ADMIN

2022

11

2022-10-27T12:00:00

Software-definierte Infrastrukturen

PRAXIS

040

Sicherheit

Zugriffsberechtigung

Microsoft Entra

Alle unter einem Hut

von Thomas Joos

Veröffentlicht in Ausgabe 11/2022 - PRAXIS

Mit Microsoft Entra stellt Microsoft eine neue Produktfamilie vor, die Identitäts- und Zugriffsberechtigungen zusammenfasst und die eine unternehmensweite Verwaltung von Identitäten ermöglichen soll. Im Fokus steht dabei die Automatisierung in Sachen Identitäten, deren Berechtigungen in der Cloud sowie das Monitoring.

Microsofts Vorstellung von Entra [1] liest sich so, als ob Redmond einen zentralen Dienst für die Verwaltung von Identitäten bieten möchte – sozusagen ein Meta-Werkzeug, das auch für andere Clouddienste zum Einsatz kommen soll. Im Fokus steht das komplette Lifecycle-Management von Identitäten und auch die Möglichkeit, automatisiert Registrierungen vorzunehmen – zum Teil auch ohne Kennwort.
Unter Identitäten sind Objekte zu verstehen, die aus Benutzernamen, Kennwörter und Berechtigungen bestehen. Dabei kann es sich um Benutzerkonten handeln, aber auch um Dienste oder Geräte. Im Fokus steht dabei die Authentifizierung von Clouddiensten in Microsoft Azure, AWS und Google Cloud Platform.
Entra verwaltet Identitäten
Die Antwort auf diese Anforderungen und Gefahren will Microsoft mit der neuen Produktfamilie Entra geben. Probleme, die sich aus Datenschutzverletzungen durch fehlerhaft oder unvollständig konfigurierte Sicherheits- und Identity-Tools ergeben, will Entra durch automatisierte Schutzmechanismen und KI-Unterstützung umgehen. Dazu kommen Richtlinien, Dashboards und ein Admin Center, über das Admins alle Komponenten von Entra zentral verwalten.
Microsofts Vorstellung von Entra [1] liest sich so, als ob Redmond einen zentralen Dienst für die Verwaltung von Identitäten bieten möchte – sozusagen ein Meta-Werkzeug, das auch für andere Clouddienste zum Einsatz kommen soll. Im Fokus steht das komplette Lifecycle-Management von Identitäten und auch die Möglichkeit, automatisiert Registrierungen vorzunehmen – zum Teil auch ohne Kennwort.
Unter Identitäten sind Objekte zu verstehen, die aus Benutzernamen, Kennwörter und Berechtigungen bestehen. Dabei kann es sich um Benutzerkonten handeln, aber auch um Dienste oder Geräte. Im Fokus steht dabei die Authentifizierung von Clouddiensten in Microsoft Azure, AWS und Google Cloud Platform.
Entra verwaltet Identitäten
Die Antwort auf diese Anforderungen und Gefahren will Microsoft mit der neuen Produktfamilie Entra geben. Probleme, die sich aus Datenschutzverletzungen durch fehlerhaft oder unvollständig konfigurierte Sicherheits- und Identity-Tools ergeben, will Entra durch automatisierte Schutzmechanismen und KI-Unterstützung umgehen. Dazu kommen Richtlinien, Dashboards und ein Admin Center, über das Admins alle Komponenten von Entra zentral verwalten.
Das Azure Active Directory (AAD) ist der wichtigste Teil des neuen Systems und stellt die Basis für die Authentifizierung in der Cloud und hybriden Netzwerken dar. Auf Basis des Azure AD erfolgt der Schutz der Identitäten. Parallel dazu steht Azure AD weiterhin auch ohne Entra-Funktionalitäten zur Verfügung. Die verschiedenen AAD-Sicherheitsfunktionen wie zum Beispiel Conditional Access oder die kennwortlose Anmeldung bleiben erhalten und lassen sich auch unter dem neuen Dach weiternutzen. Microsoft hat die Möglichkeiten von Azure AD sogar deutlich erweitert.
Aufgebohrtes Azure AD in Entra
Im Azure AD laufen alle Anmeldeinformationen und die Verwaltung der Benutzeridentitäten zusammen. Daher gehört der Cloud-Verzeichnisdienst jetzt zur neuen Produktfamilie, inklusive aller Funktionen, die er ohnehin bietet. Aktuell ist Azure AD das Zugpferd von Entra, denn die anderen Dienste sind zumindest derzeit noch nicht bekannt genug, um Unternehmen zu bewegen, den Dienst zu buchen.
Doch schon das Azure AD allein bietet zahlreiche Einsatzgebiete. Denn es erhält Verbesserungen und Erweiterungen. Nach der Integration in Entra können Sie in Azure AD auch Workload-Identitäten verwalten. Dadurch ist es möglich, alle Apps und Ressourcen, die in Azure zur Verfügung gestellt werden, zu schützen. Sie können mit dem Workload-Identitätsmanagement in Azure AD Identitäten für jede in Azure gehostete Anwendung oder jeden Dienst zuweisen und sichern, indem sie die Reichweite der Zugriffskontrolle vergrößern. Workload-Identitäten werden normalerweise Apps oder Diensten zugewiesen, die auf andere Dienste zugreifen und mit diesen kommunizieren müssen. Die Verwaltung dieser Identitäten dient dem Schutz, indem Sie Zugriffsrichtlinien festlegen, Berechtigungen erteilen und die Risiken analysieren. Hier arbeitet der Dienst auch mit Conditional Access zusammen, um den Zugriff auf Ressourcen zu steuern.
Mit der Verwaltung der Workload-Identitäten im AAD ist es auch möglich, kompromittierte Identitäten zu erkennen. Diese sind besonders häufig Angriffsziel von Hackern. In nahezu allen Fällen von erfolgreichen Attacken müssen Angreifer überhaupt nichts hacken, sie melden sich einfach an. Ohne Identitätsrisikomanagement (Identity Risk Management) sind solche Angriffe nahezu unentdeckbar.
 Mimikatz ist zum Beispiel ein Tool, um Kerberos-Tickets und unverschlüsselte Passwort-Hashes sowie entschlüsselte Passwörter aus dem Arbeitsspeicher eines Systems auszulesen. Das gilt auch bei der Anbindung an Clouddiensten. Zusammen mit LaZagne und Bloodhound findet Mimikatz schnell einen Weg, um an Kennwörter oder funktionierende Kerberos-Tickets von privilegierten Konten zu kommen. Dienstkonten sind in diesem Szenario ein häufiges Opfer. Diese Konten sind in vielen Fällen mit weitreichenden Rechten ausgestattet und gleichzeitig selten unter vollständiger Überwachung. Genau solche Szenarien will die Verwaltung von Workload-Identitäten verhindern, indem sie deren kompletten Lebenszyklus verwaltet und überwacht.
Bild 1: Die zentrale Verwaltung von Entra geschieht in dessen Admin Center.
Schutz vor überhöhten Rechten
Das Permission Management ist ein weiterer Bestandteil von Entra. Dabei handelt es sich um den Nachfolger von "CloudKnox Permissions Management". Dieses Produkt des von Microsoft im Juni 2021 übernommenen Unternehmens CloudKnox Security ermöglicht innerhalb von Entra Funktionen rund um das Cloud Infrastructure Entitlement Management (CIEM). Einfach ausgedrückt lassen sich damit die Risiken von überhöhten Rechten bei Anwendern in der Cloud im Griff behalten und im Bedarf Berechtigungen einschränken, wenn diese für den jeweiligen Benutzer nicht notwendig sind. Das Werkzeug kann die Durchsetzung der Least Privilege Policy automatisieren. Das funktioniert nicht nur mit Azure AD, sondern auch mit AWS und der Google Cloud Platform.
Dazu analysiert das Permission Management die Verwendung von Berechtigungen dauerhaft und schränkt diese im Bedarfsfall ein, wenn sie nicht notwendig sind. Sind die erhöhten Rechte für bestimmte Einsätze oder Aktionen dann doch kurzfristig notwendig, kann ein Benutzer die Zuweisung in einem Self-Service-Portal anfragen und erhält diese danach auf Basis der hinterlegten Regeln automatisch zugeteilt. Im Anschluss erlöschen diese Rechte wieder, sodass Angreifer diese nicht nutzen können. Diese Berechtigungsver- waltung ist nicht nur für Azure einsetzbar, sondern auch in hybriden Netzwerken und Multicloud-Strukturen.
Im Rahmen der Analyse von Berechtigungen erkennt das Permission Management durch KI-Technologien Anomalien und verhindert den Missbrauch von Berechtigungen automatisch. Darüber informiert diese Entra-Komponente via Benachrichtigungen den IT-Verantwortlichen. Darüber hinaus erstellt das Permission Management Berichte und Analyse zusammen, aus denen die Risiken überhöhter Rechte aus der Umgebung hervorgehen, die es ebenfalls automatisiert per E-Mail versendet. Dadurch haben Admins ständig die Berechtigungen der kompletten Umgebung im Blick und das System verwaltet sich auf Anforderung sogar selbst.
Microsoft integriert diese Technik zusätzlich mit Defender for Cloud. Die Techniken greifen ineinander, um den Schutz von Benutzerdaten zu erhöhen und damit auch ganze Infrastrukturen zu schützen. Defender für Cloud ist ein Werkzeug für Cloud Security Posture Management und Cloud Workload Protection Platform für alle Azure-, lokalen und Multicloud-Ressourcen. Auch hier lassen sich Dienste und Identitäten von AWS und Google Cloud anbinden.
Bild 2: Die Entra-Berechtigungsverwaltung erlaubt das Management von Multicloud-Umgebungen.
Volle Kontrolle über die Identitäten
Die dritte Säule der neuen Produktfamilie ist Entra Verified ID [4], eine dezentrale Identitätslösung, die in Azure AD eingebettet ist. Verified ID ermöglicht innerhalb der Entra-Familie vor allem das Registrieren und schnelle Onboarden von neuen Benutzern. Dazu unterstützt das Tool dezentrale Identitätsstandards, die vor allem bei der Selbstverwaltung eine Rolle spielen. Microsoft arbeitet dazu eng mit der Gemeinschaft der Decentralized Identifiers (DIDs) zusammen.
Der Dienst ermöglicht Anwendern, eine zentrale ID anzulegen und diese für verschiedene Dienste zu nutzen. Welche Dienste Zugriff auf die einzelnen Daten der ID erhalten, bestimmen Anwender und Organisation, zu der die ID gehört. Zu den geschäftlichen Anwendungsfällen für dezentralisierte Identitäten gehören das Durchführen von Hintergrundprüfungen, das Verwalten von Gesundheitsdaten und effizientere und sicherere Transaktionen zwischen Unternehmen und Verbrauchern.
Die Benutzer könnten ihre Identitäten weitgehend selbst verwalten. Vor allem in den Bereichen Home Office, Remote Arbeit und mobilen Mitarbeitern ist es wichtig, dass die Registrierung neuer Arbeitskräfte schneller, einfacher und sicherer wird. Dabei soll Verified ID helfen, indem er die Registrierung neuer Anwender von überall auf der Welt ermöglicht, was die Einbindung sehr flexibel gestaltet.
Bild 3: Die Identitätssicherheitsbewertung liefert eine prozentuale Bewertung der Umgebung.
Gleichzeitig verbessert Verified ID den Datenschutz, da das Onboarding automatisiert durch neue Mitarbeiter auf Basis von Regeln selbst erfolgen kann und Benutzer selbst steuern, welche Daten sie für die verschiedenen Zwecke freigeben. Damit ist es möglich, Identitätsnachweise von Bewerbern automatisch mit den Arbeitsanforderungen abzugleichen. Ausweise für neue Mitarbeiter können Sie in Zukunft in schneller ausstellen und Berechtigungen zuweisen. Neue Mitarbeiter erhalten dadurch sofort die notwendigen Berechtigungen. Die Aufgabe von Verified ID besteht vor allem darin, dass ein Benutzer klar darlegt, dass es sich um ihn handelt und keinen Angreifer. Das System ist auch zur Verifizierung von Zeitarbeitern nutzbar und um Berechtigungsnachweise von Partnern, Auftragnehmern und Angestellten automatisiert auszustellen.
Vor allem für die Sicherheit von Identitäten ist die Identity Governance in Entra gedacht. Hier geht es darum, Gastkonten anzulegen und Berechtigungen so zu verwalten, dass neue Benutzer über genügend, aber nicht über zu viele Rechte verfügen. Dazu kommt die Anforderung, dass neue Konten schnell zur Verfügung stehen sollen und Anwender auch in kurzer Zeit die notwendigen Berechtigungen erhalten sollen. Auch bei der Zusammenarbeit mit Partnerunternehmen oder Lieferanten spielt Identity Governance eine wesentliche Rolle. Scheidet ein Mitarbeiter aus oder wechselt seine Rolle im Unternehmen, kommt es oft zu fehlerhaften Berechtigungen und der Mitarbeiter hat nach dem Wechsel mehr Rechte, als er eigentlich für seine neue Rolle benötigt.
Mit Identity Governance in Entra ist diese Herausforderung kontrollierbar. Die Komponente umfasst ein Identity Lifecycle Management, mit dem sich das Onboarding deutlich vereinfachen lässt. Im Rahmen der Verwaltung lassen sich Lebenszyklus-Workflows definieren, mit denen Benutzerrechte zugewiesen, verwaltet und auch jederzeit wieder entzogen werden können. Während des ganzen Lebenszyklus erfolgt eine Überwachung der Identitäten.
Link-Codes
[3] Identity Defined Security Alliance: https://www.idsalliance.org/
Lizenzierung und Kosten
Entra lässt sich bis zu 90 Tage kostenlos testen, in den meisten Fällen stehen für die drei Komponenten bis zu 100 Lizenzen bereit. Die letztendliche Preisgestaltung ist noch nicht umfassend veröffentlicht. Auf jeden Fall werden AAD und Verified ID pro Benutzer und Monat und CloudKnox Permissions Management pro Cloudressource und Monat abgerechnet.
Die Verwaltung der Komponenten erfolgt im Entra Admin Center, das über die URL "https://entra.microsoft.com" erreichbar ist. Die Anmeldung erfolgt mit einem Admin-Konto aus dem Azure AD. Im Admin Center steht das Permission Management über den Menüpunkt "Berechtigungsverwaltung" zur Verfügung und Verified ID lässt sich über "Überprüfte ID" aufrufen.
Über das Admin Center erreichen Sie auch das Azure AD inklusive der via Entra erweiterten Funktionen. Über "Overview" oder "Übersicht" sind im Center bei "Azure Active Directory" die wichtigsten Informationen zu den verbundenen Verzeichnissen zu finden. Hier blendet Entra Informationen und Menüpunkte der neuen Funktionen von Azure AD ein. Zusätzlich finden Sie hier die Sicherheit der Identitäten über eine Identitätsbewertung. Im Bereich "Overview" lassen sich bei "Überwachung" die Benutzeranmeldungen anzeigen und verdächtige Aktionen identifizieren. Hier fließen Informationen der anderen Dienste von Entra mit ein.
Die Benutzer in der Umgebung sind bei "Users" zu finden. In diesem Bereich konfigurieren Sie die Sicherheitseinstellungen der Benutzer und sichern diese mit den Schutzfunktionen von Entra ab. Gleichzeitig sehen Sie die zahlreichen Attribute der Benutzer. Damit kann die Verwaltung der Benutzerkonten direkt im Admin Center erfolgen. Sind weitergehende Konfigurationen im Rahmen der Verwendung von Entra-Komponenten notwendig, richten Sie diese ebenfalls hier ein.
Fazit
Entra ist Microsofts Antwort auf die Herausforderungen, die mit der wachsenden Anzahl an Identitäten in Unternehmen einhergehen: Diese schneller und einfacher anzulegen und sie zu schützen. Das Permission Management und Entra Verified ID erweitern das Azure AD deutlich und bieten Unternehmen zentrale Dienste, um ihre Identitäten umfassend zu verwalten und in hybriden oder Multicloud-Umgebungen für mehr Sicherheit und eine effektivere Verwaltung der Benutzer zu sorgen. Die Komponenten von Entra arbeiten dazu auch mit AWS und GCP zusammen, sodass Azure AD auch hier zu einem zentralen Element der Authentifizierung und Absicherung von Benutzern werden kann.
Auf der anderen Seite sind die Beschreibungen vieler Funktionen derzeit noch etwas abstrakt, da ohne konkrete Beispiele für den Einsatz vieles eher theoretischer Natur ist. Da aber Azure AD Bestandteil von Entra ist, wird Microsoft in Zukunft sicher weitere neue Funktionen implementieren.
(jp)