Angriffe auf und Absicherung von Entra ID

Grundlagen

• Zusammenhang zwischen Entra-ID und Azure-Diensten im Azure Resource Manager (ARM)

• Vergleich zwischen On-Premise-Active-Directory und Entra-ID

• Unterschied zwischen Entra-ID-Rollen und Role Based Access Control (RBAC) beim ARM

• Identität als neuer Perimeter und Sicherheitsprinzipale in Azure

• Wichtige Azure-Infrastruktur- (IaaS) und Plattform-Dienste (PaaS): App Services, Funktions-Apps, Speicherkonten, Schlüsseltresore, VMs, Datenbanken

• Hybride Modelle für Synchronisation zwischen On-Premise-Active-Directory und Entra-ID

• Zugriff auf Azure über das Portal, PowerShell-Module, Az-Anwendung und die APIs selbst

• Ziele und Denkweise von Angreifern bei Angriffen auf die Cloud und Azure

Wie Angreifer vorgehen: Angriffe durchführen

• Unauthentisierte Informationssammlung und Benutzerenumeration

• Initialen Zugriff erlangen durch Phishing, Passwortangriffe, ungesicherte Zugangsdaten oder Anwendungsschwachstellen

• Authentisierte Informationssammlung mit einem normalen Benutzer

• Weitere privilegierte Gruppen in Entra-ID neben dem globalen Administrator

• Typische Fehlkonfigurationen von Azure-Infrastruktur- und Plattform-Diensten

• Arten der Privilegien-Eskalation in Azure ausgehend von Leser und Mitwirkenden zum Besitzer

• Zugangsdaten automatisiert auslesen und Token ausnutzen

• Sprung zwischen Entra-ID und Azure-Diensten, zwischen Kontroll- und Datenebene

• Übersprung in hybriden Umgebungen von der Cloud nach On-Premise und von On-Premise in die Cloud

• Mögliches Umgehen von Sicherheitsmaßnahmen wie Mehr-Faktor-Authentisierung und Richtlinien für Bedingten Zugriff (Conditional Access Policies)

• Möglichkeiten zur Persistenz – wie Angreifer sich langfristig und unbemerkt festsetzen

Angriffe verhindern

• den initialen Zugriff erschweren

• Entra-ID härten und Azure-Dienste im Resource Manager absichern

• Identitäten schützen durch Mehr-Faktor-Authentisierung

• Conditional Access Policies (CAP)

• Privileged Access Workstation (PAW) für Entra-ID

• Ebenenmodell und Least-Privilege-Prinzip für Cloud-Umgebungen

• Privileged Identity Management (PIM) und Verwaltungseinheiten

• Microsoft Defender für die Cloud (früher: Azure Security Center) sinnvoll zum Härten einsetzen

• Richtlinien durchsetzen mit Azure Policy

• Audits der eigenen Azure-Umgebung mit offensiven und defensiven Werkzeugen

Angriffe erkennen

• Scharfschalten von Auditeinstellungen

• Monitor

• Microsoft Sentinel

Weiterführende Informationen

• Hinweise zu empfehlenswerten Quellen für sowohl Angriffe auf als auch Verteidigung von Entra-ID und Azure