Administrative Konten schützen in Azure AD

Auf die Finger geschaut

Administration in der Cloud folgt den Paradigmen und Vorgehensweisen lokaler Infrastrukturen. Administratoren loggen sich mit speziellen, besonders geschützten Adminkonten ein und führen ihre Tätigkeiten durch. Damit die Konten nicht gestohlen werden, haben sie meist besonders lange Passworte oder müssen aus gesicherten Systemen freigeschaltet werden, bevor sie sich nutzen lassen. Dieses Sicherheitsniveau will nun auch Azure bieten.
Die Endgeräte in Unternehmen stellen das wohl größte Einfallstor für Angreifer dar. Ein geöffneter, infizierter E-Mail-Anhang oder der Besuch einer ... (mehr)

Selbst bei den besten Clouddiensten fallen in der Regel administrative Tätigkeiten an, die interne Admins durchführen müssen. Längst nicht alle Aufgaben sind bei Software-as-a-Service-(SaaS)-Angeboten "built-in". Admins müssen unter anderem bei der detaillierten Servicekonfiguration, der Vergabe von Berechtigungen, der Durchsicht von Logdateien oder der Sicherheit der Daten die Arbeit aufnehmen.

Aus den Beispielen ist zu erkennen, dass diese Aufgaben Mitarbeitern mit admi­nistrativer Verantwortung zugeteilt werden, deren Anmeldekonten in den SaaS-Anwendungen entsprechende Berechtigungen haben. Für den Schutz dieser brisanten Adminkonten existiert eine Reihe von empfohlenen Praktiken, damit die Konten nicht in falsche Hände geraten oder versehentliche Fehladministration erfolgt.

Zunächst ist es ratsam, für administrative Tätigkeiten eigene Konten zu verwenden, die nicht bei der täglichen Arbeit für E-Mail, Telefonate oder Internetrecherche zum Einsatz kommen. Durch die Trennung der Konten sinkt das Risiko, dass Administratoren ihre Konten aus Versehen falsch verwenden oder einer Attacke unterliegen, die ihr Konto kompromittiert und sich auf andere Teile des Unternehmens ausbreitet. Deshalb zwei Konten: eines für die tägliche Arbeit, eines für die administrativen Tätigkeiten. Diese sollten auch namentlich unterscheidbar sein, etwa durch einen Präfix wie "ADM_". Die Trennung der Konten zwingt Admins auch, beim Login zu verwalteten Ressourcen das administrative Konto explizit anzugeben.

Gezielt die Administration eingrenzen

Adminkonten sind traditionell so konfiguriert, dass sie alle Berechtigungen permanent behalten. Nur wenn Admins das Unternehmen verlassen oder in eine andere Abteilung wechseln, werden die Konten beschnitten. Die Gefahr, dass ein Konto unbemerkt gestohlen wird und dann zu jedem beliebigen Zeitpunkt genutzt wird, bleibt also

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019