Sophos vereinfacht und zentralisiert die AWS-Kontoverwaltung mithilfe von AWS IAM Identity Center

Sophos – ein cloudnatives IT-Sicherheitsunternehmen, das rund um die Uhr Bedrohungsschutz, -überwachung und -abwehr in Hybrid-Cloud-Umgebungen bietet – konnte sein Wachstum mithilfe von Amazon Web Services (AWS) rasant beschleunigen. Der nächste Schritt auf diesem Weg war die Vereinfachung des Konto-Onboardings und die Zentralisierung der Kontoverwaltung. In der Vergangenheit nutzte Sophos einen Identitätsverbund für jedes Konto, um Zugriff auf AWS zu gewähren. Dadurch konnte Sophos den Zugriff auf AWS-Konten einfach und sicher verwalten. Aber das Unternehmen benötigte eine noch einfachere und skalierbarere Methode, um den Zugriff für eine wachsende Anzahl von AWS-Konten zu verwalten. Gleichzeitig musste Sophos eine detaillierte Zugriffskontrolle über die Einrichtung neuer AWS-Konten, Rollen für das Identitäts- und Zugriffsmanagement, Berechtigungen und temporäre Benutzeranmeldedaten behalten.

Um die AWS-Kontoverwaltung zu vereinfachen und zu zentralisieren und flexiblere Optionen bei der Zuweisung von Benutzerrollen und Berechtigungen zu erhalten, implementierte Sophos AWS IAM Identity Center (Nachfolger von AWS Single Sign-On). IAM Identity Center erleichtert die zentrale Verwaltung des Zugriffs auf mehrere AWS-Konten und Geschäftsanwendungen. Anstatt einen Identitätsverbund für jedes Konto einzurichten, richtete Sophos den Identitätsverbund einmal über IAM Identity Center ein, um den Zugriff über mehrere AWS-Konten hinweg zu verwalten, was das Onboarding neuer Konten und die Zuweisung separater Rollen mit eingeschränkten Berechtigungen erheblich vereinfachte. Sophos kann jetzt den Kontozugriff zentral über die IAM-Identity-Center-Konsole oder die Befehlszeilenschnittstelle verwalten und benötigt keine Drittanbieter-Erweiterungen mehr, um Entwicklern temporäre Anmeldeinformationen zuzuweisen. „Unsere Mitarbeiter sind mit dem Look-and-feel von IAM Identity Center sehr zufrieden“, sagt Guy Davies, Principal Cloud Architect bei Sophos. „Die Kontoerstellung geht auch viel schneller, da sie jetzt weitgehend automatisiert ist.“

Sophos wurde 1985 gegründet und schützt mit seinen Produkten heute mehr als 400 000 Unternehmen und über 100 Millionen Benutzer in mehr als 150 Ländern vor ausgeklügelten Cyberbedrohungen. Vor der Verwendung von IAM Identity Center verwendete Sophos einen Identitätsverbund auf Kontobasis, um seine 250 AWS-Konten, auf die 1 500 interne Benutzer zugreifen, sicher zu verwalten. Das Onboarding, die Verwaltung und die Änderung der AWS-Konten war zeitaufwendig und involvierte IT- und Cloud-Entwicklungsteams. Sophos suchte nach einer Möglichkeit, schneller und mit der nötigen Agilität zu skalieren.

Sophos nutzte bereits AWS-Angebote, darunter AWS Organizations, mit dem Unternehmen ihre AWS-Umgebungen bei der Skalierung ihrer AWS-Ressourcen zentral verwalten können. Darüber hinaus wollte Sophos das AWS-Kontomanagement zentralisieren und zusätzliche Schritte beim Onboarding neuer Konten und der Änderung von Rollenberechtigungen vermeiden. Sophos verfügt über mehr als 500 Azure-Active-Directory-Gruppen, mit denen der Kontozugriff gesteuert wird. Als IAM Identity Center 2019 erstmals das System for Cross-domain Identity Management unterstützte, fand Sophos seine Lösung, um das Onboarding von Konten zu vereinfachen und den Zugriff in großem Maßstab zu verwalten. Das Unternehmen konnte jetzt seine vorhandenen Azure-Active-Directory-Gruppen mit AWS synchronisieren. „Wir könnten selbst eine Lösung entwickeln, aber wir haben auch 1 500 Mitarbeiter, die sich mit AWS auskennen“, so Davies. „Die AWS-Umgebung ist eine ideale Ausgangsbasis für uns.“

Sophos wollte seine bestehenden Identitätsserviceanbieter – darunter Azure Active Directory, ein Enterprise-Identitätsservice – sowie Jira-Authentifizierung und YubiKey-Authentifizierungsgeräte weiterhin nutzen. Diese Identitätstools und IAM Identity Center sind nahtlos kompatibel und ermöglichen eine sichere Multifaktor-Authentifizierung. Nach einer Machbarkeitsstudie und positivem internem Feedback begann Sophos mit der Umstellung auf IAM Identity Center. Die Einrichtung wurde innerhalb weniger Wochen im September 2020 abgeschlossen und in der ersten Oktoberwoche bat Sophos seine 1 500 internen Benutzer, bis zum Ende des Monats umzusteigen. Die neue Lösung wurde zunächst schnell angenommen, gefolgt von einer langsameren Umstellung bei den übrigen Benutzern. Die Reaktionen waren jedoch durchweg positiv. „Ich glaube nicht, dass wir negatives Feedback zu IAM Identity Center erhalten haben“, sagt Davies. „Für eine Änderung, die sich auf den täglichen Arbeitsablauf von etwa 1 500 Menschen auswirkt, ist das ziemlich einmalig.“

Die Umstellung auf IAM Identity Center hat alle Aspekte der AWS-Kontoverwaltung für das Sophos-Team erheblich vereinfacht. Der Zeitaufwand für das Onboarding neuer AWS-Konten wurde von mehreren Tagen auf weniger als einen Tag reduziert und der Zugriff auf AWS-Konten lässt sich praktisch sofort deaktivieren, wenn der Vertrag eines Auftragnehmers ausläuft. Um den Zugriff eines Benutzers auf alle Konten endgültig zu deaktivieren, mussten in der Vergangenheit alle einzelnen Azure-Active-Directory-Gruppen durchsucht werden – und dann galt es, auf die Synchronisierung von Azure Active Directory zu warten. Dies konnte bis zu eine Stunde dauern. Zunächst wurden zwei Active-Directory-Gruppen erstellt. Eine enthält alle einzelnen Benutzer und gewährt Zugriff auf die IAM-Identity-Center-Konsole. Die andere wird über das System for Cross-domain Identity Management synchronisiert und gewährt Zugriff auf AWS-Konten und Berechtigungen. Jetzt kann Sophos einfach einen Benutzer aus der IAM-Identity-Center-Gruppe entfernen und der Zugriff wird sofort deaktiviert, ohne Warten auf die Synchronisierung. Insgesamt haben Entwickler Hunderte Stunden bei der Erstellung von AWS-Konten eingespart und benötigen das IT-Team nicht mehr für das Onboarding von AWS-Konten. Das hat die Ressourcenkosten gesenkt und Sophos eine flexiblere Skalierung ermöglicht.

Mit IAM Identity Center konnte Sophos auch einen wichtigen Sicherheitsvorteil erzielen: Benutzer können jetzt temporäre Anmeldeinformationen für den Zugriff auf AWS-Ressourcen erstellen. Sophos muss Anmeldeinformationen nicht rotieren oder sie widerrufen, wenn sie nicht mehr benötigt werden. IAM Identity Center ermöglicht Kontoadministratoren außerdem, ihre Berechtigungen an einem zentralen Ort zu ändern, sodass sie die Rollenberechtigungen flexibel anpassen können. „Wir können die zugewiesenen Berechtigungen jetzt detaillierter festlegen, da wir ohne Probleme beliebig viele Berechtigungssätze erstellen können“, erklärt Davies. „Wir können den Zugriff der Benutzer auf ihre AWS-Konten einschränken, was die Angriffsfläche verringert.“

Für Sophos hat die Implementierung von IAM Identity Center zu einer viel schnelleren und optimierteren AWS-Kontoverwaltung geführt. Dadurch verbringen Entwickler weniger Zeit damit, auf andere Teams zu warten, und können sich stattdessen mehr auf interessante Innovationen konzentrieren. Sophos plant außerdem, die IAM-Identity-Center-APIs zu verwenden, um die Automatisierung auszuweiten und die Onboarding- und Zugriffsprozesse für AWS-Konten in Zukunft weiter zu beschleunigen. So ist beispielsweise geplant, die Bereitstellung des Kontozugriffs zu automatisieren. Das ist nützlich, wenn eine Anfrage außerhalb der normalen Geschäftszeiten erfolgt.

„Genau danach haben wir gesucht, um Berechtigungen für unsere AWS-Konten detaillierter und dynamischer zu verwalten“, so Davies. „Mit IAM Identity Center geht das alles ohne Probleme.“