Es ist leicht nachvollziehbar, warum Unternehmen sich zunehmend für ein hybrides Identitätsmanagementmodell entscheiden, das die Vorteile beider Ansätze vereint – einen Teil in der Cloud und einen Teil vor Ort. In einer Active Directory-zentrierten Umgebung bedeutet die Nutzung der Cloud die Integration mit Microsoft Entra ID (früher bekannt als Azure Active Directory).
Entra ID wurde schließlich mit Blick auf SaaS-Anwendungen entwickelt und bietet Single Sign-On und Zugriffskontrolle. Mit der zunehmenden Verbreitung der Cloud wird die Möglichkeit, sowohl den lokalen als auch den Cloud-Zugriff zu verwalten, zu einer geschäftlichen Notwendigkeit. Durch die Nutzung von Entra ID in Verbindung mit Active Directory (AD) wird hybrides Identitätsmanagement realisierbar.
Wie bei allem in der IT gilt jedoch auch hier die Devise: Erst schauen, dann springen.
Verwandte Lektüre
- Active Directory Sicherheit: Top-Risiken und beste Praktiken
- 4 Gründe, um die Wiederherstellbarkeit von Entra ID Ressourcen zu erhöhen
Monumental ändern mit dem Wechsel in die Cloud
Die Verlagerung eines beliebigen Teils eines IT-Betriebs in die Cloud erfordert eine Anpassung. Bei der Benutzerauthentifizierung ist das nicht anders. Von einem konzeptionellen Standpunkt aus müssen Unternehmen drei wichtige Punkte berücksichtigen.
1. Ein neues Authentifizierungsmodell
Nach 20 Jahren der Identitätsverwaltung auf eine bestimmte Art und Weise wird die Einführung von Entra ID eine entscheidende Anpassung sein. Der Übergang von der ausschließlichen Verwendung von lokalem AD zur Erweiterung auf Cloud-Authentifizierung erfordert eine andere Denkweise und Herangehensweise. In Entra ID gibt es keine Organisationseinheiten oder Forests und keine Gruppenrichtlinienobjekte. Konzepte (und Erfahrungen) zur Sicherung von Identitäten in AD gelten in Entra ID nicht mehr.
Viele Administratoren gehen zunächst davon aus, dass die Sicherung von Entra ID ähnlich wie die Sicherung von AD ist, was jedoch nicht der Fall ist. Möglicherweise verwenden Sie Entra ID bereits , ohne sich darüber Gedanken zu machen. Wenn Ihr Unternehmen Microsoft-Clouddienste wie Office 365 nutzt, wird Entra ID bereits im Hintergrund verwendet. Entra ID wird auch in großem Umfang für die Verbindung mit anderen Nicht-Microsoft-SaaS-Anwendungen wie Salesforce genutzt. All diese Faktoren bringen neue Überlegungen und Entscheidungen mit sich. Sollten Sie beispielsweise AD und Entra ID getrennt halten oder sie mit Microsoft Entra Connect zusammenführen? Es müssen viele neue Konzepte verstanden werden, damit Sie diese Entscheidungen treffen können, ohne die Sicherheit Ihrer Informationssysteme zu gefährden.
2. Die Ausdehnung des Perimeters
Sobald ein Unternehmen die Cloud nutzt, hört die Vorstellung von der traditionellen Netzwerkgrenze auf zu existieren. Für IT-Administratoren, die die letzten zwei Jahrzehnte damit verbracht haben, AD vor Ort zu betreiben, ist diese Vorstellung eine enorme Umstellung. In einer hybriden Identitätsumgebung müssen Unternehmen nun müssen darauf vorbereitet sein, sich gegen eine endlose Reihe möglicher Angriffspunkte zu schützen.
3. Radikale Änderungen des Genehmigungsmodells
Der Umstieg auf Entra ID verändert auch das Berechtigungsmodell, das Unternehmen sichern müssen, erheblich. Vor Ort ist es relativ einfach zu kontrollieren, wer physischen Zugriff auf Domänencontroller hat, und die allgemeinen Verwaltungseinstiegspunkte sind klar definiert und dokumentiert. In einer hybriden AD-Umgebung werden Identitäten nun auch in der Cloud gespeichert und sind somit für jeden, der Zugang zum Internet hat, angreifbar. Plötzlich sehen sich Administratoren mit einem von Natur aus offenen Modell für Erstzugriffsverbindungen konfrontiert, das – in Verbindung mit der größeren Anzahl erforderlicher Dienste, Rollen und Berechtigungen – erhebliche Auswirkungen auf das Risiko hat.
Microsoft hat sich aktiv bemüht, Schulungsmaterialien bereitzustellen, um Unternehmen auf die durch die Einführung von Entra ID verursachten Veränderungen vorzubereiten. . Dennoch sind sich viele IT-Organisationen der Auswirkungen des hybriden Identitätsmanagements noch immer nicht vollständig bewusst. Da immer mehr Unternehmen einen hybriden Ansatz verfolgen, haben Angreifer ihre Vorgehensweise entsprechend erweitert.
Im September 2020 stellten Forscher von Mandiant (FireEye) fest, dass sie einen Anstieg von Vorfällen im Zusammenhang mit Microsoft 365 und Entra ID beobachtet hatten, die meist mit Phishing-E-Mails in Verbindung standen, mit denen Opfer dazu verleitet werden sollten, ihre Office 365-Anmeldedaten auf einer Phishing-Website einzugeben. Die Forscher von Mandiant beobachteten außerdem, dass Angreifer ein PowerShell-Modul namens AADInternals einsetzten, mit dem sie von der lokalen Umgebung zu Entra ID wechseln, Hintertüren erstellen, Passwörter stehlen und andere böswillige Aktionen durchführen konnten. Diese Bedrohungen werden mit dem exponentiellen Wachstum des Interesses an Entra ID und Office 365 weiter zunehmen.
Berechtigungen, pErlaubnisse, pErlaubnisse
Von den drei oben genannten Themen stellt die Änderung des Berechtigungsmodells das mit Abstand größte Sicherheitsrisiko dar. Wenn Unternehmen auf eine hybride Identitätsumgebung umsteigen, stehen ihnen eine Vielzahl von Diensten zur Verfügung. Anstelle einer klar definierten Gruppe von Verwaltungsgruppen in Active Directory gibt es nun Rollen in Entra ID, die möglicherweise ungewohnt sind. Diese Liste von Rollen finden Sie hiereinsehen. Jede Rolle verfügt über eine umfangreiche Liste zugewiesener Berechtigungen. Es ist schwierig, die jeder Rolle zugewiesenen Berechtigungen allein anhand der Beschreibung zu verstehen, jedoch verfügen viele über ein hohes Maß an Zugriffsrechten, das nicht offensichtlich ist.
Darüber hinaus führt die Verknüpfung eines beliebigen SaaS-Dienstes mit Entra ID, was wahrscheinlich der Grund für die Hinzufügung von Entra ID hinzugefügt haben, führt zu zusätzlichen Berechtigungsmodellen, die verwaltet werden müssen. Microsoft Teams nutzt beispielsweise die SharePoint-Integration im Backend. Bei falschen Konfigurationen kann das Hinzufügen eines Gastes zu Teams dazu führen, dass dieser neue Benutzer Zugriff auf Dateien erhält, die auf SharePoint für Teams gespeichert sind. Möglicherweise ist den Benutzern nicht bewusst, dass diese Dateien nun auch für Gastbenutzer verfügbar sind, die nur für einen kurzen Chat zu ihrem Kanal hinzugefügt wurden. Darüber hinaus erweitert die Möglichkeit, Apps in Teams hinzuzufügen, das Berechtigungsmodell effektiv auf diese Tools von Drittanbietern. Dies ist nur ein Beispiel für die Vielzahl komplexer Probleme, die bei jedem über Entra ID verwalteten Dienst auftreten können.
Tatsächlich ist die Überwachung der Berechtigungen von Drittanbieter-Apps von entscheidender Bedeutung und ein Bereich, der in den meisten Entra ID-Implementierungen unzureichend verwaltet wird. Implementierungen unzureichend verwaltet wird. Diese Berechtigungsanfragen lösen ein einmaliges Popup-Fenster aus, in dem die von der App benötigten Berechtigungen aufgelistet sind. Diese Listen können sehr lang sein und sollten vor der Annahme sorgfältig geprüft werden, was jedoch selten geschieht.
Organisationen können auchöglicherweise mit diesen beiden neuen Szenarien konfrontiert werden, die im Zusammenhang mit Berechtigungen in einem Sicherheitskontext verstanden werden müssen:
- Drittanbieter-Tools, die Daten aus Entra ID abrufen und in ihrer eigenen Datenbank speichern. Beispielsweise kann eine in Entra ID registrierte Anwendung, die es einem CRM-System ermöglicht, Benutzerprofile zu lesen oder über andere Leseberechtigungen verfügt, Daten für sich selbst abrufen und speichern. Sobald die Daten aus Entra ID abgerufen wurden, werden sie in einer externen Datenbank gespeichert, sodass sich die Organisation auf das Sicherheitsframework des Drittanbieter-Tools verlassen muss.
- Drittanbieter-Tools mit Schreibzugriff, die Änderungen innerhalb ihres Tools vornehmen können. In diesem Fall wird die erforderliche Authentifizierung für Änderungen im Mandanten von Entra ID auf die Kontrollen des Drittanbieter-Tools verlagert. Ein Benutzer kann sich möglicherweise ohne Multi-Faktor-Authentifizierung bei dem Tool anmelden, da es kein Single Sign-On (SSO) unterstützt. Stattdessen fungiert die Anwendung als Berechtigungsproxy, der die Aktion in seinem Namen ausführt, ohne einige der normalerweise erforderlichen Überprüfungen durchzuführen.
IT-Organisationen sollten unbedingt in Betracht ziehen, die Genehmigung von Anwendungen einzuschränken. oder, zumindest einschränken, dasse klare Vorgaben machen, welche Berechtigungen als angemessen betrachtet werden sollten. Ein hybrider Identitätsansatz erfordert ein viel breiteres Berechtigungsmodell. Um dies effektiv zu tun, müssen Unternehmen eine strenge Kontrolle darüber einrichten, welche Anwendungen aktiviert werden und welche Zugriffsrechte sie erhalten.
Verstehen Sie das Risiko der hybriden Identitätsverwaltung
Unabhängig davon, ob die Authentifizierung in der Cloud, vor Ort oder beides erfolgt, muss die Sicherheit stets an erster Stelle stehen. Die Identitätsverwaltung in einer hybriden Umgebung mag so einfach erscheinen wie die Einbindung eines Windows-Geräts in Entra ID, doch wenn Änderungen in der Risikolandschaft nicht berücksichtigt werden, kann dies zu Problemen führen, die in Zukunft Schwierigkeiten verursachen können. Wissen ist immer Ihre erste Verteidigungslinie, aber die Menge an Dokumentation, die erforderlich ist, um die Sicherheit in Entra ID vollständig zu verstehen, ist umfangreich. , ist jedoch enorm. Native oder Drittanbieter-Tools, die dieses Verständnis automatisieren und die Komplexität der Sicherheit reduzieren, tragen dazu bei, das Sicherheitsrisiko während und nach der Einführung Ihrer hybriden Umgebung zu verringern.
