Was sind Rollenkonten?
Rollenkonten sind Konten, die an eine bestimmte Rolle in Ihrer Organisation (d. h. eine Gruppe von Mitarbeitenden oder ein automatisiertes System) und nicht an eine einzelne Person gebunden sind. Sie werden häufig eingesetzt, um Aufgaben zu automatisieren und Datenflüsse zu optimieren.
Wenn Ihr HR-System beispielsweise mit dem Payroll-System kommunizieren muss, könnten Sie einen Benutzer „hr“ einrichten, um die Anmeldeinformationen automatisch zu verwalten. Sie können dann die Protokolle prüfen, um zu sehen, wann das Konto mit der Rolle „hr“ auf das Payroll-System zugreift, und so für mehr Transparenz bei den Zugriffsmustern sorgen. Außerdem wissen Sie, dass der durch „hr“ verursachte Datenverkehr kein individueller Benutzerdatenverkehr ist, sodass Sie ihn bei der Suche nach unregelmäßigen Anmeldeverhalten herausfiltern können. Das kann sowohl Zeit in Ihren Arbeitsabläufen sparen als auch die Sicherheit verbessern.
Allerdings gibt es einige Nachteile. Probleme treten auf, wenn Sie Rollenaccounts in Systemen, die eine Identität erfordern, unsachgemäß verwenden. Teilen eines Rollenkontos zwischen mehreren Mitarbeitenden als gemeinsam genutzter Login für einen Anbieter (z. B. vendor-name@mystartup.com), Die Verwendung des Benutzers „ubuntu“ auf einem in der Cloud gehosteten Linux-Host oder die Verwendung des Kontos „Administrator“ auf unseren Windows-Servern wären Beispiele für die Verwendung von Rollenkonten entgegen den Best Practices. Dies sind alles Systeme, bei denen die Verwendung einer eindeutigen Identität wichtig ist und die gemeinsame Nutzung eines Rollenkontos die Sicherheit beeinträchtigt.
Einige Beispiele für Rollenkonten
Wenn Sie in diesen Systemen ein Rollenkonto verwenden, verlieren Sie die Möglichkeit, den Datenverkehr zu trennen. Infolgedessen werden Zugriffsprotokolle unübersichtlich und undurchsichtig.
Zum Beispiel:
Ihre Protokolle zeigen, dass sich der Benutzer „ubuntu“ um 04:32:15 angemeldet und den Befehl rm -rf */command ausgeführt hat. Sie haben jedoch keine Transparenz darüber, welcher Ihrer Techniker den Befehl tatsächlich ausgeführt hat, da sie ein gemeinsam genutztes Rollenkonto verwendet haben!
Ein weiteres Beispiel:
Alle Ihre Vertriebsmitarbeitenden melden sich in Ihrem gehosteten CRM (Customer Relationship Manager) als „vendor-name@mystartup.com“ an, weil es deutlich günstiger ist, nur ein einziges Konto zu haben, und es für mehr Transparenz im Team sorgt. Sie können jedoch nicht sehen, wer was getan hat, sondern nur, dass es getan wurde.
Dies sind nur potenzielle administrative Probleme und Fragen der Rechenschaftspflicht. Die eigentliche Gefahr durch den Missbrauch von Rollenaccounts liegt in der geschwächten Sicherheit.
Wenn Sie diese Arten von gemeinsam genutzten Rollenkonten verwenden, müssen die Zugangsdaten jedes Mal geändert werden, wenn jemand das Team verlässt, und diese neuen Zugangsdaten müssen an alle weitergegeben werden, die Zugriff benötigen. Dies ist ein arbeitsintensiver und manueller Prozess, der fehleranfällig ist.
Häufige Fallstricke
Auch wenn Sie die Probleme mit gemeinsam genutzten Rollenkonten durch gute Sicherheitspraktiken und den Einsatz eindeutiger Assets für den Zugriff auf das Rollenkonto mindern können, verschleiern Sie letztlich immer noch Identitäten. Das Einrichten von „ec2-user“- und „Administrator“-Konten zur Verwendung eindeutiger Schlüssel oder Zertifikate, die einzelnen Zugriff auf Rollenkonten gewähren, ist besser, aber immer noch nur eine Teillösung.
Das Vertrauen in Ihre Mitarbeiter und Kollegen ist ein wichtiger Bestandteil jedes Sicherheitssystems. Jedes Mal, wenn Sie jedoch jemanden zum Team hinzufügen, kommen mehrere Angriffsvektoren auf die Ressourcen hinzu, auf die diese Person Zugriff hat. Wenn Sie Rollenaccounts verwenden, konzentrieren sich all diese Angriffsvektoren auf ein einziges Ziel, sodass ein Angreifer nun mehrere Möglichkeiten hat, denselben Satz an Anmeldedaten anzugreifen.
Zusätzlich schränkt dies Ihre Möglichkeiten zur Problembehebung ein, wenn ein Angriff erfolgreich ist. Sie können das Rollenkonto nicht einfach deaktivieren, da Sie damit den Zugriff für das gesamte Team abschalten würden.
Ein weiteres Problem entsteht, wenn Teammitglieder Ihr Unternehmen verlassen. Wenn Ihr Vertriebspraktikant nach dem Ende seines Einsatzes weiterhin Zugriff auf Ihr gesamtes CRM hat, nimmt er nicht nur sein eigenes Adressverzeichnis mit – sondern das Adressverzeichnis von allen. Wenn Ihr leitender Ingenieur das Team verlässt, hat er weiterhin den privaten Schlüssel für Ihr Benutzerrollenkonto „ubuntu“ auf seinem persönlichen Laptop. Wenn dieser ehemalige Mitarbeiter zu einem Wettbewerber wechselt, kann er unbemerkt weiterhin Zugriff auf Ihre Infrastruktur behalten.
Der richtige Weg nach vorn
Glücklicherweise lassen sich all diese Probleme beheben, indem jede Person, die auf Ihre Tools zugreift, über eine eigene Identität verfügt. Ihre Protokolle werden übersichtlicher, und es wird klar definiert sein, wer Zugriff auf Systeme hat und wer nicht.
Das Erteilen und Entziehen von Berechtigungen wird zu einer einfachen Aufgabe und lässt sich leicht auditieren. Außerdem können Ihr CEO und Ihr Sicherheitsteam nachts ruhiger schlafen – in dem Wissen, dass niemand außerhalb des Unternehmens in Ihren Systemen Schaden anrichtet.
Traditionell benötigen Sie auf jedem System, das Sie verwenden möchten, eine eindeutige Identität, um die Verwendung von Rollenkonten zu vermeiden. Daher würden für jeden Host, an dem Sie sich anmelden möchten, und jeden Anbieter, auf den Sie zugreifen möchten, für jede einzelne Mitarbeiterin und jeden einzelnen Mitarbeiter eigene Konten benötigt. Das erhöht jedoch nur den Aufwand im On-/Offboarding-Workflow und kann leicht vergessen werden.
Hier kommen Identity-Management-Lösungen ins Spiel. Mit einer zentralen Identitätsquelle, in die sich alle anderen Systeme integrieren lassen, können Sie Berechtigungen mit einem Klick erteilen oder entziehen. Mit Protokollen wie OAuth und SAML in Kombination mit Tools wie LDAP und AD können Sie eine umfassende Identität über mehrere Plattformen hinweg erhalten. Sie können es selbst aufbauen oder von Anbietern bereitgestellte Lösungen nutzen und die einzelnen Mitglieder Ihres Teams glänzen lassen, indem Sie jedem eine eigene Identität geben.
Bei Foxpass helfen wir Ihnen, Sicherheits- und betriebliche Best Practices einzuhalten, indem wir es Ihnen leicht machen, separate Benutzerkonten zu verwalten. Wir automatisieren sogar die Erstellung und Löschung von Konten, indem wir sie mit Ihrem Identity Provider synchronisieren (z. B. Google, Office365, Okta, OneLogin oder Bitium). Wir bieten auch Funktionen für temporären Zugriff, die den Zugriff nach einem festgelegten Zeitraum automatisch widerrufen. Außerdem ersparen Ihnen unsere cloudgehosteten Server die Einrichtung und Verwaltung eines DIY-LDAP- oder RADIUS-Servers.
Möchten Sie die Einfachheit und Effizienz von Foxpass selbst erleben? Worauf warten Sie noch? Starten Sie noch heute Ihre kostenlose 30-Tage-Testversion:
