Sicherheitssteuerung v3: Identitätsverwaltung

  • Artikel

Identity Management umfasst Steuerelemente zum Einrichten einer sicheren Identität und Zugriffssteuerung mit Azure Active Directory, einschließlich der Verwendung von einmaligem Anmelden, starken Authentifizierungen, verwalteten Identitäten (und Dienstprinzipalen) für Anwendungen, bedingten Zugriff und Kontoanomalienüberwachung.

IM-1: Verwenden eines zentralen Identitäts- und Authentifizierungssystems

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
6.7, 12.5 AC-2, AC-3, IA-2, IA-8 7.2, 8.3

Sicherheitsprinzip: Verwenden Sie ein zentrales Identitäts- und Authentifizierungssystem, um die Identitäten und Authentifizierungen Ihrer Organisation für Cloud- und Nicht-Cloudressourcen zu steuern.

Azure-Leitfaden: Azure Active Directory (Azure AD) ist der Azure-Dienst zur Identitäts- und Authentifizierungsverwaltung. Sie sollten Azure AD als Standard für die Identitäts- und Authentifizierungssteuerung Ihrer Organisation in folgenden Ressourcen verwenden:

  • Microsoft-Cloudressourcen, wie z. B. Azure Storage, Azure Virtual Machines (Linux und Windows), Azure Key Vault, PaaS- und SaaS-Anwendungen
  • Die Ressourcen Ihrer Organisation, z. B. Anwendungen in Azure, Anwendungen von Drittanbietern, die in Ihren Unternehmensnetzwerkressourcen ausgeführt werden, und SaaS-Anwendungen von Drittanbietern
  • Ihre Unternehmensidentitäten in Active Directory durch Synchronisierung mit Azure AD, um eine konsistente und zentral verwaltete Identitätsstrategie sicherzustellen

Hinweis: Sobald dies technisch möglich ist, sollten Sie lokale Active Directory-basierte Anwendungen zu Azure AD migrieren. Verwenden Sie eine Azure AD Enterprise-, eine Business-to-Business- oder eine Business-to-Consumer-Konfiguration.

Implementierung und zusätzlicher Kontext:

Sicherheitsverantwortliche beim Kunden (weitere Informationen):

IM-2: Schützen von Identitäts- und Authentifizierungssystemen

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
5.4, 6.5 AC-2, AC-3, IA-2, IA-8, SI-4 8.2, 8.3

Sicherheitsprinzip: Räumen Sie dem Schutz Ihres Identitäts- und Authentifizierungssystems eine hohe Priorität bei den Cloudsicherheitsmaßnahmen Ihrer Organisation ein. Allgemeine Sicherheitskontrollen:

  • Einschränken privilegierter Rollen und Konten
  • Anfordern einer sicheren Authentifizierung für den gesamten privilegierten Zugriff
  • Überwachen und Überprüfen von Aktivitäten mit hohem Risiko

Azure-Leitfaden: Verwenden Sie die Azure AD-Sicherheitsbaseline und die Azure AD-Identitätssicherheitsbewertung, um Ihren Azure AD-Identitätssicherheitsstatus zu bewerten und Sicherheits- und Konfigurationslücken zu schließen. Die Azure AD-Identitätssicherheitsbewertung wertet Azure AD für die folgenden Konfigurationen aus: –Verwenden eingeschränkter Administratorrollen

  • Aktivieren der Benutzerrisiko-Richtlinie
  • Festlegen mehrerer globaler Administratoren
  • Aktivieren der Richtlinie zum Blockieren älterer Authentifizierungsmethoden
  • Sicherstellen, dass alle Benutzer MFA für den sicheren Zugriff durchführen können
  • Anfordern der MFA für Administratorrollen
  • Aktivieren der Self-Service-Kennwortzurücksetzung
  • Deaktivieren des Kennwortablaufs
  • Aktivieren der Anmelderisiko-Richtlinie
  • Verweigern, dass Benutzer ihre Einwilligung für nicht verwaltete Anwendungen erteilen

Hinweis: Befolgen Sie die veröffentlichten bewährten Methoden für alle anderen Identitätskomponenten, einschließlich der lokalen Active Directory-Instanz und ggf. Funktionen von Drittanbietern, sowie für die Infrastrukturen (z. B. Betriebssysteme, Netzwerke, Datenbanken), die sie hosten.

Implementierung und zusätzlicher Kontext:

Sicherheitsverantwortliche beim Kunden (weitere Informationen):

IM-3: Sicheres und automatisches Verwalten von Anwendungsidentitäten

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
AC-2, AC-3, IA-4, IA-5, IA-9 N/V

Sicherheitsprinzip: Verwenden Sie verwaltete Anwendungsidentitäten für den Zugriff auf Ressourcen und die Ausführung von Code, statt personenbezogene Konten für Anwendungen zu erstellen. Verwaltete Anwendungsidentitäten bieten beispielsweise den Vorteil, dass sie die Gefährdung von Anmeldeinformationen verringern. Automatisieren Sie die Rotation von Anmeldeinformationen, um die Sicherheit der Identitäten sicherzustellen.

Azure-Leitfaden: Verwenden Sie verwaltete Azure-Identitäten, die sich bei Azure-Diensten und -Ressourcen authentifizieren können, welche die Azure AD-Authentifizierung unterstützen. Anmeldeinformationen für verwaltete Identitäten werden vollständig verwaltet, rotiert und von der Plattform geschützt. Hierbei werden hartcodierte Anmeldeinformationen im Quellcode oder in Konfigurationsdateien vermieden.

Für Dienste, die keine verwalteten Identitäten unterstützen, können Sie mithilfe von Azure AD einen Dienstprinzipal mit eingeschränkten Berechtigungen auf Ressourcenebene erstellen. Sie sollten Dienstprinzipale mit Zertifikatanmeldeinformationen konfigurieren und für die Authentifizierung auf geheime Clientschlüssel zurückgreifen.

Implementierung und zusätzlicher Kontext:

Sicherheitsverantwortliche beim Kunden (weitere Informationen):

IM-4: Authentifizieren von Servern und Diensten

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
N/V IA-9

Sicherheitsprinzip: Authentifizieren Sie Remoteserver und -dienste von der Clientseite aus, um sicherzustellen, dass Sie eine Verbindung mit vertrauenswürdigen Servern und Diensten herstellen. Das gängigste Serverauthentifizierungsprotokoll ist Transport Layer Security (TLS), wobei der Client (häufig ein Browser oder ein Clientgerät) den Server verifiziert, indem überprüft wird, ob das Zertifikat des Servers von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde.

Hinweis: Die gegenseitige Authentifizierung kann verwendet werden, wenn sich sowohl der Server als auch der Client gegenseitig authentifizieren.

Azure-Leitfaden: Viele Azure-Dienste unterstützen die TLS-Authentifizierung standardmäßig. Stellen Sie bei den Diensten, die das Aktivieren/Deaktivieren von TLS durch den Benutzer unterstützen, eine ständige Aktivierung von TLS sicher, um die Server-/Dienstauthentifizierung zu unterstützen. Ihre Clientanwendung sollte zudem so konzipiert sein, dass sie die Server-/Dienstidentität (durch Überprüfen des von einer vertrauenswürdigen Zertifizierungsstelle ausgestellten Serverzertifikats) in der Handshakephase verifiziert.

Implementierung und zusätzlicher Kontext:

Sicherheitsverantwortliche beim Kunden (weitere Informationen):

IM-5: Verwenden von einmaligem Anmelden (SSO) für den Anwendungszugriff

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
12,5 IA-4, IA-2, IA-8

Sicherheitsprinzip: Verwenden Sie einmaliges Anmelden (Single Sign-On, SSO), um die Benutzeroberfläche für die Authentifizierung bei Ressourcen wie Anwendungen und Daten in Clouddiensten und lokalen Umgebungen zu vereinfachen.

Azure-Leitfaden: Verwenden Sie Azure AD, um für den Workloadanwendungszugriff die Azure AD-Funktion für einmaliges Anmelden (Single Sign-On, SSO) zu nutzen, sodass nur ein Konto erforderlich ist. Azure AD bietet Identitäts- und Zugriffsverwaltung für Azure-Ressourcen (Verwaltungsebene einschließlich CLI, PowerShell und Portal), Cloudanwendungen und lokale Anwendungen.

Azure AD unterstützt SSO für Unternehmensidentitäten, z. B. Unternehmensbenutzeridentitäten, sowie für externe Benutzeridentitäten von vertrauenswürdigen Drittanbietern und für öffentliche Benutzer.

Implementierung und zusätzlicher Kontext:

Sicherheitsverantwortliche beim Kunden (weitere Informationen):

IM-6: Verwenden von strengen Authentifizierungskontrollen

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
6.3, 6.4 AC-2, AC-3, IA-2, IA-5, IA-8 7.2, 8.2, 8.3, 8.4

Sicherheitsprinzip: Erzwingen Sie für den gesamten Zugriff auf Ressourcen strenge Authentifizierungskontrollen (strenge kennwortlose Authentifizierung oder Multi-Faktor-Authentifizierung) für Ihr zentrales Identitäts- und Authentifizierungsverwaltungssystem. Die nur auf Kennwortanmeldeinformationen basierende Authentifizierung gilt als veraltet, weil sie unsicher ist und gängigen Angriffsmethoden nicht standhält.

Konfigurieren Sie bei der Bereitstellung einer strengen Authentifizierung zuerst Administratoren und privilegierte Benutzer, um die höchste Ebene der strengen Authentifizierungsmethode sicherzustellen, und implementieren Sie dann schnell die entsprechende strenge Authentifizierungsrichtlinie für alle Benutzer.

Hinweis: Wenn für Legacyanwendungen und -szenarien eine kennwortbasierte Authentifizierung erforderlich ist, stellen Sie sicher, dass bewährte Methoden für die Kennwortsicherheit, z. B. Komplexitätsanforderungen, eingehalten werden.

Azure-Leitfaden: Azure AD unterstützt strenge Authentifizierungskontrollen durch kennwortlose Methoden und Multi-Faktor-Authentifizierung.

  • Kennwortlose Authentifizierung: Verwenden Sie die kennwortlose Authentifizierung als Standardauthentifizierungsmethode. Für die kennwortlose Authentifizierung stehen drei Optionen zur Verfügung: Windows Hello for Business, Microsoft Authenticator-Anmeldung per Smartphone-App und FIDO 2Keys. Darüber hinaus können Kunden lokale Authentifizierungsmethoden wie Smartcards verwenden.
  • Multi-Faktor-Authentifizierung: Azure MFA kann je nach Anmeldebedingungen und Risikofaktoren für alle Benutzer, für ausgewählte Benutzer oder auf Benutzerebene erzwungen werden. Aktivieren Sie Azure MFA, und befolgen Sie bei Ihrem MFA-Setup die Empfehlungen für die Identitäts- und Zugriffsverwaltung in Azure Defender für Cloud.

Wenn für die Azure AD-Authentifizierung noch die veraltete kennwortbasierte Authentifizierung verwendet wird, beachten Sie, dass für reine Cloudkonten (Benutzerkonten, die direkt in Azure erstellt wurden) eine Standardbaseline-Kennwortrichtlinie gilt. Und Hybridkonten (Benutzerkonten, die aus dem lokalen Active Directory stammen) folgen den lokalen Kennwortrichtlinien.

Bei Drittanbieteranwendungen und Diensten, die möglicherweise über Standard-IDs und Kennwörter verfügen, sollten Sie diese während der ersten Einrichtung des Diensts deaktivieren oder ändern.

Implementierung und zusätzlicher Kontext:

Sicherheitsverantwortliche beim Kunden (weitere Informationen):

IM-7: Einschränken des Ressourcenzugriffs basierend auf Bedingungen

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
3.3, 6.4, 13.5 AC-2, AC-3, AC-6 7.2

Sicherheitsprinzip: Überprüfen Sie explizit vertrauenswürdige Signale, um den Benutzerzugriff auf Ressourcen im Rahmen eines Zero-Trust-Zugriffsmodells zu gestatten oder zu verweigern. Zu den zu überprüfenden Signalen sollten beispielsweise eine strenge Authentifizierung des Benutzerkontos, eine Verhaltensanalyse des Benutzerkontos, Gerätevertrauenswürdigkeit, Benutzer- oder Gruppenmitgliedschaft sowie Standorte gehören.

Azure-Leitfaden: Verwenden Sie den bedingten Azure AD-Zugriff für eine präzisere Zugriffssteuerung auf der Grundlage von benutzerdefinierten Bedingungen. Beispielsweise können Sie verlangen, dass Benutzer, die sich aus bestimmten IP-Adressbereichen (oder von bestimmten Geräten) anmelden, MFA verwenden müssen. Bedingter Azure AD-Zugriff ermöglicht Ihnen das Erzwingen von Zugriffssteuerungen für die Apps Ihrer Organisation auf der Grundlage bestimmter Bedingungen.

Definieren Sie die anwendbaren Bedingungen und Kriterien für bedingten Azure AD-Zugriff in der Workload. Beachten Sie die folgenden häufig auftretenden Anwendungsfälle:

  • Erzwingen der mehrstufigen Authentifizierung für Benutzer mit Administratorrollen
  • Erzwingen der mehrstufigen Authentifizierung für Azure-Verwaltungsaufgaben
  • Blockieren von Anmeldungen für Benutzer, die ältere Authentifizierungsprotokolle verwenden
  • Erzwingen vertrauenswürdiger Speicherorte für die Azure AD Multi-Factor Authentication-Registrierung
  • Blockieren oder Gewähren von Zugriff von bestimmten Standorten aus
  • Blockieren riskanter Anmeldeverhalten
  • Erzwingen von durch die Organisation verwaltete Geräte für bestimmte Anwendungen

Hinweis: Eine detaillierte Verwaltung der Authentifizierungssitzung kann auch über die Azure AD-Richtlinie für bedingten Zugriff für Kontrollen wie Anmeldehäufigkeit und persistente Browsersitzung verwendet werden.

Implementierung und zusätzlicher Kontext:

Sicherheitsverantwortliche beim Kunden (weitere Informationen):

IM-8: Einschränken der Gefährdung von Anmeldeinformationen und Geheimnissen

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
16.9, 16.12 IA-5 3.5, 6.3, 8.2

Sicherheitsprinzip: Stellen Sie sicher, dass Anwendungsentwickler Anmeldeinformationen und Geheimnisse sicher verarbeiten:

  • Vermeiden der Einbettung von Anmeldeinformationen und Geheimnissen in den Code und die Konfigurationsdateien
  • Verwenden eines Schlüsseltresors oder eines sicheren Schlüsselspeicherdiensts zum Speichern der Anmeldeinformationen und Geheimnisse
  • Scannen des Quellcodes nach Anmeldeinformationen

Hinweis: Dies wird häufig über einen sicheren Softwareentwicklungslebenszyklus (Secure Software Development Lifecycle, SDLC) und einen DevOps-Sicherheitsprozess gesteuert und erzwungen.

Azure-Leitfaden: Stellen Sie sicher, dass Geheimnisse und Anmeldeinformationen an sicheren Speicherorten wie Azure Key Vault gespeichert werden, statt sie in den Code und die Konfigurationsdateien einzubetten.

  • Implementieren Sie Credential Scanner von Azure DevOps, um Anmeldeinformationen im Code zu identifizieren.
  • Verwenden Sie für GitHub das native Feature zum Geheimnisscan, um Anmeldeinformationen oder andere Formen von Geheimnissen im Code zu identifizieren.

Clients wie Azure Functions, Azure App Services und VMs können verwaltete Identitäten verwenden, um sicher auf Azure Key Vault zuzugreifen. Weitere Informationen finden Sie bei den Kontrollen zum Schutz von Daten im Zusammenhang mit der Verwendung von Azure Key Vault für die Verwaltung von Geheimnissen.

Implementierung und zusätzlicher Kontext:

Sicherheitsverantwortliche beim Kunden (weitere Informationen):

IM-9: Schützen des Benutzerzugriffs auf vorhandene Anwendungen

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
6.7, 12.5 AC-2, AC-3, SC-11

Sicherheitsprinzip: In einer Hybridumgebung, die lokale Anwendungen oder nicht native Cloudanwendungen mit Legacyauthentifizierung umfasst, sollten Sie Lösungen wie Cloud Access Security Broker (CASB), einen Anwendungsproxy oder einmaliges Anmelden (Single Sign-On, SSO) in Betracht ziehen, um den Zugriff auf diese Anwendungen zu steuern und von folgenden Vorteilen zu profitieren:

  • Erzwingen einer zentralisierten strengen Authentifizierung
  • Überwachen und Steuern riskanter Endbenutzeraktivitäten
  • Überwachen und Beseitigen riskanter Legacyanwendungsaktivitäten
  • Erkennen und Verhindern der Übertragung vertraulicher Daten

Azure-Leitfaden: Schützen Sie Ihre lokalen und nicht nativen Cloudanwendungen, die eine Legacyauthentifizierung verwenden, indem Sie sie mit folgenden Komponenten verbinden:

  • Mit dem Azure AD-Anwendungsproxy in Verbindung mit der headerbasierten Authentifizierung, um lokale Legacyanwendungen für Remotebenutzer mit einmaligem Anmelden (SSO) zu veröffentlichen und gleichzeitig die Vertrauenswürdigkeit von Remotebenutzern und Geräten mit bedingtem Zugriff von Azure AD explizit zu überprüfen. Verwenden Sie bei Bedarf eine SDP-Drittanbieterlösung (Software-Defined Perimeter), die ähnliche Funktionen bietet.
  • Mit Ihren vorhandenen Drittanbietercontrollern und -netzwerken für die Anwendungsbereitstellung.
  • Microsoft Defender for Cloud Apps, indem Sie ihn als CASB-Dienst (Cloud Access Security Broker) verwenden, um Steuerungen für die Überwachung der Anwendungssitzungen eines Benutzers und blockierende Aktionen bereitzustellen (sowohl für lokale Legacyanwendungen als auch Für SaaS-Anwendungen (Cloud Software-as-a-Service).

Hinweis: VPNs werden häufig für den Zugriff auf Legacyanwendungen verwendet, verfügen aber oft nur über eine grundlegende Zugriffssteuerung und eine begrenzte Sitzungsüberwachung.

Implementierung und zusätzlicher Kontext:

Sicherheitsverantwortliche beim Kunden (weitere Informationen):