LLPA

TECH-Gespräch: Bedingter Zugang im Azure AD

Autor: Goce Argirov, Microsoft zertifizierter Trainer | Berater | Lösungsarchitekt | Azure Infrastruktur und Sicherheit bei Semos Education

 

Azure AD im Zentrum Ihrer Zero-Trust-Strategie

Längst vorbei sind die Zeiten, in denen sich die Sicherheit auf eine starke Perimeter-Verteidigung konzentrierte, um böswillige Hacker fernzuhalten. Alles außerhalb des Perimeters wurde als feindlich behandelt, während man innerhalb der Mauer den Systemen einer Organisation vertraute.

Die heutige Sicherheitshaltung ist die Annahme von Sicherheitsverletzungen, eine Denkweise, die Sicherheitsinvestitionen, Designentscheidungen und betriebliche Sicherheitspraktiken lenkt. Im Wesentlichen führt ein angenommener Sicherheitsbruch dazu, dass Sie anders denken und Ihre Denkweise ändern: Sie sind bereits gebrochen, oder Sie werden es sein - es gibt kein anderes Ergebnis.

Im Jahr 2012 erklärte der ehemalige Direktor der CIA und der Nationalen Sicherheitsbehörde General a.D. in einem Interview: "Grundsätzlich gilt: Wenn jemand einsteigen will, dann steigt er ein. In Ordnung, gut. Akzeptieren Sie das."

Während dieser Zeit haben viele Leute nicht ganz verstanden, was er wirklich meinte, aber dieser Satz ist der Kern des Ansatzes des angenommenen Bruchs.

Datenschutzverletzungen können verheerende finanzielle Verluste verursachen und den Ruf einer Organisation über Jahre hinweg beeinträchtigen. Von entgangenen Geschäftsabschlüssen bis hin zu Bußgeldern und Sanierungskosten haben Datenverstöße weitreichende Konsequenzen. Die vom Ponemon Institute im Auftrag von IBM durchgeführte und von IBM gesponserte Data Breach Study 2019 ergab, dass sich die weltweiten Durchschnittskosten eines Datenverstoßes für die Studie 2019 auf 3,92 Millionen US-Dollar belaufen, was einem Anstieg von 1,5 Prozent gegenüber der Studie 2018 entspricht.

2019 Datenverletzungsstudie

Wenn Sie all dies im Hinterkopf haben, sagen Sie wahrscheinlich: Okay, was jetzt? Aus meiner Sicht ist die Umsetzung der Zero Trust Architecture das nächste, was man anstreben sollte!

Welchen Sicherheitsexperten Sie auch immer bezüglich des "Null-Vertrauen-Modells" fragen, sie werden alle darin übereinstimmen, dass dies der beste Weg ist, um Datenverstöße zu stoppen und den Weg zur Einhaltung der Vorschriften in Ihrem Unternehmen zu rationalisieren. "Niemals vertrauen, immer überprüfen" Zero Trust hilft bei der Sicherung von Unternehmensressourcen, indem unbekannte und nicht verwaltete Geräte eliminiert und seitliche Bewegungen eingeschränkt werden.

Im Jahr 2010 schuf John Kindervag, leitender Analyst bei Forrester Research, das Zero Trust-Modell. Dieses Modell besagt, dass man niemals Vertrauen voraussetzen sollte, sondern stattdessen kontinuierlich Vertrauen validieren sollte. Wenn sich Benutzer, Geräte und Daten alle innerhalb der Firewall der Organisation befanden, wurde davon ausgegangen, dass sie vertrauenswürdig sind. Dieses angenommene Vertrauen ermöglichte eine einfache seitliche Bewegung, nachdem ein böswilliger Hacker ein Endpunktgerät kompromittiert hatte.

Die Implementierung eines echten Zero-Trust-Modells oder einer Zero-Trust-Architektur erfordert, dass alle Komponenten - Benutzeridentität, Gerät, Netzwerk und Anwendungen - validiert und für vertrauenswürdig befunden werden. Zero Trust verifiziert die Identität und den Zustand der Geräte, bevor der Zugriff auf Unternehmensressourcen gewährt wird. Wenn der Zugriff gewährt wird, beschränkt die Anwendung des Least-privilege-Prinzips den Benutzerzugriff nur auf die Ressourcen, die für jeden Benutzer explizit autorisiert sind, wodurch das Risiko einer seitlichen Bewegung innerhalb der Umgebung verringert wird. In einer idealen Zero-Trust-Umgebung sind die folgenden vier Elemente erforderlich:

  • Starke Identitätsauthentifizierung überall (Benutzerverifizierung durch Authentifizierung)
  • Die Geräte werden in die Geräteverwaltung aufgenommen und ihr Zustand wird validiert
  • Benutzerrechte mit den geringsten Rechten (der Zugriff ist auf das Notwendigste beschränkt)
  • Die Gesundheit der Dienstleistungen wird überprüft (zukünftiges Ziel)

Implementierung eines Null-Vertrauen-Sicherheitsmodells

Die Migration zu einem Zero-Trust-Sicherheitsmodell bietet eine gleichzeitige Verbesserung der Sicherheit gegenüber herkömmlichen netzwerkbasierten Ansätzen und ermöglicht es den Anwendern besser, dort, wo sie Zugang benötigen. Ein Zero Trust-Modell erfordert Signale, um Entscheidungen zu treffen, Richtlinien, um Zugriffsentscheidungen zu treffen, und Durchsetzungskapazitäten, um diese Entscheidungen effektiv umzusetzen.

Zero Trust Sicherheitsmodell

Bedingter Zugang in Azure AD im Zentrum der Strategie

In der heutigen Arbeitsumgebung haben wir gesehen, dass Benutzer an jedem Gerät arbeiten können, ob mit einem von der Organisation bereitgestellten Laptop oder mit einem persönlichen Smartphone und von jedem Ort aus, ob zu Hause, im Büro oder unterwegs. Die Mitarbeiter erwarten einen nahtlosen Zugang zu dem, was sie für ihre Arbeit benötigen. Zwar ändert sich der Bedarf an Produktivität nicht mit den Umständen des Zugangs, doch das Risikoniveau jeder Verbindung entwickelt sich weiter. Nicht alle Geräte, Anwendungen oder Netzwerke sind sicher, und Angreifer werden wahrscheinlich alle Schwachstellen ausnutzen, die ihnen Zugang zu Ihren Benutzern und/oder Ressourcen verschaffen. Es ist daher wichtig, Identitäten zu schützen, aber es reicht nicht aus. Die Verwaltung und Verifizierung von Identitäten ist der erste Schritt zum Schutz Ihrer Umgebung. Durch die Bereitstellung von Benutzeridentitäten über Azure AD und die Verbindung Ihres lokalen Active Directory-Dienstes, falls erforderlich, können Sie die Identitäten für jeden Benutzer zentralisieren, um Richtlinien auf der Grundlage von Geräten, Gruppen und Anwendungen festlegen zu können.

Wie bereits früher diskutiert, erfordert der "Zero Trust"-Ansatz flexible Sicherheitsrichtlinien, die den Anforderungen an den Benutzerzugang zu Daten und Ressourcen gerecht werden. Darüber hinaus ist einer der wesentlichen Aspekte einer "guten" Sicherheit, dass sie für legitime Benutzer fast unsichtbar sein sollte. Übermäßige Reibung hemmt die Produktivität, und legitime Benutzer werden Wege finden, Bestimmungen zu umgehen, die ihre Produktivität blockieren und dadurch (zusätzliche) Risiken schaffen. Obwohl Sie eine Multi-Faktor-Authentifizierung (MFA) für jeden Benutzer durchsetzen können, wird von einer Maximierung der Produktivität idealerweise erwartet, dass sie es legitimen Benutzern ermöglicht, ihre Arbeit mit minimalen Unterbrechungen zu erledigen, während böswillige Personen blockiert werden. Azure Mit AD können Sie Richtlinien für den bedingten Zugriff für Benutzer in Ihrer Organisation festlegen, um Ihre Hybrid- oder Cloud-Umgebung zu sichern. Conditional Access ist das Werkzeug, das von Azure Active Directory verwendet wird, um Signale zusammenzuführen, Entscheidungen zu treffen und Unternehmensrichtlinien durchzusetzen.

Konfigurieren von Zugangsberechtigungsrichtlinien in Azure AD

Konfigurieren von Zugangsberechtigungsrichtlinien in Azure AD

Es wird empfohlen, dass Sie unter den folgenden Bedingungen geeignete Richtlinien für Ihre Organisation anwenden:

  • Benutzer und Benutzergruppen: Um das Risiko des Durchsickerns sensibler Daten zu verringern, legen Sie fest, welche Benutzer oder Benutzergruppen auf Anwendungen oder Ressourcen zugreifen können, wobei den hochsensiblen Informationsquellen wie Personal- oder Finanzdaten besondere Aufmerksamkeit zu widmen ist.
Benutzer und Benutzergruppen
  • Verbindungsrisiko: Algorithmen für maschinelles Lernen in Azure AD werten jede Verbindung aus und geben ihr eine Bewertung mit niedrigem, mittlerem oder hohem Risiko, basierend auf der Wahrscheinlichkeit, dass jemand anderes als der rechtmäßige Besitzer des Kontos versucht, eine Verbindung herzustellen. Alle Personen mit einem mittleren Risiko müssen beim Verbindungsaufbau mit einer Multi-Faktor-Authentifizierung (MFA) konfrontiert werden. Ist die Verbindung mit hohem Risiko verbunden, muss der Zugriff blockiert werden. Diese Bedingung erfordert Azure AD-Identitätsschutz.
Verbindungsrisiko
  • Geräteplattform: Für diese Bedingung können Sie für jede Geräteplattform eine Richtlinie definieren, die den Zugriff blockiert, z. B. die Einhaltung von Microsoft Intune erfordert oder den Anschluss des Geräts an die Domäne vorschreibt.
Geräte-Plattform
  • Standort: Ein Standort kann riskant sein, wenn es sich um ein Land mit begrenzten Sicherheitsrichtlinien handelt oder wenn das drahtlose Netzwerk ungesichert ist. Es kann auch einfach deshalb riskant sein, weil es sich nicht um einen Ort handelt, an dem die Organisation normalerweise ihre Aktivitäten hat. Sie können die Zugangsvoraussetzungen für Verbindungen von Standorten aus ändern, die nicht auf einer Liste sicherer IP-Adressen stehen oder die aus anderen Gründen riskant sind. Benutzer, die auf einen Dienst zugreifen, wenn sie sich außerhalb des Unternehmensnetzwerks befinden, müssen gezwungen werden, eine Multi-Faktor-Authentifizierung zu verwenden.
Standort
  • Gerätestatus: Sie können diese Bedingung verwenden, um Richtlinien für Geräte festzulegen, die nicht von Ihrer Organisation verwaltet werden.
Gerätestatus
  • Client-Anwendungen: Benutzer können über verschiedene Client-Anwendungsarten auf viele Anwendungen zugreifen, wie z.B. Web-Anwendungen, mobile Anwendungen oder Büroproduktivitätsanwendungen. Sie können Sicherheitsrichtlinien durchsetzen, wenn ein Zugriffsversuch über einen Client-Anwendungs-Typ erfolgt, der bekannte Probleme verursacht, oder Sie können verlangen, dass nur verwaltete Geräte auf bestimmte Arten von Anwendungen zugreifen.
Client-Anwendungen
  • Cloud-Anwendungen: Diese Bedingung legt eindeutige Richtlinien für sensible Anwendungen fest. Beispielsweise können Sie verlangen, dass HR-Anwendungen wie Workday blockiert werden, wenn Azure AD eine riskante Verbindung erkennt oder wenn ein Benutzer versucht, mit einem nicht verwalteten Gerät darauf zuzugreifen.
Cloud-Anwendungen

Wenn eine Bedingung erfüllt ist, können Sie die Richtlinie wählen, die Azure AD in Bezug auf die Kontrolle durchsetzen wird:

  • Zum Nachweis der Identität ist eine Multi-Faktor-Authentifizierung erforderlich;
  • Ändern Sie die Aktionen, die der Benutzer in den Cloud-Anwendungen durchführen kann;
  • Beschränken Sie den Zugang zu sensiblen Daten, z. B. durch Einschränkung von Downloads oder Freigabefunktionen;
  • Zurücksetzen des Passworts erforderlich;
  • Zugang blockieren.
Azure AD-Richtlinie

Der bedingte Zugriff in Azure AD ermöglicht es Ihnen, Ihre "Einsatzregeln" durchzusetzen, indem Sie eine Reihe von Richtlinien definieren, die Bedingungen und Kontrollen festlegen. Sie können Zugriffsebenen für den Mitarbeiter, für ein Gerät oder für die Gruppe festlegen. Der bedingte Zugriff in Azure AD ist ein Knotenpunkt identitätsbasierter Sicherheitsrichtlinien. Diese sollten Sie zuvor festgelegt haben: "kein Zugriff außerhalb des Unternehmensnetzwerks" oder "kein Zugriff von einem persönlichen Gerät"; heute wird die Möglichkeit angeboten, den Zugriff unter Bedingungen zu blockieren oder zu autorisieren.

Die Implementierung eines Zero Trust-Ansatzes mit Azure Active Directory Bedingter Zugriff in Azure AD ermöglicht die Durchsetzung von Sicherheitsrichtlinien, die automatisch ausgelöst werden, wenn bestimmte Bedingungen erfüllt sind. Sie können den Zugriff blockieren, wenn die Kontextdaten vermuten lassen, dass der Benutzer kompromittiert wurde, oder wenn es sehr unwahrscheinlich ist, dass sich der Benutzer unter diesen Bedingungen anmelden sollte. Sie können zusätzliche Authentifizierungsanforderungen anwenden, wenn das System aufgrund der Verbindungsbedingungen ein mittleres Risiko feststellt.

Beachten Sie, dass der bedingte Zugang in Azure AD eine Azure AD-Premium-Funktion ist (P1 oder P2). Alle Benutzer, die auf eine Anwendung oder eine Ressource zugreifen, die durch Richtlinien für bedingten Zugriff eingeschränkt ist, müssen eine Azure AD-Premium-Lizenz besitzen.

BEDINGTER ZUGANG ZUM AKTIVEN VERZEICHNIS DES AZURE: https://docs.microsoft.com/en-us/Azure/active-directory/active-directoryconditional-access

"Niemals vertrauen, immer überprüfen"

Geräteverwaltung mit Azure
Post Views: 7,386
Menü