Sicherheit und Identität in mehreren Clouds mit Azure und Amazon Web Services (AWS)

Viele Organisationen verfolgen in der Praxis eine Multi-Cloud-Strategie, auch wenn das ursprünglich gar nicht ihre Absicht war. In einer Umgebung mit mehreren Clouds ist es äußerst wichtig, für eine konsistente Sicherheits- und Identitätsumgebung zu sorgen, um größere Probleme für Entwickler und Geschäftsinitiativen sowie ein höheres Risiko durch Cyberangriffe zu vermeiden, bei denen sich die Angreifer Sicherheitslücken der Organisation zunutze machen.

Die Gewährleistung der Sicherheits- und Identitätskonsistenz in den Clouds sollte Folgendes umfassen:

  • Identitätsintegration für mehrere Clouds
  • Strenge Authentifizierung und explizite Überprüfung der Vertrauenswürdigkeit
  • Cloudplattformsicherheit (mehrere Clouds)
  • Microsoft Defender für Cloud
  • Privileged Identity Management (Azure)
  • Konsistente End-to-End-Identitätsverwaltung

Identitätsintegration für mehrere Clouds

Kund*innen, die sowohl Azure- als auch AWS-Cloudplattformen verwenden, profitieren von der Konsolidierung der Identitätsdienste zwischen diesen beiden Clouds mit Microsoft Entra ID und Diensten für einmaliges Anmelden (Single Sign-On, SSO). Das Modell ermöglicht die Verwendung einer konsolidierten Identitätsebene, über die der Zugriff auf Dienste in beiden Clouds konsistent möglich ist und gesteuert werden kann.

Dieses Konzept ermöglicht es, die umfangreichen rollenbasierten Zugriffskontrollen in Microsoft Entra ID für die Identity and Access Management (IAM)-Dienste in AWS zu aktivieren, indem Regeln verwendet werden, um die Attribute user.userprincipalname und user.assignrole aus Microsoft Entra ID mit IAM-Berechtigungen zu verknüpfen. Dadurch verringert sich die Anzahl individueller Identitäten, die Benutzer und Administratoren in beiden Clouds verwalten müssen – einschließlich einer Konsolidierung der von AWS genutzten kontospezifischen Identitäten. Die IAM-Lösung von AWS ermöglicht die Verwendung von Microsoft Entra ID als Verbund- und Authentifizierungsquelle für ihre Kund*innen und identifiziert Microsoft Entra ID entsprechend.

Eine umfassende exemplarische Vorgehensweise für diese Integration finden Sie unter Tutorial: Integration des einmaligen Anmeldens von Microsoft Entra mit Amazon Web Services (AWS).

Strenge Authentifizierung und explizite Überprüfung der Vertrauenswürdigkeit

Da viele Kunden weiterhin ein hybrides Identitätsmodell für Active Directory-Dienste unterstützen, ist es für Sicherheitsteams zunehmend wichtig, strenge Authentifizierungslösungen zu implementieren und ältere Authentifizierungsmethoden zu blockieren, die in erster Linie mit lokalen und älteren Microsoft-Technologien zusammenhängen.

Durch eine Kombination aus Richtlinien für Multi-Faktor-Authentifizierung und bedingten Zugriff lässt sich die Sicherheit in gängigen Authentifizierungsszenarien für Endbenutzer in Ihrer Organisation verbessern. Dank der Bestätigung von Authentifizierungen sorgt die Multi-Faktor-Authentifizierung zwar bereits für ein höheres Sicherheitsniveau, durch das Blockieren älterer Authentifizierungsmethoden mithilfe von bedingtem Zugriff können jedoch noch weitere Kontrollen für Azure- und AWS-Cloudumgebungen implementiert werden. Eine starke Authentifizierung, die ausschließlich moderne Authentifizierungsclients umfasst, ist nur durch eine Kombination aus Multi-Faktor-Authentifizierung und bedingten Zugriffsrichtlinien möglich.

Cloudplattformsicherheit (mehrere Clouds)

Sobald in Ihrer Umgebung mit mehreren Clouds eine gemeinsame Identität eingerichtet wurde, kann der Dienst Cloudplattformsicherheit (Cloud Platform Security, CSP) von Microsoft Defender for Cloud-Apps verwendet werden, um diese Dienste zu ermitteln, zu überwachen, zu bewerten und zu schützen. Mithilfe des Cloud Discovery-Dashboards können Sicherheitsmitarbeiter die Apps und Ressourcen überprüfen, die auf AWS- und Azure-Cloudplattformen verwendet werden. Nach der Überprüfung und Freigabe von Diensten können diese als Unternehmensanwendungen in Microsoft Entra ID verwaltet werden, um den Security Assertion Markup Language (SAML)-Modus, den kennwortbasierten Modus und den Modus für verknüpftes einmaliges Anmelden zu aktivieren und so die Benutzerfreundlichkeit zu verbessern.

CPS bietet auch die Möglichkeit, die verbundenen Cloudplattformen unter Verwendung herstellerspezifischer empfohlener Sicherheits- und Konfigurationskontrollen auf Fehlkonfigurationen und Konformität zu untersuchen. Dadurch erhalten Organisationen eine einzelne konsolidierte Ansicht mit allen Cloudplattformdiensten und dem jeweiligen Konformitätsstatus.

Darüber hinaus bietet CPS Zugriffs- und Sitzungssteuerungsrichtlinien, um Ihre Umgebung vor riskanten Endpunkten oder Benutzern zu schützen, wenn diese Plattformen durch Datenexfiltration oder schädliche Dateien gefährdet sind.

Microsoft Defender für Cloud

Microsoft Defender für Cloud bietet eine einheitliche Sicherheitsverwaltung und Bedrohungsschutz für Ihre Hybrid- und Multi-Cloud-Workloads, einschließlich Workloads in Azure, Amazon Web Services (AWS) und Google Cloud Platform (GCP). Defender für Cloud hilft Ihnen dabei, Sicherheitsrisiken zu ermitteln und zu beseitigen, Zugriffs- und Anwendungssteuerungen anzuwenden, um schädliche Aktivitäten zu blockieren, Bedrohungen mithilfe von Analysen und intelligenten Funktionen zu erkennen und bei Angriffen schnell zu reagieren.

Um Ihre AWS-basierten Ressourcen in Microsoft Defender für Cloud zu schützen, können Sie ein Konto entweder über die „Klassisch“-Benutzeroberfläche der Cloudconnectors oder die Einstellungsseite „Umgebung“ (in der Vorschau) verbinden, was empfohlen wird.

Privileged Identity Management (Azure)

Zur Begrenzung und Steuerung des Zugriffs für Ihre Konten mit den höchsten Berechtigungen in Microsoft Entra ID kann Privileged Identity Management (PIM) aktiviert werden, um Just-In-Time-Zugriff auf Azure-Dienste zu ermöglichen. Nach der Bereitstellung kann PIM verwendet werden, um den Zugriff mithilfe des Zuweisungsmodells für Rollen zu steuern und zu begrenzen, den persistenten Zugriff für diese privilegierten Konten zu beseitigen und die zusätzliche Ermittlung und Überwachung von Benutzern mit diesen Kontotypen zu ermöglichen.

In Kombination mit Microsoft Sentinel können Arbeitsmappen und Playbooks zur Überwachung eingerichtet werden, um Warnungen für Ihre Security Operations Center-Mitarbeiter zu generieren, wenn eine Seitwärtsbewegung von kompromittierten Konten erkannt wird.

Konsistente End-to-End-Identitätsverwaltung

Stellen Sie sicher, dass alle Prozesse eine End-to-End-Ansicht aller Clouds sowie der lokalen Systeme enthalten und dass für Sicherheit und Identität zuständige Mitarbeiter mit diesen Prozessen vertraut sind.

Durch die Verwendung einer einzelnen Identität in Microsoft Entra ID ermöglichen AWS-Konten und lokale Dienste die Verfolgung dieser End-to-End-Strategie sowie mehr Sicherheit und Schutz für privilegierte und nicht privilegierte Konten. Kund*innen, die die Verwaltung mehrerer Identitäten in ihrer Multicloudstrategie vereinfachen möchten, nutzen Microsoft Entra ID, um eine konsistente und strenge Kontrolle, Überwachung und Erkennung von Anomalien und Identitätsmissbrauch in ihrer Umgebung zu erreichen.

Das Microsoft Entra-Ökosystem wird stetig um neue Funktionen erweitert. So können Sie Bedrohungen für Ihre Umgebung immer einen Schritt voraus sein, wenn Sie Identitäten als allgemeine Steuerungsebene in Ihren Multicloudumgebungen verwenden.

Nächste Schritte