Haben Sie sich schon gefragt, wo Sie mit dem Schutz der Microsoft Cloud beginnen sollen? Eine effektive Herangehensweise ist es, bei der neu benannten Eingangspforte zur Microsoft Cloud anzufangen – nämlich bei Entra.
Dort findet sich der «bedingte Zugriff» (Conditional Access) als zentrales Element. Damit werden unter anderem die Zugriffe auf berechtigte Personen, Geräte und Plattformen beschränkt und mittels Kontrollen (grant controls) zusätzliche Schutzmassnahmen erzwungen. Somit kann die Angriffsfläche sowie die Erfolgsquote von Angreifern gesenkt werden. Die Azure und M365 Umgebungen sollen einen End-zu-End aufweisen, damit jedes Unternehmen gegen Angriffe gewappnet ist. Dabei wird von Microsoft empfohlen, Zero Trust umzusetzen. Dafür bietet Microsoft eine Vielzahl von Einstellungen und Zusatzprodukten an. Daher ist die Auswahl, wo man beginnen soll, nicht ganz leicht.
Inhaltsverzeichnis
Überlegungen zum Aufbau von Azure Conditional Access
Für den erfolgreichen Aufbau von Azure Conditional Access muss Klarheit darüber geschaffen werden, welches die schützenswertesten Daten und Dienste sind. Es gibt in Azure viele Rollen welche ein Unternehmen einsetzen könnte. Daher sollte die Wahl der Rollen in einem Rollenkonzept festhalten werden. Daraus ergibt sich, welche dieser Administratoren und speziellen Accounts wichtig zu schützen sind. Weiter sollte über Funktionen oder Applikationen bekannt sein, wo sensible Informationen angezeigt oder verändert werden. Müssen alle Mitarbeitenden aus der ganzen Welt auf den Azure Tenant zugreifen können. Es sollte so weit wie möglich eingegrenzt werden, von wo aus die Nutzer auf die Ressourcen zugreifen können. Verwendet Ihr Unternehmen auch Microsoft Intune, gibt es Optionen, um nur Geräte zuzulassen, die einen bestimmten Mindestsicherheitsstandard erfüllen. Daher ist die Überlegung wichtig, welche Kriterien die Geräte des Unternehmens mindestens erfüllen müssen, um als sicher zu gelten.
Empfehlung der wichtigsten Entra Conditional Access Policies
Aus den Überlegungen im vorangehenden Kapitel lassen sich nun gezielt Regeln erstellen. Conditional Access Policies (CAP) steuern den Zugriff vor dem eigentlichen Zugriff auf die Ressource, direkt nach der Identifizierung des Nutzers beim Eintreten in die Cloud (Entra). Diverse Überlegungen aus dem letzten Kapitel lassen sich in verschiedenen Sicherheitseinstellungen umsetzen. Es ist daher ratsam festzulegen, in welcher Microsoft-Sicherheitskomponenten die gewünschten Schutzziele umgesetzt werden. Empfehlenswert in CAP umzusetzen sind folgende Punkte, abgestuft nach Sicherheitsniveau:
Das Minimum, das in den CAP gefordert werden sollte, ist:
- Die Multi-Faktor-Authentifizierung für alle Konten zu erzwingen, und
- veraltete Authentifizierungsmechanismen (Legacy Authentication) zu blockieren.
Bei einem mittleren Schutzniveau kommen folgende Schutzmassnahmen hinzu:
- Nicht verwendete Plattformen müssen blockiert werden.
- Geräte müssen für den Zugriff minimale Sicherheitsstandards erfüllen? (Compliant Devices).
- Zugriffe müssen geographisch eingeschränkt werden (Whitelist).
- Applikationen (Azure und M365) müssen nach Kritikalität eingestuft und über Kontrollen (grant controls) zusätzlich gesichert werden:
- mögliche Einstufungen:
- Hoch: mindestens zwei oder mehr Kontrollen
- Mittel: zwei Kontrollen
- Tief: keine bis eine Kontrolle
- mögliche Einstufungen:
Für ein hohes Schutzniveau sind folgende zusätzliche Schutzmassnahmen zu ergreifen:
- Die Registrierung oder Änderung von Security-Informationen sollte mit mindestens zwei Kontrollen abgesichert werden.
- Die Registrierung oder Änderung von Geräten sollte mit mindestens zwei Kontrollen abgesichert werden.
- Administratoren oder administrative Funktionen sollten nur über Geräte mit erhöhtem Schutz und einer Identität mit erhöhtem Schutz erfolgen. Diese Zugriffe sollten in den Kontrollen möglichst viele Vorgaben aufweisen. Zusätzlich sollte diese Zugriffe zeitbeschränkt sein.
- Sämtliche CAP unter der Rubrik Allgemeine Richtlinie für bedingten Zugriff sollten in Betracht gezogen werden.
Allgemeine Tipps zur Umsetzung der Conditional Access Policies
Bei einer CAP sollte, wann immer möglich, die Variante mit den wenigsten Ausnahmen gewählt werden. Da bei vielen Regeln gegenseitig Überschneidungen oder Lücken auftreten, sollten über das «What-If»-Tool möglichst viele Szenarien getestet werden. Es gibt auch spezifische Tools für das Testen gewisser Policies, wie zum Beispiel das MFA-Sweep für die Prüfung von Mehr-Faktor-Authentifizierung.
Wer nicht von Grund beginnen möchte, kann sich ein Grundset an Policies über folgenden Blog von Daniel Chronlund holen. Darin gibt es viele interessante Zusatzinformationen für den Umgang mit den CAP z.B. auch bezüglich Infrastruktur als Code.
Bei der Entwicklung der Policies ist es empfehlenswert, diese im Berichtsmodus («report only») zu erstellen. Danach sollte in den Logs oder im «What-If»-Tool geprüft werden, ob alles wie vorgesehen funktioniert, bevor sie eingeschaltet werden. Besonders wichtig ist dies für den administrativen Zugriff, um die Gefahr sich selbst auszusperren zu minimieren.
Microsoft empfiehlt, zwei Notfallkonten (Break Glass Accounts) anzulegen und sie von allen CAP auszunehmen. Dabei sollten die Schutzvorgaben von Microsoft der Notfallkonten eingehalten werden.
Fazit
Die Hauptarbeit bei der Implementierung von bedingtem Zugriff besteht in der Ausarbeitung und Überlegung, welche Identitäten, Daten oder Ressourcen in Azure in welcher Form geschützt werden sollen. Die Empfehlung lautet, mindestens den 4-fachen Aufwand in die Überlegungen zu investieren. Als absolutes Minimum ist für alle Identitäten in der Cloud eine Multi-Faktor-Authentifizierung nötig. Des weiteren sollten Veralteten Authentifizierungsmechanismen abgeschaltet werden. Um die Conditional Access Policies prüfen zu lassen, empfiehlt sich ein gezieltes Configuration Review oder Beratung von einem Penetration Testing Team anzufordern. Wir freuen uns auf Ihre Kontaktaufnahme.
