Sicherheitsexperten befassen sich mit den wirklich relevanten Problemen: Kundendaten, Produktionsumgebungen und Quellcode-Zugriff. Hier eine Frage für Sie: Wie weit oben stehen Personal- und Finanzverwaltungssysteme auf Ihrer Liste?
Wir sind uns natürlich alle einig, dass sie wichtig sind. Doch für viele von uns mit technischem Hintergrund spielen sie oft eine nachrangige Rolle. Vielleicht liegt es daran, dass wir die Komplexität von Systemen in unserem eigenen Fachgebiet besser einschätzen können, oder vielleicht, weil wir erwarten, dass sich die Systeme wie jede andere Kachel im SSO-Portal verhalten und gut mit unserem Identity-Anbieter zusammenarbeiten.
Doch Workday ist nicht einfach nur irgendeine Anwendung. Das Sicherheitsmodell von Workday überschreitet tatsächlich viele der Grenzen, die wir normalerweise für SaaS-Anwendungen annehmen. Workday verfügt über ein eigenes, leistungsstarkes, komplexes und oft unsichtbares Sicherheitsmodell, das – aus gutem Grund – im Hintergrund läuft und auf eine Weise falsch konfiguriert werden kann, die Ihr Identity-Anbieter niemals sehen wird.
Und ja, in realen Umgebungen ist diese Anwendung ein sehr wertvolles und auch häufiges Ziel ist. Es enthält sensible Personaldaten: personenbezogene Informationen, Gehaltsabrechnungen, Bankkonten und das gesamte Organigramm. Berichte des Bundesstaats New Jersey, der Brown University und der Washington University zeigen einen besorgniserregenden Trend: Angreifer nutzen aktiv schwache Identity-Kontrollen, um Überweisungsinformationen zu manipulieren. So können sie Gehälter von Mitarbeitenden kassieren und schnell zu Geld kommen.
Lassen Sie uns also einige der besonderen Herausforderungen bei der Absicherung von Workday untersuchen und darüber sprechen, wie wir sie erfolgreich bewältigen.
Die Lebenszyklus-Lücke: Wenn Benutzer schon vor und noch nach einer Beschäftigung im System leben
Bei den meisten SaaS-Anwendungen ist der Zugriff typischerweise an den Lebenszyklus des Benutzers innerhalb des Unternehmens gebunden (Joiner-Mover-Leaver). Workday bricht mit den meisten dieser Annahmen.
Der Benutzerlebenszyklus von Workday reicht über die typische Zeitleiste vom Firmeneintritt bis zum Ausscheiden hinaus. Ehemalige Mitarbeiter brauchen Zugriff, um Steuerdokumente (z. B. Lohnsteuerbescheinigungen) und die letzte Gehaltsabrechnung abzurufen. Auch vor der Einstellung erhalten Mitarbeiter bereits Zugriff für Onboarding-Aufgaben. Dadurch entstehen Standing Access-Pfade, die die übliche Lebenszyklusverwaltung Ihres Identity-Anbieters umgehen. Aus ähnlichem Grund erfolgt der Zugriff auf diese Accounts außerhalb des normalen Unternehmens-SSO über eine Kombination aus Benutzername und Passwort (mit/ohne MFA).
Bei einer ordnungsgemäßen Administration ist dies in Ordnung – und Workday bietet Ihnen tatsächlich Tools speziell für diesen Zweck, z. B. die Sicherheitsgruppe Terminee as Self (Ausgeschiedener Mitarbeiter im Self-Service). Dennoch bricht die Anwendung mit vielen Annahmen, die für die meisten SaaS-Anwendungen gelten, und dies kann bei nicht ordnungsgemäßer Konfiguration zu schwerwiegenden Lücken führen.
Bei den meisten SaaS-Anwendungen gibt es beispielsweise keine Möglichkeit mehr, sich direkt bei den Anwendungen zu authentifizieren, weil man per Einstellung direkt zum Identity-Anbieter weitergeleitet wird. Bei Workday ist es jedoch aus oben genannten Gründen weiterhin möglich, auf die lokale Authentifizierungsseite zuzugreifen und SSO zu umgehen (z. B. über wd5.myworkday.com/company/login.htmld?redirect=n). Wenn Anmeldedaten falsch verwaltet werden oder für den nativen Anmeldepfad in Workday keine MFA durchgesetzt wird, kann dies eine Hintertür öffnen, die Ihre primäre Identity-Anbieter-Sicherheit kompromittiert. Ein Angreifer mit gestohlenem Passwort kann einfach hereinspazieren.
Ein Labyrinth von Berechtigungen
Das Berechtigungsmodell von Workday ist unglaublich granular und leistungsstark und basiert auf Rollen und Geschäftsprozessen. Dies ist für seine Funktion erforderlich. Allerdings ist das Modell für die Einrichtung und Verwaltung durch Personal- und Finanzteams konzipiert, sodass IT- und Security-Teams oft keinen Einblick haben.
Wenn die Teams keinen Einblick in diese kritische Berechtigungsstruktur haben und nicht wissen, welche privilegierten Rollen es gibt und wem sie gehören, dann können sie auch keine richtigen Schutzstrategien entwickeln.
Dieses Problem verschärft sich noch durch die Integration System User (ISUs, Workday-Terminologie für Service-Accounts). Durch diese Accounts ergeben sich großen Herausforderungen:
- Wer kann sie erstellen? Rechten zur Erstellung von ISUs sind oft unklar delegiert.
- Welche Berechtigungen besitzen sie? Sie verfügen über exzessive Berechtigungen, die sich im Laufe der Zeit ansammeln.
- Wer kontrolliert ihre Anmeldedaten? Der Zugriff auf Service-Account-Schlüssel wird geteilt und nicht verwaltet.
Dies kann zum weit verbreiteten Problem der „Schatten-Administration“ führen. Ein Benutzer, der vor drei Jahren speziellen Zugriff für ein einmaliges Projekt benötigte, könnte ihn möglicherweise immer noch haben. Die Risiken können über Jahre bestehen – und sie werden häufig erst erkannt oder behoben, wenn sie durch eine Sicherheitsverletzung aufgedeckt werden.
Authentifizierungsrichtlinien so komplex wie Ihr Identity-Anbieter
Viele SaaS-Anwendungen werden mit einer einfachen Authentifizierungsrichtlinie eingerichtet: „An Identity-Anbieter verweisen“. Workday enthält jedoch eine eigene, umfangreiche und komplexe Engine für Authentifizierungsrichtlinien, die mit eigenen Regeln bestimmen kann, wer Zugang erhält.
Workday erlaubt extrem kontextabhängige Zugriffsentscheidungen, die nativ getroffen werden. Regeln können basierend auf dem Netzwerkstandort, der Gerätesicherheit und der Benutzerrollen erstellt und Authentifizierungstypen und -methoden auf dieser Basis zugelassen oder verweigert werden.
Dies ist zum Beispiel in folgenden Szenarien sinnvoll:
- Erweiterte Benutzerlebenszyklen: Ehemalige Mitarbeiter, die noch Lohnsteuerbescheinigungen abrufen, und demnächst in das Unternehmen eintretende Mitarbeiter, die ihr Onboarding vornehmen
- Kontextsensitiver Zugriff: Beschränkung von Benutzern öffentlicher WLANs auf Self-Service-Aufgaben
- Umgebungen mit mehreren Identity-Anbietern: Unternehmen, die Hub-&-Spoke-Identity-Modelle verwenden
Natürlich ist es keine schlechte Sache, solche Richtlinien konfigurieren zu können. Wenn diese Richtlinien jedoch außerhalb der Sichtweite des Security-Teams liegen und weniger strikt kontrolliert werden als die Richtlinien beim Identity-Anbieter, können bei unsachgemäßer Konfiguration Sicherheitsrisiken entstehen. Beispielsweise könnte eine Richtlinie, die für Benutzer außerhalb der Belegschaft gedacht ist und den Zugriff ohne Single Sign-On (SSO) ermöglicht, versehentlich auch auf andere Benutzer angewendet werden.
Von reaktiv zu proaktiv: Workday mit Okta ISPM absichern
Damit kommen wir zum Kernproblem all dieser Probleme: Sie können nicht schützen, was Sie nicht sehen können.
Die Absicherung des gesamten Unternehmens erfordert umfassende Transparenz zu Workday. Deshalb müssen Sie das Sicherheitsmodell dahinter verstehen, Berichte erstellen, Berechtigungen prüfen und sogar die Authentifizierungsrichtlinien analysieren können.
Dieses Transparenzproblem löst Okta Identity Security Posture Management (ISPM). Anstatt Security-Teams bei der internen Berechtigungsstruktur von Workday im Dunkeln tappen zu lassen, überwacht ISPM Ihren Tenant kontinuierlich und verwandelt das komplexe Identity-Labyrinth von Workday in eine übersichtliche, zentrale Ansicht.
Okta ISPM verwandelt Ihre reaktive Strategie mit folgenden Funktionen in eine proaktive Sicherheitsstrategie:
- Beseitigung von Schwachstellen: ISPM bietet einen vollständigen Blick auf jede Identität. Es sieht nicht nur „aktive Benutzer“, sondern überwacht auch ehemalige (gekündigte) Mitarbeiter, lokale Benutzer, die nicht vom Identity-Anbieter kommen, und automatisierte Integration System Users (ISUs). So können Standing Access-Pfade nicht unbemerkt bleiben.
- Durchsetzung des Least-Privilege-Prinzips: ISPM identifiziert übermäßig privilegierte Accounts (menschliche Benutzer und ISUs), indem der Zugriff bestimmten Daten-Domains zugewiesen wird. Auf diese Weise können Sie diese Service-Accounts mit Administratorrechten von vor drei Jahren erkennen und deren Zugriff widerrufen, bevor Problem auftreten.
- Erkennung und Absicherung nicht-menschlicher Identitäten: ISPM erkennt automatisch von Menschen erstellte Service-Accounts und ISUs in Ihrer Workday-Umgebung. ISPM zeigt sofort, welche Zugriffsrechte sie haben, erkennt nicht-rotierte Anmeldedaten, überhöhte Berechtigungen und inaktive Accounts.
- Reduzierung der Angriffsfläche: ISPM kennzeichnet automatisch Accounts mit schwachen Authentifizierungsrichtlinien (z. B. alte Passwörter oder fehlende MFA) und lokalisiert ungenutzte oder verwaiste Accounts, die ein unmittelbares Sicherheitsrisiko darstellen.
Das Ergebnis ist eine hochsichere, konforme und kontinuierlich überwachte Workday-Umgebung.
Sind Sie bereit, Identity-Schwachpunkte in Ihren kritischsten Anwendungen zu beseitigen?
Die ISPM-Integration für Workday ist ab sofort im Early Access verfügbar. Wenden Sie sich an Ihre Okta-Vertretung, um zu erfahren, wie ISPM moderne Sicherheitseinblicke in Ihre kritischste Identity-Infrastruktur liefern kann. Mehr erfahren Sie unter okta.com/products/identity-security-posture-management.
