Doug Davis

Es ist leicht zu verstehen, warum Unternehmen zu einem hybriden Identitätsmanagementmodell tendieren, das das Beste aus beiden Welten verspricht - ein bisschen in der Cloud und ein bisschen vor Ort. In einer Active Directory-zentrierten Umgebung bedeutet die Nutzung der Cloud die Integration mit Azure Active Directory.

Azure Active Directory (AAD) wurde schließlich mit Blick auf SaaS-Anwendungen entwickelt und bietet Single Sign-On und Zugriffskontrolle. Mit der zunehmenden Verbreitung der Cloud wird die Fähigkeit, sowohl den lokalen als auch den Cloud-Zugang zu verwalten, zu einer geschäftlichen Notwendigkeit. Notwendigkeit. LWenn Sie AAD zusammen mit Active Directory (AD) einsetzen, wird hybrides Identitätsmanagement zur Realität.

Wie bei allem in der IT gilt jedoch auch hier die Devise: Erst schauen, dann springen.

Verwandte Lektüre

Monumental ändern mit dem Wechsel in die Cloud

Die Verlagerung eines beliebigen Teils eines IT-Betriebs in die Cloud erfordert eine Anpassung. Bei der Benutzerauthentifizierung ist das nicht anders. Von einem konzeptionellen Standpunkt aus müssen Unternehmen drei wichtige Punkte berücksichtigen.

1. Ein neues Authentifizierungsmodell

Nach 20 Jahren einseitiger Identitätsverwaltung ist die Hinzufügung von AAD zu diesem Mix wird eine kritische Anpassung. Der Übergang von der ausschließlichen Verwendung von AD vor Ort zur Ausweitung der Authentifizierung in der Cloud erfordert eine andere Denkweise und einen anderen Ansatz. In AAD gibt es keine Organisationseinheiten oder Forests und keine Gruppenrichtlinienobjekte. Konzepte (und Kampfnarben) zur Sicherung der Identitäten in AD gelten in AAD nicht mehr.

Viele Administratoren glauben anfangs, dass die Sicherung von AAD der Sicherung von AD ähnelt, was nicht der Fall ist. And Sie vielleicht AAD bereits verwenden, ohne viel darüber nachzudenken. Wenn Ihr Unternehmen eine Microsoft cloud-Dienste wie Office 365 nutzt, dann wird AAD bereits im Hintergrund verwendet. AAD wird auch stark genutzt, um Verbindungen zu anderen SaaS-Anwendungen herzustellen, die nicht von Microsoft stammen, wie z.B. Salesforce. All diese Faktoren führen zu neuen Überlegungen und Entscheidungen. Sollten Sie z.B. AD und AAD getrennt halten oder sie mit Azure AD Connect zusammenführen? Viele neue Konzepte müssen verstanden werden, damit Sie diese Entscheidungen treffen können und die Sicherheit Ihrer Informationssysteme gewahrt bleibt.

2. Die Ausdehnung des Perimeters

Sobald ein Unternehmen die Cloud nutzt, hört die Vorstellung von der traditionellen Netzwerkgrenze auf zu existieren. Für IT-Administratoren, die die letzten zwei Jahrzehnte damit verbracht haben, AD vor Ort zu betreiben, ist diese Vorstellung eine enorme Umstellung. In einer hybriden Identitätsumgebung müssen Unternehmen nun müssen darauf vorbereitet sein, sich gegen eine endlose Reihe möglicher Angriffspunkte zu schützen.

3. Radikale Änderungen des Genehmigungsmodells

Die Umstellung auf AAD verändert auch drastisch das Berechtigungsmodell, das Unternehmen brauchen sichern müssen. Vor Ort ist es relativ einfach zu kontrollieren, wer physischen Zugang zu den Domänencontrollern hat, und die allgemeinen Zugangspunkte zur Verwaltung sind gut definiert und dokumentiert. In einer hybriden AD-Umgebung werden die Identitäten jetzt auch in der Cloud gespeichert, anfällig für Ausbeutung durch jeder, der Zugang zum Internet hat. Plötzlich haben es Administratoren mit einem von Natur aus offenen Modell für erste Zugriffsverbindungen zu tun, das-in Verbindung mit der größeren Anzahl von Diensten, Rollen und Berechtigungen, die erforderlich sind-einen erheblichen Einfluss auf das Risiko hat.

Microsoft hat aktiv versucht, Schulungsmaterial bereitzustellen, um Unternehmen auf die Veränderungen vorzubereiten, die die Einführung von AAD mit sich bringt. Viele IT-Organisationen sind sich jedoch immer noch nicht im Klaren darüber, welche Auswirkungen das hybride Identitätsmanagement hat. Da immer mehr Unternehmen einen hybriden Ansatz verfolgen, haben Angreifer erweitert ihren Modus Operandi entsprechend erweitert.

Im September 2020stellten die Forscher von Mandiant (FireEye) eine Zunahme von Vorfällen fest, die Microsoft 365 und Azure Active Directory betrafen. Dabei handelte es sich meist um Phishing-E-Mails, die die Opfer dazu verleiten sollten, ihre Office 365-Anmeldedaten auf einer Phishing-Seite einzugeben. Die Forscher von Mandiant beobachteten außerdem, dass Angreifer ein PowerShell-Modul namens AADInternalsdas es Angreifern ermöglicht, aus der lokalen Umgebung in AAD einzudringen, Hintertüren zu schaffen, Passwörter zu stehlen und andere bösartige Aktionen durchzuführen. Diese Bedrohungen werden mit dem exponentiellen Wachstum des Interesses an Azure und Office 365 weiter zunehmen.

Berechtigungen, pErlaubnisse, pErlaubnisse

Von den drei oben genannten Themen geht das mit Abstand größte Sicherheitsrisiko von den Änderungen am Berechtigungsmodell aus. Es gibt eine Vielzahl von Diensten, die verfügbar sind, wenn Unternehmen zu einer hybriden Identitätsumgebung wechseln. Anstelle einer genau definierten Reihe von administrativen Gruppen in Active Directory haben Sie jetzt Rollen in Azure AD, die Ihnen nicht vertraut sein werden. Sie können diese Liste von Rollen hier. Jede Rolle hat eine lange Liste von zugewiesenen Berechtigungen. Es ist schwer, die jeder Rolle zugewiesenen Berechtigungen nur anhand der Beschreibung zu verstehen, aber viele haben ein hohes Maß an Zugriff, das nicht offensichtlich ist.

Wenn Sie einen SaaS-Dienst mit AAD verknüpfen, was wahrscheinlich der Grund dafür ist, dass Sie AAD in den Mix aufgenommen haben, kommen weitere Berechtigungsmodelle hinzu, die verwaltet werden müssen. Microsoft Teams zum Beispiel nutzt die SharePoint-Integration am Backend Ende. Mit den falschen Konfigurationen kann das Hinzufügen eines Gastes zu Teamsönnte eine Situation entstehen, in der dieser neue Benutzer nun Zugriff auf Dateien hat, die auf SharePoint for Teams gespeichert sind. Folks könnte nicht bewusst sein dass diese Dateien sind. jetzt für Gastbenutzer verfügbar sind, die nur für einen kurzen Chat zu ihrem Kanal hinzugefügt wurden. Darüber hinaus wird durch die Möglichkeit, Apps in Teams hinzuzufügen, das Berechtigungsmodell auf diese Tools von Drittanbietern ausgeweitet. Dies ist nur ein Beispiel für die Matrix komplexer Probleme für jeden über AAD verwalteten Dienst.

Tatsächlich ist die Überwachung der Berechtigungen von Drittanbieter-Apps von entscheidender Bedeutung und ein Bereich, der bei den meisten AAD-Implementierungen nicht ausreichend berücksichtigt wird. Diese Berechtigungsanfragen lösen ein einmaliges Popup-Fenster aus, in dem die Berechtigungen aufgelistet sind, die die App benötigt. Diese Listen können sehr umfangreich sein und sollten vor der Annahme sorgfältig geprüft werden, was jedoch nur selten geschieht.

Organisationen können auchöglicherweise mit diesen beiden neuen Szenarien konfrontiert werden, die im Zusammenhang mit Berechtigungen in einem Sicherheitskontext verstanden werden müssen:

  • Tools von Drittanbietern, die Daten aus Azure AD abrufen und in ihrer eigenen Datenbank speichern. Eine in Azure AD registrierte Anwendung, die es einem CRM-System ermöglicht, Benutzerprofile zu lesen oder hat andere Leseberechtigungen hat hat die Möglichkeit Daten für sich selbst abzurufen und zu speichern. Sobald die Daten aus Azure AD entnommen werden, befinden sie sich in einer externen Datenbank, so dass sich das Unternehmen auf den Sicherheitsrahmen des Drittanbieter-Tools verlassen muss.
  • Tools von Drittanbietern mit Schreibzugriff, die Änderungen innerhalb ihres Tools vornehmen können. In diesem Fall wird die erforderliche Authentifizierung, um Änderungen im Tenant vorzunehmen, von Azure AD auf die Kontrollen des Drittanbieter-Tools übertragen. Ein Benutzer kannöglicherweise kann sich ohne Multifaktor-Authentifizierung bei dem Tool anmelden, da es kein Single Sign-On (SSO) unterstützt. Stattdessen fungiert die Anwendung als Berechtigungs-Proxy, der die Aktion in seinem Namen durchführt, ohne dass einige der normalerweise erforderlichen Prüfungen durchgeführt werden.

IT-Organisationen sollten unbedingt in Betracht ziehen, die Genehmigung von Anwendungen einzuschränken. oder, zumindest einschränken, dasse klare Vorgaben machen, welche Berechtigungen als angemessen betrachtet werden sollten. Ein hybrider Identitätsansatz erfordert ein viel breiteres Berechtigungsmodell. Um dies effektiv zu tun, müssen Unternehmen eine strenge Kontrolle darüber einrichten, welche Anwendungen aktiviert werden und welche Zugriffsrechte sie erhalten.

Verstehen Sie das Risiko der hybriden Identitätsverwaltung

Unabhängig davon, ob die Authentifizierung in der Cloud, vor Ort oder in beiden Umgebungen durchgeführt wird, muss die Sicherheit immer an erster Stelle stehen. Auch wenn die Verwaltung von Identitäten in einer hybriden Umgebung so einfach erscheint wie das Verbinden eines Windows-Geräts mit AAD, öffnet die Nichtberücksichtigung von Änderungen in der Risikolandschaft zu berücksichtigen, öffnet die Tür für Probleme, die in der Zukunft Kopfschmerzen bereiten können. Wissen ist immer Ihre erste Verteidigungslinie, aber die Menge an Dokumentation, die erforderlich ist, um die Sicherheit in AAD vollständig zu verstehen, ist entmutigend. Native Tools oder Tools von Drittanbietern, die dieses Verständnis automatisieren und die Komplexität der Sicherheit reduzieren, tragen dazu bei, das Sicherheitsrisiko während und nach der Einführung Ihrer hybriden Umgebung zu senken.