Kennen Sie Ihre Daten, kontrollieren Sie Ihren Zugriff: Wie Cyera und AWS IAM Access Analyzer datenbewusste Governance für sensible Daten in AWS ermöglichen

Jun 24, 2025
Share

Zugriffsrechte aufdecken: Warum Datensicherheit mit Identitätsbewusstsein beginnt

In der heutigen, zunehmend digitalisierten Welt sind Daten das wichtigste und zugleich zielgerichtetste Gut eines Unternehmens. Von Kundeninformationen und geistigem Eigentum bis hin zu betrieblichen Erkenntnissen und Finanzdaten – Daten sind die Grundlage für Geschäftsinnovationen und fundierte Entscheidungen. Daher ist der Schutz sensibler Daten nicht länger nur eine Pflichterfüllung, sondern ein Grundpfeiler für Vertrauen, Resilienz und langfristigen Erfolg.

Da Unternehmen immer schneller agieren und die Möglichkeiten der Cloud-Infrastruktur voll ausschöpfen, hat sich die Herausforderung der Datensicherheit weiterentwickelt. Es geht nicht mehr nur um die Verschlüsselung von Dateien oder die Einrichtung von Firewalls. Es geht darum zu verstehen, wer worauf Zugriff hat und warum.

AWS-Präsentator hebt Partnerintegrationen hervor, darunter Cyera, Wiz, Orca Security, Saviynt und Ping Identity.

Die Lücke zwischen Identitäts- und Datentransparenz

Eine der größten Herausforderungen im Bereich Cloud-Sicherheit ist heute die Transparenz der IAM-Konfigurationen (Identity and Access Management) in weitläufigen Umgebungen mit mehreren Konten. Beispielsweise ist die Beantwortung der Frage „Wer kann auf welche Daten zugreifen?“ von entscheidender Bedeutung. In AWS können mehreren IAM-Identitäten – Benutzern, Rollen und föderierten Entitäten – Zugriff auf sensible Datenspeicher wie S3-Buckets, RDS-Instanzen und DynamoDB-Tabellen gewährt werden. Einige dieser Berechtigungen sind beabsichtigt und durch Richtlinien definiert. Andere können vererbt, falsch konfiguriert oder das Ergebnis zu permissiver Rollen oder Vertrauensbeziehungen sein.

Das Problem? Es ist extrem schwierig, sich ein vollständiges und genaues Bild aller Identitäten zu verschaffen, die Zugriff auf einen bestimmten Datenspeicher haben, insbesondere bei hochsensiblen Daten. Erschwerend kommt hinzu, dass es ebenso schwer ist, den tatsächlichen Zugriffsumfang jeder Identität zu bestimmen – ob Lese-, Schreib-, Lösch- oder administrative Berechtigungen – und ob sich dieser Zugriff auf ein einzelnes AWS-Konto beschränkt oder in komplexen Organisationsstrukturen kontoübergreifend ist.

Warum das jetzt wichtig ist

Die Konsequenz davon Lücke in der Datentransparenz Die Erkenntnis ist eklatant: Unternehmen sind sich der potenziellen Gefahr einer übermäßigen Offenlegung ihrer wertvollsten Daten nicht bewusst. Dies erhöht nicht nur das Risiko von Insiderbedrohungen und externen Datenschutzverletzungen, sondern erschwert auch die Einhaltung von Rahmenwerken wie DSGVO, HIPAA und PCI-DSS erheblich.

Wir bei Cyera sind überzeugt, dass Datensicherheit mit Transparenz beginnt – dem Wissen, wo Ihre sensiblen Daten gespeichert sind und wer darauf zugreifen kann. In diesem Blogbeitrag zeigen wir Ihnen, wie moderne Datensicherheitsstrategien Unternehmen helfen, diese Lücke zu schließen, indem sie Identität, Zugriff und Datensensibilität umfassend verknüpfen und Sicherheitsteams so in die Lage versetzen, entschlossen und risikobasiert zu handeln.

Verknüpfung von Transparenz und Kontrolle mit AWS IAM Access Analyzer

Amazon hat den IAM Access Analyzer um Funktionen zur Erkennung interner IAM-Identitäten erweitert, die auf AWS-Ressourcen wie S3, DynamoDB und RDS-Snapshots zugreifen. Diese Erweiterungen ermöglichen es Sicherheitsteams, diejenigen zu identifizieren, die Zugriff auf kritische Infrastrukturen haben.

Bei Integration mit Cyera DSPM-PlattformDurch die Klassifizierung sensibler Daten in großem Umfang bilden diese IAM-Einblicke eine leistungsstarke Kombination. Teams erhalten Kontextinformationen darüber, ob ein Zugriff gültig oder falsch konfiguriert ist, wodurch die Sicherheitslage verbessert und eine schnelle Behebung ermöglicht wird.

Identitätsbasierte Datensicherheit: Offenlegung durch Erkenntnisse verhindern

Durch Korrelation Identitätszugriff Durch die Datenklassifizierung gelangen Sicherheitsteams von der Theorie zu konkreten Handlungsempfehlungen. Sie können genau feststellen, welche Benutzer, Rollen oder Dienste Zugriff auf sensible Daten (z. B. personenbezogene Daten, Gesundheitsdaten, geistiges Eigentum) haben und Risiken proaktiv minimieren.

Durch diese Ausrichtung werden IAM-Kontrollen messbar und überprüfbar. Anstatt IAM isoliert zu verwalten, erhalten Unternehmen eine Echtzeit-Übersicht über den Datenzugriff.

Cyera Identities: Verbesserung der kontextbezogenen Zugriffsintelligenz

Das Cyera-Modul „Identities“ bildet den Zugriff auf S3-Buckets ab, die von der Cyera-DSPM-Engine klassifiziert werden, und liefert Informationen darüber, was (sensible Daten) und wer (IAM-Identitäten) darauf zugreift.

Mit der zunehmenden Strukturierung von Daten in DynamoDB und RDS wird die Erweiterung dieser Erkenntnisse unerlässlich. Die Unterstützung der Zugriffszuordnung über mehrere AWS-Ressourcen hinweg ermöglicht eine skalierbare, unternehmensweite Governance.

Was Ihnen dieser Blog zeigen wird

Wir zeigen Ihnen, wie Sie mit dem IAM Access Analyzer Zugriffe auf Cyera-Datenspeicher erkennen und diese Erkenntnisse mit der Datensensibilität korrelieren. Dieser Ansatz hilft, übermäßige Zugriffe aufzudecken, das Prinzip der minimalen Berechtigungen durchzusetzen und sensible Daten zu schützen – unabhängig von ihrem Speicherort.

Wichtige Implementierungsschritte

Schritt 1: Erstellen Sie einen internen IAM-Zugriffsanalysator

Stellen Sie im Masterkonto einen IAM Access Analyzer bereit, der auf die AWS-Organisation beschränkt ist. Dadurch wird eine zentrale Übersicht über kontoübergreifende Berechtigungen gewährleistet.

Schritt 2: Analyseergebnisse abrufen

Verwenden Sie das `retrieve-findings.sh` Skript zum Sammeln von Zugriffsdetails über verschiedene Analysetools hinweg. Die Ergebnisse werden in `finding-details.csv` gespeichert.

Schritt 3: Korrelation mit Cyera-Datenspeichern

Die Ergebnisse (z. B. RDS-Snapshots) werden den entsprechenden, mit Cyera gescannten Ressourcen zugeordnet, um deren Sensitivitätsklassifizierung zu bestimmen.

Schritt 4: Berechtigungsmatrix generieren

Führe ausgenerate_permissions.py` um eine `permissions_matrix.csv` zu erstellen, die den IAM-Zugriff im Vergleich zu den Sensitivitätsstufen anzeigt.

Schritt 5: Analysieren und Visualisieren

Importieren Sie die Matrix in Tools wie Amazon QuickSight oder Excel, um zu filtern und zu visualisieren, welche IAM-Entitäten Zugriff auf sensible Datenspeicher haben.

Beispiel-Einblick: „Zeige mir alle IAM-Prinzipale mit Zugriff auf Datenspeicher mit der Sensitivitätsstufe ‚Restriktiv‘ und deren Berechtigungstypen.“
Beispiel-Einblick: „Zeige mir alle IAM-Prinzipale mit Zugriff auf Datenspeicher mit der Sensitivitätsstufe ‚Restriktiv‘ und deren Berechtigungstypen.“

Beispielskripte finden Sie hier: cyeragit/AWS-IAM-Access-Analyzer-samples: Öffentliches Repository zur Veranschaulichung der Verwendung der AWS IAM Access Analyzer CLI mit der Cyera DSPM-Plattform

Abschluss

Organisationen, die die DSPM-Plattform von Cyera nutzen, können ihre Daten-Governance jetzt durch die Integration von AWS IAM Access Analyzer stärken. Dies ist insbesondere relevant für die Risikominderung in Umgebungen, in denen sensible Daten unbeabsichtigt offengelegt oder für das KI-Training verwendet werden.

Durch die Verknüpfung von Identität und Sensibilität können Teams mit Zuversicht:

- Übermäßigen oder falsch konfigurierten Zugriff erkennen
- Durchsetzung des Prinzips der minimalen Berechtigungen beim Zugriff
- Einhaltung der Vorschriften gewährleisten

Egal ob Sie Cloud-Sicherheitsingenieur, Leiter der Daten-Governance oder Compliance-Beauftragter sind, diese Integration ermöglicht es Ihnen, eine entscheidende Frage zu beantworten:
Wer hat Zugriff auf meine sensiblen Daten und in welchem ​​Umfang?

Share