Best Practices machen Microsoft Azure sicher

Als Erweiterung der lokalen Systeme ermöglicht die Microsoft Azure Cloud Hybrid-Cloud-Umgebungen. Beim Thema Sicherheit gibt es laut Palo Alto Networks einige Missverständnisse. Best Practices sollen diese korrigieren.

Viele Unternehmen glauben laut Palo Alto Networks, dass für Microsoft Azure die gleichen Sicherheitskontrollen wie für Amazon Web Services oder die Google Cloud Platform. Dies sei nicht der Fall. Nachfolgend nennt der Netzwerkspezialist die wichtigsten Herausforderungen sowie bewährte Sicherheitsverfahren, um die Azure-Umgebung abzusichern und Risiken zu minimieren.

1. Sichtbarkeit erhöhen

Nach Untersuchungen von Palo Alto Networks beträgt die durchschnittliche Lebensdauer einer Cloud-Ressource zwei Stunden und sieben Minuten. Viele Unternehmen verfügen über Umgebungen, die mehrere Cloud-Accounts und Regionen umfassen. Dies führt erschwert den Überblick über die Assets. Da sich nicht schützen lässt, was nicht sichtbar ist, wird das Erkennen von Risiken zur Herausforderung.

Best Practice: Cloud-Sicherheitsansatzes verschaffen einen Überblick über das Volumen und die Arten von Ressourcen (virtuelle Maschinen, Load Balancer, Sicherheitsgruppen und Gateways) über mehrere Cloud-Konten und -Regionen hinweg auf einer einzigen Oberfläche. Durch die Transparenz und das Verständnis der Umgebung lassen sich detaillierte und kontextabhängige Richtlinien implementieren, Vorfälle untersuchen und Risiken reduzieren.

Während die nativen Cloud-Sicherheitsprodukte, wie beispielsweise das Azure Security Center, gut in Microsoft Azure funktionieren, erfordert die Überwachung in großem Maßstab oder über Clouds hinweg die Lösungen von Drittanbietern wie Palo Alto Networks RedLock.

2. Privilegien für globale Active Directory-Administrationskonten

Bei Microsoft Azure Active Directory-Benutzerkonten mit Administratorrechten kann großer Schaden entstehen, wenn Unbefugte Zugang erhalten. Administratoren vergessen oft, den Umfang dessen einzuschränken, was die Benutzer von Azure Active Directory Konten tun können.

Best Practice: Nicht einmal Ihre Top-Administratoren sollten stets Zugriff auf die globale Administratorrolle haben. Unternehmen müssen sicherstellen, dass sie im Rahmen von Role-Based Access Control Rollen mit begrenztem Umfang erstellen und diese nur bei Bedarf auf Ressourcen anwenden. Active-Directory-Benutzer sollten durch Multifaktor-Authentifizierung geschützt werden.

3. Privileg und Umfang für alle Benutzer einschränken

Wie beim vorherigen Punkt, ist es viel zu einfach, Benutzern Privilegien zu gewähren, sodass sie am Ende zu viele Privilegien haben. Oftmals geschieht dies aus Gründen der Zweckmäßigkeit oder um ein Produktionsproblem dringend um 3:00 Uhr morgens zu lösen.

Best Practice: Role-Based Access Control nutzen und sicherstellen, dass die Berechtigungen, die Anwenderfür eine bestimmte Rolle benötigen, auf einen bestimmten Umfang (Abonnement, Ressourcengruppe oder einzelne Ressourcen) beschränkt werden. Berechtigungen sind allerdings nur ein Teil der Sicherheit. Idealerweise wird Role-Based Access Control mit Azure Resource Manager gekoppelt, um Richtlinien zur Steuerung der Erstellung und des Zugriffs auf Ressourcen und Ressourcengruppen zuzuweisen.

4. Authentifizierung erzwingen

Verlorene oder gestohlene Zugangsdaten sind eine Hauptursache für Sicherheitsvorfälle in der Cloud. Es ist nicht ungewöhnlich, Zugangsdaten für Public Cloud-Umgebungen im Internet zu finden. Unternehmen benötigen eine Möglichkeit, kompromittierte Konten zu erkennen.

Best Practice: Starke Kennwortrichtlinien und eine mehrstufige Authentifizierung sollten immer durchgesetzt werden. Azure bietet mehrere Möglichkeiten, den Schutz für Benutzerkonten zu implementieren. Die einfachste besteht darin, Azure Multi Factor Authentification durch Ändern des Benutzerstatus einzuschalten.

5. Zugriffsschlüssel absichern

Wie bereits erwähnt, sind verlorene oder gestohlene Zugangsdaten eine häufige Ursache für Sicherheitsvorfälle. Leider weisen viele Administratoren Anwendern übermäßig freizügigen Zugriff auf Azure-Ressourcen zu, und vergeben dann noch die Schlüssel zur Verwaltung dieser Ressourcen. Das birgt ein Risiko, denn diese Schlüssel gilt es jederzeit zu schützen.

Best Practice: Das Speichern von Zugangsdaten in Anwendungsquellcode oder Konfigurationsdateien schafft die Voraussetzungen für eine Kompromittierung. Stattdessen sollten Administratoren die Schlüssel, Anwendungszugangsdaten, Passwörter und andere sensible Anmeldeinformationen in Azure Key Vault speichern.

6. IP-Bereiche für Sicherheitsgruppen und ausgehender Datenverkehr schrumpfen

Netzwerksicherheitsgruppen wirken wie Firewall-Mechanismen, die den Datenverkehr mit Azure Virtual Machines und anderen Rechenressourcen kontrollieren. Leider weisen Administratoren den Netzwerksicherheitsgruppen oft IP-Bereiche zu, die größer als nötig sind. Hinzu kommt, dass 85 Prozent der mit Sicherheitsgruppen verbundenen Ressourcen den ausgehenden Datenverkehr nicht einschränken. Beide Vorgehensweisen gefährden die Sicherheit.

Untersuchungen des Cloud-Intelligence-Teams Unit 42 von Palo Alto Networks ergaben auch, dass mehr und Unternehmen nicht den Best Practices für Netzwerksicherheit folgen und Fehlkonfigurationen oder riskante Konfigurationen aufweisen. Idealerweise wird der ausgehende Zugriff eingeschränkt, um versehentlichen Datenverlust oder Datenexposition im Falle einer Verletzung zu verhindern.

Best Practice: Die IP-Bereiche, die jeder Sicherheitsgruppe zuwiesen werden, sind so einzuschränken, dass alles richtig vernetzt ist. Dennoch sollte nicht mehr offen stehen als unbedingt nötig. Außerdem sollten die Administratoren die virtuellen Netzwerke in Subnetze segmentieren, um das Routing der Virtuellen Maschinen zu kontrollieren.

7. Auditprotokollen überprüfen

Unternehmen benötigen einen Einblick in die Benutzeraktivitäten, um Indikatoren für Account-Kompromittierung, Insider-Bedrohungen und andere Risiken zu ermitteln. Die Virtualisierung, die das Rückgrat von Cloud-Netzwerken bildet, und die Möglichkeit, die Infrastruktur eines sehr großen und erfahrenen Drittanbieters zu nutzen, sorgen für Agilität, da privilegierte Benutzer bei Bedarf Änderungen an der Umgebung vornehmen können. Der Nachteil ist das Potenzial für eine unzureichende Sicherheitsaufsicht.

Um dieses Risiko zu vermeiden, sollten die Benutzeraktivitäten verfolgt werden. So lassen sich Kontokompromittierungen und Insider-Bedrohungen identifizieren und es kann sichergestellt werden, dass ein bösartiger Außenstehender die Konten des Unternehmens nicht gekapert hat. Mit den passenden Technologien können Unternehmen k Benutzer effektiv überwachen.

Best Practice: Die Überwachung der Aktivitätsprotokolle ist der Schlüssel zum Verständnis dessen, was mit den Azure-Ressourcen gerade geschieht. Mit RedLock UEBA erkennen Unternehmen ungewöhnliche Benutzeraktivitäten, übermäßige Login-Fehler oder Versuche von Account-Hijacking.

8. Virtual Machines patchen

Es liegt in der Verantwortung der Cloud-Kunden, sicherzustellen, dass die neuesten Sicherheitspatches auf Hosts in ihrer Umgebung angewendet wurden. Die jüngsten Forschungsergebnisse von Unit 42 geben Aufschluss über ein verwandtes Problem. Herkömmliche Netzwerk-Scanner für Schwachstellen sind für lokale Netzwerke am effektivsten, übersehen aber wichtige Schwachstellen, wenn sie zum Testen von Cloud-Netzwerken verwendet werden.

Best Practice: Unternehmen sollten sicherstellen, dass die Hosts häufig gepatcht werden. Sie sollten zudem alle notwendigen Hotfixes der OEM-Anbieter anwenden und sicherstellen, dass auch Virtual Machine-Images die jüngsten Patches und Updates bekommen. Jürgen Frisch

Kommentare sind deaktiviert