Privilegierte Konten mit Azure AD PIM schützen

Admin auf Zeit

Privilegierte Zugriffe auf Admin-Portale, Ressourcen und Funktionen innerhalb von Anwendungen bergen Gefahrenpotenzial. Dauer-Admins sollten Sie zur Risikominimierung ebenso vermeiden wie Konten, die sehr viele privilegierte Berechtigungen innehaben. Wie Microsoft Just-in-Time- und Just-Enough-
Admin-Zugriffe mit Privileged Identity Management in Azure AD realisiert, zeigt dieser Workshop.
Die Zusammenarbeit in Unternehmen steht seit anderthalb Jahren auf dem Kopf. Entsprechend groß sind die Herausforderungen für die IT-Abteilungen. In der ... (mehr)

Der privilegierte Zugriff auf Anwendungen, Ressourcen und Verwaltungsportale ist ein heikles Thema in vielen Unternehmen. Die erforderlichen Konzepte zur "guten" Administration sind bekannt, erweisen sich in der Umsetzung hinsichtlich der Balance von Risikominimierung und Bedienfreundlichkeit zuweilen aber als schwierig. Wer erweiterte Berechtigungen sein Eigen nennen darf, sollte nicht mit dem zugehörigen Account ebenfalls E-Mails lesen oder im Netz surfen. Wer viele Privilegien besitzt, sollte sie nicht alle auf ein Konto konzentrieren, um im Fall einer Kompromittierung den "Blast Radius" gering zu halten. Einige Unternehmen trennen Admin-Konten auch anhand der Nutzung – Cloud-Admins müssen andere privilegierte Accounts nutzen als On-Premises-Admins.

Die Schutzkonzepte hinter diesen Szenarien sind bekannt: "Just in Time" (JIT) bedeutet, dass der eigentlich privilegierte Account nur durch aktives Freischalten der Privilegien zu einem Admin-Account wird. Das kann entweder durch den Besitzer manuell erfolgen oder lässt sich durch einen Prozess zusätzlich schützen – nämlich wenn ein Vier-Augen-Prinzip die Freigabe durch einen Kollegen erfordert und der Besitzer Multifaktor-Authentifizierung (MFA) ausführt oder den Account nur von einem bestimmten Computer, eine Admin-Workstation, also eine "Privileged Admin Workstation" (PAW) oder "Secure Admin Workstation" (SAW), nutzt. Die Freischaltung ist dann zeitgebunden, sodass

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2022