Guido Grillenmeier

Die Identität ist die neue Sicherheitsgrenze. Jede Lücke in diesem Bereich kann es böswilligen Benutzern ermöglichen, Zugang zu Ihren Anwendungen, Ihren Daten und Ihren Geschäftsabläufen zu erhalten. Für Unternehmen, die sich bei der Bereitstellung von Identitätsdiensten auf Azure Active Directory oder eine hybride Umgebung aus Azure AD und Active Directory vor Ort verlassen, kann die Sicherung hybrider Identitäten eine komplexe und zeitaufwändige Aufgabe sein. Aber es ist eine Aufgabe, die absolut unerlässlich ist.

Insbesondere hybride Umgebungen sind anfällig für Fehler und Fehlkonfigurationen, die Cyberangriffen Tür und Tor öffnen. Und indem sie Ihr Active Directory vor Ort kompromittieren, können Angreifer ihre schmutzige Arbeit auf Azure AD ausweiten oder umgekehrt. Der SolarWinds-Angriff ist ein Paradebeispiel für diese Art von Strategie.

Die Herausforderungen bei der Sicherung hybrider Identitäten unterscheiden sich deutlich von denen in reinen On-Premises-Umgebungen. Wenn Ihre Infrastruktur Azure AD umfasst - und wenn Ihr Unternehmen Microsoft Office 365 nutzt, ist das der Fall -, finden Sie hier die wichtigsten Probleme, vor denen Sie sich schützen müssen.

Seitliche Angriffe aus dem lokalen AD

Cyberkriminelle nutzen häufig Phishing- und Social-Engineering-Angriffe, um anfällige Benutzer anzusprechen und sie dazu zu bringen, sensible Informationen, einschließlich Identitätsdaten, preiszugeben. Die Angriffe auf SolarWinds und Colonial Pipeline veranschaulichen das Risiko. Die Bedrohungsakteure dieser Cyberangriffe erlangten die Herrschaft über das lokale AD, kompromittierten den ADFS-Verbund, um SAML-Tokens zu fälschen, und verschafften sich Zugang zum Azure AD.

Was Sie tun können, um Angreifer bei der Sicherung hybrider Identitäten zu vereiteln

Erstens und am offensichtlichsten: Setzen Sie MFA durch. Gestohlene Identitätsnachweise sind eines der gefährlichsten Werkzeuge von Cyberangreifern, und die Verwendung dieser Nachweise kann lange Zeit unentdeckt bleiben. Nicht alle Überwachungssysteme zeigen ungewöhnliche Kontoaktivitäten an, so dass diese zusätzliche Schutzebene wichtig ist.

Zweitens sollten Sie sich darüber im Klaren sein, dass ein modernes hybrides Identitätsmanagement zusätzliche Sicherheitskontrollen erfordert, die über die in einer herkömmlichen ADFS-Bereitstellung verfügbaren hinausgehen. Die Aufrechterhaltung der für den Betrieb von ADFS erforderlichen Infrastruktur birgt ihre eigenen Risiken, z. B. verpasste Patches, veraltete Hardware usw.

Ziehen Sie stattdessen die AD Pass-through-Authentifizierung in Betracht, die die Verwendung desselben Passworts für die Anmeldung bei lokalen und Cloud-Anwendungen ermöglicht. Dieser Ansatz verwendet ein Modell, das nur ausgehende Verbindungen zulässt, und eine zertifikatsbasierte Authentifizierung, um den Authentifizierungsprozess an das lokale Active Directory zu delegieren, was eine sicherere Alternative zu ADFS darstellt. Sie können die AD-Pass-Through-Authentifizierung auch in andere Azure AD-Sicherheitsmaßnahmen integrieren, um sich gegen Infiltrationen und den Diebstahl von Anmeldeinformationen zu schützen. Und Sie können AD-Kennwort-Hashes mit Azure AD synchronisieren.

Sie könnten auch Azure AD Application Proxy in Erwägung ziehen, das Azure AD-Anmeldeinformationen verwendet, um einen sicheren Fernzugriff auf Anwendungen zu konfigurieren, die vor Ort gehostet werden, und das dieselbe Benutzererfahrung wie jede in Azure AD integrierte Anwendung bietet.

Unübersichtliche Konfiguration und Komplexität

Hybrider Identitätsschutz erschwert Ihre Arbeit - ganz gleich, ob Sie AD-Administrator, Identitätsprofi oder Sicherheitsexperte sind. Die Bedrohungen entwickeln sich ständig weiter und der Schutz des Zugriffs auf Ihre Tier 0-Ressourcen - einschließlich AD und Azure AD - ist eine zeitraubende Aufgabe. Wenn Sie diese Aufgabe vernachlässigen, kann es leicht passieren, dass Sie diese Zeit mit der Wiederherstellung von AD nach einem Cyberangriff verbringen.

Die Verwendung von Azure AD für die Authentifizierung von Drittanbieteranwendungen erhöht die Komplexität des Sicherheitsmodells. In einigen Fällen können diese Anwendungen Daten aus Azure AD lesen und speichern, wodurch sich Ihr Risikobereich erweitert und die Datensicherheit von der Drittanbieteranwendung abhängt, mit der Azure AD integriert ist.

Eine weitere mögliche Schwachstelle ist der Umfang der Berechtigungen, die Anwendungen in Azure AD erteilt werden. Wenn Sie die Berechtigungseinstellungen nicht sorgfältig überprüfen, bevor Sie den Zugriff gewähren, könnten diese Anwendungen am Ende mehr Berechtigungen in Azure AD haben, als sie benötigen. Dieses mögliche Versehen erhöht das Risiko, dass Anwendungen Änderungen im AD-Tenant vornehmen.

Und Sicherheitsmaßnahmen wie MFA funktionieren möglicherweise bei einigen Apps nicht, so dass sie von den Sicherheitskontrollen abhängig sind, die die App bieten kann.

Was Sie tun können, um den Zugang zu verschärfen

Diese potenzielle Sicherheitslücke erfordert eine strenge Governance und regelmäßige Audits der App-Berechtigungen, um zu verstehen, wo zusätzliche Einschränkungen implementiert werden müssen. Verbinden Sie alle losen Enden und stellen Sie sicher, dass Sie die richtigen Rollen in Azure AD aktiviert haben, überprüfen Sie die Einstellungen für App-Berechtigungen und verschärfen Sie die App-Sicherheitskonfigurationen, und fügen Sie Leitplanken wie MFA hinzu.

Bewerten Sie auch die Art und Weise, wie Sie RBAC verwalten. Die Zuweisung von Rollen in Azure AD unterscheidet sich von der traditionellen AD-Zugriffsverwaltung. Überlegen Sie daher sorgfältig, wie Rollen definiert und Berechtigungen erteilt werden.

Bei der Sicherung hybrider Identitäten ist es wichtig, das Prinzip der geringsten Privilegien zu befolgen. Fügen Sie Konten, die Sie von On-Prem AD nach Azure AD synchronisiert haben, nicht in eine privilegierte RBAC-Rolle wie Global Administrators ein. Reservieren Sie diese hochprivilegierten Rollen für native Azure AD-Konten. Sie können auch Verwaltungseinheiten in Ihrem Azure AD-Tenant erstellen. Diese Funktion ermöglicht es Ihnen, die Objekte einzuschränken, die IT-Teammitglieder über eine bestimmte RBAC-Rolle verwalten können, und unterstützt so das Prinzip der geringsten Rechte.

Fehlkonfigurationen und andere Sicherheitsschwachstellen

Fehlkonfigurationen und Sicherheitsschwachstellen im Zusammenhang mit Ihrer Identitätsmanagementlösung bieten Zugangspunkte für Cyberangreifer. Azure AD besteht aus verwalteten Diensten; Microsoft verwaltet die Sicherheit der zugrunde liegenden Infrastruktur in der Cloud. Die Sicherheit Ihrer Daten und der Azure AD-Konfiguration liegt jedoch in Ihrer Verantwortung.

Während eines Cyberangriffs können Angreifer Benutzer, Gruppen, Rollen, Richtlinien für den bedingten Zugriff usw. ändern oder löschen. Wenn Sie nicht über einen geeigneten Wiederherstellungsplan verfügen, könnte dies verheerende und lang anhaltende Auswirkungen haben. Es gibt nur wenige systemeigene Kontrollen, um Daten oder Konfigurationen in Azure AD vor dem Überschreiben während eines Angriffs zu schützen.

Was Sie tun können, um die Sicherung der hybriden Identität weniger kompliziert zu machen

Der Azure AD-Papierkorb bietet eine Funktion zum sanften Löschen, mit der Sie gelöschte Benutzer wiederherstellen können. Diese Funktion verfügt jedoch nur über minimale Fähigkeiten, um etwas wiederherzustellen, das über ein 30-Tage-Fenster hinausgeht.

Andere Formen der Kompromittierung können schwer zu erkennen und abzuschwächen sein, insbesondere wenn Angreifer seitlich von On-Premise AD in die Cloud wechseln. Zusätzlich zu den nativen Sicherheitsmaßnahmen sollten IT-Verantwortliche Tools mit fortschrittlichen Funktionen prüfen, die Ihnen helfen, Angriffe zu verfolgen, die sich seitlich über hybride Umgebungen ausbreiten könnten. Funktionen zur Nachverfolgung von Änderungen und zur automatischen Behebung können vor gestohlenen Anmeldeinformationen und böswilligen Insidern schützen. Und verfügen Sie immer über einen proaktiven, getesteten Wiederherstellungsplan für Active Directory und Azure AD.

Mehr erfahren

Weitere Informationen zur Sicherung hybrider Identitäten finden Sie in diesen Ressourcen.