Wie erreicht man in der Microsoft Cloud (Microsoft 365 & Microsoft Azure) schnell und mit überschaubaren / wenig Kosten ein hohes Maß an Sicherheit? Ich zeige es euch!
Einleitung
Die Gefahr von Cyberangriffen wächst leider von Tag zu Tag. Auch losgelöst von der weltpolitischen Lage. Die zielgerichteten Angriffe sind auch nicht mehr immer das Hauptthema – es passieren immer mehr wahllose Angriffe. Ein paar Fakten aus der Realität, die Angriffe heutzutage erleichtern:
- Umgebungen heißen fast immer wie das Unternehmen: firma.onmicrosoft.com
- Wer dort in welcher Position arbeitet lässt sich leicht über soziale Netzwerke herausfinden
- Einer der globalen Administratorenaccounts heißt fast immer admin oder Administrator. Manche kreative nennen ihn auch root oder globaladmin. Ab und zu heißt er auch so wie der M365 Service Owner, den man in den sozialen Netzen identifiziert.
- Typische VPN Zugänge heißen remote.XYZ, ras.XYZ, vpn.XYZ, connect.XYZ, wobei XYZ für den Firmennamen steht.
- Ein Datensatz mit funktionierenden Accountdaten kostet nicht mal $1 im Darknet gemäß Microsoft Digital Defense Report – Microsoft Security aus dem Jahr 2021.
- Nur etwa 20% der Accounts in der Microsoft Cloud sind mit Multifaktor Mechanismen geschützt:
Microsoft Digital Defense Report 2021 – Seite 89:
If compromised organizations had applied basic
security hygiene like patching, applying updates, or
turning on multifactor authentication (MFA), they
may have been spared or less impacted. In fact, it
is shocking that less than 20% of our customers are
using strong authentication such as MFA93 (which
is free to our customers and can be turned on by
default).
Diese Fakten sind leider ein Alarmsignal. Denn sie erleichtern Angreifern das Leben. In der Microsoft Cloud ist es aber (wie man im Zitat schon herauslesen kann), sehr leicht, eine gewisse Grundsicherheit zu erreichen.
Das Leitprinzip
Wir alle wissen: 100% Sicherheit gibt es nicht. Auch 99,9% sind schwer zu erreichen. Aber die ersten knapp 80% sind ein Kinderspiel. Dass 80% besser sind als 25% oder im schlimmsten Fall sogar 0%, brauche ich hoffentlich nicht extra erklären 😉
Wichtig ist zu verstehen, wie ein Angriff überhaupt abläuft. Ein moderner Angreifer zaubert keinen lachenden Totenkopf auf euer Display. Nein, ein Angreifer verhält sich ruhig im Netzwerk und entwendet Daten ohne dass der Angegriffene etwas davon merkt. Alernativ wird einem der Zugriff auf die eigenen Daten genommen, beispielsweise weil diese verschlüsselt werden. Damit dies nicht passiert, muss man sich natürlich schützen. Daheim schließt ja auch jeder seine Haustüre ab.
Im Idealfall implementiert man heutzutage das sogenannte Zero-Trust Modell. Man kann grob sagen, dass dieses Modell folgendes Prinzip umsetzt: „Traue niemandem, nicht einmal dir selbst“. Warum? Der eigene Account könnte gehackt sein und man selber weiß das nicht oder hat es (noch?) nicht gemerkt. Natürlich scheiden sich auch hier wieder die Geister weil es viele selbst ernannte Experten gibt und jeder alles besser weiß als alle anderen. Vergessen wir mal die Diskussionen, dann kann man festhalten dass ein Leitprinzip auf alle zutrifft:
Wenn es schon keine 100% Sicherheit gibt, dann sollte man es den (potentiellen) Angreifern so schwer wie möglich machen.
Wie geht das nun? Ohne Aufwand und somit auch komplett ohne Kosten geht es nicht. Aber man kann alles überschaubar halten. Ich zeige euch, wie.
Systeme patchen
Patchen und Cloud? Wie passt das denn zusammen? Ganz einfach: Wie greift man auf ein Cloudsystem zu? Mit Clients. Clients sind ein beliebter Punkt für Angriffe, also gehören diese immer gepatcht. Wer heutzutage immer noch mit Windows XP arbeitet, der ist selber Schuld wenn er kompromittiert wird. Ich darf mich bei einem 20 Jahre alten Porsche auch nicht beschweren dass er eine niedrigere Spitzengeschwindigkeit als das aktuelle Topmodell hat.
Aber auch alles was im eigenen Rechenzentrum steht – egal welches Betriebssystem – egal welche Software. Alles, was ich nicht auf dem neuesten Stand halte, ist potentiell gefährdet. Dabei spielt es keine Rolle, von welchem Softwarehersteller die Software kommt. Software hat immer Fehler und ist somit angreifbar. Also liefern die Hersteller Patches um diese Fehler zu adressieren. Spiele ich die nicht ein, mache ich mich verwundbar. Und bevor Microsoft Bashing losgeht – sucht doch mal nach Typo3 oder WordPress AddOn Lücken. Ich verfolge gerne die News auf Bleeping Computer.
In der Cloud brauche ich keine Server patchen, da übernimmt Microsoft diese Arbeit. Und das machen sie auch.
Mehrstufige Authentifizierung
Die Anmeldung nur mit Benutzername und Passwort ist unsicher. Das sollte mittlerweile jeder gehört haben. Selbst das sicherste Kennwort kann geknackt werden. Zugegeben, je länger das Kennwort ist, desto schwieriger ist es, dieses zu knacken. Weiter oben hatte ich bereits den Microsoft Digital Defense Report – Microsoft Security erwähnt. In diesem berichtet Microsoft auch, zu welchen Preisen den ‚verdeckten Ermittlern‘ Datensätze mit funktionierenden Logins angeboten wurden. Diese Preise sind so erschreckend niedrig, dass sie sich jeder problemlos leisten kann. Hierfür benötigt es keine Beauftragung von Dritten oder ähnliches. Egal wie sicher ein Kennwort ist, steht es in einer frei oder günstig erwerbbaren Datenbank, ist der Account kompromittiert.
Hier hilft nur die Zwischenschaltung eines weiteren Faktors. Hier bietet sich ohne Mehrkosten Azure MFA an. Diese bietet flexible Optionen: SMS Token, Authenticator, Telefonanruf. Auch wenn sogar SMS Token heutzutage als unsicher gelten, jede MFA Stufe ist besser als keine! Am besten wird diese heute über Conditional Access realisiert, was mich zum nächsten Punkt bringt:
Conditional Access
Conditional Access ist Teil der Azure AD Premium P1 Lizenz. Diese bedeutet prinzipiell zwar Mehrkosten, allerdings ist sie heutzutage als Minimum für Cloudsicherheit zu betrachten.
Mit Conditional Access ist man in der Lage in seinem Tenant Zugriffsszenarien zu definieren. Diese Szenarien können Gerätestati auswerten (Intune erforderlich!), auf Basis von verwendeten Apps, Kontotypen oder Applikationen bestimmte Aktionen beim Login erfordern. Beispielsweise mehrstufige Authentifizierung. Man sollte in jedem Fall immer jeden Administrator zu mehrstufiger Authentifizierung zwingen. Ebenso Gäste und Zugriffe von nicht-verwalteten Clients. Auch kann es Sinn machen, Zugriffe auf die Cloud zu sperren, wenn diese nicht von einer bekannten vertrauenswürdigen IP Adresse initiiert wurden.
Administratorenkonzept
Für die Cloud sollten Admins immer separate Cloudkonten haben, mit denen keine tägliche Arbeit erledigt wird. Ein Sync sollte vermieden werden. So werden potentiell noch so unwahrscheinliche Abhängigkeiten zu einem on-premises AD vermindert. Ebenso verhindert dies im Falle einer Kompromittierung des on-premises AD, dass die Cloudsysteme auch gleich mit betroffen sind.
Für Administratoren gilt das Prinzip Least Priviledge, also so wenig Rechte wie nötig. Ferner sollten Admins immer personalisiert sein, keine generischen Accounts wie admin@ verwendet werden.
