Microsoft Entra IDaaS in Sicherheitsvorgängen

Diese Architektur veranschaulicht, wie SOC-Teams (Security Operations Center) Identitäts- und Zugriffsfunktionen von Microsoft Entra in eine integrierte Zero-Trust-Sicherheitsstrategie mit mehreren Ebenen einbinden können.

Die Netzwerksicherheit war für SOC-Vorgänge wichtig, als alle Dienste und Geräte in verwalteten Netzwerken von Organisationen enthalten waren. Von Gartner wird aber vorhergesagt, dass der Marktanteil von Clouddiensten bis 2022 dreimal so stark wie für den Bereich der allgemeinen IT-Dienste zunehmen wird. Wenn immer mehr Unternehmen auf Cloud Computing setzen, wird die Benutzeridentität als primäre Sicherheitsgrenze angesehen werden.

Der Schutz von Identitäten in der Cloud hat eine hohe Priorität.

• In einer Untersuchung zu Datenverletzungen aus dem Jahr 2020, die von Verizon durchgeführt wurde, wurde berichtet, dass in 37 % der Fälle gestohlene Anmeldeinformationen und in 22 % der Fälle Phishing genutzt wurden.

• In einer IBM-Studie zu Datenverletzungen aus dem Jahr 2019 wurde berichtet, dass die durchschnittlichen globalen Kosten für eine Datenverletzung 3,9 Millionen US-Dollar betragen haben (durchschnittliche Kosten in den USA ca. 8,2 Millionen US-Dollar).

• Der Security Intelligence Report von Microsoft aus dem Jahr 2019 enthält den Hinweis, dass Phishingangriffe zwischen Januar und Dezember 2018 um 250 % zugenommen haben.

Beim Zero-Trust-Sicherheitsmodell werden alle Hosts so behandelt, als ob sie mit dem Internet verbunden sind, und das gesamte Netzwerk wird als potenziell kompromittiert und feindselig angesehen. Bei diesem Ansatz liegt der Schwerpunkt auf einer sicheren Authentifizierung, Autorisierung und Verschlüsselung, während gleichzeitig der unterteilte Zugriff und eine bessere Flexibilität beim Betrieb ermöglicht wird.

Gartner empfiehlt eine adaptive Sicherheitsarchitektur, bei der eine auf der Reaktion auf Vorfälle basierende Strategie durch ein Modell vom Typ Verhindern/Erkennen/Reagieren/Vorhersagen ersetzt wird. Bei der adaptiven Sicherheit werden Kontrolle, Verhaltensüberwachung, Nutzungsverwaltung und Ermittlung mit kontinuierlicher Überwachung und Analyse kombiniert.

In der Referenzarchitektur für Microsoft-Cybersicherheit (Microsoft Cybersecurity Reference Architecture, MCRA) werden die Cybersicherheitsfunktionen von Microsoft und deren Integration in vorhandene Sicherheitsarchitekturen beschrieben, z. B. Cloud- und Hybridumgebungen, die Microsoft Entra ID für Identity-as-a-Service (IDaaS) verwenden.

In diesem Artikel wird der adaptive Zero-Trust-Sicherheitsansatz auf IDaaS erweitert, wobei besonders auf die auf der Microsoft Entra-Plattform verfügbaren Komponenten eingegangen wird.

Mögliche Anwendungsfälle

• Entwerfen neuer Sicherheitslösungen
• Verbessern vorhandener Implementierungen oder Durchführen der Integration
• Schulen von SOC-Teams

Aufbau

Laden Sie eine Visio-Datei dieser Architektur herunter.

Workflow

1. Über die Verwaltung von Anmeldeinformationen wird die Authentifizierung gesteuert.
2. Bei der Bereitstellung und Berechtigungsverwaltung wird das Zugriffspaket definiert, Benutzer werden Ressourcen zugewiesen, und Daten werden zu Nachweiszwecken per Pushvorgang übertragen.
3. Mit dem Autorisierungsmodul wird die Zugriffsrichtlinie ausgewertet, um den Zugriff zu ermitteln. Darüber hinaus werden mit dem Modul auch Risikoerkennungen ausgewertet, z. B. Daten aus Analysen zum Verhalten von Benutzern/Entitäten (User/Entity Behavioral Analytics, UEBA) , und die Gerätekonformität für die Endpunktverwaltung wird überprüft.
4. Bei einer Autorisierung wird dem Benutzer Zugriff über Richtlinien für bedingten Zugriff und Kontrollen gewährt.
5. Falls die Autorisierung nicht erfolgreich ist, können Benutzer eine Echtzeitbehandlung durchführen, um die Blockierung aufzuheben.
6. Alle Sitzungsdaten werden zu Analyse- und Berichterstellungszwecken protokolliert.
7. In das SIEM-System (Security Information and Event Management) des SOC-Teams fließen alle Protokoll-, Risikoerkennungs- und UEBA-Daten der Cloud- und lokalen Identitäten ein.

Komponenten

Die folgenden Sicherheitsprozesse und -komponenten tragen ihren Teil zu dieser Microsoft Entra-IDaaS-Architektur bei.

Verwaltung von Anmeldeinformationen

Die Verwaltung von Anmeldeinformationen umfasst Dienste, Richtlinien und Methoden zum Erteilen, Nachverfolgen und Aktualisieren des Zugriffs auf Ressourcen oder Dienste. Die Microsoft Entra-Anmeldeinformationsverwaltung umfasst die folgenden Funktionen:

• Mit der Self-Service-Kennwortzurücksetzung (Self-Service Password Reset, SSPR) können Benutzer sich selbst helfen und ihre eigenen verlorenen, vergessenen oder kompromittierten Kennwörter zurücksetzen. Dank der Self-Service-Kennwortzurücksetzung verringert sich nicht nur die Anzahl von Anrufen beim Helpdesk, sondern es erhöht sich auch die Flexibilität und Sicherheit für Benutzer.

• Beim Kennwortrückschreiben werden in der Cloud geänderte Kennwörter in Echtzeit mit lokalen Verzeichnissen synchronisiert.

• Die Funktion Gesperrte Kennwörter analysiert Telemetriedaten, die häufig genutzte unsichere oder kompromittierte Kennwörter verfügbar machen, und sperrt deren Nutzung global für die gesamte Microsoft Entra ID-Instanz. Sie können diese Funktionalität für Ihre Umgebung anpassen und eine Liste mit benutzerdefinierten Kennwörtern erstellen, die in Ihrer eigenen Organisation gesperrt sein sollen.

• Bei Smart Lockout werden legitime Authentifizierungsversuche mit Brute-Force-Versuchen verglichen, bei denen das Ziel die Erlangung von unbefugtem Zugriff ist. Bei Verwendung der Smart Lockout-Standardrichtlinie wird ein Konto nach zehn fehlgeschlagenen Anmeldeversuchen eine Minute lang gesperrt. Falls es zu weiteren fehlgeschlagenen Anmeldeversuchen kommt, wird die Dauer der Kontosperrung erhöht. Sie können Richtlinien verwenden, um die Einstellungen so anzupassen, dass für Ihre Organisation eine geeignete Mischung aus Sicherheit und Benutzerfreundlichkeit erzielt wird.

• Bei Verwendung von Multi-Factor Authentication (MFA) müssen mehrere Authentifizierungsformen durchgeführt werden, wenn Benutzer versuchen, auf geschützte Ressourcen zuzugreifen. Die meisten Benutzer sind beim Zugreifen auf Ressourcen mit einer bestimmten Vorgehensweise vertraut, z. B. der Eingabe eines Kennworts. Bei MFA werden Benutzer aufgefordert, zusätzlich ein Element aus Ihrem Besitz (z. B. ein vertrauenswürdiges Gerät) oder ein persönliches Merkmal (z. B. biometrischer Art) vorzuweisen. Für MFA können unterschiedliche Arten von Authentifizierungsmethoden genutzt werden, z. B. Telefonanrufe, SMS oder Benachrichtigungen über die Authenticator-App.

• Bei der kennwortlosen Authentifizierung wird ein Kennwort im Authentifizierungsworkflow durch ein Smartphone- oder Hardwaretoken, ein biometrisches Merkmal oder eine PIN ersetzt. Für die kennwortlose Authentifizierung von Microsoft können Azure-Ressourcen verwendet werden, z. B. Windows Hello for Business und die Microsoft Authenticator-App auf mobilen Geräten. Sie können die kennwortlose Authentifizierung auch mit FIDO2-kompatiblen Sicherheitsschlüsseln ermöglichen, wobei WebAuthn und das CTAP-Protokoll (Client-to-Authenticator) der FIDO Alliance genutzt werden.

App-Bereitstellung und -Berechtigung

• Die Berechtigungsverwaltung ist ein Microsoft Entra Identity Governance-Feature, mit dem Organisationen den Identitäts- und Zugriffslebenszyklus bedarfsabhängig verwalten können. Bei der Berechtigungsverwaltung werden Workflows für Zugriffsanforderungen, Zugriffszuweisungen, Überprüfungen und der Ablauf automatisiert.

• Bei der Microsoft Entra-Bereitstellung können Sie automatisch Benutzeridentitäten und -rollen in Anwendungen erstellen, auf die Benutzer*innen zugreifen müssen. Sie können die Microsoft Entra-Bereitstellung für Software-as-a-Service (SaaS)-Drittanbieter-Apps konfigurieren. Beispiele hierfür sind SuccessFactors, Workday und viele mehr.

• Beim nahtlosen einmaligen Anmelden werden Benutzer automatisch für cloudbasierte Anwendungen authentifiziert, nachdem sie sich bei ihren Unternehmensgeräten angemeldet haben. Sie können nahtloses einmaliges Anmelden von Microsoft Entra mit Kennwort-Hashsynchronisierung oder Passthrough-Authentifizierung verwenden.

• Der Nachweis mit Microsoft Entra-Zugriffsüberprüfungen erleichtert das Erfüllen von Überwachungs- und Überprüfungsanforderungen. Bei Zugriffsüberprüfungen können Sie schnell die Anzahl von Administratorbenutzern bestimmen, für neue Mitarbeiter den Zugriff auf die erforderlichen Ressourcen sicherstellen oder mit einer Überprüfung der Aktivitäten von Benutzern ermitteln, ob diese weiterhin Zugriff benötigen.

Richtlinien für bedingten Zugriff und Steuerelemente

Bei einer Richtlinie für bedingten Zugriff handelt es sich um eine If-Then-Anweisung von Zuweisungen und Zugriffssteuerungen. Sie definieren die Antwort („führe dies durch“) für die Ursache der Auslösung Ihrer Richtlinie („wenn dies erfüllt ist“), damit vom Autorisierungsmodul Entscheidungen in Bezug auf die Erzwingung von organisationsweiten Richtlinien getroffen werden können. Mit dem bedingten Zugriff von Microsoft Entra können Sie den Zugriff von autorisierten Benutzer*innen auf Ihre Apps steuern. Mit dem What If-Tool von Microsoft Entra ID können Sie ermitteln, warum eine Richtlinie für bedingten Zugriff angewendet bzw. nicht angewendet wurde oder ob eine Richtlinie in einem bestimmten Fall für Benutzer*innen zutrifft.

Steuerelemente für bedingten Zugriff werden zusammen mit Richtlinien für bedingten Zugriff eingesetzt, um organisationsweite Richtlinien zu erzwingen. Mit Microsoft Entra-Zugriffssteuerungen für bedingten Zugriff können Sie die Sicherheit basierend auf Faktoren implementieren, die während der Zugriffsanforderung erkannt werden, anstatt einen universellen Ansatz zu verwenden. Indem Sie Steuerelemente für bedingten Zugriff mit Zugriffsbedingungen verknüpfen, können Sie vermeiden, dass zusätzliche Sicherheitssteuerelemente erstellt werden müssen. Ein typisches Beispiel hierfür ist der folgende Fall: Sie können für Benutzer auf einem in die Domäne eingebundenen Gerät den Zugriff auf Ressourcen per SSO zulassen, während für außerhalb des Netzwerks befindliche Benutzer gleichzeitig MFA oder die Nutzung ihrer eigenen Geräte erzwungen wird.

In Microsoft Entra ID können die folgenden Zugriffssteuerungen für bedingten Zugriff basierend auf Richtlinien für bedingten Zugriff verwendet werden:

• Mit der rollenbasierten Zugriffssteuerung in Azure (Azure Role-Based Access Control, Azure RBAC) können Sie für Benutzer, die administrative oder spezielle Aufgaben für Azure-Ressourcen durchführen müssen, die angemessenen Rollen konfigurieren und ihnen die Rollen zuweisen. Sie können die Azure RBAC nutzen, um separate dedizierte Konten zu erstellen oder zu verwalten, die nur für Administratoren bestimmt sind, den Zugriff für von Ihnen eingerichtete Rollen festlegen, Zeitlimits für den Zugriff vorgeben oder über Genehmigungsworkflows Zugriff gewähren.

• Per Privileged Identity Management (PIM) können Sie den Angriffsvektor für Ihre Organisation reduzieren, indem Sie Administratorkonten zusätzliche Überwachungs- und Schutzfunktionen hinzufügen. Mit Microsoft Entra PIM (Privileged Identity Management) können Sie den Zugriff auf Ressourcen in Azure, Microsoft Entra ID und anderen Microsoft 365-Diensten per Just-In-Time-Zugriff (JIT) und Just-Enough-Administration (JEA) verwalten und steuern. PIM verfügt über Verlaufsinformationen zu den Administratoraktivitäten und ein Änderungsprotokoll, und Sie werden benachrichtigt, wenn Benutzer den von Ihnen definierten Rollen hinzugefügt oder daraus entfernt werden.

  Sie können PIM verwenden, um eine Genehmigung oder Begründung für die Aktivierung von Administratorrollen zu erzwingen. Benutzer verfügen hierbei normalerweise über reguläre Berechtigungen und können dann den Zugriff auf Rollen anfordern und erhalten, die sie zur Erledigung administrativer oder spezieller Aufgaben benötigen. Wenn die Benutzer ihre Arbeit beendet haben und sich abmelden oder das Zeitlimit für den Zugriff erreicht ist, können sie sich mit ihren Standardberechtigungen für Benutzer erneut authentifizieren.

• Microsoft Defender für Cloud-Apps ist ein Cloud Access Security Broker (CASB), mit dem Datenverkehrsprotokolle analysiert werden können, um die in Ihrer Organisation genutzten Anwendungen und Dienste zu ermitteln und zu überwachen. Defender für Cloud-Apps ermöglicht Ihnen Folgendes:

  • Erstellen von Richtlinien zum Verwalten der Interaktion mit Apps und Diensten
  • Identifizieren von Anwendungen als sanktioniert oder nicht sanktioniert
  • Steuern und Einschränken des Zugriffs auf Daten
  • Anwenden von Information Protection als Schutz vor Datenverlust

  Defender für Cloud-Apps kann auch zusammen mit Zugriffsrichtlinien und Sitzungsrichtlinien genutzt werden, um den Benutzerzugriff auf SaaS-Apps zu steuern. Beispielsweise können Sie folgende Aktionen ausführen:

  • Einschränken der IP-Adressbereiche, für die Zugriff auf Apps besteht
  • Erzwingen von MFA für den App-Zugriff
  • Zulassen von Aktivitäten ausschließlich aus genehmigten Apps

• Die Seite für die Zugriffssteuerung im SharePoint Admin Center enthält mehrere Optionen zum Steuern des Zugriffs auf SharePoint- und OneDrive-Inhalt. Sie können sich dafür entscheiden, den Zugriff zu blockieren, den eingeschränkten Zugriff nur aus dem Web für nicht verwaltete Geräte zuzulassen oder den Zugriff anhand der Netzwerkadresse zu steuern.

• Sie können Anwendungsberechtigungen auf bestimmte Exchange Online-Postfächer beschränken, indem Sie das ApplicationAccessPolicy-Element der Microsoft Graph-API verwenden.

• Mit Nutzungsbedingungen können Sie Informationen anzeigen, denen Endbenutzer zustimmen müssen, bevor sie Zugriff auf geschützte Ressourcen erhalten. Sie laden Dokumente mit Nutzungsbedingungen als PDF-Dateien in Azure hoch, die dann als Steuerelemente in Richtlinien für bedingten Zugriff verfügbar sind. Indem Sie eine Richtlinie für bedingten Zugriff erstellen, bei der Benutzer den Nutzungsbedingungen bei der Anmeldung zustimmen müssen, können Sie Benutzer, die die Bedingungen akzeptiert haben, leicht überwachen.

• Per Endpunktverwaltung können Sie steuern, wie autorisierte Benutzer über ein breites Spektrum von Geräten, z. B. mobile und persönliche Geräte, auf Ihre Cloud-Apps zugreifen. Sie können Richtlinien für bedingten Zugriff verwenden, um den Zugriff auf Geräte zu beschränken, die bestimmte Sicherheits- und Konformitätsstandards erfüllen. Für diese verwalteten Geräte ist eine Geräteidentität erforderlich.

Risikoerkennung

Azure Identity Protection umfasst mehrere Richtlinien, mit denen Ihre Organisation Reaktionen auf verdächtige Benutzeraktionen verwalten kann. Das Benutzerrisiko steht für die Wahrscheinlichkeit, dass eine Benutzeridentität kompromittiert wurde. Das Anmelderisiko steht für die Wahrscheinlichkeit, dass eine Anmeldeanforderung nicht vom erwarteten Benutzer stammt. Microsoft Entra ID berechnet auf der Grundlage einer Verhaltensanalyse Anmelderisikoscores, die auf der Wahrscheinlichkeit beruhen, dass die Anmeldeanforderung von den tatsächlichen Benutzer*innen stammt.

• Bei Microsoft Entra-Risikoerkennungen werden adaptive Machine Learning-Algorithmen und -Heuristiken verwendet, um verdächtige Aktivitäten im Zusammenhang mit Benutzerkonten zu erkennen. Jede erkannte verdächtige Aktion wird in einem Datensatz gespeichert, der als Risikoerkennung bezeichnet wird. Microsoft Entra ID berechnet anhand dieser Daten die Wahrscheinlichkeit des Benutzer- und Anmelderisikos. Die Qualität der Daten wird verbessert, indem die internen und externen Threat Intelligence-Quellen und -Signale von Microsoft genutzt werden.

• Sie können die Risikoerkennungs-APIs von Identity Protection in Microsoft Graph verwenden, um Informationen zu Risikobenutzern und -anmeldungen verfügbar zu machen.

• Bei der Echtzeitbehandlung können Benutzer per SSPR und MFA die Blockierung selbst aufheben, um einige Risikoerkennungen selbst zu behandeln.

Überlegungen

Beachten Sie diese Punkte, wenn Sie diese Lösung verwenden.

Protokollierung

Überwachungsberichte von Microsoft Entra ermöglichen die Nachverfolgung von Azure-Aktivitäten mit Überwachungsprotokollen, Anmeldeprotokollen und Berichten zu Risikoanmeldungen und -benutzer*innen. Sie können die Protokolldaten anhand von verschiedenen Parametern, z. B. Dienst, Kategorie, Aktivität und Status, filtern und durchsuchen.

Sie können Microsoft Entra ID-Protokolldaten an folgende Endpunkte weiterleiten:

• Azure Storage-Konten
• Azure Monitor-Protokolle
• Azure Event Hubs
• SIEM-Lösungen wie Microsoft Sentinel, ArcSight, Splunk, SumoLogic, andere externe SIEM-Tools oder Ihre eigene Lösung.

Darüber hinaus können Sie auch die Berichterstellungs-API von Microsoft Graph verwenden, um Microsoft Entra ID-Protokolldaten in Ihren eigenen Skripts abzurufen und zu nutzen.

Aspekte von lokalen und Hybridverfahren

Authentifizierungsmethoden sind von entscheidender Bedeutung, um die Identitäten Ihrer Organisation bei einem Hybridszenario zu schützen. Verwenden Sie die spezifische Microsoft-Anleitung zur Wahl eines Hybridverfahrens für die Authentifizierung mit Microsoft Entra ID.

Microsoft Defender for Identity kann Ihre lokalen Active Directory-Signale zum Identifizieren, Erkennen und Untersuchen von komplexen Bedrohungen, kompromittierten Identitäten und schädlichen Insideraktionen verwenden. Defender for Identity verwendet UEBA, um Insiderbedrohungen zu identifizieren und Risiken zu kennzeichnen. Selbst wenn eine Identität kompromittiert wird, kann Defender for Identity helfen, die Kompromittierung anhand von ungewöhnlichem Benutzerverhalten zu identifizieren.

Defender for Identity ist in Defender for Cloud-Apps integriert, um den Schutz auf Cloud-Apps auszudehnen. Sie können Defender für Cloud-Apps verwenden, um Sitzungsrichtlinien zu erstellen, mit denen Ihre Dateien beim Download geschützt werden. Beispielsweise können Sie automatisch auf die Anzeige beschränkte Berechtigungen für alle Dateien festlegen, die von bestimmten Arten von Benutzer*innen heruntergeladen werden.

Sie können eine lokale Anwendung in Microsoft Entra ID zur Verwendung von Defender for Cloud Apps für die Echtzeitüberwachung konfigurieren. Verwenden Sie Defender für Cloud Apps App-Steuerung für bedingten Zugriff, um Sitzungen in Echtzeit auf der Grundlage von Richtlinien für bedingten Zugriff zu überwachen und zu steuern. Sie können diese Richtlinien auf lokale Anwendungen anwenden, die den Anwendungsproxy in Microsoft Entra ID verwenden.

Mit dem Microsoft Entra-Anwendungsproxy können Benutzer*innen über Remoteclients auf lokale Webanwendungen zugreifen. Mit dem Anwendungsproxy können Sie alle Anmeldeaktivitäten für Ihre Anwendungen zentral überwachen.

Sie können Defender for Identity mit Microsoft Entra ID Protection verwenden, um Benutzeridentitäten zu schützen, die über Microsoft Entra Connect mit Azure synchronisiert werden.

Falls Sie für einige Ihrer Apps bereits einen Bereitstellungs- oder Netzwerkcontroller verwenden, um den Zugriff von außerhalb des Netzwerks zu ermöglichen, können Sie diesen in Microsoft Entra ID integrieren. Mehrere Partner (z. B. Akamai, Citrix, F5 Networks und Zscaler) bieten Lösungen und Informationen zur Integration in Microsoft Entra ID an.

Kostenoptimierung

Die Microsoft Entra-Preise reichen von „Kostenlos“ (für Features wie SSO und MFA) bis zu „Premium P2“ (für Features wie PIM und Berechtigungsverwaltung). Informationen zu den Preisen finden Sie unter Microsoft Entra-Preise.

Nächste Schritte

• Zero-Trust-Sicherheit
• Zero Trust-Bereitstellungshandbuch für Microsoft Entra ID
• Übersicht über die Säule „Sicherheit“
• Microsoft Entra-Demomandant (Microsoft Partner Network-Konto erforderlich) oder Enterprise Mobility + Security: Kostenlose Testversion
• Microsoft Entra-Bereitstellungspläne

Zugehörige Ressourcen

• Azure IoT-Referenzarchitektur
• COVID-19-sichere Umgebungen mit IoT Edge-Überwachung und -Benachrichtigung
• Sicherheitsüberlegungen zu höchst sensiblen IaaS-Apps in Azure