

Non-Human Identities (NHIs) sind digitale Zugangsdaten, die Maschinen, Diensten, Anwendungen und anderen Systemen zugewiesen sind, die in einer digitalen Umgebung interagieren. Im Gegensatz zu Human Identities (menschliche Identitäten), die über Benutzernamen, Passwörter und biometrische Daten mit einzelnen Benutzern verbunden sind, stellen NHIs nicht-menschliche Entitäten dar, die einen sicheren und automatisierten Zugriff auf Netzwerke und Daten benötigen. NHIs sind in modernen IT-Umgebungen, in denen immer mehr automatisierte Aufgaben und Prozesse ohne menschliche Interaktion erledigt werden, von entscheidender Bedeutung.

Arten von Non-Human Identities

NHIs gibt es in vielen Formen, von denen jede eine andere Rolle in automatisierten Prozessen spielt. Zu den häufigsten Arten von NHIs gehören:

Dienstkonten: Werden von Anwendungen oder Diensten verwendet, um ohne menschliche Interaktion auf Ressourcen zuzugreifen oder Aufgaben zu erledigen.
Systemkonten: Von Betriebssystemen erstellt, um Hintergrundprozesse auszuführen.
Maschinelle Identitäten: Dazu gehören Anmeldedaten wie TLS/SSL-Zertifikate, API-Schlüssel und Token, die Geräte und Workloads authentifizieren.
Zertifikate: Werden verwendet, um die Identität von Maschinen oder Anwendungen zu überprüfen.
Bots: Automatisierte Agenten, wie z. B. Chatbots, die sich wiederholende Aufgaben ausführen und Systemzugriff benötigen.
IoT-Geräte (Internet of Things, Internet der Dinge): Mit dem Netzwerk verbundene Geräte, wie z. B. Kameras oder intelligente Geräte, die Anmeldedaten verwenden, um sicher mit anderen Geräten zu kommunizieren.
Automatisierungstools: Führen geplante Aufgaben aus, in der Regel mit gespeicherten Anmeldeinformationen.

Wie sich Non-Human Identities auf die Cybersicherheit auswirken

Das kontinuierliche Wachstum von Automatisierung und Cloud-Umgebungen hat zu einer verstärkten Abhängigkeit von NHIs geführt. Jeder Container und jede virtuelle Maschine benötigt eine eigene Identität in Form eines API-Schlüssels, eines Tokens oder eines Dienstkontos. Obwohl NHIs entscheidend sind, um eine nahtlose Automatisierung zu ermöglichen, erweitern sie die Angriffsoberfläche erheblich. Jede Anmeldeinformation kann zu einem potenziellen Angriffsvektor für Cyberkriminelle werden, wenn sie nicht richtig gesichert ist.

Eines der größten Probleme hinsichtlich der Cybersicherheit sind überprivilegierte NHIs. NHIs erhalten in der Regel einen breiten Zugriff, um verschiedene automatisierte Aufgaben zu erledigen, die oft über das Notwendige hinausgehen. Dieser Zugriff wird selten überprüft, was es Cyberkriminellen erleichtert, ein kompromittiertes NHI auszunutzen, Privilegien zu eskalieren oder unentdeckt zu bleiben, während sie auf sensible Daten zugreifen. Die effektive Verwaltung von NHIs ist heute ein wichtiger Bestandteil der Identitäts- und Zugriffsverwaltung (IAM). Ohne granulare Zugriffskontrollen stellen unüberwachte und überprivilegierte NHIs erhebliche Sicherheitsrisiken dar.

Sicherheitsrisiken und Herausforderungen von NHIs

Viele neue Sicherheitsrisiken und Herausforderungen werden durch die wachsende Zahl von NHIs verursacht, die von überprivilegiertem Zugriff bis hin zu schwacher Überwachung in komplexen Umgebungen reichen.

Überprivilegierter Zugriff

NHIs wird in der Regel aus Bequemlichkeit ein umfassender, dauerhafter Zugriff gewährt, insbesondere in schnelllebigen DevOps- und Cloud-Umgebungen. Wenn jedoch eine dieser Identitäten kompromittiert wird, können sich Cyberkriminelle seitlich über ein Netzwerk bewegen und Zugriff auf sensible Systeme oder Daten erhalten. Kompromittierte NHIs mit ständigem Zugriff auf sensible Informationen können zu einem viel größeren Explosionsradius führen, wodurch ein kompromittierter NHI zu einer vollwertigen Datenschutzverletzung wird.

Mangelnde Sichtbarkeit

Viele Unternehmen haben Schwierigkeiten, ein vollständiges und aktuelles Inventar der NHIs in ihren Umgebungen zu führen. Dieser Mangel an Transparenz führt zu Schattenidentitäten, bei denen es sich um nicht nachverfolgte NHIs handelt, die sich den etablierten Sicherheitskontrollen entziehen. Ohne vollständige Aufsicht über die NHI-Aktivitäten können diese Schattenidentitäten blinde Flecken schaffen, die Cyberkriminelle ausnutzen können, um sich Zugang zu kritischen Systemen zu verschaffen.

Missmanagement von Zugangsdaten

NHIs verlassen sich auf Anmeldeinformationen wie API-Schlüssel, Token und Zertifikate, um Systeme zu authentifizieren und darauf zuzugreifen, aber diese Zugangsdaten werden oft schlecht verwaltet. Einige Zugangsdaten können in Code-Repositories hartcodiert sein, selten rotiert oder von mehreren Diensten gemeinsam genutzt werden – all dies erhöht das Risiko einer Kompromittierung. Wenn diese Anmeldeinformationen offengelegt oder durchgesickert sind, können sie Cyberkriminellen direkten Zugriff auf vertrauliche Informationen verschaffen.

Unzureichende Überwachung und Protokollierung

Da NHIs oft unbemerkt im Hintergrund laufen, erledigen sie den Großteil ihrer Aufgaben ohne menschliche Aufsicht. Wenn das NHI-Verhalten nicht ordnungsgemäß überwacht und protokolliert wird, können abnormale oder bösartige Aktivitäten unentdeckt bleiben. Ohne Verhaltens-Baselines oder einen detaillierte Audit-Trails können Unternehmen kompromittierte NHIs oder den Missbrauch von Privilegien erst dann effektiv identifizieren, wenn es zu spät ist.

Best Practices für die Verwaltung nicht-menschlicher Identitäten

Unternehmen müssen bei der Sicherung von NHIs proaktiv vorgehen, indem sie die folgenden Best Practices implementieren.

Erzwingen Sie Least-Privilege-Zugriff

Wenden Sie das Principle of Least Privilege (PoLP, Prinzip der geringsten Rechte) an, um sicherzustellen, dass NHIs nur den minimalen Zugriff haben, der für die Erfüllung ihrer Aufgaben erforderlich ist. Vermeiden Sie es, allgemeinen, dauerhaften Zugriff auf NHIs zu gewähren, und überprüfen Sie regelmäßig die Berechtigungen, um die Gefährdung im Falle einer Kompromittierung zu minimieren.

Implementieren Sie Richtlinien für die Rotation und den Ablauf von Anmeldeinformationen

Rotieren Sie regelmäßig API-Schlüssel, Token, Zertifikate und andere Anmeldeinformationen, um die Lebensdauer potenziell kompromittierter NHIs zu begrenzen. Zugangsdatenrotation hilft, unbefugte Zugriffe zu verhindern, und sollte der Einfachheit halber nach Möglichkeit automatisiert werden. KeeperPAM unterstützt die automatische Rotation von Zugangsdaten und den zeitlich begrenzten Zugriff auf Dienstkonten und Infrastruktur.

Verwenden Sie Geheimnisverwaltung

Zentralisieren Sie den Zugriff, die Speicherung und die Prüfung von Zugangsdaten durch ein zuverlässiges Geheimnisverwaltungssystem. Dadurch wird sichergestellt, dass Geheimnisse, einschließlich API-Schlüssel und Token, verschlüsselt und nicht in Code- oder Konfigurationsdateien offengelegt werden. Eine Lösung wie Keeper Secrets Manager schützt Geheimnisse und unterstützt die Integration über DevOps-Pipelines und Cloud-Umgebungen hinweg.

Automatisieren Sie die Verwaltung des NHI-Lebenszyklus

Richten Sie automatisierte Workflows für die Erstellung, Überprüfung und den Widerruf von NHIs ein. Dies trägt dazu bei, menschliche Fehler zu reduzieren und sicherzustellen, dass verwaiste Identitäten nicht ohne Aufsicht in Ihrer Umgebung bleiben.

Überwachen und protokollieren Sie alle NHI-Aktivitäten

Verfolgen Sie das gesamte NHI-Verhalten, einschließlich Anmeldungen, Ressourcenzugriff und Nutzung von Anmeldeinformationen. Legen Sie Verhaltens-Baselines fest, um unerwartete Aktivitäten und Verhaltensanomalien schnell zu erkennen. Plattformen wie KeeperPAM helfen Unternehmen, alle NHI-Aktivitäten zu überwachen, Zero-Trust-Zugriff durchzusetzen und Remote-Sitzungen zu sichern.

Häufig gestellte fragen

Was ist der Unterschied zwischen NHIs und maschinellen Identitäten?

Non-Human Identities (NHIs) sind eine breite Kategorie von digitalen Identitäten, die nicht mit einem menschlichen Benutzer verbunden sind, wie z. B. Dienstkonten, Bots und IoT-Geräte. Maschinenidentitäten sind eine bestimmte Art von NHI, die zur Authentifizierung von Maschinen verwendet wird, in der Regel über TLS-Zertifikate, Token oder SSH-Schlüssel. Vereinfacht ausgedrückt sind alle Maschinenidentitäten NHIs, aber nicht alle NHIs sind Maschinenidentitäten.

Können NHIs Multi-Faktor-Authentifizierung (MFA) verwenden?

Nein, Non-Human Identities (nicht-menschliche Identitäten, NHIs) sind nicht mit herkömmlichen Multi-Faktor-Authentifizierungsmethoden (MFA) kompatibel, da sie für menschliche Benutzer konzipiert sind. Stattdessen verlassen sich NHIs auf Token und zertifikatsbasierte Authentifizierung, um ihre Identität zu überprüfen und den Zugriff zu schützen. Obwohl MFA für NHIs nicht auf die gleiche Weise wie für menschliche Benutzer verwendet wird, dient die Durchsetzung der Geheimnisverwaltung und des Zugriffs mit den geringsten Rechten einem ähnlichen Zweck.

Werden NHIs durch IAM-Tools (Identity and Access Management) abgedeckt?

Ja, aber die Abdeckung von Non-Human Identities (NHI) variiert je nach dem IAM-Tool (Identity and Access Management). Herkömmliche IAM-Lösungen konzentrieren sich auf menschliche Benutzer und bieten eingeschränkte Unterstützung für NHIs. Moderne Lösungen wie KeeperPAM sind jedoch so konzipiert, dass sie sowohl menschliche als auch nicht-menschliche Entitäten schützen. KeeperPAM bietet Kontrollen für NHIs wie Zugangsdatenrotation, Geheimnisverwaltung und Aktivitätsüberwachung, um sicherzustellen, dass Maschinen- und Servicekonten ordnungsgemäß gesichert sind.