Bearbeiten

Freigeben über


Microsoft Entra IDaaS in Sicherheitsvorgängen

Microsoft Entra ID
Microsoft Sentinel

Diese Architektur veranschaulicht, wie SOC-Teams (Security Operations Center) Identitäts- und Zugriffsfunktionen von Microsoft Entra in eine integrierte Zero-Trust-Sicherheitsstrategie mit mehreren Ebenen einbinden können.

Die Netzwerksicherheit war für SOC-Vorgänge wichtig, als alle Dienste und Geräte in verwalteten Netzwerken von Organisationen enthalten waren. Von Gartner wird aber vorhergesagt, dass der Marktanteil von Clouddiensten bis 2022 dreimal so stark wie für den Bereich der allgemeinen IT-Dienste zunehmen wird. Wenn immer mehr Unternehmen auf Cloud Computing setzen, wird die Benutzeridentität als primäre Sicherheitsgrenze angesehen werden.

Der Schutz von Identitäten in der Cloud hat eine hohe Priorität.

Das Zero Trust-Sicherheitsmodell behandelt alle Hosts so, als ob sie mit dem Internet in Verbindung stehen, und hält das gesamte Netzwerk für potenziell kompromittiert und feindliche. Bei diesem Ansatz liegt der Schwerpunkt auf einer sicheren Authentifizierung (AuthN), Autorisierung und Verschlüsselung, während gleichzeitig der unterteilte Zugriff und eine bessere Flexibilität beim Betrieb ermöglicht wird.

Gartner empfiehlt eine adaptive Sicherheitsarchitektur, bei der eine auf der Reaktion auf Vorfälle basierende Strategie durch ein Modell vom Typ Verhindern/Erkennen/Reagieren/Vorhersagen ersetzt wird. Bei der adaptiven Sicherheit werden Kontrolle, Verhaltensüberwachung, Nutzungsverwaltung und Ermittlung mit kontinuierlicher Überwachung und Analyse kombiniert.

In der Referenzarchitektur für Microsoft-Cybersicherheit (Microsoft Cybersecurity Reference Architecture, MCRA) werden die Cybersicherheitsfunktionen von Microsoft und deren Integration in vorhandene Sicherheitsarchitekturen beschrieben, z. B. Cloud- und Hybridumgebungen, die Microsoft Entra ID für Identity-as-a-Service (IDaaS) verwenden.

In diesem Artikel wird der adaptive Zero-Trust-Sicherheitsansatz auf IDaaS erweitert, wobei besonders auf die auf der Microsoft Entra-Plattform verfügbaren Komponenten eingegangen wird.

Mögliche Anwendungsfälle

  • Entwerfen neuer Sicherheitslösungen
  • Verbessern vorhandener Implementierungen oder Durchführen der Integration
  • Schulen von SOC-Teams

Aufbau

Microsoft Entra-bezogene Sicherheitsfunktionen

Laden Sie eine Visio-Datei dieser Architektur herunter.

Workflow

  1. Über die Verwaltung von Anmeldeinformationen wird die Authentifizierung gesteuert.
  2. Bei der Bereitstellung und Berechtigungsverwaltung wird das Zugriffspaket definiert, Benutzer werden Ressourcen zugewiesen, und Daten werden zu Nachweiszwecken per Pushvorgang übertragen.
  3. Mit dem Autorisierungsmodul wird die Zugriffsrichtlinie ausgewertet, um den Zugriff zu ermitteln. Darüber hinaus werden mit dem Modul auch Risikoerkennungen ausgewertet, z. B. Daten aus Analysen zum Verhalten von Benutzern/Entitäten (User/Entity Behavioral Analytics, UEBA) , und die Gerätekonformität für die Endpunktverwaltung wird überprüft.
  4. Bei einer Autorisierung wird dem Benutzer Zugriff über Richtlinien für bedingten Zugriff und Kontrollen gewährt.
  5. Falls die Autorisierung nicht erfolgreich ist, können Benutzer eine Echtzeitbehandlung durchführen, um die Blockierung aufzuheben.
  6. Alle Sitzungsdaten werden zu Analyse- und Berichterstellungszwecken protokolliert.
  7. In das SIEM-System (Security Information and Event Management) des SOC-Teams fließen alle Protokoll-, Risikoerkennungs- und UEBA-Daten der Cloud- und lokalen Identitäten ein.

Komponenten

Die folgenden Sicherheitsprozesse und -komponenten tragen ihren Teil zu dieser Microsoft Entra-IDaaS-Architektur bei.

Verwaltung von Anmeldeinformationen

Die Verwaltung von Anmeldeinformationen umfasst Dienste, Richtlinien und Methoden zum Erteilen, Nachverfolgen und Aktualisieren des Zugriffs auf Ressourcen oder Dienste. Die Microsoft Entra-Anmeldeinformationsverwaltung umfasst die folgenden Funktionen:

  • Mit der Self-Service-Kennwortzurücksetzung (Self-Service Password Reset, SSPR) können Benutzer sich selbst helfen und ihre eigenen verlorenen, vergessenen oder kompromittierten Kennwörter zurücksetzen. Dank der Self-Service-Kennwortzurücksetzung verringert sich nicht nur die Anzahl von Anrufen beim Helpdesk, sondern es erhöht sich auch die Flexibilität und Sicherheit für Benutzer.

  • Beim Kennwortrückschreiben werden in der Cloud geänderte Kennwörter in Echtzeit mit lokalen Verzeichnissen synchronisiert.

  • Die Funktion Gesperrte Kennwörter analysiert Telemetriedaten, die häufig genutzte unsichere oder kompromittierte Kennwörter verfügbar machen, und sperrt deren Nutzung global für die gesamte Microsoft Entra ID-Instanz. Sie können diese Funktionalität für Ihre Umgebung anpassen und eine Liste mit benutzerdefinierten Kennwörtern erstellen, die in Ihrer eigenen Organisation gesperrt sein sollen.

  • Bei Smart Lockout werden legitime Authentifizierungsversuche mit Brute-Force-Versuchen verglichen, bei denen das Ziel die Erlangung von unbefugtem Zugriff ist. Bei Verwendung der Smart Lockout-Standardrichtlinie wird ein Konto nach zehn fehlgeschlagenen Anmeldeversuchen eine Minute lang gesperrt. Falls es zu weiteren fehlgeschlagenen Anmeldeversuchen kommt, wird die Dauer der Kontosperrung erhöht. Sie können Richtlinien verwenden, um die Einstellungen so anzupassen, dass für Ihre Organisation eine geeignete Mischung aus Sicherheit und Benutzerfreundlichkeit erzielt wird.

  • Die mehrstufige Authentifizierung erfordert mehrere Authentifizierungsformen , wenn Benutzer versuchen, auf geschützte Ressourcen zuzugreifen. Die meisten Benutzer sind beim Zugreifen auf Ressourcen mit einer bestimmten Vorgehensweise vertraut, z. B. der Eingabe eines Kennworts. Bei MFA werden Benutzer aufgefordert, zusätzlich ein Element aus Ihrem Besitz (z. B. ein vertrauenswürdiges Gerät) oder ein persönliches Merkmal (z. B. biometrischer Art) vorzuweisen. Für MFA können unterschiedliche Arten von Authentifizierungsmethoden genutzt werden, z. B. Telefonanrufe, SMS oder Benachrichtigungen über die Authenticator-App.

  • Bei der kennwortlosen Authentifizierung wird ein Kennwort im Authentifizierungsworkflow durch ein Smartphone- oder Hardwaretoken, ein biometrisches Merkmal oder eine PIN ersetzt. Für die kennwortlose Authentifizierung von Microsoft können Azure-Ressourcen verwendet werden, z. B. Windows Hello for Business und die Microsoft Authenticator-App auf mobilen Geräten. Sie können die kennwortlose Authentifizierung auch mit FIDO2-kompatiblen Sicherheitsschlüsseln ermöglichen, wobei WebAuthn und das CTAP-Protokoll (Client-to-Authenticator) der FIDO Alliance genutzt werden.

App-Bereitstellung und -Berechtigung

  • Die Berechtigungsverwaltung ist ein Microsoft Entra Identity Governance-Feature, mit dem Organisationen den Identitäts- und Zugriffslebenszyklus bedarfsabhängig verwalten können. Bei der Berechtigungsverwaltung werden Workflows für Zugriffsanforderungen, Zugriffszuweisungen, Überprüfungen und der Ablauf automatisiert.

  • Bei der Microsoft Entra-Bereitstellung können Sie automatisch Benutzeridentitäten und -rollen in Anwendungen erstellen, auf die Benutzer*innen zugreifen müssen. Sie können die Microsoft Entra-Bereitstellung für Software-as-a-Service (SaaS)-Drittanbieter-Apps konfigurieren. Beispiele hierfür sind SuccessFactors, Workday und viele mehr.

  • Beim nahtlosen einmaligen Anmelden werden Benutzer automatisch für cloudbasierte Anwendungen authentifiziert, nachdem sie sich bei ihren Unternehmensgeräten angemeldet haben. Sie können nahtloses einmaliges Anmelden von Microsoft Entra mit Kennwort-Hashsynchronisierung oder Passthrough-Authentifizierung verwenden.

  • Der Nachweis mit Microsoft Entra-Zugriffsüberprüfungen erleichtert das Erfüllen von Überwachungs- und Überprüfungsanforderungen. Bei Zugriffsüberprüfungen können Sie schnell die Anzahl von Administratorbenutzern bestimmen, für neue Mitarbeiter den Zugriff auf die erforderlichen Ressourcen sicherstellen oder mit einer Überprüfung der Aktivitäten von Benutzern ermitteln, ob diese weiterhin Zugriff benötigen.

Richtlinien für bedingten Zugriff und Steuerelemente

Bei einer Richtlinie für bedingten Zugriff handelt es sich um eine If-Then-Anweisung von Zuweisungen und Zugriffssteuerungen. Sie definieren die Antwort („führe dies durch“) für die Ursache der Auslösung Ihrer Richtlinie („wenn dies erfüllt ist“), damit vom Autorisierungsmodul Entscheidungen in Bezug auf die Erzwingung von organisationsweiten Richtlinien getroffen werden können. Mit dem bedingten Zugriff von Microsoft Entra können Sie den Zugriff von autorisierten Benutzer*innen auf Ihre Apps steuern. Mit dem What If-Tool von Microsoft Entra ID können Sie ermitteln, warum eine Richtlinie für bedingten Zugriff angewendet bzw. nicht angewendet wurde oder ob eine Richtlinie in einem bestimmten Fall für Benutzer*innen zutrifft.

Steuerelemente für bedingten Zugriff werden zusammen mit Richtlinien für bedingten Zugriff eingesetzt, um organisationsweite Richtlinien zu erzwingen. Mit Microsoft Entra-Zugriffssteuerungen für bedingten Zugriff können Sie die Sicherheit basierend auf Faktoren implementieren, die während der Zugriffsanforderung erkannt werden, anstatt einen universellen Ansatz zu verwenden. Indem Sie Steuerelemente für bedingten Zugriff mit Zugriffsbedingungen verknüpfen, können Sie vermeiden, dass zusätzliche Sicherheitssteuerelemente erstellt werden müssen. Ein typisches Beispiel hierfür ist der folgende Fall: Sie können für Benutzer auf einem in die Domäne eingebundenen Gerät den Zugriff auf Ressourcen per SSO zulassen, während für außerhalb des Netzwerks befindliche Benutzer gleichzeitig MFA oder die Nutzung ihrer eigenen Geräte erzwungen wird.

In Microsoft Entra ID können die folgenden Zugriffssteuerungen für bedingten Zugriff basierend auf Richtlinien für bedingten Zugriff verwendet werden:

Risikoerkennung

Azure Identity Protection umfasst mehrere Richtlinien, mit denen Ihre Organisation Reaktionen auf verdächtige Benutzeraktionen verwalten kann. Das Benutzerrisiko steht für die Wahrscheinlichkeit, dass eine Benutzeridentität kompromittiert wurde. Das Anmelderisiko steht für die Wahrscheinlichkeit, dass eine Anmeldeanforderung nicht vom erwarteten Benutzer stammt. Microsoft Entra ID berechnet auf der Grundlage einer Verhaltensanalyse Anmelderisikoscores, die auf der Wahrscheinlichkeit beruhen, dass die Anmeldeanforderung von den tatsächlichen Benutzer*innen stammt.

  • Bei Microsoft Entra-Risikoerkennungen werden adaptive Machine Learning-Algorithmen und -Heuristiken verwendet, um verdächtige Aktivitäten im Zusammenhang mit Benutzerkonten zu erkennen. Jede erkannte verdächtige Aktion wird in einem Datensatz gespeichert, der als Risikoerkennung bezeichnet wird. Microsoft Entra ID berechnet anhand dieser Daten die Wahrscheinlichkeit des Benutzer- und Anmelderisikos. Die Qualität der Daten wird verbessert, indem die internen und externen Threat Intelligence-Quellen und -Signale von Microsoft genutzt werden.

  • Sie können die Risikoerkennungs-APIs von Identity Protection in Microsoft Graph verwenden, um Informationen zu Risikobenutzern und -anmeldungen verfügbar zu machen.

  • Bei der Echtzeitbehandlung können Benutzer per SSPR und MFA die Blockierung selbst aufheben, um einige Risikoerkennungen selbst zu behandeln.

Überlegungen

Diese Überlegungen beruhen auf den Säulen des Azure Well-Architected Frameworks, d. h. einer Reihe von Grundsätzen, mit denen die Qualität von Workloads verbessert werden kann. Weitere Informationen finden Sie unter Microsoft Azure Well-Architected Framework.

Sicherheit

Sicherheit bietet Schutz vor vorsätzlichen Angriffen und dem Missbrauch Ihrer wertvollen Daten und Systeme. Weitere Informationen finden Sie unter Erstellen einer Checkliste zur Überprüfung der Sicherheit.

Logging

Überwachungsberichte von Microsoft Entra ermöglichen die Nachverfolgung von Azure-Aktivitäten mit Überwachungsprotokollen, Anmeldeprotokollen und Berichten zu Risikoanmeldungen und -benutzer*innen. Sie können die Protokolldaten anhand von verschiedenen Parametern, z. B. Dienst, Kategorie, Aktivität und Status, filtern und durchsuchen.

Sie können Microsoft Entra ID-Protokolldaten an folgende Endpunkte weiterleiten:

Darüber hinaus können Sie auch die Berichterstellungs-API von Microsoft Graph verwenden, um Microsoft Entra ID-Protokolldaten in Ihren eigenen Skripts abzurufen und zu nutzen.

Aspekte von lokalen und Hybridverfahren

Authentifizierungsmethoden sind von entscheidender Bedeutung, um die Identitäten Ihrer Organisation bei einem Hybridszenario zu schützen. Verwenden Sie die spezifische Microsoft-Anleitung zur Wahl eines Hybridverfahrens für die Authentifizierung mit Microsoft Entra ID.

Microsoft Defender for Identity kann Ihre lokalen Active Directory-Signale zum Identifizieren, Erkennen und Untersuchen von komplexen Bedrohungen, kompromittierten Identitäten und schädlichen Insideraktionen verwenden. Defender for Identity verwendet UEBA, um Insiderbedrohungen zu identifizieren und Risiken zu kennzeichnen. Selbst wenn eine Identität kompromittiert wird, kann Defender for Identity helfen, die Kompromittierung anhand von ungewöhnlichem Benutzerverhalten zu identifizieren.

Defender for Identity ist in Defender for Cloud-Apps integriert, um den Schutz auf Cloud-Apps auszudehnen. Sie können Defender für Cloud-Apps verwenden, um Sitzungsrichtlinien zu erstellen, mit denen Ihre Dateien beim Download geschützt werden. Beispielsweise können Sie automatisch auf die Anzeige beschränkte Berechtigungen für alle Dateien festlegen, die von bestimmten Arten von Benutzer*innen heruntergeladen werden.

Sie können eine lokale Anwendung in Microsoft Entra ID zur Verwendung von Defender for Cloud Apps für die Echtzeitüberwachung konfigurieren. Verwenden Sie Defender für Cloud Apps App-Steuerung für bedingten Zugriff, um Sitzungen in Echtzeit auf der Grundlage von Richtlinien für bedingten Zugriff zu überwachen und zu steuern. Sie können diese Richtlinien auf lokale Anwendungen anwenden, die den Anwendungsproxy in Microsoft Entra ID verwenden.

Mit dem Microsoft Entra-Anwendungsproxy können Benutzer*innen über Remoteclients auf lokale Webanwendungen zugreifen. Mit dem Anwendungsproxy können Sie alle Anmeldeaktivitäten für Ihre Anwendungen zentral überwachen.

Sie können Defender for Identity mit Microsoft Entra ID Protection verwenden, um Benutzeridentitäten zu schützen, die über Microsoft Entra Connect mit Azure synchronisiert werden.

Falls Sie für einige Ihrer Apps bereits einen Bereitstellungs- oder Netzwerkcontroller verwenden, um den Zugriff von außerhalb des Netzwerks zu ermöglichen, können Sie diesen in Microsoft Entra ID integrieren. Mehrere Partner (z. B. Akamai, Citrix, F5 Networks und Zscaler) bieten Lösungen und Informationen zur Integration in Microsoft Entra ID an.

Kostenoptimierung

Bei der Kostenoptimierung geht es um die Suche nach Möglichkeiten, unnötige Ausgaben zu reduzieren und die Betriebseffizienz zu verbessern. Weitere Informationen finden Sie unter Erstellen einer Checkliste zur Überprüfung der Kostenoptimierung.

Die Microsoft Entra-Preise reichen von „Kostenlos“ (für Features wie SSO und MFA) bis zu „Premium P2“ (für Features wie PIM und Berechtigungsverwaltung). Informationen zu den Preisen finden Sie unter Microsoft Entra-Preise.

Nächste Schritte