Secure Remote Access mit Centrify Infrastructure Services

Centrify Infrastructure Services bietet dem Anwender einen sicheren Zugriff auf privilegierte Benutzerkonten wie z.B. „shared“ oder Service Accounts auf diversen Zielsystemen. Neben diesem „klassischen“, passwortspeicherbasierten Ansatz können bei Einsatz der Centrify Lösung aber auch maßgeschneiderte Privilegien für bestimmte administrative Aufgaben auf bestimmten Systemen vergeben werden, beispielsweise eine Datenbankadministrator ID für Datenbankserver, die auf genau definierten Systemen in einer bestimmten Niederlassung des Kunden laufen. Oder für einen Administrator, der sich nur um bestimmte Webdienste kümmert. Diese Aufgaben verlangen administrative, d.h. privilegierte Benutzerkonten, aber trotzdem ist nicht generell einen generellen „root“ Zugriff oder einen Zugang als lokaler bzw. Domänenadministrator. Und zudem muß der Benutzer zur Erledigung seiner Aufgaben nicht unbedingt direkt als privilegierter Account in eine Session eingeloggt werden, in der er unter dieser Kennung viel mehr als nur die eigentliche Administrationsaufgabe mit privilegierten Rechten erledigen könnte.

Centrifys Lösung folgt hier einem „Least Privilege“ Ansatz und gibt dem Benutzer nur genau so viele Berechtigungen, wie er tatsächlich zur Erledigung seiner Administrationsaufgabe benötigt.

Doch schauen wir uns beide Ansätze in der Centrify Umsetzung an:

Klassischer, passwortspeicherbasierter Ansatz

Hierbei meldet sich der Benutzer am Internet oder Intranetportal der Lösung an. Nach erfolgter Authentifizierung (z.B. über ein lokales Active Directory) und einer starken Authentifizierung über einen zweiten Faktor gelangt er in sein Portal, das ihm verschiedene Zielsystem- oder Applikationszugriffe erlaubt. Dies ist abhängig von seiner Rolle im Unternehmen und wird über Role Based Access Control gesteuert.

 

Wählt der Benutzer nun eine Session aus, in der er direkt als Administrator auf einem Zielsystem eingeloggt wird (in unserem Beispiel der Windowsserver „member“ und die lokale Administrator ID), so öffnet sich ein weiteres Browserfenster und der Benutzer ist nun lokaler Administrator auf dem Zielsystem.

Selbstverständlich können seine Arbeiten aufgezeichnet werden, wenn das vom Kunden gewünscht ist. Die ID und das Passwort für den Zielsystemaccount stammen in diesem Fall aus einem Passwortspeicher, der Bestandteil der Lösung ist. Beim Login bekommt der Benutzer das Passwort nicht zu sehen, so ist gewährleistet, daß Shared Accounts zwar weiterhin nutzbar bleiben, aber deren Passwörter nicht „verbreitet“ werden.

Centrifys Privilege Elevation Ansatz

Beim zweiten Ansatz, dem Super User Privilege Management, loggt sich der Benutzer immer als er selbst auf einem Zielsystem ein und bekommt notwendige Privilegien, um bestimmte administrative Aufgaben durchführen zu können, nur bei Bedarf. Bei dieser Vorgehensweise ist bei Centrify kein Passwortspeicher notwendig, nichtsdestotrotz ist diese Lösung genauso sicher und einfach umzusetzen und bietet zudem noch den Vorteil einer vereinfachten Administration der Berechtigungen bzw. die Möglichkeit des Verzichts auf die Pflege eines zusätzlichen Passworttresors.

Berechtigungen werden hier im Active Directory verwaltet, die Nicht-Windows Zielsysteme werden mit der Centrify AD Konsolidierungslösung zu Teilen der Windows Domäne und lassen sich über diese in Bezug auf Gruppenrichtlinien und Benutzerlogins verwalten. Privilegien für bestimmte Systeme und bestimmte AD Benutzer und AD Gruppen lassen sich über entsprechende Centrify Tools einfach einrichten und verwalten. Am Ende erfolgt die Administration der privilegierten Berechtigungen auf Zielsystemen aus dem AD heraus. Ein zweites Administrationssilo in Form eines Passworttresors muß nicht eingerichtet und gepflegt werden.

Auch hier loggt sich der Benutzer zunächst sicher in sein Portal ein. In unserem Beispiel ist die Workstation „Win10“ eine Arbeitsstation, auf der sich die Benutzerin als sie selbst – also mit Ihren AD Credentials – einloggt. Hierzu werden eventuell die AD Credentials noch einmal abgefragt.

Nun landet die Benutzerin in einer remoten Windows Session, in der sie unter ihrem eigenen AD Benutzerkonto arbeitet. Auch hierbei bietet die Centrify Lösung die Möglichkeit, beim Login noch einen zweiten Faktor abzufragen.

Die Benutzerin hat keine Domänenadministratorrechte und kann mit dieser ID alle Arbeiten erledigen, die auf dem System normalerweise anfallen – mit Ausnahme der administrativen Aufgaben. Die Benutzerin kennt keine Administratorcredentials (dies soll auch so sein), soll aber beispielsweise trotzdem die Konfiguration der Firewall auf diesem System übernehmen können. Diese Berechtigung ist mit Hilfe der Centrify Software definiert und zentral verwaltet und im Active Directory hinterlegt – ohne das AD dafür zu verändern oder Schemaerweiterungen durchführen zu müssen.

Ruft die Benutzerin die Firewalladministration über das Kontextmenü unter der rechten Maustaste auf, so erscheint als zusätzlicher Eintrag „Run with Privilege“, was andeutet, daß es sich um eine Applikation handelt, die die Benutzerin mit Administrationsrechten nutzen darf.

Hier lässt sich nun optional eine Multifaktorauthentifizierung einfügen, um diese „Privilege Elevation“ noch einmal abzusichern.

Danach kann die Benutzerin die Applikation nutzen.

Der Unterschied zum klassischen, passworttresorgestützten Ansatz ist, daß Benutzer nur die Aufgaben mit erweiterten Rechten durchführen können, die vorher für sie definiert und eingerichtet wurden. Die Benutzer arbeiten grundsätzlich immer als sie selbst und werden nur für bestimmte Aufgaben zu Administratoren, erfahren aber im Regelfall nicht, mit welchen Administratorcredentials sie gerade arbeiten. Die Verwaltung der Berechtigungen geschieht in der Centrify Lösung an einer zentralen Stelle und ist über das Active Directory (z.B. Gruppenmitgliedschaften) einfach zu pflegen.

Centrifys Lösung folgt hier auch den Anforderungen, die sich aus der DSGVO ergeben: Arbeiten, die mit privilegierten Benutzerkonten durchgeführt werden müssen, müssen nachvollziehbar (Recording) und eindeutig einer durchführenden Person zuzuordnen sein (hier: Jeder loggt sich als er selbst ein), gleichzeitig muss die Vergabe der Privilegien auf die Aufgabe und die dafür benötigte Zeit beschränkt werden (Least Privilege Ansatz).