Sichere Netzwerk Dokumentation mit PAM Lösungen

dreamstime secure

Das IT Service Management (ITSM) benötigt zuverlässige und aktuelle Daten, sei es für die Serviceüberwachung, die IT-Dokumentation oder für Helpdesk-Systeme. Daher ist eine zuverlässige und aktuelle Netzwerkerkennung mit sehr guter Qualität absolut notwendig. Wie Überwachungssysteme benötigt auch ein Network Discovery System privilegierten Zugriff auf die überwachten Systeme in der Umgebung, um seine wichtige Funktion zu erfüllen.

Agentenlose Erkennung

Agentenlose Discovery-Lösungen haben den Vorteil, dass keine fest installierten Agenten benötigt werden, um ihre Arbeit auf dem System zu verrichten. Ein zentraler Systemzugang greift in diesem Fall auf die Systeme zu und sammelt nur bei Bedarf Discovery-Informationen über deren aktuellen Zustand. Dies erspart den gesamten Aufwand für die Installation, Aktualisierung und Konfiguration von Remote-Agenten und die für deren IT-Sicherheit erforderliche Härtung.
Dabei geht keine Funktionalität für die Fernerkundung verloren, wenn das Erkennungssystem in der Lage ist, eine große Anzahl von Systemen in kurzer Zeit abzufragen und zu erkennen, um aktuelle Informationen zu erhalten.

Aus Sicht der Unternehmens-IT-Sicherheit bieten agentenbasierte Systeme mit Erkennungsagenten, die auf jedem zu erkennenden System installiert sind, eine viel größere Angriffsfläche. Eine Fläche, die potenzielle Angreifer von außerhalb und innerhalb des Unternehmens nutzen können. Das Erschweren der Agenteninstallation, die in der Regel sogar mit privilegierten Accounts laufen, um lokal auf Ressourcen zugreifen zu können, ist kein triviales Unterfangen, insbesondere in einer sehr heterogenen IT-Landschaft mit unterschiedlichen Betriebssystemen und Herstellern. Daher ist eine agentenlose Erkennung bereits ein großer Fortschritt im Bereich der IT-Sicherheit. Diese benötigen allerdings auch einen kurzzeitigen privilegierten Zugriff auf das System, um sich einzuloggen, Anfragen an Ressourcen zu stellen und dann die Ergebnisse an den zentralen Discovery-Server zurückzumelden, bevor sie sich wieder spurlos aus dem System zurückziehen.
In diesem kurzen Moment benötigt auch ein agentenloses System ein privilegiertes Konto mit Passwörtern, Zertifikaten, SSH-Schlüssel, API-Schlüssel oder anderen Berechtigungsnachweisen. Im besten Fall werden diese natürlich in verschlüsselter und gesicherter Form auf dem zentralen Discovery-Server zur Verwendung in Discovery-Jobs gespeichert.
Darüber hinaus ist bei Discovery-Jobs eines Systems neben einer sicheren Authentifizierung natürlich auch eine gute Transportsicherheit notwendig, um die Credentials auf ihrem Weg über das Netz zu sichern.

Die Zugangsdaten werden nicht nur auf einem Discovery-Server gespeichert, sondern möglicherweise auch auf mehreren anderen Servern, die verschiedene Teile des Unternehmensnetzes abdecken, wie z. B. die Unternehmens-IT, Netzwerke in Zweigstellen, öffentliche oder private Cloud-Umgebungen oder DMZs. Gleichzeitig benötigen nicht nur Erkennungssysteme diese Anmeldedaten, sondern auch Überwachungssysteme und andere verteilte IT-Verwaltungssysteme im Unternehmen. So werden Geheimnisse und Schlüsselmaterial verteilt und möglicherweise über das gesamte Netzwerk verbreitet.

Diese Tatsache bereitet den IT-Sicherheitsabteilungen der Unternehmen zu Recht große Sorgen, da es in diesem Szenario schwierig ist, die Sicherheitslage des gesamten Unternehmens aufrechtzuerhalten, was die Aufgabe der IT-Sicherheitsabteilung ist.
Ein Unternehmen befindet sich also in einem Dilemma. Entweder es sammelt Managementdaten von guter Qualität, die für ein effektives IT-Management notwendig sind, und kompromittiert die Sicherheitslage insgesamt, oder es garantiert maximale Sicherheit, verzichtet aber darauf, Einblicke in die Unternehmens-IT zu gewinnen.
Für ein solches Dilemma sollte es angesichts der modernen IT-Technologie und -Architektur eine Lösung geben, oder?
Die Antwort lautet zum Glück: natürlich! Aber zuerst müssen die einzelnen IT-Managementsysteme und die Organisation als Ganzes das Problem akzeptieren und ernst nehmen.

Zentrales Credential-Management

Wie sieht also eine Lösung aus? Zentralisieren Sie die Credentials und verteilen Sie den Zugriff auf diese, anstatt die Credentials selbst zu verteilen. Dank modernster Transportsicherheit mittels TLS (z.B. HTTPS) oder moderner sicherer Authentifizierung und Autorisierung lässt sich der Zugriff auf einen zentralen Credentials-Speicher viel einfacher absichern.
Von größter Bedeutung ist daher die Einführung eines zentralen Credentials-Managements, dessen Kern es ist, Credentials in Tresoren und Passwortspeichern zu verwalten. Eine solche Zentralisierung bringt Vor- und Nachteile mit sich. Nachteile sind, dass ein solches System hochverfügbar und hochsicher sein muss, um Angriffen effektiv standhalten zu können, was natürlich wahrscheinlicher ist, da ein solches System ein sehr wertvolles Ziel darstellt.
Andererseits werden viele andere Systeme wie Discovery- und andere IT-Verwaltungssysteme von einem Teil ihrer Angriffsfläche befreit, die weitaus schwieriger auf dem gleichen Niveau zu sichern sind wie ein solches spezialisiertes System zur Verwaltung von Anmeldeinformationen. Der Anbieter eines Hochsicherheitssystems kann dies sicherlich viel besser als die vielen spezialisierten Anbieter von IT-Verwaltungsprodukten, deren Schwerpunkt nicht auf der Sicherheit liegt.

Schließlich müssen auch die IT-Managementsysteme ein solches zentrales Credential Management System unterstützen und leider gibt es, im Gegensatz zu Bereichen wie der Authentifizierung (z.B. SAML oder OAuth2/OIDC), keinen gut etablierten Standard, auf den man sich verlassen könnte. Stattdessen gibt es viele proprietäre herstellerspezifische Systeme, die einzeln integriert werden müssen.
Aufgrund der fehlenden Standards unterstützen die meisten IT-Management-Systeme bis heute kein zentrales Credential Management. JDisc Discovery hat nun diese Unterstützung für die wichtigsten Credential Management Systeme auf Kundenwunsch nachgerüstet und stellt damit eine erfreuliche Ausnahme dar.


Bislang speicherte JDisc Discovery als agentenloses Netzwerkerkennungssystem seine Anmeldedaten gut verschlüsselt in seiner Datenbank auf dem Erkennungsserver, wo der Administrator die Anmeldedaten in der Erkennungskonfiguration mehr oder weniger manuell pflegt.
Da in größeren Organisationen mehrere Discovery-Server in verschiedenen Umgebungen wie zentraler IT, Zweigstellen, Cloud-Umgebungen, DMZ und mehr betrieben werden. Das hat genau den Nachteil, dass die Anmeldedaten über das Netzwerk verteilt sind, da jeder Server diese Anmeldedaten für seine eigene Umgebung benötigt, um die Erkennungsaufträge auszuführen. Die Zugangsdaten sind natürlich gut verschlüsselt und gespeichert, aber dennoch kann die Sicherheit weiter verbessert werden. Dies funktioniert, indem die Anmeldeinformationen zentral gespeichert werden und der Discovery-Server die Anmeldeinformationen nur dann von der zentralen Anmeldeinformationsverwaltung abruft, wenn ein Discovery-Auftrag über eine gesicherte Verbindung ausgeführt werden muss.

Credential Manager Integrationen

Dies geschieht durch mehrere neue Integrationen mit den bekanntesten, von Kunden genutzten Credential Management Systemen:

Die Einrichtung der Integration mit diesen Systemen erfolgt in einer gemeinsamen Schrittfolge:

  1. Einrichtung der Passwortspeicher im zentralen Credential Management System mit Benutzern und deren Credentials
  2. Konfiguration der Client-Anwendung, in diesem Fall des JDisc Discovery Servers im Credential Manager.
    Aus Sicherheitsgründen sollten wir pro Anwendung einen Client einrichten und diesen Zugang nicht wiederverwenden
  3. Dabei wird ein Client-Zertifikat hochgeladen mit einer eindeutigen Seriennummer als Identifikator für das Zertifikat
  4. Autorisierung der Anwendung auf dem Passwortspeicher mit minimalen Rechten unter Berücksichtigung des Sicherheitsprinzips des „least privilege“, d.h. es werden nur die Rechte benötigt, die die Client-Anwendung wirklich benötigt, z.B. Leserechte.
  5. Auf der anderen Seite des Discovery-Servers müssen wir den Credential Manager als Passwort-Manager bekannt machen. Was konfiguriert werden muss, hängt von der Integration ab, aber in der Regel handelt es sich um eine URL, einen Server und Port, einen Benutzernamen, ein Passwort für die Authentifizierung sowie ein Client-Zertifikat, das hochgeladen werden muss. Außerdem kann die Verbindung vor der Verwendung getestet werden.
  6. Jetzt können wir konfigurieren, dass der Passwortmanager verwendet wird, anstatt die Anmeldeinformationen wie ein Passwort, einen SSH-Schlüssel oder ein Zertifikat für den Zugriff auf eine Ressource zu speichern, die entdeckt werden soll.
    Dazu müssen wir einen Passwortmanager, einen Speicher und das entsprechende Konto auswählen, für das wir die Anmeldeinformationen verwenden wollen.

Wenn nun ein Erkennungsauftrag ausgeführt wird, fordert der Erkennungsserver die Anmeldedaten des Kontos über eine zertifikatsgesicherte Verbindung vom Anbieter der Anmeldedaten an und verwendet diese Anmeldedaten für den Zugriff auf die Ressource. Das Credential wird in diesem Fall nicht gespeichert und existiert nur für kurze Zeit im Speicher und während des Transports vom Credential Provider sowie auf dem Weg zum zu erkundenden System ist der Kanal durch Transportsicherheit (TLS z.B. HTTPS) gesichert.
Auf diese Weise wird die Angriffsfläche der agentenlosen Erkennung weiter reduziert, ohne die Funktionalität in irgendeiner Weise einzuschränken.

Es bleibt anzumerken, dass der Credential Manager Microsoft LAPS etwas anders funktioniert. Hier greift der Discovery-Server über LDAP (Lightweight Directory Access Protocol) auf die Anmeldeinformationen des lokalen administrativen Kontos zu, anstatt wie bei den anderen Anbietern über lösungsspezifische REST-Schnittstellen.

Die zentrale Verwaltung von Zugangsdaten in einer gesicherten Netzwerkzone in einem speziell gesicherten Anwendungs- und Passwortvalut hilft, die Vorteile einer Zentralisierung der Zugangsdatenverwaltung zu nutzen.
Dies ermöglicht es, weitere fortschrittliche Sicherheitsmaßnahmen zu implementieren, ohne die gesamte Umgebung negativ zu beeinflussen. Beispiele sind das zentrale Ändern von Passwörtern, das Sperren und Entfernen von Konten von Benutzern, die das Unternehmen verlassen, zentral und unternehmensweit mit einem Klick. Und das nicht nur in Active Directory oder LDAP-Servern, sondern jetzt auch in allen IT-Management-Lösungen im Umfeld. Dies ist eine neue Stufe der Verbesserung der Sicherheitslage in Unternehmen.

Diese zentralen Sicherheitsmaßnahmen ermöglichen der IT-Sicherheitsabteilung eine bessere und umfassendere Kontrolle der Sicherheit im Unternehmensnetzwerk und die Umsetzung flexiblerer Sicherheitsrichtlinien, ohne dass entsprechende Nachteile durch erhöhten Aufwand im Change Management in anderen IT-Systemen entstehen.

Leave A Comment