Die Zukunft der Verzeichnisdienste ist domänenlos

Veröffentlicht: 2020-05-05

Grundlegende Ansätze für Sicherheit, Geräteverwaltung und Zugriffskontrolle ändern sich.

Seit fast 30 Jahren sind diese zentralen IT-Prioritäten untrennbar mit Active Directory und OpenLDAP verbunden, die im Zeitalter der lokalen Domäne hervorragende Lösungen waren. Aber die jüngste Umstellung auf Remote-Arbeit macht deutlich, dass traditionelle Perimetersicherheit und lokale Infrastruktur nicht mehr ausreichen, um die Benutzeridentitäten und vertraulichen Daten eines Unternehmens in der Cloud zu schützen.

Um moderne Arbeitsumgebungen besser verwalten zu können, müssen wir die einzelnen Funktionen eines Verzeichnisdienstes neu erfinden und diese Funktionen vom veralteten Konzept der fest verdrahteten Burg-und-Graben-Domäne trennen. Was heute am wichtigsten ist, ist der Schutz des Benutzers und des Geräts, egal wo auf der Welt sie sich befinden.

Die Zukunft der Verzeichnisdienste ist also domänenlos. Hier ist ein detaillierterer Blick darauf, wie wir dazu gekommen sind, wie das domänenlose Unternehmen in der Praxis aussieht und welche Schritte Unternehmen unternehmen können, um ihre IAM-Infrastruktur zu modernisieren.

Verzeichnisdienste und das Domänenkonzept neu erfinden

Das Domänenkonzept, wie wir es kennen, wurde im Wesentlichen in den 1990er Jahren entwickelt und war eine hervorragende Lösung für sichere Benutzer- und Computerverwaltung in den fest verdrahteten Büroumgebungen der damaligen Zeit. Während sich die meisten anderen IT-Bereiche seitdem vollständig verändert haben, untermauert dieses Modell noch heute die Ansätze der meisten Organisationen für das Identitäts- und Zugriffsmanagement.

Viele IT-Experten betrachten die Domäne als selbstverständlich und sind davon ausgegangen, dass der nächste logische Schritt darin besteht, sie für das Cloud-Zeitalter anzupassen und zu erweitern, indem Anbieter für einmaliges Anmelden (SSO) für Webanwendungen und andere Identitätsbrücken hinzugefügt werden. Ein praktischerer Ansatz könnte jedoch darin bestehen, auf die Kernprobleme zurückzublicken, für deren Lösung die Domäne ursprünglich entwickelt wurde, zu entscheiden, welche dieser Probleme heute noch relevant sind, und neue Wege zu erkunden, um sie mithilfe moderner Innovationen zu lösen.

Mitte der 1990er bis Mitte der 2000er Jahre waren die Büroumgebungen sehr unterschiedlich. Arbeiter betraten stationäre Betriebe mit Schlüsselkarten oder echten Schlüsseln. Sie gingen zu ihren Schreibtischen und setzten sich vor stationäre Computer. Diese Computer waren über ein Ethernet-Kabel mit einem internen Rechenzentrum oder einem Serverschrank im physischen Büro verbunden. Von diesem zentralen Standort aus gewährte der Domänencontroller Zugriff auf IT-Ressourcen innerhalb des lokalen Netzwerks. Dieses physische Netzwerk wiederum wurde durch eine Firewall und durch das Gebäude selbst für den physischen Zugriff vor Angriffen von außen geschützt.

Zu dieser Zeit war diese Einrichtung im Wesentlichen sicher und einfach zu verwalten, und sie bot ein so nahtloses Benutzererlebnis, dass Benutzer nicht mehrere Passwörter verwalten oder über die Autorisierungs- und Authentifizierungsprozesse nachdenken mussten, die hinter den Kulissen ablaufen. Die Umgebungen waren homogen, mit einem Desktop-Tower, auf dem Windows- und Microsoft-Programme auf jeder Workstation ausgeführt wurden. Active Directory (AD) war für diese Art von Umgebung so gut geeignet, dass es den Benutzern das vielleicht erste Single-Sign-On (SSO)-Erlebnis bieten konnte: ein einziger Satz von Anmeldeinformationen für den Zugriff auf ihre Windows-basierten IT-Ressourcen eine einzige Systemanmeldung.

Springen Sie jetzt schnell in die Gegenwart und reißen Sie alle Wände dieses Gebäudes ein. Die IT tendierte zu Flexibilität außerhalb des Büros, ermöglicht durch Cloud-Technologie und weithin verfügbares drahtloses Hochgeschwindigkeits-Internet. Anstelle von fest installierten Computern mit Towern und Röhrenmonitoren haben die Mitarbeiter jetzt Laptops und andere Geräte, die sie fast überall hin mitnehmen, sich mit dem Internet verbinden und mit der Arbeit beginnen können. Das ist kurz gesagt das domänenlose Unternehmen, und das ist unsere aktuelle Realität.

Mann wf

Aber in einer Welt, in der so viel Arbeit außerhalb der Domäne stattfindet, sind IT-Abteilungen gezwungen, Herausforderungen neu zu bewerten, die Active Directory einst alleine bewältigt hat.

Moderne Mängel des Domänenmodells

Active Directory hat Mühe, sich an moderne Cloud-Ressourcen und Nicht-Windows-Betriebssysteme anzupassen und zu integrieren, und das Perimeter-Sicherheitsmodell, für das es entwickelt wurde, reicht nicht aus, um Remote-Mitarbeiter zu schützen.

Daher stellt sich die Frage, wie der zentralisierte Verwaltungsworkflow und die einfache, sichere Benutzererfahrung, die AD einst bot, in eine moderne Umgebung übertragen werden können, die Mac- und Linux-Systeme, Web-Apps, Cloud-Server und Remote-Netzwerke umfasst und möglicherweise noch hat oder nicht -prem Infrastruktur sowie. Benutzer müssen unabhängig davon, wo sie arbeiten, mit minimaler Reibung eine Verbindung zu ihren IT-Ressourcen herstellen, und IT-Administratoren müssen sich darauf verlassen können, dass Benutzeridentitäten und proprietäre Daten vor Angriffen geschützt sind.

Das Problem besteht darin, dass die IT nicht annähernd das Maß an Kontrolle über moderne Benutzeridentitäten hat, das sie in einer herkömmlichen AD-Domänenumgebung gehabt hätte. Anwendungen wurden von einer Legacy-Purchase-onmon-install-local-Architektur zu einem Cloud-basierten Abonnementmodell migriert. Einige Apps werden immer noch lokal installiert, wobei Identitäten und Konfigurationen in der Cloud über einen Webbrowser verwaltet werden.

Da sie ihre eigenen Identitäten verwalten müssen, haben die Benutzer am Ende Dutzende – wenn nicht Hunderte – von Passwörtern und sehen sich der Versuchung ausgesetzt, Sicherheitsrichtlinien zu ignorieren und schwache Passwörter weiterzugeben oder wiederzuverwenden.

Benutzer könnten auch versucht sein, ihre eigenen Konten für neue Anwendungen zu erstellen, wie sie es für richtig halten, ohne die Genehmigung oder Regulierung durch die IT. Diese Schatten-IT stellt ein unnötiges Sicherheitsrisiko für die Organisation dar. Und sogar Identitäten, die von der IT verwaltet werden, können in eigenen Silos existieren, wobei jede separate Identität ihren eigenen manuellen Bereitstellungs- und Deprovisionierungsprozess erfordert.

Es gibt keine einzelne, zentrale Identität analog zur AD-Identität von gestern. Administratoren brauchen eine neue Methode, um Verbindungen zu sichern, alles sicher unter der Aufsicht der IT zu halten, Sicherheits- und Compliance-Baselines einzuhalten und Geräte für die Remote-Arbeit vorzubereiten.

Wenn es um Systeme geht, sind MacBooks und Linux-Systeme jetzt alltäglich. Wo sich erfahrene Microsoft-Administratoren einst gegen die Einführung von Mac-Systemen am Arbeitsplatz wehrten, ist es heute üblich, diese Systeme zu integrieren. In einer herkömmlichen Active Directory-Domäne wäre die Mac- und Linux-Systemverwaltung ohne das Hinzufügen anderer Punktlösungen neben AD, wie z. B. ein Systemverwaltungstool oder sogar ein MDM, nicht so sauber oder sicher.

Menschen, die an Computern sitzen


Domänenumgebungen, die um OpenLDAP herum aufgebaut sind, schneiden nicht viel besser ab: LDAP-Domänen und -Server verwalten in erster Linie Identitäten, Passwörter, Gruppen und Organisationseinheiten, es fehlt ihnen jedoch häufig an Fähigkeiten zur Systemverwaltung, Durchsetzung von Sicherheitsrichtlinien und zur Integration von Cloud-Apps. IT-Ressourcen haben sich von der einfachen Verwendung von LDAP als Authentifizierungsprotokoll zur Nutzung moderner Standards wie SAML, SCIM, OAuth, OIDC und mehr entwickelt. Legacy-LDAP-Umgebungen erfordern auch ein hohes Maß an Fachwissen für die Konfiguration und Wartung.

Der logische Weg, die oben genannten Lücken in der IT-Aufsicht zu schließen, ist die Implementierung einer modernen domänenlosen Architektur.

Was bedeutet domänenlos in der Praxis wirklich?

Die Aussicht, domänenlos zu werden, mag für erfahrene Administratoren ein wenig beängstigend klingen, aber eine ordnungsgemäß konfigurierte domänenlose Umgebung kann in der heutigen IT-Landschaft erheblich sicherer sein als eine herkömmliche Domänenkonfiguration. In einer domänenlosen Umgebung umfasst die Sicherheitslage der Organisation jeden einzelnen Benutzer, sein Mac-, Windows- oder Linux-System und die Ressourcen, auf die sie zugreifen müssen, unabhängig davon, wo sich diese Komponenten befinden.

Jede IT-Ressource hat nun ihren eigenen engen Perimeter. Das bedeutet, dass Identitäten und Zugriffsrechte nicht nach einmaliger Authentifizierung innerhalb der Grenzen eines gehärteten größeren Perimeters im Wesentlichen ungesichert funktionieren, sondern ständig überprüft und verifiziert werden. Benutzer greifen direkt über eine Standard-Internetverbindung auf ihre Ressourcen zu, anstatt zur Authentifizierung über eine Domäne zu leiten. Und anstelle eines Domänencontrollers übernimmt ein Cloud-Verzeichnisdienst die Zugriffsverwaltung, Benutzerauthentifizierung und Sicherheitsdurchsetzung.

Es ist dieses Konzept eines Cloud-Verzeichnisdienstes, das das domänenlose Unternehmen in der Praxis realisierbar macht. Aber auch wenn so viele andere Aspekte der IT effektiv in die Cloud migriert wurden, haben viele Administratoren Vorbehalte gegen die Implementierung eines vollständigen Spektrums von Verzeichnisdiensten in der Cloud.

Das liegt zum größten Teil daran, dass die Idee eines Verzeichnisdienstes selbst so untrennbar mit Active Directory verbunden ist – das vorhandene Tool steht stellvertretend für die einzelnen Probleme, die es einmal gelöst hat. Und der Sicherheitsaspekt der Domäne ist intuitiver: Firewalls und Türschlösser sind vertraut und geben uns ein Gefühl der Kontrolle. Es erscheint logisch, dass die Aufgabe der Domäne eine erhöhte Anfälligkeit für Angriffe und eine verringerte Kontrolle über die Sicherheit bedeuten würde.

Aber die Wahrheit ist, dass Unternehmen selbst mit Maßnahmen wie Firewalls, Netzwerkerkennung und Endpoint Detection and Response immer noch von Sicherheitsverletzungen betroffen sind. Nachdem jeder neue erfolgreiche Angriff in die Nachrichten gelangt ist, konzentriert sich die IT-Community wieder darauf, wie eine bessere, stärkere Version des gleichen Sicherheitsansatzes durchgesetzt werden kann. Offensichtlich funktioniert die alte Vorgehensweise nicht. Die Zeit ist reif für einen grundlegend neuen Cloud-zentrierten Ansatz.

Kernfunktionen eines Cloud-Verzeichnisdienstes

Der Begriff Cloud-Verzeichnisdienst wird verwendet, um eine Vielzahl von Lösungen zu beschreiben, die lose in die Kategorie IAM passen, aber es ist schwierig, von Anbieter zu Anbieter festzulegen, was dieser Begriff wirklich bedeutet.

Verschiedene Cloud-Verzeichnislösungen bieten selten vergleichbare Funktionen, und fast keine von ihnen repliziert die gesamte Bandbreite der ursprünglichen System-Governance-, Authentifizierungs- und Zugriffskontrollfunktionen von AD als zentraler Identitätsanbieter einer Organisation. Aber genau das muss ein Cloud-Verzeichnisdienst leisten, um eine moderne domänenlose Architektur zu unterstützen und zu sichern.

Cloud-Verzeichnisdienste

Tatsächlich sollte ein lohnender Cloud-Verzeichnisdienst über den ursprünglichen Umfang von AD hinausgehen, indem er den Zugriff auf Anwendungen von Drittanbietern und Nicht-Windows-Betriebssysteme von einer einzigen Plattform aus verwaltet.

Diese Unterscheidung ist wichtig, wenn man einen echten Cloud-Verzeichnisdienst mit einer SSO-Plattform für Web-Apps vergleicht, die Benutzern eine Identität für den Zugriff auf ihre SaaS-Anwendungen gibt, aber möglicherweise nicht in der Lage ist, den Gerätezugriff und die Sicherheitsbaselines zu verwalten oder Benutzer für Legacy oder On-Prem zu authentifizieren Ressourcen mit ihren bevorzugten authN-Protokollen. In diesem Sinne ist SAML-basiertes SSO nur eine Komponente eines Cloud-Verzeichnisdienstes; die Begriffe sind nicht austauschbar.

Anstatt eine Eins-zu-Eins-Übersetzung des etablierten AD-Domänenmodells in der Cloud zu erstellen, zerlegt ein richtiger Cloud-Verzeichnisdienst die Funktionen von AD in ihre Bestandteile und erfindet jeden dieser Teile neu. Wenn wir die einzelnen Probleme von der Lösung trennen können, die wir für selbstverständlich halten, können wir zu neuen Lösungswegen gelangen.

Die folgenden Kernfunktionen sind für einen Cloud-Verzeichnisdienst, der für domänenlose Unternehmen entwickelt wurde, unerlässlich:

  • Eine einzige, sichere Benutzeridentität für den Zugriff auf Geräte, Anwendungen, WLAN/VPNs, Server und Entwicklungsinfrastruktur, sowohl vor Ort als auch in der Cloud und unabhängig vom Anbieter
  • Möglichkeit zur Integration und Konsolidierung von Benutzeridentitäten aus anderen Diensten, einschließlich G Suite, Office 365, AWS, AD/Azure und HR-/Gehaltsabrechnungssystemen
  • Automatisierte Benutzerbereitstellungs- und -aufhebungsfunktion
  • Remote-Systemverwaltung mit GPO-ähnlicher Richtlinienkontrolle über Mac-, Windows- und Linux-Systeme und umfassender Berichterstattung über Systemstatus und -attribute
  • Multi-Faktor-Authentifizierung (MFA) bei Mac-, Windows- und Linux-Systemanmeldung und für den Zugriff auf praktisch alle anderen IT-Ressourcen sowie SSH-Schlüsselverwaltungsfunktion
  • Flexible und automatisierte Verwaltung durch Scripting, API oder PowerShell
  • Detaillierte Daten- und Ereignisprotokollierung zur Unterstützung von Audit- und Compliance-Anforderungen

Viele Sicherheitsmängel gehen nicht auf das völlige Fehlen einer der oben genannten Komponenten zurück, sondern auf die Unfähigkeit, sie unternehmensweit einheitlich anzuwenden, durchzusetzen und zu aktualisieren. Vor diesem Hintergrund wird der Wert eines zentralisierten Cloud-Verzeichnisdienstes deutlich.

Die Schlüssel zu einem domänenlosen System: Gerätevertrauen und MFA

Obwohl viele Cloud-IAM-Lösungen vollständig browserbasiert sind, fehlt ihnen der Schlüssel zu moderner domänenloser Sicherheit: das Gerät. Benutzer benötigen immer noch ein physisches Gateway zu ihrer Arbeit, unabhängig davon, ob es sich bei diesem Gateway um einen Laptop, ein Tablet oder ein Smartphone handelt. Ein Großteil der ständigen Überprüfung, die zum Sichern einer domänenlosen Umgebung erforderlich ist, sollte vom Gerät übernommen werden, wobei ein Framework verwendet wird, das wir uns als Gerätevertrauen vorstellen können.

Die Idee ist, dass sich der Benutzer einmal mit einer Kombination aus passwortgeschützten oder passwortlosen Anmeldeinformationen und MFA am Gerät anmeldet und dann sicheren Zugriff auf alle seine IT-Ressourcen erhält. Jede Transaktion wird auf atomarer Ebene gesichert und verschlüsselt, sodass die Arbeit sicher über eine Standard-Internetverbindung ausgeführt werden kann.

Die Benutzererfahrung ähnelt der SSO-Erfahrung bei der Anmeldung bei einem Desktop-Computer in der AD-Domäne der späten 1990er/Anfang der 2000er Jahre, aber was hinter den Kulissen vor sich geht, ist viel komplexer und die Breite der verfügbaren IT-Ressourcen ist viel komplexer viel größer.

mfa

Damit ein Cloud-Verzeichnisdienst eine vertrauenswürdige Beziehung zu einem Gerät aufbauen kann, müssen mehrere Kriterien erfüllt und ständig neu bestätigt werden. Diese Kriterien vereinfachen die Überprüfung, dass:

  • Der richtige Benutzer greift auf das Gerät zu und dieser Benutzer ist derjenige, für den er sich ausgibt
  • Das richtige Gerät fordert Zugriff an
  • Der Zugriff wird vom richtigen Ort angefordert
  • Die richtigen Berechtigungen werden für den Benutzer/das Gerät innerhalb einer bestimmten Ressource durchgesetzt

Hier geht das MFA-Konzept über benutzerorientierte Maßnahmen wie TOTP-Token und WebAuthn-Sicherheitsschlüssel hinaus. Die oben genannten Anforderungen können zwischen dem Gerät und dem Cloud-Verzeichnisdienst bestätigt werden, wodurch dritte, vierte, fünfte und weitere Authentifizierungsfaktoren eingerichtet werden, die für einen Angreifer praktisch unmöglich zusammen zu replizieren wären.

Die Idee, ein Netzwerk zu durchbrechen, wird durch diese wiederholte Multi-Faktor-Authentifizierung radikal verändert: Es gibt keinen ungesicherten Bereich mehr, der während einer offenen Sitzung nach nur einer anfänglichen Authentifizierung durchquert werden muss. Das liegt daran, dass im domänenlosen Modell Sicherheit und Zugriffskontrolle effektiv auf jeder Ebene statt nur auf Netzwerkebene stattfinden. Nur die richtige Person mit der richtigen Maschine, die vom richtigen Standort aus mit den entsprechenden Berechtigungen zugreift, kann auf Daten und Anwendungen zugreifen.

Ein Cloud-Verzeichnisdienst schafft Gerätevertrauen durch eine Kombination aus GPO-ähnlicher Systemsteuerung, Software, die auf dem Prinzip der geringsten Rechte basiert, und Verschlüsselung aller Daten während der Übertragung und im Ruhezustand. Eine andere Möglichkeit, über diesen Ansatz nachzudenken, ist im Kontext von Zero-Trust-Sicherheit .

Zero-Trust-Sicherheit in der Praxis

Zero-Trust-Sicherheit bedeutet, dass der mit der Authentifizierung beauftragte Verzeichnisdienst die Legitimität eines Benutzers, Geräts, einer Anwendung oder einer anderen IT-Ressource niemals als selbstverständlich ansieht. Dies wird durch die Sicherung der folgenden vier Bereiche erreicht: Mitarbeiter, Systeme, Anwendungen und Netzwerk.

Angestellte

Es ist ein System vorhanden, um zu überprüfen, ob sie wirklich die sind, für die sie sich ausgeben, indem ihr Passwort (etwas, das sie wissen) und ihr MFA-Token (etwas, das sie haben) mit der Verzeichnisdatenbank bestätigt werden, die als maßgebliche Wahrheitsquelle dient.

Systeme

Das System, wahrscheinlich ein vom Unternehmen ausgegebenes Gerät, das eine validierte Person für den Zugriff auf IT-Ressourcen verwendet, muss sauber sein, und die Person muss rechtmäßigen Zugriff auf dieses Gerät haben. In der Praxis bedeutet dies eine Art Mechanismus, um sicherzustellen, dass der Computer bekannt ist, Richtlinien und Einstellungen Sicherheitsstandards durchsetzen und ein hohes Maß an Gewissheit haben, dass der Benutzer der ist, für den er sich ausgibt. Sicherheitssoftware wird überprüft und aktualisiert. Die Systemtelemetrie hilft sicherzustellen, dass die Maschine selbst nicht gefährdet ist.

Anwendungen

Es ist entscheidend, dass nur die richtigen Personen auf vertrauenswürdigen Systemen auf Anwendungen zugreifen. Die logische Erweiterung des Obigen besteht dann darin, zu überprüfen, ob der Benutzer und der Computer Rechte für die App und das Netzwerk haben, in dem sich die App befindet, und die Sicherheit dieses Netzwerks zu überprüfen. Hier kann ein VPN manchmal immer noch eine entscheidende Rolle im domänenlosen Unternehmen spielen, als sicherer Tunnel zu einer Anwendung oder Ressource.

Netzwerk

Unabhängig davon, in welchem ​​​​Netzwerk sich der Benutzer befindet, sollte es so sicher wie möglich sein, aber selbst wenn es nicht vollständig sicher ist, kann der Benutzer mithilfe eines VPN eine sichere Enklave innerhalb dieses Netzwerks erstellen. Darüber hinaus können Netzwerke durch zusätzliche Mittel wie MFA und sogar VLAN-Segmentierung gesichert werden.

Erste Schritte zur Implementierung einer domänenlosen Architektur

Diese Idee einer domänenlosen Architektur, die durch einen Cloud-Verzeichnisdienst und Zero-Trust-Sicherheit ermöglicht wird, ist nicht nur philosophisch oder ein fernes Streben nach Zukunft: Sie ist jetzt da, und IT-Teams können sofort mit der Implementierung beginnen, entweder vollständig oder in einem schrittweisen Ansatz, der an ihre bestehende Infrastruktur angepasst ist.

Für Unternehmen, die stark in eine funktionierende AD-Domäne investiert haben, kann ein Cloud-Verzeichnisdienst die AD-Instanz umhüllen, viele der Vorteile des domänenlosen Modells bieten und als Sprungbrett für das All-Cloud-Modell dienen.

Ein starker Cloud-Verzeichnisdienst wird in der Lage sein, als zentraler Identitätsanbieter eigenständig zu agieren, sodass selbst Unternehmen, die nicht bereit sind, 100 % domänenlos zu werden, jetzt die Möglichkeit haben, AD nahtlos zu verlassen, wenn diese Migration sinnvoll ist.

Wenn Sie mehr erfahren möchten, informieren Sie sich über Cloud-Verzeichnisdienste auf G2.