Aktuelles

20. Dezember 2019

CyberArk und Microsofts ESAE Design

Immer mehr Unternehmen setzen bei ihren Bemühungen, Windows und ihr Active Directory abzusichern auf die sogenannte „Enhanced Security Administrative Environment“ (ESAE) Philosophie. Dabei handelt es sich um einen, von Microsoft entwickelten, Design Approach mit der Zielsetzung, Schwachstellen und Angriffswege auf ein Active Directory zu erschweren. Beziehungsweise die Auswirkungen, die ein erfolgreicher Angriff haben kann, einzudämmen. Neben dem Stehlen von Anmeldeinformationen (Credential Theft) sind Methoden wie „Pass the Hash“ oder „Pass the Ticket“ zu nennen.

ESAE ist dabei kein alleinstehendes Tool oder Service, sondern ein ganzheitliches Design. Das heißt, eine Sammlung an Tools, Techniken und auch administrativen Arbeitsweisen, die zusammengenommen Obengenanntes erreichen sollen. Dabei werden Systeme und administrative Rollen in drei Ebenen (Tiers) unterteilt.

Ebene 0 beinhaltet Systeme, die Unternehmensidentitäten kontrollieren und Konten, beziehungsweise Gruppen, die direkten administrativen Zugriff auf die Active Directory-Gesamtstruktur und Domain Controller besitzen. Ebene 1 setzt sich aus Systemen, die Enterprise Anwendungen wie Clouddienste, Email und weitere Line of Business-Anwendungen bereitstellen und deren Administratoren und Gruppen mit administrativen Rechten zusammen. Letztlich werden in der Ebene 2 die Workstations und Geräte der Endanwender zusammengefasst, sowie auch wie zuvor User und Gruppen mit administrativen Rechten.

Der administrative Zugriff sollte im besten Fall nur innerhalb eines Tiers stattfinden. Für Ebene 0 beispielsweise wird dieser durch gehärtete, privilegierte Workstations gewährleistet. Diese befinden sich ebenso wie die Zielsysteme im „Red Forest“ der Domäne.

Wenn jetzt die Einführung von „Privileged Access Management“ (PAM) in Form von CyberArk in solch eine nach dem ESAE-Design konzipierte Umgebung angestrebt wird, entsteht oft ein größerer Beratungsaufwand.

Welche Mehrwerte bringt CyberArk?

  • Kurze Laufzeiten für Passwörter der kritischen Infrastruktur, um „Pass the Hash“ Angriffe weiter zu erschweren.
  • Ein lückenloser Audit Trail für Zugriffe auf Zielsysteme und Passwortobjekte.
  • Privilegierte Sessions über einen gehärteten Jump-Server, die bei Bedarf aufgezeichnet und vorgehalten werden können.
  • Intelligente Systeme, die sowohl Objekte aufspüren können, die nicht mehr compliant mit den Unternehmens-Policies sind, als auch Angriffsversuche und verdächtige Aktivitäten in Echtzeit erkennen und somit der IT Security über Schnittstellen wie beispielsweise  SIEM helfen.
  • Die Abbildung von bestehenden Workflows, wie zum Beispiel Vier-Augen-Prinzip, oder die Integration von bereits genutzten Ticketing-Systemen.

Welche Herausforderungen entstehen?

Die Fragen und Herausforderungen entstehen beim Design vor allem durch die oben beschriebene Natur von ESAE. Da es sich eben nicht um ein starres Tool, sondern um einen flexiblen Design Approach handelt, gibt es bei der Umsetzung zahlreiche Variablen, die bei der Planung einer CyberArk PAM-Plattform berücksichtigt werden müssen.

  • Welche Zielsysteme sollen überhaupt verwaltet werden? Sind hochkritische Systeme der Ebene 0 Teil davon?
  • Soll es einen direkten, administrativen Zugriff geben oder nur noch privilegierte Sessions? Und für welche Zielsysteme überhaupt? Gibt es vielleicht Unterschiede je nach Ebene, oder sogar innerhalb einer Ebene?
  • Wie darf zwischen den Ebenen kommuniziert werden? Gibt es Lösungen für die Absicherung des Netzwerkverkehrs?
  • Wie sieht das Konzept für CyberArk-interne Rollen aus?
  • Wie kann eine physische und logische Trennung der Mandanten so weit wie möglich umgesetzt werden?

Das sind natürlich nicht alle Fragestellungen, doch ergeben sich hieraus bereits einige, oft nicht ganz einfach zu lösende Designherausforderungen für eine CyberArk-Plattform. Beispielsweise müssen die Standorte und Zonen der einzelnen Komponenten optimal gewählt werden. Oder die Art und Weise, wie Backups zukünftig durchgeführt werden. Vor allem für hochkritische Komponenten wie den Vault-Server selbst müssen Verfahren und Prozesse entwickelt werden, die den ESAE-Ansatz wahren. Die Kommunikation der Komponenten zu relevanten Ziel- und Randsystemen muss gegeben sein. Aber auch die der unterschiedlichen Endanwender in Richtung des CyberArk-Systems.

Dabei soll natürlich das grundlegende Prinzip des ESAE-Designs gewahrt bleiben. Das beinhaltet auch die Entwicklung eines angemessenen und generischen Rechte- und Rollen-Prinzips für CyberArk. Sowie die Abbildung der bestehenden administrativen Rollen des Verzeichnisdienstes und die Integration in die vorhandene IAM-Lösung.

Wir als PRO DV können Sie bei diesen Herausforderungen mit unserer Erfahrung in diesem Bereich, aber auch unseren Beratungsansätzen und entwickelten Tools unterstützen. Denn was wir anstreben, ist nicht nur die Bereitstellung und Installation einer CyberArk-Plattform, sondern ein ganzheitliches Design, das sich nahtlos in Ihre bestehende Infrastruktur und Prozesse integriert.

<< zurück