22.12.2022 | TD SYNNEX Microsoft Team
Absichern von Azure in 10 Minuten
Security in Azure in nur 10 Minuten einrichten? Und warum nicht in 9 Minuten? Dieser Wettlauf um Zeit bedeutet nichts! Security ist eine ständige Aufgabe und durchläuft fast immer verschiedene Phasen wie Erkennung, Analyse und Konfiguration. Dennoch ist es möglich, die Security in Azure mit einigen grundlegenden Einstellungen einfach uns simpel zu stärken. 
Microsoft erinnert uns sehr regelmässig daran, dass das grösste identifizierte Risiko von schlecht gesicherten Accounts ausgeht: Jeden Tag werden mehr als 300 Millionen betrügerische Anmeldeversuche bei unseren Cloud-Diensten registriert. Cyberangriffe verringern sich nicht und deshalb sind viele Angriffe ohne den Einsatz fortschrittlicher Technologien erfolgreich. Es braucht nur einen kompromittierten Account… um eine Datenschutzverletzung zu verursachen. Dies zeigt, wie wichtig es ist, Passwortsicherheit und starke Authentifizierung zu gewährleisten. Microsoft Blog
Wo fangen wir an?
Beginnen Sie damit, einige Begriffe zu adaptieren, wie Securty in Depth oder Zero Trust.
Mehrschichtiges Securityprinzip
Wie eine Zwiebel bietet jeder Security Layer passive oder aktive Massnahmen, die den Zugriff auf Daten verhindern oder verzögern, ein kritisches Element jedes Unternehmens:
Was kann TD SYNNEX für meinen Schutz tun?
Die Zusammenarbeit zwischen Microsoft und TD SYNNEX ist sehr stark und dadurch vertreiben wir alle Microsoft Cloud Produkte über unseren Marktplatz.
Mit unseren internen technischen Experten entwickeln wir auch unsere eigenen Lösungen, um die Implementierung innovativer Lösungen in Azure weiter zu erleichtern und zu automatisieren.
In punkto Security ist TD SYNNEX nicht zu übertreffen und bietet eine neue Lösung namens SMB Fraud Defense. Dies ist eine Click to Run Lösung, die folgendermassen aktiviert wird: Mit nur ein paar Klicks ist die Lösung auf einem Azure-Tenant eingerichtet.
Was genau macht SMB Fraud Defense?
Stellen Sie sich einen Microsoft-Tenant als Zuhause vor: Identitäten und Geräte sind Türen und Fenster. Es ist daher offensichtlich, dass diese Punkte die Eintrittspunkte zu den Daten sind:
Securitysmassnahmen sind notwendig, um die Daten zu schützen. Hier ist eine nicht endende Liste von Funktionen, die einfach über SMB Fraud Defense aktiviert werden können:
- Azure AD-Identitätsschutz:
- Erstellen von Szenarien mit bedingtem Zugriff mit MFA
- Geografische Beschränkung nach Ländern
- Blockieren alter Authentifizierungsprotokolle
- Verwalten des Kennwortablaufs
- Intelligente Identitätssperre
- Azure-Ressourcenschutz:
- Einrichten von Budgets und Benachrichtigungen
- Geografische Beschränkungen nach Azure Regionen
- Einschränkungen für die Produktfamilie virtueller Maschinen
Wie viel kostet SMB Fraud Defense?
Gar nichts, keine Kosten, welche wir (TD SYNNEX) oder Microsoft Ihnen in Rechnung stellen werden.
Wie stelle ich SMB Fraud Defense bereit?
Ein paar Schritte sind notwendig und werden im kommenden beschrieben.
Schritt 0 – Erinnerung an die Voraussetzungen
Der Einsatz einer Click-to-Run-Lösung erfordert vor allem den Aufbau einer Partnerschaft zwischen Ihnen und TD SYNNEX. Tatsächlich sind diese Lösungen nur auf unserem Marktplatz erhältlich. Klicken Sie dazu hier.
Die zweite Voraussetzung ist, dass ein Azure Active Directory Tenant und ein Azure Plan-Abonnement über den TD SYNNEX Marketplace erworben werden. Bestehende Tenants können natürlich weiterverwendet werden.
Schritt I – «Kauf» der Click-to-Run-Lösung zur Betrugsbekämpfung von KMU
Wie bereits erwähnt, ist SMB Fraud Defense kostenlos, erfordert jedoch weiterhin eine Bereitstellung über den TD SYNNEX Marketplace.
Sobald Ihr Azure-Plan eingerichtet ist, klicken Sie auf Modify :
Durchsuchen Sie die Liste der Click&Run-Lösungen, die für die Installation verfügbar sind und klicken Sie auf SMB Fraud Defense kaufen:
Hinweis: Beim Implementieren der Lösung werden Sie auf Inkompatibilität mit MFA-Lösungen ausserhalb von Azure hingewiesen.
Nachdem Sie diese Meldung akzeptiert haben, überprüft die Plattform die Erstkonfiguration des Tenant:
Schritt II – Bereitstellung der Click&Run-Lösung SMB Fraud Defense
Kurz vor der Bereitstellung von SMB Fraud Defense müssen 3 Bedingungen für den Zieltenant vorbereitet werden, da die Lösung die folgenden 3 Punkte analysiert:
- Azure-Sicherheitsstandards
- Azure Cost Manager
- Erwerb einer Azure AD Premium-Lizenz (Plan 1 oder Plan 2)
Dafür haben wir hier ist eine Punkt-für-Punkt Erklärung:
Azure- Security Defaults – deaktiviert:
Zum Implementieren benutzerdefinierter Security müssen die Azure- Security Defaults deaktiviert werden. Hier wird erklärt, was die Konsequenzen sind.
Die Deaktivierung ist daher über dieses Menü möglich:
Es kann aber auch über das Azure AD-Portal deaktiviert werden:
Deaktivieren Sie es, indem Sie einen Grund für den Vorgang angeben:
Azure Cost Manager – aktiviert :
Zum Einrichten von Azure-Budgetierungs- und Verbrauchswarnungen muss Azure Cost Manager aktiviert sein.
Dies liegt daran, dass die Einrichtung eines Budgets in einem Azure Plan-Abonnements über einen CSP-Partner nicht standardmässig aktiviert ist. Für die Aktivierung des Cost Managers ist es daher notwendig, sich an Ihren CSP-Anbieter zu wenden.
Abonnieren einer Azure AD Premium Plan 1 oder Plan 2 – Subscribed Lizenz:
Für die Implementierung des bedingten Zugriffs in Azure AD ist eine Lizenz für Azure AD Premium Plan 1 oder Plan 2 erforderlich:
Für eine optimale Bereitstellung wird empfohlen, alle Vorteile der SMB-Betrugsbekämpfung zu nutzen, z. B. den bedingten Zugriff unter Berücksichtigung der Risikobewertung der Anmeldung.
Sie können eine Azure AD Premium Plan 2-Testlizenz direkt über das Azure AD-Portal aktivieren:
Sobald die Testversion aktiviert ist, sollten Sie einem Benutzer in Ihrem Tenant eine Azure AD Premium Plan 2-Lizenz zuweisen.
Sobald diese 3 Punkte bezüglich Security Defaults, Azure AD Conditional Access und Azure Cost Manager in Ihrer Umgebung korrekt sind, können Sie die Konfiguration auf jeder der Registerkarten starten:
Schritt III – Konfigurieren der Click-to-Run-Lösung zur Betrugsbekämpfung in KMU
Diese Konfiguration ist in 5 Registerkarten unterteilt:
- Lage
- Budget
- Conditional Access
- Authentifizierungsmethoden
- Policies
Hinweis: Klicken Sie erst am Ende auf Bereitstellen, nachdem alle Registerkarten konfiguriert wurden.
A / Lage
Für die erfolgreiche Bereitstellung von Azure-Policies sind gewisse Informationen erforderlich. Wählen Sie dazu eine Azure-Region aus dem Dropdownmenü aus und geben Sie den Namen einer Ressourcengruppe an:
B/ Budget
Das Einrichten eines Budgets ist ein guter Ansatz, um die Azure-Nutzung basierend auf der zu Beginn des Projekts vorgenommenen Schätzung nachzuverfolgen:
Das Einrichten von Alerts ist ebenso wichtig, um Überschreitungen und damit hohe Rechnungen zu vermeiden:
Sie können mehrere E-Mail-Adressen für Benachrichtigungen angeben.
C/ Conditional Access
Die Azure-Identitätsverwaltung erfolgt über Azure Active Directory (Azure AD). Bei der Sicherung einer Azure-Umgebung geht es daher in erster Linie um diese Identitäten.
Sie können den Zugriff auf Ihre Cloud-Anwendungen basierend auf dem Netzwerkstandort eines Benutzers steuern. Die Standortbedingung wird häufig verwendet, um den Zugriff aus Ländern/Regionen zu blockieren, von denen Ihre Organisation weiss, dass der Datenverkehr nicht stammen sollte:
Das MFA schlägt daher vor, über das klassische Benutzername/Passwort-Paar hinauszugehen. Für die mehrstufige Azure AD-Authentifizierung sind die folgenden 3 Authentifizierungsmethoden erforderlich:
- Ein Element, das Sie kennen (z. B. Passwort)
- Ein Element, das Sie besitzen (z. B. ein vertrauenswürdiges Gerät, z. B. ein Smartphone)
- Ein Element, das Sie definiert: (z. B. biometrischer Identifikator, z. B. Fingerabdruck)
Geräte und Anwendungen, die auf Ihre Daten zugreifen, müssen geschützt werden.
Es ist immer nützlich, Geräte mit Azure AD zu verknüpfen. Wie bei einem Active Directory bringt das Wissen darüber eine bessere Kontrolle der Security beim Erstellen von Securityregeln:
Da diese Demoumgebung nicht an Azure AD angeknüpft ist, aktiviere ich diese beiden Optionen in der Konfiguration nicht.
D/ Authentifizierungsmethoden
Beim Identitätsschutz sind einige zusätzliche Optionen noch konfigurierbar:
Smart Lock verhindert, dass Angreifer in das System eindringen, während Ihre Benutzer auf ihr Konto zugreifen und arbeiten können.
Die lokale Bereitstellung von Azure AD Password Protection verwendet dieselben globalen und benutzerdefinierten Listen gesperrter Kennwörter, die in Azure AD gespeichert sind und führt die gleichen lokalen Überprüfungen auf Kennwortänderungen durch:
Wie bereits angekündigt, trägt die zweistufige Überprüfung (MFA) dazu bei, die Sicherheit Ihres Microsoft-Kontos zu erhöhen, indem bei der Anmeldung ein zweiter Schritt der Überprüfung erforderlich ist.
Zusätzlich zu Ihrem Kennwort können Sie einen Code über die Microsoft Authenticator-App auf Ihrem Handy generieren:
Andernfalls löst der FIDO2-Sicherheitsstandard dieses Problem, indem er sich auf die Zwei-Faktor-Authentifizierung stützt, die auf der Verwendung von Securityschlüsseln (FIDO2-Schlüssel) und Token (Authentifizierungstoken) basiert:
E/ Policies
Azure-Policies sind eine Möglichkeit, Ressourcenbereitstellungen zu steuern. Mit der SMB Fraud Defense-Lösung können Sie die SKUs von VM-Familien einschränken. Dadurch werden dann die teuersten SKUs blockiert:
Azure bietet Kunden die Flexibilität, Anwendungen dort bereitzustellen, wo sie sie benötigen. Für eine Azure-Region gelten separate Preise und Dienstverfügbarkeit.
Hier können Sie die Bereitstellung auf bestimmte Azure-Regionen beschränken, aber auch andere Securityfeatures aktivieren:
Alle Registerkarten wurden nun überprüft, Sie müssen nur noch die Konfiguration bereitstellen.
Schritt IV – Bereitstellung der Click2Run-Lösung SMB Fraud Defense
Klicken Sie dazu hier, um die Bereitstellung zu starten, und warten Sie einige Minuten:
Sobald die Bereitstellung abgeschlossen ist, wird auch eine Benachrichtigungs-E-Mail gesendet und der Status der C2R-Lösung ändert sich:
Schritt V – Steuern der Bereitstellung auf dem Tenants
Die Bereitstellung ist nun abgeschlossen und eine Überprüfung des Tenants stellt sicher, dass alle während der Konfigurationsphase ausgewählten Optionen vorhanden sind.
A / Standort der Azure Resource Group
Besuchen Sie Ihr Azure-Portal und überprüfen Sie, ob die Ressourcengruppe in Ihrem Azure Plan-Abonnement vorhanden ist:
B/ Budget
Überprüfen Sie im Azure-Abonnement das Hinzufügung des Budgets mit dem konfigurierten Betrag:
Klicken Sie darauf und bearbeiten Sie es, um das Vorhandensein der 2 Warnungen zu überprüfen:
C/ Conditional Access
Die Konfiguration der geografischen Einschränkung erfolgt über das Azure AD-Portal. Überprüfen Sie die Security, um zu sehen, wann das ausgewählte Land in den Vertrauenszonen angezeigt wird:
Auch in Azure AD führte jede aktivierte Option zur Erstellung einer oder mehrerer Policies für bedingten Zugriff, die sich zur Bereitstellungszeit immer im Überwachungsmodus befanden:
D/ Authentifizierungsmethoden
Steuern, ob der Kennwortablauf über das Microsoft 365-Portal deaktiviert ist:
Der Schwellenwert für die Kontosperrung wird über das Azure AD-Portal gesteuert:
Die Konfiguration der beiden MFA-Authentifizierungsmethoden finden Sie hier:
E/ Policies
Steuern Sie auf der Azure-Seite, welche Policies bereitgestellt werden:
Wenn Sie auf eine Policies klicken, werden Konfigurationsdetails angezeigt, z. B. zulässige Regionen oder gesperrte SKUs:
Schlussfolgerung
Also, endlich sind wir durch! Gar nicht so weit weg von 10 Minuten, oder?
Im Ernst, ich finde, dass diese Art von Lösung ein guter Ansatz ist, wenn wir die wichtigsten Securitymassnahmen sehen, die jetzt unerlässlich sind um mindestens einen Microsoft-Tenant zu sichern.
Die SMB Fraud Defense von TD SYNNEX sollte als Ausgangspunkt für eine sichere Konfiguration angesehen werden und bei der Erstellung von Tenants einfach zu automatisieren sein.
Denken Sie schliesslich daran, dass diese Art von Click to Run-Lösung bei TD SYNNEX dank des Feedbacks und der Weiterentwicklungen der Microsoft Cloud ständig weiterentwickelt wird.
Bei Fragen stehen wir Ihnen jederzeit gerne zur Verfügung!
