Best Practices für den Weg in die Microsoft-Cloud

Mehr Sicherheit in Azure-Umgebungen

| Autor / Redakteur: Bernhard Lück / Andreas Donner

Acht Best Practices von Palo Alto Networks sollen dabei helfen, Azure-Umgebungen sicherer zu gestalten.
Acht Best Practices von Palo Alto Networks sollen dabei helfen, Azure-Umgebungen sicherer zu gestalten. (Bild: © – momius – stock.adobe.com)

Als natürliche Erweiterung der lokalen Angebote von Microsoft ermöglicht die Azure Cloud seit einigen Jahren die praktische Einrichtung von Hybrid-Cloud-Umgebungen. Was das Thema Security betrifft, gibt es jedoch einige gängige Missverständnisse, weiß Palo Alto Networks.

Wie Palo Alto Networks berichtet, unterliegen Unternehmen oftmals dem Irrtum, dass die gleichen Sicherheitskontrollen, die für AWS oder GCP gelten, auch für Azure gelten. Genau dies sei jedoch nicht der Fall. Nachfolgend nennt das Sicherheitsunternehmen die wichtigsten Herausforderungen sowie bewährte Sicherheitsverfahren, die helfen, Risiken zu minimieren und die Azure-Umgebung wesentlich sicherer zu gestalten.

1. Sichtbarkeit

Untersuchungen von Palo Alto Networks zufolge beträgt die durchschnittliche Lebensdauer einer Cloud-Ressource zwei Stunden und sieben Minuten. Viele Unternehmen verfügen über Umgebungen, die mehrere Cloud-Accounts und Regionen umfassen. Dies führt zu dezentraler Transparenz und erschwert den Überblick über die Assets. Da sich nicht schützen lässt, was nicht sichtbar ist, wird das Erkennen von Risiken zur Herausforderung.

Best Practice: Verwendung eines Cloud-Sicherheitsansatzes, der einen Überblick über das Volumen und die Arten von Ressourcen (virtuelle Maschinen, Load Balancer, Sicherheitsgruppen, Gateways usw.) über mehrere Cloud-Konten und -Regionen hinweg auf einer einzigen Oberfläche bietet. Durch die Transparenz und das Verständnis der Umgebung lassen sich detailliertere und stärker kontextabhängige Richtlinien implementieren, Vorfälle untersuchen und Risiken reduzieren.

Während die nativen Cloud-Sicherheitsprodukte von Microsoft, wie beispielsweise das Azure Security Center, gut in Azure funktionieren, erfordert die Überwachung in großem Maßstab oder über Clouds hinweg die Sichtbarkeit von Drittanbietern von Plattformen wie RedLock von Palo Alto Networks.

2. Privilegien für globale Active-Directory-Administrationskonten

Bei Azure-Active-Directory-Benutzerkonten mit Administratorrechten kann großer Schaden angerichtet werden, wenn Unbefugte Zugang erhalten. Administratoren vergessen oft, den Umfang dessen, was Azure-AD-Benutzer tun können, einzuschränken.

Best Practice: Nicht einmal die Top-Administratoren sollten die meiste Zeit über Zugriff auf die globale Administratorrolle haben. Unternehmen müssen sicherstellen, dass sie in RBAC (Role-Based Access Control) Rollen mit begrenztem Umfang erstellen und diese nur bei Bedarf auf Ressourcen anwenden. AD-Benutzer müssen durch Multifaktor-Authentifizierung (MFA) geschützt werden.

3. Privileg und Umfang für alle Benutzer

Wie bei Punkt 2, ist es viel zu einfach, Benutzern Privilegien zu gewähren, sodass sie am Ende zu viele Privilegien haben. Oftmals geschieht dies aus Gründen der Zweckmäßigkeit oder um ein Produktionsproblem dringend um 3 Uhr morgens zu lösen.

Best Practice: Nutzung von RBAC und sicherstellen, dass die Berechtigungen, die von den Entitäten für eine bestimmte Rolle benötigt werden, auf einen bestimmten Umfang (Abonnement, Ressourcengruppe oder einzelne Ressourcen) beschränkt werden. Berechtigungen sind jedoch nur ein Teil der Geschichte. Man muss auch RBAC mit Azure Resource Manager koppeln, um Richtlinien zur Steuerung der Erstellung und des Zugriffs auf Ressourcen und Ressourcengruppen zuzuweisen.

4. Authentifizierung

Verlorene oder gestohlene Zugangsdaten sind eine der Hauptursachen für Sicherheitsvorfälle in der Cloud. Es ist nicht ungewöhnlich, Zugangsdaten für Public-Cloud-Umgebungen zu finden, die im Internet zugänglich sind. Unternehmen benötigen eine Möglichkeit, Kompromittierungen von Konten zu erkennen.

Best Practice: Starke Kennwortrichtlinien und eine mehrstufige Authentifizierung sollten immer durchgesetzt werden. Azure bietet mehrere Möglichkeiten, den MFA-Schutz für Benutzerkonten zu implementieren, aber die einfachste davon ist, Azure MFA durch Ändern des Benutzerstatus einzuschalten.

5. Zugriffsschlüssel

Wie bereits erwähnt, sind verlorene oder gestohlene Zugangsdaten eine der Hauptursachen für Sicherheitsvorfälle. Leider weisen Administratoren oft übermäßig freizügigen Zugriff auf Azure-Ressourcen zu, und die Schlüssel zur Verwaltung dieser Ressourcen werden oft auch übermäßig freizügig vergeben. Diese Schlüssel gilt es jederzeit zu schützen, damit sie nicht versehentlich oder durch bösartige Aktivitäten abhandenkommen.

Best Practice: Das Speichern von Zugangsdaten in Anwendungsquellcode oder Konfigurationsdateien schafft die Voraussetzungen für Kompromittierungen. Stattdessen sollten die API-Schlüssel, Anwendungszugangsdaten, Passwörter und andere sensible Anmeldeinformationen in Azure Key Vault gespeichert werden.

6. Zu breite IP-Bereiche für Sicherheitsgruppen und uneingeschränkter ausgehender Datenverkehr

Netzwerksicherheitsgruppen (NSGs) sind wie Firewalling-Mechanismen, die den Datenverkehr mit Azure VMs und anderen Rechenressourcen kontrollieren. Leider weisen Administratoren NSGs oft IP-Bereiche zu, die größer als nötig sind. Hinzu kommt, dass 85 Prozent der mit Sicherheitsgruppen verbundenen Ressourcen den ausgehenden Datenverkehr überhaupt nicht einschränken. Beide Vorgehensweisen sind kritisch für die Cloud-Sicherheit.

Untersuchungen des Cloud-Intelligence-Teams Unit 42 von Palo Alto Networks ergaben auch, dass immer mehr Unternehmen nicht den Best Practices für Netzwerksicherheit folgen und Fehlkonfigurationen oder riskante Konfigurationen aufweisen. Best Practices schreiben vor, dass der ausgehende Zugriff eingeschränkt werden sollte, um versehentlichen Datenverlust oder Datenexposition im Falle einer Verletzung zu verhindern.

Best Practice: Die IP-Bereiche, die jeder Sicherheitsgruppe zuwiesen werden, so einschränken, dass alles richtig vernetzt ist – aber nicht mehr offen lassen als nötig. Außerdem sollte man sicherstellen, dass die virtuellen Netzwerke in Subnetze segmentiert werden, um das Routing an VMs zu kontrollieren. Zusätzlich sollte man sicherstellen, dass man den SSH- und RDP-Zugriff auf VMs einschränkt oder deaktiviert.

7. Überprüfung von Auditprotokollen

Unternehmen benötigen einen Einblick in die Benutzeraktivitäten, um Indikatoren für Account-Kompromittierungen, Insiderbedrohungen und andere Risiken zu ermitteln. Die Virtualisierung, die das Rückgrat von Cloud-Netzwerken bildet, und die Möglichkeit, die Infrastruktur eines sehr großen und erfahrenen Drittanbieters zu nutzen, sorgen für Agilität, da privilegierte Benutzer bei Bedarf Änderungen an der Umgebung vornehmen können. Der Nachteil ist das Potenzial für eine unzureichende Sicherheitsaufsicht.

Um dieses Risiko zu vermeiden, müssen die Benutzeraktivitäten verfolgt werden. So lassen sich Kontokompromittierungen und Insiderbedrohungen identifizieren und es kann sichergestellt werden, dass ein bösartiger Außenstehender die Konten des Unternehmens nicht gekapert hat. Unternehmen können aber Benutzer effektiv überwachen, wenn die richtigen Technologien eingesetzt werden.

Best Practice: Die Überwachung der Aktivitätsprotokolle ist der Schlüssel zum Verständnis dessen, was mit den Azure-Ressourcen gerade geschieht. Unternehmen können Anomalieerkennung verwenden wie z.B. das ML-basierte UEBA von RedLock, um ungewöhnliche Benutzeraktivitäten, übermäßige Loginfehler oder Versuche von Account-Hijacking zu erkennen, allesamt Indikatoren für Kompromittierungen von Konten.

8. VMs patchen

Es liegt in der Verantwortung der Cloud-Kunden, sicherzustellen, dass die neuesten Sicherheitspatches auf Hosts in ihrer Umgebung angewendet wurden. Die jüngsten Forschungsergebnisse von Unit 42 geben Aufschluss über ein verwandtes Problem. Herkömmliche Netzwerkscanner für Schwachstellen sind für lokale Netzwerke am effektivsten, übersehen aber wichtige Schwachstellen, wenn sie zum Testen von Cloud-Netzwerken verwendet werden.

Best Practice: Unternehmen sollten sicherstellen, dass die Hosts häufig gepatcht werden. Man sollte zudem alle notwendigen Hotfixes anwenden, die von den OEM-Anbietern veröffentlicht werden. Zusätzlich sollten Unternehmen sicherstellen, dass neue VM-Images mit den neuesten Patches und Updates für dieses Betriebssystem erstellt werden.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45866623 / Basiswissen)