22.12.2022 | TD SYNNEX Microsoft Team

Absichern von Azure in 10 Minuten

Security in Azure in nur 10 Minuten einrichten? Und warum nicht in 9 Minuten? Dieser Wettlauf um Zeit bedeutet nichts! Security ist eine ständige Aufgabe und durchläuft fast immer verschiedene Phasen wie Erkennung, Analyse und Konfiguration. Dennoch ist es möglich, die Security in Azure mit einigen grundlegenden Einstellungen einfach uns simpel zu stärken. 

Microsoft erinnert uns sehr regelmässig daran, dass das grösste identifizierte Risiko von schlecht gesicherten Accounts ausgeht:  Jeden Tag werden mehr als 300 Millionen betrĂĽgerische Anmeldeversuche bei unseren Cloud-Diensten registriert. Cyberangriffe verringern sich nicht und deshalb sind viele Angriffe ohne den Einsatz fortschrittlicher Technologien erfolgreich. Es braucht nur einen kompromittierten Account…  um eine Datenschutzverletzung zu verursachen. Dies zeigt, wie wichtig es ist, Passwortsicherheit und starke Authentifizierung zu gewährleisten.  Microsoft Blog

Wo fangen wir an?

Beginnen Sie damit, einige Begriffe zu adaptieren, wie Securty in Depth oder Zero Trust.

Mehrschichtiges Securityprinzip

Wie eine Zwiebel bietet jeder Security Layer passive oder aktive Massnahmen, die den Zugriff auf Daten verhindern oder verzögern, ein kritisches Element jedes Unternehmens:

Was kann TD SYNNEX fĂĽr meinen Schutz tun?

Die Zusammenarbeit zwischen Microsoft und TD SYNNEX ist sehr stark und dadurch vertreiben wir alle Microsoft Cloud Produkte ĂĽber unseren Marktplatz.

Mit unseren internen technischen Experten entwickeln wir auch unsere eigenen Lösungen, um die Implementierung innovativer Lösungen in Azure weiter zu erleichtern und zu automatisieren.

In punkto Security ist TD SYNNEX nicht zu übertreffen und bietet eine neue Lösung namens SMB Fraud Defense. Dies ist eine Click to Run Lösung, die folgendermassen aktiviert wird: Mit nur ein paar Klicks ist die Lösung auf einem Azure-Tenant eingerichtet.

Was genau macht SMB Fraud Defense?

Stellen Sie sich einen Microsoft-Tenant als Zuhause vor: Identitäten und Geräte sind Türen und Fenster. Es ist daher offensichtlich, dass diese Punkte die Eintrittspunkte zu den Daten sind:

Securitysmassnahmen sind notwendig, um die Daten zu schützen. Hier ist eine nicht endende Liste von Funktionen, die einfach über SMB Fraud Defense aktiviert werden können:

  • Azure AD-Identitätsschutz:
    • Erstellen von Szenarien mit bedingtem Zugriff mit MFA
    • Geografische Beschränkung nach Ländern
    • Blockieren alter Authentifizierungsprotokolle
    • Verwalten des Kennwortablaufs
    • Intelligente Identitätssperre
  • Azure-Ressourcenschutz:
    • Einrichten von Budgets und Benachrichtigungen
    • Geografische Beschränkungen nach Azure Regionen
    • Einschränkungen fĂĽr die Produktfamilie virtueller Maschinen

Wie viel kostet SMB Fraud Defense?

Gar nichts, keine Kosten, welche wir (TD SYNNEX) oder Microsoft Ihnen in Rechnung stellen werden.

Wie stelle ich SMB Fraud Defense bereit?

Ein paar Schritte sind notwendig und werden im kommenden beschrieben.

Schritt 0 – Erinnerung an die Voraussetzungen

Der Einsatz einer Click-to-Run-Lösung erfordert vor allem  den Aufbau einer Partnerschaft zwischen Ihnen und TD SYNNEX. Tatsächlich sind diese Lösungen nur auf unserem Marktplatz erhältlich. Klicken Sie dazu hier.

Die zweite Voraussetzung ist, dass ein Azure Active Directory Tenant und ein Azure Plan-Abonnement über den TD SYNNEX Marketplace erworben werden. Bestehende Tenants können natürlich weiterverwendet werden.

Schritt I – «Kauf» der Click-to-Run-Lösung zur Betrugsbekämpfung von KMU

Wie bereits erwähnt, ist SMB Fraud Defense kostenlos, erfordert jedoch weiterhin eine Bereitstellung über den TD SYNNEX Marketplace.

Sobald Ihr Azure-Plan eingerichtet ist, klicken Sie auf Modify :

Durchsuchen Sie die Liste der Click&Run-Lösungen, die  für die Installation verfügbar sind und klicken Sie auf SMB Fraud Defense kaufen:

Hinweis: Beim Implementieren der Lösung werden Sie auf Inkompatibilität mit MFA-Lösungen ausserhalb von Azure hingewiesen.

Nachdem Sie diese Meldung akzeptiert haben, ĂĽberprĂĽft die Plattform die Erstkonfiguration des Tenant:

Schritt II – Bereitstellung der Click&Run-Lösung SMB Fraud Defense

Kurz vor der Bereitstellung von SMB Fraud Defense müssen 3 Bedingungen für den Zieltenant vorbereitet werden, da die Lösung die folgenden 3 Punkte analysiert:

  • Azure-Sicherheitsstandards
  • Azure Cost Manager
  • Erwerb einer Azure AD Premium-Lizenz (Plan 1 oder Plan 2)

Dafür haben wir hier ist eine Punkt-für-Punkt Erklärung:

Azure- Security Defaults – deaktiviert:

Zum Implementieren benutzerdefinierter Security müssen die Azure- Security Defaults deaktiviert werden. Hier wird erklärt, was die Konsequenzen sind.

Die Deaktivierung ist daher über dieses Menü möglich:

Es kann aber auch ĂĽber das Azure AD-Portal deaktiviert werden:

Deaktivieren Sie es, indem Sie einen Grund fĂĽr den Vorgang angeben:

Azure Cost Manager – aktiviert :

Zum Einrichten von Azure-Budgetierungs- und Verbrauchswarnungen muss Azure Cost Manager aktiviert sein.

Dies liegt daran, dass die Einrichtung eines Budgets in einem Azure Plan-Abonnements über einen CSP-Partner nicht standardmässig aktiviert ist. Für die Aktivierung des Cost Managers ist es daher notwendig, sich an Ihren CSP-Anbieter zu wenden.

Abonnieren einer Azure AD Premium Plan 1 oder Plan 2 – Subscribed Lizenz:

FĂĽr die Implementierung des bedingten Zugriffs in Azure AD ist eine Lizenz fĂĽr Azure AD Premium Plan 1 oder Plan 2 erforderlich:

Für eine optimale Bereitstellung wird empfohlen, alle Vorteile der SMB-Betrugsbekämpfung zu nutzen,  z. B. den bedingten Zugriff unter Berücksichtigung der Risikobewertung der Anmeldung.

Sie können eine Azure AD Premium Plan 2-Testlizenz direkt über das Azure AD-Portal aktivieren:

Sobald die Testversion aktiviert ist, sollten Sie einem Benutzer in Ihrem Tenant eine Azure AD Premium Plan 2-Lizenz zuweisen.

Sobald diese 3 Punkte bezüglich Security Defaults, Azure AD Conditional Access und Azure Cost Manager in Ihrer Umgebung korrekt sind, können Sie die Konfiguration auf jeder der Registerkarten starten:

Schritt III – Konfigurieren der Click-to-Run-Lösung zur Betrugsbekämpfung in KMU

Diese Konfiguration ist in 5 Registerkarten unterteilt:

  • Lage
  • Budget
  • Conditional Access
  • Authentifizierungsmethoden
  • Policies

Hinweis: Klicken Sie erst am Ende auf Bereitstellen, nachdem alle Registerkarten konfiguriert wurden.

A / Lage

Für die erfolgreiche Bereitstellung von Azure-Policies sind gewisse Informationen erforderlich. Wählen Sie dazu eine Azure-Region aus dem Dropdownmenü aus und geben Sie den Namen einer Ressourcengruppe an:

B/ Budget

Das Einrichten eines Budgets ist ein guter Ansatz, um die Azure-Nutzung basierend auf der zu Beginn des Projekts vorgenommenen Schätzung nachzuverfolgen:

Das Einrichten von Alerts ist ebenso wichtig, um Ăśberschreitungen und damit hohe Rechnungen zu vermeiden:

Sie können mehrere E-Mail-Adressen für Benachrichtigungen angeben.

C/ Conditional Access

Die Azure-Identitätsverwaltung erfolgt über Azure Active Directory (Azure AD). Bei der Sicherung einer Azure-Umgebung geht es daher in erster Linie um diese Identitäten.

Sie können den Zugriff auf Ihre Cloud-Anwendungen basierend auf dem Netzwerkstandort eines Benutzers steuern. Die Standortbedingung wird häufig verwendet, um den Zugriff aus Ländern/Regionen zu blockieren, von denen Ihre Organisation weiss, dass der Datenverkehr nicht stammen sollte:

Das MFA schlägt daher vor, über das klassische Benutzername/Passwort-Paar hinauszugehen. Für die mehrstufige Azure AD-Authentifizierung sind die folgenden 3 Authentifizierungsmethoden erforderlich:

  • Ein Element, das Sie kennen (z. B. Passwort)
  • Ein Element, das Sie besitzen (z. B. ein vertrauenswĂĽrdiges Gerät, z. B. ein Smartphone)
  • Ein Element, das Sie definiert: (z. B. biometrischer Identifikator, z. B. Fingerabdruck)

Geräte und Anwendungen, die auf Ihre Daten zugreifen, müssen geschützt werden.

Es ist immer nützlich, Geräte mit Azure AD zu verknüpfen. Wie bei einem Active Directory bringt das Wissen darüber eine bessere Kontrolle der Security beim Erstellen von Securityregeln:

Da diese Demoumgebung nicht an Azure AD angeknĂĽpft ist, aktiviere ich diese beiden Optionen in der Konfiguration nicht.

D/ Authentifizierungsmethoden

Beim Identitätsschutz sind einige zusätzliche Optionen noch konfigurierbar:

Smart Lock verhindert, dass Angreifer in das System eindringen, während Ihre Benutzer auf ihr Konto zugreifen und arbeiten können.

Die lokale Bereitstellung von Azure AD Password Protection verwendet dieselben globalen und benutzerdefinierten Listen gesperrter Kennwörter, die in Azure AD gespeichert sind und führt die gleichen lokalen Überprüfungen auf Kennwortänderungen durch:

Wie bereits angekündigt, trägt die zweistufige Überprüfung (MFA) dazu bei, die Sicherheit Ihres Microsoft-Kontos zu erhöhen, indem bei der Anmeldung ein zweiter Schritt der Überprüfung erforderlich ist.

Zusätzlich zu Ihrem Kennwort können Sie einen Code über die Microsoft Authenticator-App auf Ihrem Handy generieren:

Andernfalls löst der FIDO2-Sicherheitsstandard dieses Problem, indem er sich auf die Zwei-Faktor-Authentifizierung  stützt, die auf der Verwendung von Securityschlüsseln (FIDO2-Schlüssel) und Token (Authentifizierungstoken) basiert:

E/ Policies

Azure-Policies sind eine Möglichkeit, Ressourcenbereitstellungen zu steuern. Mit der SMB Fraud Defense-Lösung  können Sie die SKUs von VM-Familien einschränken. Dadurch werden dann die teuersten SKUs blockiert:

Azure bietet Kunden die Flexibilität, Anwendungen dort bereitzustellen, wo sie sie benötigen. Für eine Azure-Region gelten separate Preise und Dienstverfügbarkeit.

Hier können Sie die Bereitstellung auf bestimmte Azure-Regionen beschränken, aber auch andere Securityfeatures aktivieren:

Alle Registerkarten wurden nun ĂĽberprĂĽft, Sie mĂĽssen nur noch die Konfiguration bereitstellen.

Schritt IV – Bereitstellung der Click2Run-Lösung SMB Fraud Defense

Klicken Sie dazu hier, um die Bereitstellung zu starten, und warten Sie einige Minuten:

Sobald die Bereitstellung abgeschlossen ist, wird auch eine Benachrichtigungs-E-Mail gesendet und der Status der C2R-Lösung ändert sich:

Schritt V – Steuern der Bereitstellung auf dem Tenants

Die Bereitstellung ist nun abgeschlossen und eine Überprüfung des Tenants stellt sicher, dass alle während der Konfigurationsphase ausgewählten Optionen vorhanden sind.

A / Standort der Azure Resource Group

Besuchen Sie Ihr Azure-Portal und ĂĽberprĂĽfen Sie, ob die Ressourcengruppe in Ihrem Azure Plan-Abonnement vorhanden ist:

B/ Budget

ĂśberprĂĽfen Sie im Azure-Abonnement das HinzufĂĽgung des Budgets mit dem konfigurierten Betrag:

Klicken Sie darauf und bearbeiten Sie es, um das Vorhandensein der 2 Warnungen zu ĂĽberprĂĽfen:

C/ Conditional Access

Die Konfiguration der geografischen Einschränkung erfolgt über das Azure AD-Portal. Überprüfen Sie die Security, um zu sehen, wann das ausgewählte Land in den Vertrauenszonen angezeigt wird:

Auch in Azure AD fĂĽhrte jede aktivierte Option zur Erstellung einer oder mehrerer Policies fĂĽr bedingten Zugriff, die sich zur Bereitstellungszeit immer im Ăśberwachungsmodus befanden:

D/ Authentifizierungsmethoden

Steuern, ob der Kennwortablauf ĂĽber das Microsoft 365-Portal deaktiviert ist:

Der Schwellenwert fĂĽr die Kontosperrung wird ĂĽber das Azure AD-Portal gesteuert:

Die Konfiguration der beiden MFA-Authentifizierungsmethoden finden Sie hier:

E/ Policies

Steuern Sie auf der Azure-Seite, welche Policies bereitgestellt werden:

Wenn Sie auf eine Policies klicken, werden Konfigurationsdetails angezeigt, z. B. zulässige Regionen oder gesperrte SKUs:

Schlussfolgerung

Also, endlich sind wir durch! Gar nicht so weit weg von 10 Minuten, oder?

Im Ernst, ich finde, dass diese Art von Lösung ein guter Ansatz ist, wenn wir die wichtigsten Securitymassnahmen sehen, die jetzt unerlässlich sind um mindestens einen Microsoft-Tenant zu sichern.

Die SMB Fraud Defense von TD SYNNEX sollte als Ausgangspunkt fĂĽr eine sichere Konfiguration angesehen werden und bei der Erstellung von Tenants einfach zu automatisieren sein.

Denken Sie schliesslich daran, dass diese Art von Click to Run-Lösung  bei TD SYNNEX dank des Feedbacks und der Weiterentwicklungen der Microsoft Cloud ständig weiterentwickelt wird.

 

Bei Fragen stehen wir Ihnen jederzeit gerne zur VerfĂĽgung!