Hardware-Schlüssel bieten die beste Authentifizierungssicherheit und sind vor Phishing sicher. Aber unsere Kunden fragen uns, wie sie diese implementieren können und welche Sicherheitsschlüssel sie kaufen sollten... Heute stellen wir ein exklusives Programm für Cloudflare-Kunden vor, das Hardware-Schlüssel zugänglicher und günstiger denn je macht. Dieses Programm wird durch eine neue Zusammenarbeit mit Yubico, dem branchenführenden Anbieter von Hardware-Sicherheitsschlüsseln, ermöglicht und bietet Cloudflare-Kunden exklusive Preise, die auch dem Internet dienen.
Yubico Security Keys sind ab heute für jeden Cloudflare-Kunden verfügbar und lassen sich problemlos in den Zero Trust-Service von Cloudflare integrieren. Dieser Service steht Unternehmen jeder Größe offen, von der Familie, die ihr Heimnetzwerk schützt, bis hin zu den größten Arbeitgebern der Welt. Jeder Cloudflare-Kunde kann sich heute auf dem Cloudflare-Dashboard anmelden und Hardware-Sicherheitsschlüssel für nur 10 USD pro Schlüssel bestellen.
Im Juli 2022 verhinderte Cloudflare eine Datenschutzverletzung durch einen SMS-Phishing-Angriff, der auf mehr als 130 Unternehmen abzielte. Grund dafür war, dass das Unternehmen Cloudflare Zero Trust in Kombination mit Hardware-Sicherheitsschlüsseln einsetzte. Bei diesen Schlüsseln handelte es sich um YubiKeys. Durch die neue Zusammenarbeit mit Yubico, dem Hersteller von YubiKeys, ist es jetzt für Unternehmen jeglicher Größe kinderleicht, Hardware-Schlüssel zu implementieren.
Warum Hardware-Sicherheitsschlüssel?
Unternehmen müssen sicherstellen, dass sich nur die richtigen Nutzer mit ihren sensiblen Ressourcen verbinden können. Dabei ist es ganz egal, ob es sich bei den Zielen um selbst gehostete Webanwendungen, SaaS-Tools oder Dienste handelt, die sich auf beliebige TCP-Verbindungen und UDP-Streams stützen. Nutzer haben ihre Identität bislang meist mit einem Benutzernamen und einem Passwort nachgewiesen, aber Phishing-Angriffe können Nutzer täuschen, um diese beiden Informationen zu stehlen.
Als Reaktion darauf begannen die Teams mit dem Einsatz von Tools zur Multifaktor-Authentifizierung (MFA), um eine zusätzliche Sicherheitsebene zu schaffen. Die Nutzer mussten ihren Benutzernamen, ihr Passwort und einige zusätzliche Werte eingeben. Ein Nutzer kann zum Beispiel eine Anwendung auf seinem Gerät ausführen, die Zufallszahlen generiert, oder er kann sich mit seiner Telefonnummer anmelden, um einen Code per SMS zu erhalten. Diese MFA-Optionen verbessern zwar die Sicherheit, sind aber immer noch anfällig für Phishing-Angriffe. Phishing-Websites entwickelten sich weiter. So etwa wurden Nutzer aufgefordert, MFA-Codes einzugeben. Manche Angreifer hingegen stahlen die Telefonnummer eines Nutzers bei einem SIM-Swap-Angriff.
Hardware-Sicherheitsschlüssel bieten Unternehmen eine MFA-Option, die nicht durch Phishing gefälscht werden kann. Diese Schlüssel verwenden den WebAuthN-Standard , um dem Authentifizierungsdienst ein Zertifikat vorzulegen, mit dem der Schlüssel in einem kryptografisch gesicherten Austausch validiert wird. Dies ist etwas, das eine Phishing-Website nicht erhalten und später fälschen kann.
Nutzer registrieren einen oder mehrere Schlüssel bei ihrem Identitätsanbieter, der zusätzlich zur Angabe von Benutzername und Passwort eine MFA-Option vorschlägt, die den Hardware-Schlüssel enthalten kann. Jedes Teammitglied hat es leichter, wenn es bei der Anmeldung auf den Schlüssel tippt, anstatt in einer App nach einem Code zu suchen. Die Sicherheitsteams können nachts besser schlafen, da sie wissen, dass ihre Dienste vor Phishing-Angriffen geschützt sind.
Breiterer Einsatz von Hardware-Sicherheitsschlüsseln mit den Zero Trust-Produkten von Cloudflare
Die meisten Identitätsanbieter erlauben es Nutzern zwar inzwischen, Hardware-Schlüssel als MFA-Option zu registrieren. Dennoch haben Administratoren immer noch nicht die Möglichkeit, die Verwendung von Hardware-Schlüsseln zu verlangen. Einzelne Nutzer können auf eine weniger sichere Option zurückgreifen, z. B. einen App-basierten Code, wenn sie den Sicherheitsschlüssel nicht selbst vorlegen können.
Wir sind auf dieses Problem gestoßen, als wir bei Cloudflare erstmals Sicherheitsschlüssel eingesetzt haben. Wenn Nutzer auf eine weniger sichere und leichter zu fälschende Option wie einen App-basierten Code zurückgreifen können, dann können das auch Angreifer. Zusammen mit mehr als 10.000 Unternehmen verwenden wir intern die Zero Trust-Produkte von Cloudflare, um zum Teil zu sichern, wie sich Nutzer mit den Ressourcen und Tools verbinden, die sie benötigen.
Wenn ein Nutzer auf eine interne Anwendung oder einen Dienst zugreifen möchte, wertet das Netzwerk von Cloudflare jede Anfrage oder Verbindung auf verschiedene Signale wie Identität, Gerätestatus und Land aus. Administratoren können außerdem präzise Regeln aufstellen, die nur für bestimmte Ziele gelten. Ein internes Administrator-Tool mit der Möglichkeit, Kundendaten zu lesen, könnte ein unversehrtes Firmengerät voraussetzen, das sich von einem bestimmten Land aus verbindet und einem Nutzer in einer bestimmten Gruppe von Identitätsanbietern gehört. Eine neue Marketing-Splash-Seite, zu der Feedback eingeholt werden soll, könnte dagegen nur eine Identität erfordern. Wenn wir das Vorhandensein eines Sicherheitsschlüssels - im Gegensatz zu einer anderen, weniger sicheren MFA-Option - aus der Authentifizierung des Nutzers ableiten könnten, könnten wir auch dieses Signal erzwingen.
Vor einigen Jahren haben sich Identitätsanbieter, Hardwarehersteller und Sicherheitsunternehmen zusammengetan, um einen neuen Standard zu entwickeln, um genau diese Art von Daten auszutauschen: die Authentication Method Reference (AMR). Mit AMR können Identitätsanbieter verschiedene Details über den Anmeldeversuch weitergeben, darunter auch die Art der verwendeten MFA-Option. Kurz nach dieser Ankündigung haben wir die Möglichkeit eingeführt, in der Zero Trust-Plattform von Cloudflare Regeln zu erstellen, um nach diesem Signal zu suchen und es durchzusetzen. Jetzt können Teams jeder Größe ressourcenbasierte Regeln erstellen, die sicherstellen, dass Teammitglieder immer ihren Hardwareschlüssel verwenden.
Welche Hindernisse gibt es bei der Einführung von Hardware-Sicherheitsschlüsseln?
Die Sicherheit, die der Einsatz eines Schlüssels, den man physisch bei sich haben muss, voraussetzt, ist auch der Grund dafür, dass der Einsatz von Hardwareschlüsseln zusätzliche Komplexität mit sich bringt. Sie müssen einen Weg finden, diesen physischen Schlüssel Ihren Nutzern in die Hand zu geben, und zwar in großem Umfang. Zudem müssen Sie es jedem Mitglied Ihres Teams ermöglichen, ihn zu registrieren.
Auf jeden Fall beginnt die Implementierung mit dem Kauf von Hardware-Sicherheitsschlüsseln. Im Vergleich zu App-basierten Codes, die kostenlos sein können, haben Sicherheitsschlüssel einen echten Preis. Für einige Unternehmen sind diese Kosten abschreckend. Dadurch ist ihr Sicherheitsniveau geringer, als es sein sollte. Aber es ist wichtig zu wissen, dass nicht alle MFA-Lösungen gleich sind.
Für andere Teams, insbesondere für Unternehmen, die heute teilweise oder vollständig dezentral arbeiten, kann die Bereitstellung dieser Schlüssel für Nutzer, die nie einen Fuß in ein physisches Büro setzen werden, eine Herausforderung für die IT-Abteilungen darstellen. Als wir bei Cloudflare zum ersten Mal Hardware-Schlüssel einsetzten, taten wir dies auf unserer unternehmensweiten Klausurtagung. Viele Unternehmen haben nicht mehr die Möglichkeit, Schlüssel an einem einzigen Ort oder sogar in globalen Büros auszuhändigen.
Zusammenarbeit mit Yubico
In der Birthday Week bei Cloudflare ging es immer darum, die Barrieren und Hürden zu beseitigen, die Nutzer und Teams davon abhalten, sicherer oder schneller im Internet zu sein. Zu diesem Zweck haben wir uns mit Yubico zusammengetan, um die Einführung eines Sicherheitsmodells mit Hardware-Schlüsseln noch einfacher zu machen.
Das Angebot gilt für alle Cloudflare-Kunden. Cloudflare-Kunden können dieses Angebot für YubiKeys direkt im Cloudflare-Dashboard in Anspruch nehmen.
Yubico bietet Sicherheitsschlüssel zu für das Internet förderlichen Preisen an – schon ab 10 USD pro Schlüssel. Yubico wird die Schlüssel direkt an die Kunden versenden.
Sowohl die Dokumentation für Entwickler als auch die Support-Organisationen von Cloudflare und Yubico werden Kunden bei der Einrichtung von Schlüsseln und deren Integration mit ihren Identitätsanbietern und dem Zero Trust-Service von Cloudflare unterstützen.
Erste Schritte
Fordern Sie jetzt Ihre eigenen Hardware-Schlüssel an. Gehen Sie hierzu auf das Dashboard und folgen Sie dem Ablauf der Bannerbenachrichtigung. Yubico sendet Ihnen diese dann direkt per E-Mail an die Administrator-E-Mail, die Sie in Ihrem Cloudflare-Konto angegeben haben. Für größere Unternehmen, die YubiKeys in großem Umfang einsetzen möchten, bietet Yubico das YubiEnterprise-Abonnement an, bei dem Sie 50 % Rabatt auf das erste Jahr eines mindestens dreijährigen Abonnements erhalten..
Sie haben bereits Hardware-Sicherheitsschlüssel? Wenn Sie über physische Hardwareschlüssel verfügen, können Sie in Cloudflare Access Regeln erstellen, um deren Verwendung durchzusetzen. Tragen Sie die Hardware-Schlüssel hierzu bei einem Identitätsanbieter ein, der AMR unterstützt, wie Okta oder Azure AD.Wenn Sie sich für unseren eigenen Einsatz von Yubikeys zusammen mit unserem Zero Trust-Produkt interessieren, lesen Sie diesen Blog-Beitrag von Evan Johnson, unserem Director of Security. In seinem Beitrag resümiert er, welche Erfahrungen Cloudflare gemacht hat, und welche Empfehlungen wir auf Grundlage der gelernten Lektionen machen können.