IT Blog

IAM – Privileged Identity Management in Azure und Office 365

Fr, 29. November 2019

Im Zeitalter der Cloud werden Workloads und die damit verbundenen Infrastrukturen mehr und mehr ausgelagert. Eine sorgfältig konfigurierte Firewall, die Angreifer ähnlich einer Burgmauer außerhalb der eigenen Umgebung halten sollte, hat hier in den häufigsten Fällen keinen Nutzen mehr.

Administrative Tätigkeiten werden nun zumeist nach einer Anmeldung an einer über das Internet zugänglichen Weboberfläche durchgeführt, anstatt über eine Remoteverbindung auf einem Server. Aus diesem Grund zielen Angriffe immer mehr auf Identitäten ab – und diese gilt es zu schützen.

Identitäten in der Cloud

Identitäten in der Cloud bestehen – zumindest mit aufgesetzter „Microsoft-Brille“ – aus vier Säulen:

  • Administration: Identitäten werden von jemandem erstellt, verwaltet und mit Rechten versehen.
  • Authentifizierung: Mit einer Identität kann sich ein Nutzer an verschiedenen Diensten, beispielsweise mit einem Passwort, anmelden. Idealerweise wird dabei sichergestellt, dass besagter Nutzer auch der Inhaber der Identität ist.
  • Autorisierung: Die Konfiguration der Identität legt fest, welche Dienste oder Ressourcen damit abrufbar sind.
  • Auditing: Die Nutzung der Berechtigungen durch eine Identität wird überwacht, um bei böswilligem Verhalten Rückschlüsse ziehen zu können.

Dieser Artikel ist der erste Teil der Reihe zum Thema Identity and Access Management (IAM) und beschreibt Privileged Identity Management – kurz PIM genannt – im Microsoft Azure- und Office 365-Umfeld.

Privileged Identity Management zur Risikominderung

Vorweg die Begriffsklärung: Was ist eine privileged Identity? Damit bezeichnet man eine Identität, die durch vergebene Rechte in der Lage ist, auf bestimmte Ressourcen zuzugreifen oder beispielsweise administrative Tätigkeiten durchzuführen. Wir befinden uns thematisch also bei der Säule der Autorisierung.

Solche Identitäten finden sich in vielen Umgebungen. Typische Beispiele sind Nutzer mit Rollen wie der des Exchange-Administrators in Office 365. Diese statische Berechtigungszuweisung hat offensichtlich einen Haken: die Rolle steht ständig zur Verfügung, 24 Stunden am Tag, sieben Tage die Woche. Das begünstigt einen Angriff durch einen Identitätsdiebstahl. Schließlich würden die meisten Angreifer versuchen, außerhalb des Tagesgeschäfts zuzuschlagen, um während der Tat möglichst unentdeckt zu bleiben.

Bleiben wir bei diesem Beispiel und stellen uns die Frage: Benötigt der Exchange-Administrator seine Berechtigungen nachts, oder am Wochenende? Benötigt er diese überhaupt durchgehend während der regulären Arbeitszeit?

Die Antwort darauf dürfte in den meisten Fällen „nein“ lauten – und genau hier kommt Privileged Identity Management ins Spiel.

Just in Time-Access (JIT)

Dem Nutzer wird hiermit die Möglichkeit gegeben, seine Rolle zu aktivieren, sobald diese benötigt wird. Man spricht dann davon, dass der Nutzer diese Rolle nicht mehr hat, sondern auf diese berechtigt ist. Dieses Konzept bezeichnet man als „Just in Time-Access“ – also Zugriff genau dann, wenn man ihn braucht.

Der Aktivierungsprozess kann aus nur einem Klick bestehen, jedoch lässt er sich auch sicherer gestalten. So kann zum Beispiel bei Aktivierung eine Multi-Faktor-Authentifizierung (MFA) oder sogar die Genehmigung durch einen Dritten verlangt werden.

Nach diesem Prozess ist die jeweilige Rolle für einen gewissen Zeitraum aktiv. Hier gibt der Administrator ein Maximum vor, während der User bei Aktivierung auch festlegen kann, dass der benötigte Zeitrahmen unter dem maximal Möglichen liegt. Sollten die administrativen Tätigkeiten doch schneller abgeschlossen sein als erwartet, kann die Rolle auch vorzeitig zurückgegeben werden.

Just Enough Administration (JEA)

Das Konzept, dass bei Aktivierung auch nur die Berechtigungen zur Verfügung gestellt werden, die der User aktuell benötigt, wird „Just Enough Administration“ genannt.

Privileged Identity Management in Azure und Office 365 ist in der Konfiguration nicht starr, sondern sehr flexibel einsetzbar. Jede einzelne Rolle kann auf jeden einzelnen User mit einem individuellen Aktivierungsprozess und -zeitraum versehen werden. Beispielsweise kann ein Nutzer, welcher auf die Rollen Exchange-Administrator und Passwort-Administrator berechtigt ist, für erstere Rolle eine Genehmigung durch einen Kollegen benötigen, während letztere durch ihn selbst aktiviert werden kann und er lediglich eine Multi-Faktor-Authentifizierung durchführen muss.

Privileged Identity Management (PIM): der richtige Umgang

Die Einführung von PIM ist selbstverständlich auch mit Training der Nutzer verbunden. Es ist wichtig, dass kein „Muscle-Memory“ entsteht – also eine blinde Bestätigung einer MFA-Aufforderung oder Genehmigung einer Aktivierungsanfrage aus Gewohnheit. Denn sicher gibt es ebenso Angreifer, die mit PIM vertraut sind. So sollte immer auf den Begründungstext einer Anfrage geachtet werden. Wenn ein anfragender Nutzer einen Grund angibt, der gar nicht zur aktuellen Tätigkeit passt, oder der Nutzer momentan gar im Urlaub ist, sollte der Genehmiger vermutlich nochmal persönlich beim Anfrager nachhaken.

Werden die User mit dem richtigen Umgang mit der Technologie vertraut gemacht, ist PIM ein wichtiger Baustein für eine starke Identity and Access Management-Strategie.