Warum RBAC für die Absicherung von Cloud-Infrastruktur entscheidend ist
Cloud-Umgebungen sind schnelllebig, hochdynamisch und verändern sich ständig. Ohne saubere Zugriffskontrolle gerät schnell vieles außer Kontrolle. RBAC steuert den Zugriff über vordefinierte Rollen, aus denen Benutzer ihre Berechtigungen direkt erben. RBAC ist deshalb so wichtig, weil es das Prinzip der geringsten Berechtigung durchsetzt: Benutzer und Dienste erhalten nur Zugriff auf das, was sie tatsächlich benötigen. RBAC hält Cloud-Umgebungen zudem konform mit wichtigen Sicherheits-Frameworks wie HIPAA, GDPR und SOC 2.
Anbieter wie AWS, Azure und GCP stellen native RBAC-Werkzeuge bereit. Das Problem dabei: Diese lassen oft Lücken. Fein abgestufte Berechtigungen zu verwalten, Abweichungen zu überwachen und die Compliance über Multi-Cloud-Setups hinweg einzuhalten, ist alles andere als trivial. Genau hier setzen Drittanbieter-Lösungen wie Wiz an. Plattformen mit integrierten CIEM-Funktionen schaffen mehr Transparenz, automatisieren die Durchsetzung von Rollen und überwachen riskante Berechtigungen kontinuierlich. So lässt sich der Zugriff nach dem Prinzip der geringsten Berechtigung auch in großem Maßstab aufrechterhalten.
Zentrale Bestandteile von RBAC
RBAC hält den Cloud-Zugriff unter Kontrolle, indem es Berechtigungen an Rollen bindet statt an einzelne Benutzer. Die folgende Abbildung zeigt vereinfacht, wie RBAC in Cloud-Umgebungen üblicherweise aufgebaut ist.
Abbildung 1: Ein vereinfachtes Modell von RBAC
Rollen lassen sich als aufgabenbezogene Berechtigungsgruppen verstehen. Statt Alice und Bob einzeln Berechtigungen zu geben, entstehen Rollen wie „Developer", „Ops" und „Security Admin" mit jeweils passendem Zugriffsniveau.
Berechtigungen legen fest, was eine Rolle tun darf und was nicht: Daten lesen, Ressourcen bereitstellen, Benutzer verwalten und mehr. Rollen bündeln Berechtigungen logisch, sodass eine Konfiguration pro Benutzer entfällt. Eine Berechtigung kann ein ausdrückliches Allow oder Deny sein.
Benutzer sind die Menschen oder Dienste, die Rollen zugewiesen bekommen. Statt einzelne Zugriffe zu verwalten, kommt ein Benutzer einfach in die richtige Rolle, und RBAC übernimmt den Rest.
Rollenrichtlinien sind Regeln, die festlegen, wer wann welcher Rolle zugewiesen wird. Solche Richtlinien automatisieren und standardisieren Rollenzuweisungen, statt auf spontane Zugriffsfreigaben zu setzen.
Rollen-Auditing ist unverzichtbar, denn mit der Zeit weiten sich Zugriffe aus, und überberechtigte Rollen schleichen sich ein. CIEM-Werkzeuge überwachen die Rollennutzung kontinuierlich, markieren riskante Berechtigungen und helfen Teams, Abweichungen oder zu weit gefasste Rollen zu bereinigen.
Tritt in AWS beispielsweise ein Entwickler in die Organisation ein, lässt er sich einer Developer-Rolle zuweisen und erbt darüber alle nötigen Berechtigungen.
Cloud-native Werkzeuge wie der AWS IAM Access Analyzer setzen RBAC in real-time durch und helfen Organisationen, eine saubere Strategie für den Datenperimeter aufrechtzuerhalten.
RBAC im Vergleich zu anderen Modellen der Zugriffskontrolle in Cloud-Umgebungen
Wer Zugriffe in Cloud-Umgebungen verwaltet, sollte RBAC im Vergleich zu anderen Modellen der Zugriffskontrolle einordnen können. Hier ein Überblick:
| Modell der Zugriffskontrolle | Beschreibung | Vorteile | Nachteile |
|---|---|---|---|
| Role-based access control (RBAC) | Vergibt Berechtigungen anhand von Rollen innerhalb einer Organisation | Vereinfacht die Verwaltung durch gebündelte Berechtigungen; setzt das Prinzip der geringsten Berechtigung durch | Kann bei einer großen Zahl von Rollen komplex werden |
| Attribute-based access control (ABAC) | Gewährt Zugriff anhand von Attributen | Bietet fein abgestufte Zugriffskontrolle; flexibel und dynamisch | Wird im Umgang oft komplex; die Auswertung von Richtlinien erzeugt zusätzlichen Aufwand und kann die Performance beeinträchtigen |
| Policy-based access control (PBAC) | Nutzt Richtlinien zur Zugriffsentscheidung, die Attribute, Rollen und weitere Faktoren einbeziehen können | Zentralisiert die Richtlinien zur Zugriffskontrolle | Die Verwaltung der Richtlinien kann komplex werden und erfordert robuste Mechanismen zur Definition und Durchsetzung |
| Discretionary access control (DAC) | Eigentümer von Ressourcen entscheiden, wer auf ihre Ressourcen zugreift und welche Aktionen erlaubt sind | Flexibel; Eigentümer behalten die Kontrolle über ihre Ressourcen | Kann zu inkonsistenten Zugriffskontrollen führen; das Risiko unbefugten Zugriffs steigt durch den Ermessensspielraum der Benutzer |
| Mandatory access control (MAC) | Eine zentrale Instanz steuert den Zugriff über festgelegte Kennzeichnungen und Klassifizierungen | Bietet hohe Sicherheit und senkt das Risiko unbefugten Zugriffs | Weniger flexibel; kann einschränkend und aufwendig in der Verwaltung sein |
In Cloud-Umgebungen fällt die Wahl häufig auf RBAC, weil das Modell einfach ist und sich gut an organisatorische Strukturen anlehnt.
RBAC in der Praxis
In Cloud-Umgebungen wird role-based access control je nach Plattform unterschiedlich umgesetzt. Ein genauerer Blick lohnt sich.
AWS-IAM-Rollen und -Richtlinien
In AWS lassen sich über Identity and Access Management Rollen und Richtlinien bereitstellen. Benutzer können Rollen zugewiesen werden, die fein abgestufte Richtlinien enthalten.
Die folgende IAM-Richtlinie definiert zwei Statements: Das erste erlaubt der Rolle, alle Buckets im AWS-Konto aufzulisten; das zweite verweigert ausdrücklich die Berechtigung, einen Bucket zu löschen.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowListBuckets",
"Effect": "Allow",
"Action": "s3:ListBuckets",
"Resource": "arn:aws:s3:::*"
},
{
"Sid": "DenyDeleteBuckets",
"Effect": "Deny",
"Action": "s3:DeleteBucket",
"Resource": "arn:aws:s3:::*"
}
]
}Role-based access control in Azure
Um einem Benutzer in Azure die Berechtigung zu erteilen, alle Speicherkonten innerhalb eines Abonnements aufzulisten, lässt sich die Rolle Storage Account Contributor auf Ebene des Abonnements zuweisen.
{
"properties": {
"displayName": "Deny Delete Storage Account",
"policyType": "Custom",
"mode": "All",
"description": "This policy denies the deletion of the specified storage account.",
"metadata": {
"version": "1.0.0",
"category": "Storage"
},
"parameters": {
"storageAccountName": {
"type": "String",
"metadata": {
"displayName": "Storage Account Name",
"description": "The name of the storage account to protect from deletion."
}
}
},
"policyRule": {
"if": {
"allOf": [
{
"field": "type",
"equals": "Microsoft.Storage/storageAccounts"
},
{
"field": "name",
"equals": "[parameters('storageAccountName')]"
},
{
"field": "Microsoft.Resources/deploymentScripts/operation",
"equals": "delete"
}
]
},
"then": {
"effect": "deny"
}
}
}
}Google Cloud IAM
In Google Cloud wird die Zugriffskontrolle über Identity and Access Management gesteuert. Dabei werden Rollen an Benutzer, Gruppen oder Service-Konten in verschiedenen Geltungsbereichen zugewiesen, etwa auf Ebene von Projekten, Ordnern und Organisationen.
Um das Löschen eines bestimmten Storage-Buckets zu verhindern, lässt sich über eine Organisationsrichtlinie die Berechtigung storage.buckets.delete für diesen Bucket einschränken.
{
"name": "projects/[PROJECT_ID]/policies/deny-delete-bucket",
"spec": {
"rules": [
{
"deny": {
"permissions": ["storage.buckets.delete"],
"resources": ["projects/[PROJECT_ID]/buckets/[BUCKET_NAME]"]
}
}
]
}
}RBAC in Kubernetes
Kubernetes RBAC ist ein grundlegendes Sicherheitsmodell in K8s. Es erlaubt Administratoren, Rollen und Benutzer zu definieren und so den Zugriff auf Ressourcen zu steuern.
Die zentralen Bestandteile von Kubernetes RBAC sind:
Role ermöglicht es Kubernetes-Administratoren, eine Gruppe von Berechtigungen innerhalb eines Namespace zu definieren.
RoleBinding bindet einen Benutzer oder eine Gruppe von Benutzern an eine Rolle und lässt sie deren Berechtigungen innerhalb eines Namespace erben.
Das folgende Beispiel zeigt, wie sich in Kubernetes eine Rolle namens pod-reader im Namespace development erstellen lässt, die Pods get, list und watch darf:
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
namespace: production
name: pod-reader-role
rules:
- apiGroups: [""]
resources: ["pods"]
verbs: ["get", "list", "watch"]Anschließend wird ein Benutzer innerhalb desselben Namespace an die Rolle gebunden:
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
name: read-pods
namespace: production
subjects:
- kind: User
name: jane
apiGroup: rbac.authorization.k8s.io
roleRef:
kind: Role
name: pod-reader-role
apiGroup: rbac.authorization.k8s.ioDas RoleBinding read-pods weist dem Benutzer jane die Role pod-reader innerhalb desselben Namespace zu.
Wesentliche Best Practices für RBAC in der Cloud
Die folgenden Best Practices verbessern RBAC in der Cloud und verringern typische Fehler bei Rollenzuweisungen:
Das Prinzip der geringsten Berechtigung (PoLP) durchsetzen: Benutzer erhalten nur die Berechtigungen, die ihre jeweilige Rolle erfordert. Mit Infrastructure-as-Code-Werkzeugen wie Terraform oder AWS CloudFormation lassen sich Rollen und Berechtigungen wiederholbar und nachvollziehbar festschreiben.
Rollenzuweisungen automatisieren: Rollen werden anhand von Benutzerattributen oder Aufgaben automatisch zugewiesen, was manuelle Fehler und Betriebsaufwand reduziert.
RBAC mit weiteren IAM-Sicherheitsmaßnahmen verbinden: RBAC entfaltet seinen vollen Nutzen im Zusammenspiel mit Multi-Faktor-Authentifizierung (MFA), Identity-Federation und weiteren Sicherheitsmaßnahmen.
RBAC in großem Maßstab absichern mit Wiz CIEM
Native IAM-Werkzeuge der Cloud-Anbieter bilden die Grundlage für RBAC, lassen jedoch häufig Lücken, besonders in Multi-Cloud-Umgebungen, in denen Rollen, Berechtigungen und Zugriffsrichtlinien stark variieren. Genau hier setzen die CIEM-Funktionen von Wiz (Cloud-Berechtigungsmanagement) an.
Die CIEM-Funktionen von Wiz geben Sicherheitsteams die Transparenz und Kontrolle, um RBAC in großem Maßstab abzusichern:
Effektive Berechtigungen über Clouds hinweg sichtbar machen: Wiz bildet automatisch ab, wer worauf in AWS, Azure, GCP und Kubernetes zugreifen kann, bis auf die Ebene einzelner Ressourcen. So lässt sich unbeabsichtigter oder riskanter Zugriff erkennen.
Überberechtigte Rollen erkennen und bereinigen: Wiz überwacht kontinuierlich auf Abweichungen und privilege escalation. Die Plattform markiert übermäßige Berechtigungen und hilft Teams, Rollen anhand der tatsächlichen Nutzung passend zuzuschneiden.
Durchsetzung der geringsten Berechtigung automatisieren: Wiz wertet die Nutzung von Berechtigungen über die Zeit aus und empfiehlt sicherere, engere Richtlinien. Die Plattform schlägt sogar Bereinigungen von Rollen vor, um Wildwuchs zu verhindern.
Compliance über alle Umgebungen hinweg sicherstellen: Wiz verfolgt Rollenzuweisungen und Zugriffsänderungen und unterstützt so die Compliance mit Frameworks wie SOC 2, ISO 27001 und HIPAA.
Identitäten im Kontext absichern: Wiz verknüpft RBAC-Daten mit Fehlkonfigurationen, offengelegten Secrets und Runtime-Risiken. So lässt sich priorisieren und beheben, was wirklich zählt.
Wiz ersetzt vorhandene IAM-Werkzeuge nicht, sondern macht sie klüger, sicherer und besser skalierbar.
Sehen Sie, wie Wiz CIEM dabei hilft, RBAC in der Cloud in großem Maßstab umzusetzen und durchzusetzen: Buchen Sie noch heute eine Demo.