Azure & Azure AD Security Assessment

 

Azure mit seiner zentralen Identitäts- und Zugriffsverwaltungskomponente (Identity  & Access Management, IAM) von Microsoft [Azure Active Directory (Azure AD)|Link zu Lexikon] findet derzeit große Verbreitung in Deutschland. Dies wird auch durch die Integration in Office 365 stark gefördert. Selbst Firmen, die eigentlich keine Cloud-Infrastruktur nutzen, aber Office 365 einsetzen, verwenden Azure AD, um ihren Nutzern die Möglichkeit zu bieten, sich mit Ihren internen Zugangsdaten bei den Cloud-Diensten anzumelden. Dazu kommt [Azure AD Connect|Link zu Lexikon] zum Einsatz, welches das lokale Active Directory mit Azure AD synchronisiert. Dies bietet den eigenen Nutzern zwar große Vorteile und Vereinfachungen, birgt aber auch Angriffspunkte, die es ohne diese Anbindung nicht gegeben hätte: auf einmal gibt es Zugang zu Portalen im Internet, in denen sich Nutzer mit ihren eigentlich internen Logins anmelden und auf Cloud-Dienste wie Exchange Online, SharePoint oder OneDrive zugreifen können. Viele dieser neuen Angriffspunkte sind nicht auf den ersten Blick ersichtlich. Daher müssen explizit Schutzmaßnahmen konfiguriert werden, um
Angriffe wie Password Spraying oder Credential Stuffing zu verhindern.

Doch bereits die Konfiguration von Azure AD Connect stellt wichtige Fragen in den Raum, die einen maßgeblichen Einfluss auf die Sicherheit von Azure AD und dem angebundenen on-premise AD haben. Soll es Kennworthashsynchronisierung (Password hash synchronization), Passthrough-Authentifizierung oder doch Active Directory-Verbunddienste (Active Directory Federation Services, ADFS) sein? Jedes dieser Features hat seine eigenen Vor- und Nachteile, besonders aus Sicherheitssicht. Wenn Sie sich nicht sicher sind, welches bei Ihnen am sinnvollsten ist, helfen wir mit unserem [Security Consulting|Link] gerne
weiter.

Doch nicht nur Azure AD, auch die Verwaltung von Azure Ressourcen bringt Sicherheitsimplikationen mit sich. Nicht umsonst gibt es vom Center for Internet Security (CIS) einen in Kooperation mit Microsoft erarbeiteten und von Microsoft als wichtigste Sammlung von Best Practices herausgegeben [CIS
Microsoft Azure Foundations Benchmark|Link auf Lexikon], der über 300 Seiten umfasst. NSIDE ATTACK LOGIC GmbH nutzt diesen Benchmark als Basis in einem Azure Security Assessment, um Microsoftempfehlungen mit Ihren jeweiligen Anforderungen zu verbinden und so eine sinnvolle, priorisierte Liste an Sicherheitsmängeln zu erarbeiten. Zusammen mit Erklärungen und detaillierten und konkreten Handlungsempfehlungen hilft Ihnen dies schnell, die Sicherheit Ihrer Cloud-Anbindung zu verbessern und überlegte Entscheidungen zu treffen.