IT Blog

IAM – Risk-based Conditional Access in Azure und Office 365

Mo, 16. Dezember 2019

Nachdem im ersten Teil der Reihe zum Thema Identitätsmanagement das Privileged Identity Management behandelt wurde, setzt dieser Artikel mit dem Thema Risk-based Conditional Access fort und zeigt damit einen weiteren Baustein der Strategie zum Schutz von Benutzerkonten auf.

Im Zeitalter der Cloud werden Workloads und die damit verbundenen Infrastrukturen mehr und mehr ausgelagert. Eine sorgfältig konfigurierte Firewall, die Angreifer ähnlich einer Burgmauer außerhalb der eigenen Umgebung halten sollte, hat hier in den häufigsten Fällen keinen Nutzen mehr.

Administrative Tätigkeiten werden nun zumeist nach einer Anmeldung an einer über das Internet zugänglichen Weboberfläche durchgeführt, anstatt über eine Remoteverbindung auf einem Server. Benutzern werden im Cloud-Umfeld von Microsoft verschiedene Rollen und damit Berechtigungen zugewiesen, und genau diese Identitäten visieren Angreifer immer häufiger an.

Conditional Access – ein wichtiger Bestandteil von IAM

Der Conditional Access, zu Deutsch „bedingter Zugriff“, ist eine Maßnahme zum Schutz bestimmter Dienste oder Ressourcen durch die Steuerung des Zugriffs auf ebendiese. Konkret wird die Authentifizierung abhängig vom Dienst, der erreicht werden will, um zusätzliche Schritte erweitert. So lassen sich Conditional Access-Richtlinien vereinfacht als „wenn, dann…“-Aussagen beschreiben. Ein Beispiel: „Wenn ein Nutzer auf SharePoint Online zugreifen möchte, dann muss dieser eine Multi-Faktor-Authentifizierung durchführen.“

Eine Hürde für Angreifer, nicht für Anwender

Solch eine starre Regelsetzung hat natürlich zur Folge, dass Anwender in ihrer täglichen Arbeit insofern behindert werden, dass für jede Authentifizierung an einem bestimmten Dienst ein zweiter Faktor benötigt wird. Dies schafft einerseits Frustration, andererseits geht wertvolle Zeit verloren.

Um den Identitätsschutz flexibler zu gestalten, sodass die User in ihrem typischen Arbeitsumfeld nicht eingeschränkt werden, lassen sich verschiedene Bedingungen definieren. Erst, wenn diese erfüllt sind, wird die Richtlinie für den bedingten Zugriff angewandt.

Diese Kriterien könnten in eine solche Bedingung einfließen:

  • Die Identität, mit der man sich anmelden möchte.
  • Der Standort, von dem die Anmeldung durchgeführt wird.
  • Das Gerät und dessen Zustand.
  • Die Anwendung, durch die man sich anmeldet.

Eine Richtlinie mit Bedingung könnte so aussehen: „Wenn ein Nutzer auf SharePoint Online zugreifen möchte, dann muss dieser eine Multi-Faktor-Authentifizierung durchführen, falls die Anmeldung nicht vom Firmenstandort (also von der eigenen öffentlichen IP-Adresse) durchgeführt wird.“

Diese Konfiguration würde bewirken, dass Benutzern, welche den Internetanschluss im Unternehmen nutzen, keine MFA-Aufforderung gesendet wird. Lediglich Anmeldungen von anderen öffentlichen IP-Adressen benötigen einen zweiten Faktor zur erfolgreichen Authentifizierung.

Der bewusste Umgang mit MFA

Wie bereits im Artikel zu PIM erwähnt wurde, ist es von enormer Wichtigkeit, den Anwendern den richtigen Umgang mit Multi-Faktor-Authentifizierungen beizubringen. Das Genehmigen einer Anmeldung sollte nicht zum Reflex werden, den man sich angewöhnt, sondern nur dann erfolgen, wenn man sich gerade tatsächlich authentifizieren möchte.

Risikobasierte Auswertung der Anmeldung

Ist man in Besitz von genügenden Azure AD Premium P2-Lizenzen, kommt den oben genannten Kriterien noch ein weiterer Faktor hinzu: das aktuelle Anmelderisiko des jeweiligen Nutzers. Damit kommt man schließlich zum sogenannten Risk-based Conditional Access.

Das Anmelderisiko wird für jeden Nutzer bei jeder Anmeldung berechnet – gestützt durch Machine Learning als Teil von Azure Identity Protection. Das System lernt bei jeder Authentifizierung dazu. „Von wo agiert der Nutzer normalerweise?“ oder „welche Dienste nutzt er normalerweise?“ – aus diesem Nutzungsverhalten wird ein typisches Muster erstellt. Weicht eine Anmeldung von dieser gelernten Norm ab, ist das Risiko für diese Anmeldung dementsprechend höher.

Das System zieht also Schlüsse, ob eine Authentifizierung als realistisch zu betrachten ist. Wird ein Risiko erkannt und die Anmeldung danach bewertet, können wiederum verschiedene Conditional Access-Regeln angewandt werden. Die Kritierien, nach denen geurteilt wird, beinhalten unter anderem:

  • verdächtige IP-Adressen, von denen wiederholt fehlgeschlagene Anmeldungen durchgeführt wurden
  • unbekannte Standorte, von denen normalerweise keine Anmeldung erfolgt
  • „Impossible Travel“, also mehrere Anmeldungen von verschiedenen Orten, die aufgrund der Entfernung zwischen den Orten nicht möglich sind

Führt man all das zusammen, könnte so eine beispielhafte Richtlinie aussehen: „Wenn sich ein Nutzer innerhalb kurzer Zeit von zwei weit entfernten Standorten anmeldet, dann blockiere den Zugriff und gib diesen erst frei, sobald eine Anmeldung von einem bekannten Standort inklusive MFA durchgeführt wird.“

Conditional Access als Einstieg, Risikoauswertung als Langzeitlösung

Um den Einstieg in Conditional Access zu erleichtern und die Anwender mit den Auswirkungen vertraut zu machen, ist es natürlich möglich, den bedingten Zugriff ohne Risikobasierung einzuführen und im Anschluss auf Risk-based Access Control aufzustocken, sollten diese Features gewünscht sein. Ein weiterer Vorteil: Conditional Access ist bereits in Azure AD Premium P1 enthalten, während die Risikobewertung eine P2-Lizenz voraussetzt.

Egal, ob man sofort auf den Risk-based Conditional Access setzt oder vorerst den bedingten Zugriff ohne Auswertung des Anmelderisikos nutzt, ist der Einsatz einer solchen Technologie ein wichtiger Schritt zu einer sicheren und zuverlässigen Identity and Access Management-Strategie.