May 2, 2023
Inhaltsverzeichnis Nachdem wir in unserem ersten OWASP Top 10 Beitrag 3 Broken Access Control Attacks vorgestellt haben, geht es nun
Meist nur kurz Azure genannt. Es umfasst neben dem Azure Active Directory (AAD), welches die bekannteste Komponente ist, viele weitere Dienste zur Erstellung ganzer Infrastrukturen auf Cloud Basis.
Nutzen Sie bereits eine Microsoft Lösung, über O365/M365? Dann haben Sie automatisch auch ein Azure Active Directory. Hier läuft das Identity Management für diese Lösungen. Sollten Sie schon ein Active Directory in Ihrer Firma nutzen, können Sie dieses über Azure AD Connect mit Ihrem Indentity Management im Azure verbinden. Durch dieses Azure AD Connect werden die Zugangsdaten Ihrer Nutzer automatisch in die Cloud synchronisiert.
Tenant bedeutet grob übersetzt Mandant und stellt im Azure und O365/M365 eine Identität dar. Im On Premise AD wäre es gleichzusetzten mit der Domain des Kunden, wobei Azure mehrere verknüpfte Domains zulässt. (Wechsel zwischen den Domains ist möglich und ebenso die Übernahme von Richtlinien)
Azure Tenants sind dedizierte, einzigartige und voneinander abgetrennte Instanzen innerhalb des Azure AD. Der Tenant wird automatisch erstellt, sobald man einen der Microsoft Cloud-Dienste abonniert, wie zum Beispiel M365. Ein Azure Tenant spiegelt eine einzelne Person oder Organisation wider und lässt sich am ehesten mit dem klassischen On Premise Active Directory vergleichen.
O365/M365 ist ein eigenständiges Produkt von Microsoftanwendungen. Die bekanntesten Anwendungen sind Outlook, Teams, Word und Excel. Zusätzlich erhält man Zugriff auf das Azure Active Directory, welches als grundlegende IAM-Plattform Authentisierung, Authentifizierung und Autorisierung übernimmt und Administratoren die Verwaltung ermöglicht.
Aufgrund der Benutzersteuerung, welche hier geboten wird, kann einfach ein Bezug zu Azure erfolgen. Bei Anlage des Azure AD werden Gruppen und User automatisch aus dem M365 übernommen inkl. Lizenzstatus und User Informationen.
Informationen aus dem Azure AD werden ebenso in das O365/M365 übergeben, sodass die Daten in beiden Bereichen synchron sind. Darüber hinaus kann durch diese Kombination die Multifaktorauthentifizierung sehr sauber in ein Unternehmen integriert werden.
Das Azure Active Directory (Azure AD oder AAD) ist der Cloud-basierte Identitäts- und Zugangsverwaltungsdienst (Identity and Access Management, kurz IAM) unter Azure. Hierdurch greift man auf die in Azure bereitgestellten virtuellen Maschinen, das Azure-Portal, seine SaaS-Anwendungen wie zum Beispiel Microsoft 365 (aka O365), aber auch auf interne Ressourcen in der OnPrem-Umgebung zu. Microsoft selbst bezeichnet AAD als Identity as a Service – Lösung (IDaaS) für Applikationen und Dienste in der Cloud sowie für OnPrem-Lösungen.
Das klassische Active Directory ist lokal bei Ihnen im Unternehmen und erfordert regelmäßige Wartung und Aktualisierung.
Bei der Microsoft Cloud Variante ist zum einen das Update und die Upgrade-Möglichkeit viel tiefer verwurzelt, wodurch Sie diese schneller ausführen können.
Zum anderen werden Handlungsempfehlungen über das interne Monitoring, sowie weitere Security Dienste wie Intune angeraten.
Was die beiden Lösungen aber unterscheidet, sind die Protokolle. Während man beim Active Directory viel mit LDAP, SMB und RPC arbeitet, setzt Azure Active Directory auf andere Protokolle, aufgrund seiner webbasierten Herkunft.
| Active Directory | Azure Active Directory |
| LDAP | REST API‘s |
| NTLM/Kerberos | OAuth/SAML/OpenID |
Der nächste große Unterschied zwischen den beiden Lösungen ist die Organisation von Objekten. Während man beim Active Directory seine Objekte strukturiert in OU’s (Organizational Units) anordnen konnte, ist die Struktur im AAD sehr flach. Im AAD werden Berechtigungen über vordefinierte Rollen vergeben. Laut Microsoft Docs existieren zum Zeitpunkt des Beitrags 83 Rollen. Hier bedarf es einiger Recherche, um nicht „aus Versehen“ eine Rolle zuzuweisen, die zu viele Berechtigungen mitbringt.
Wir sehen bei Kunden immer noch Active Directory Umgebungen, die über Microsoft Default Einstellungen verfügen, die Angriffspotentiale bieten. Viele unserer Kunden kennen diese Einstellungsmöglichkeiten im Active Directory noch nicht. Trotz seiner langen Existenz. Im Active Directory ändern sich grundlegende Dinge nur, wenn man ein neues Domänenfunktionslevel einführt, über eine neue Windows Version nutzt. Azure Active Directory im Vergleich dazu ist noch sehr „neu“ und Neuerungen können fast täglich stattfinden. Somit können Einstellungen, die Sie gestern gesetzt haben, schon am nächsten Tag nicht mehr existieren oder anders funktionieren. Um zu verstehen, wie das Konstrukt Azure Active Directory funktioniert bedarf es einiger Recherche in den Microsoft Docs, die in gewissen Fällen aber auch nicht immer die ganze Wahrheit offenbaren.
Über Azure Subscriptions, also ein Abonnement, kann man mehrere Dinge abbilden. Von Virtuellen Maschinen, Virtuellen Netzen zu Datenbanken etc. ist hier alles möglich.
Es ist hier euch möglich die in der Cloud gehosteten Server in die Infrastruktur On Prem einzubinden, sodass es aussieht als befindet sich der Server im selben Netz wie die anderen On Prem Geräte.
Inhaltsverzeichnis Nachdem wir in unserem ersten OWASP Top 10 Beitrag 3 Broken Access Control Attacks vorgestellt haben, geht es nun
Der Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) 2022 zeigt: Die IT Sicherheit im öffentlichen Sektor ist zunehmend
Interview mit Christian Rosenzweig (Johner Institut) – Teil 2 Im ersten Teil unseres Interviews haben wir grundlegende Fragen rund um