Warum moderne IT-Sicherheit mit Cloud-Services immer hybrid ist

Inhaltsverzeichnis

Modernes IT-Security-Framework
Lokale Sicherheitsregeln unterstützen die Sicherheit in M365
Hybride Integration der Sicherheitsmaßnahmen in M365
Cloud Sicherheitsmaßnahmen
Full Hybrid
Mit einem guten Partner an Ihrer Seite ist Ihre IT so sicher wie nie

IT-Sicherheit ist in einer immer digitaler werdenden Welt unerlässlich, da Cyberangriffe jeden Tag unvorhersehbarer und vor allem häufiger werden. Insbesondere in Verbindung mit Cloud-Services – die sich in den letzten Jahren stark verbreitet haben – entstehen so neue Herausforderungen für die IT-Sicherheit, da sie das Netzwerk erweitern und es schwieriger machen, den Datenverkehr zu überwachen und zu kontrollieren. Ein hybrides Vorgehen, das sowohl lokale (On Premise) als auch Cloud-basierte Lösungen umfasst und entsprechende Sicherheitsmaßnahmen bereitstellt, ist daher oft die bessere Variante. Es ermöglicht eine optimale Kombination aus der Flexibilität und Skalierbarkeit von Cloud-Services und der Kontrolle und Sicherheit von lokalen Lösungen. Worauf Sie dabei achten müssen und welche Möglichkeiten es für ein solches Vorgehen gibt, möchten wir Ihnen im Folgenden näherbringen.

Modernes IT-Security-Framework

„Zero Trust“ ist kein Buzz-Word! Die moderne IT-Security-Architektur muss ein Zero Trust-Framework unterstützen, um den wachsenden Bedrohungen der heutigen digitalen Umgebung gerecht zu werden. Ein Zero Trust-Ansatz vermeidet Vertrauenszonen und stellt sicher, dass jeder Netzwerkzugriff, jede Anwendung und jede Datenquelle authentifiziert und autorisiert wird. Dies verhindert, dass Angreifer unter Verwendung gestohlener oder kompromittierter Konten auf sensible Daten zugreifen können. Die Microsoft Azure Cloud und deshalb auch MS365 präferiert deshalb ein Zero Trust-Security-Modell aufbauend auf Funktionen wie Azure Active Directory (Azure AD) mit Multi-Factor Authentication (MFA) und Azure Information Protection (AIP). Für die MS365 SaaS Lösungen kommt dann der „MS Defender for Identities“ zum Einsatz, der mit einer Vielzahl von Modulen das vereinheitlichte Sicherheitskonzept unterstützt. Diese Funktionen und Module sorgen dafür, dass nur autorisierte Benutzer auf Ressourcen zugreifen können und dass alle Netzwerkanfragen authentifiziert werden. Außerdem unterstützt Microsoft 365 die Erstellung einer sicheren Hybridumgebung, in der On-Premises- und Cloud-Ressourcen miteinander integriert werden können. Das moderne IT-Security-Framework muss daher folgende Komponenten enthalten:

Eine starke Authentifizierung unterstützt durch MFA.
Ein Zero Trust Network Access Control Framework.
Eine Integration von On-Premises- und Cloud-Ressourcen.
Eine robuste Sicherheitslösung wie den Microsoft Defender.
Eine flexibel und wirkungsvoll einsetzbare Lösung zur Unterstützung der Firmen-Compliances wie MS PurView.
Eine Lösung, die Vorteile der MS Azure Cloud auch Multi-Cloud und/oder On Premises zum Einsatz bringen zu können – Full-Hybrid: Unterstützung durch Microsoft Azure Arc.

Über all dem lässt sich der Microsoft Sentinel einsetzen, eine SIEM / SOAR Lösung, welche die Ergebnisse aller Sicherheitsmodule – Cloud und On Premises – sammelt, auswertet, präsentiert und beurteilt (SIEM). Er kann dann sogar selbsttätig erste Maßnahmen ergreifen (SOAR), sollte ein akuter Vorfall anstehen. SIEM steht hierbei für Security Information and Event Management, SOAR für Security Orchestration, Automation and Response.

Die betroffenen Bereiche sind sowohl On Premises Installationen, Cloud Services, der Workplace als auch mobile Devices.

Klassische IT mit Netzwerksicherheit wie Firewall, Intrusion Detection und Intrusion Prevention sind nötig, aber nicht mehr ausreichend: Home-Office, BYOD, oder Handys mit Dual-SIM reißen Löcher in die aufgebauten Sicherheitsstrukturen.

Lokale Sicherheitsregeln unterstützen die Sicherheit in M365

Lokale Sicherheitsregeln sind ein wesentlicher Bestandteil der IT-Sicherheit in Unternehmen. Diese Regeln sollten auch bei der Migration zu M365 berücksichtigt werden. Denn obwohl die Cloud-Plattform von Microsoft sicher ist, gibt es dennoch in der hybriden Konfiguration einige Risiken, die durch die Nutzung von lokalen Sicherheitsregeln unterstützt werden können und sollten. Beispielsweise sollten Unternehmen, die M365 nutzen, ihre klassische Netzwerksicherheit beibehalten und pflegen. Für Zugriffe auf Ressourcen On Premises ist eine DMZ (DeMilitarized-Zone) dringend anzuraten. Auch die Anbindung von Außenstellen, Filialen und Niederlassungen sollte gut geplant werden: Hub and Stroke Architektur mit oder ohne lokale Internet-Outbreaks, VPN zur Site2Site Verbindung etc.

In dem technischen Bereich empfehlen wir die nachfolgenden vier Maßnahmen zu überdenken und gerne gemeinsam mit uns umzusetzen:

Einführen von LAPS (Local Administrator Password Solution): Dies sorgt dafür, dass Eindringlinge sich absehbar nicht mehr horizontal von Maschine zu Maschine ausbreiten können.
PAWs (Privileged Admin Workstations): Zugriff mit erhöhten Rechten (Domain-Admin) ist nur von bestimmten Rechnern aus möglich. Das sorgt dafür, dass sich Eindringlinge möglichst nicht mehr vertikal ausbreiten, also mit erhöhten Rechten (Domain-Admin) arbeiten und auf Server zugreifen können.
Nutzung von zertifikatsbasiertem EFS: Definierte Verzeichnisstrukturen werden verschlüsselt und Zugriff kann nur von Inhabern passender Zertifikate erfolgen. Dies kann Teile des Fileservice vor Verschlüsselungs-Trojanern schützen.
Es gibt noch diverse kleinere Maßnahmen an Accounts, Gruppen und GPOs, die zusammengenommen die On Premises Security erheblich erhöhen. Stichwort hier ist die Verhinderung des Erhalts eines Golden Tickets.

Mit diesen Maßnahmen kann die lokale Umgebung (On Premise) auf ein sehr hohes Sicherheitsniveau gebracht werden.

Hybride Integration der Sicherheitsmaßnahmen in M365

Auch wenn die Datenhaltung an nur einem definierten Ort – On Premises oder in er Cloud – sicherlich organisatorisch das anzustrebende Optimum darstellt, so ist dies doch in der Praxis nur selten zu erreichen. Damit erstrecken sich Sicherheitsmaßnahmen in den allermeisten Fällen über eine hybride Infrastruktur. Das Zusammenspiel von Sicherheitsmaßnahmen aus der Cloud und On Premises ist somit die optimale Lösung. Die Daten sind am jeweils idealen Ort gespeichert, in der Cloud oder On Premises. Berechtigungen, Zugriffsrechte, Aufbewahrungszeiträume und gegebenenfalls Klassifizierungen von Daten werden einheitlich verwaltet. Durch die Integration der beiden Systeme kann eine optimale Sicherheit erreicht werden.

In der M365 Welt können für den Schutz der drei A’s (Authentication, Authorisation and Accounting) mit dem Microsoft Defender for Identity passende Sicherheitseinstellungen vorgenommen werden. Mit geeigneten Maßnahmen lassen sich diese modernen Fähigkeiten auch lokal in der On Premises-Umgebung nutzen. Die Einrichtung einer sicheren Umgebung erfordert jedoch die Kenntnis der Konzepte und Funktionen sowie deren korrekte Implementierung in der jeweiligen Organisation.

Einige Beispiele dafür sind:

Account-Risiko

Es wird automatisiert überprüft, ob der Account gefährdet ist. Wird der Account / die E-Mail-Adresse auf Marktplätzen mit Kennwort zum kaufen angeboten, können automatisiert Maßnahmen eingeleitet werden: Anforderung von MFA ist das Mindeste, aber auch ein Passwortwechsel kann erzwungen werden. Microsoft Defender for Identity schützt vor Angriff auf Identitäten und Information, basierend auf den Microsoft Intelligent Security Graph. Durch die Aggregation von Bedrohungsdaten aus mehreren Quellen kann es Bedrohungsanalyseteams helfen, mithilfe maschineller Lernalgorithmen schneller angemessene Schutzmaßnahmen zu ermitteln und umzusetzen sowie Trends früher zu erkennen.

Erfolgt die Anmeldung auf ungewöhnliche Weise oder an ungewöhnlicher Orten, dann werden, wie oben schon, Maßnahmen eingeleitet. Erfolgt zum aktuellen Zeitpunkt ein Login in Hannover und nur 5 Minuten später in einem anderen Land, ist dies nicht nur unglaubwürdig, sondern auch sehr unwahrscheinlich. Wie schon zuvor beschrieben, können auch hieran Policies geknüpft werden, die bestimmte Maßnahmen erzwingen.

Passwort-Risiko

Entspricht das Passwort den Anforderungen der Organisation, den geltenden Normen und den Empfehlungen des BSI, ist ein geringeres Risiko vorhanden. Werden an Passwörtern hingegen keine oder nur sehr wenige Anforderungen gestellt, so ist das Risiko eines Angriffs stark erhöht.

Eine Multi-Faktor Authentifizierung ist verpflichtend, sobald eine Anmeldung ins oder über das Internet erfolgt. Dies sollte keine Frage mehr sein, sondern eine Selbstverständlichkeit.

Registrierte Endgeräte

Nur mit Endgeräten, die „compliant“ sind, darf auf Domänen-Ressourcen zugegriffen werden. Mit compliant ist hier die Einhaltung von organisatorischen Richtlinien und Vorschriften, sowie der technischen Richtlinien und Vorschriften des BSI, gemeint. „non-compliante“ Endgeräte werden vom Netz ausgeschlossen. Das bedeutet, dass ein Login nur dann möglich ist, wenn das verwendete Endgerät den Anforderungen der Organisation entspricht. Andernfalls wird der Zugriff auf die domänengebundenen Ressourcen verweigert. In einer praktikableren Version ist auch denkbar, dass aus bekannten Netzen oder von bekannten Orten auch mit „non-compliant“ Geräten zugegriffen werden kann, oder dass unter solchen Umständen eine MFA zwingend ist, während sie bei Anmeldung an „compliant“ Geräten nicht angefordert wird.

Cloud Sicherheitsmaßnahmen

M365 bietet eine schiere Menge an Sicherheitsfunktionen. Alle sind auf die Zero Trust Strategie ausgerichtet und zielen darauf ab, eine sichere Umgebung zu gewährleisten, in der Nutzer und Geräte verifiziert werden müssen, bevor sie auf Unternehmensressourcen zugreifen können. Die im Folgenden aufgelisteten Sicherheitsmaßnahmen (und mehr) sind in M365 unter dem Oberbegriff Microsoft Defender enthalten – Wenn wir uns die Einzelheiten jeder dieser Sicherheitsmaßnahmen anschauen, dann erkennen wir schnell, dass eine Kombination dieser Lösungen alle Bedrohungsszenarien abdeckt, die heutzutage in Unternehmen auftreten können.

Wir betrachten gemeinsam die Funktionen nur einiger Sicherheitsmaßnahmen – denn die Liste ist lang…:

MS Defender for Endpoint

MS Defender for Endpoint ist eine Cloud-basierte Security-as-a-Service (SECaaS) Plattform von Microsoft. Die Lösung nutzt maschinelles Lernen und KI, um bösartige Aktivitäten zu erkennen und zu verhindern. Zusätzlich bietet sie Echtzeit-Monitoring für Geräte im Netzwerk und identifiziert sofort potenzielle Bedrohungsquellen.

MS Defender for Identities

MS Defender for Identities ist ebenfalls eine Cloud-basierte Security-as-a-Service (SECaaS) Plattform von Microsoft. Die Lösung schützt Identitäten vor Angriffen durch Passwortdiebstahl, Phishing und andere Bedrohungen. Zudem bietet sie Echtzeitmonitoring und Benachrichtigungen über verdächtige Aktivitäten.

MS Defender for M365

Mit den Sicherheitslösungen von MS Defender for M365 können Sie Ihre Cloud-Services sicherer gestalten. Dazu gehören „Safe Links“, „Safe Attachments“, „Anti-Phishing“ und „Anti-Malware“. Diese Lösungen lassen sich auf praktisch alle Microsoft 365-Dienste anwenden.

MS Defender for Cloud-Apps

Die Kombination einiger weiterer verschiedener Defender deckt noch diverse andere Kategorien ab. Die Kombination aller Defender stellt sicher, dass sehr hohe Sicherheitsstandards erreicht werden.

MS Sentinel

Wie ganz oben bereits beschrieben: Mit dem MS Sentinel als SIEM- / SOAR-Lösung können Sie entstehende Daten und Log-Einträge automatisiert nach Sicherheitsereignissen überprüfen lassen. So können Sie schnell auf Bedrohungen reagieren und die richtigen Gegenmaßnahmen ergreifen. Man kann den Sentinel auch durch Einsatz von Logic Apps nutzen, um direkt erste Maßnahmen einzuleiten (sogar Firewall sperren oder Server Down ist möglich).

Full Hybrid

Seit einiger Zeit ist mit MS Azure Arc ein Multi-Cloud Management-Werkzeug verfügbar, welches es erlaubt, eine hybride Lösung aus mehreren Clouds – also auch von unterschiedlichen Providern wie Google GCP, AWS etc. – zentral zu verwalten. Ebenso kann die eigene On Premises-Umgebung eingebunden werden. Dies ist eine extrem flexible Lösung und erlaubt, die sehr leistungsfähigen und modernen Werkzeuge der Microsoft Azure-Cloud weitgehend auch in anderen Umgebungen zum Einsatz zu bringen. Somit können viele der rein Cloud-basierten Security Lösungen auch On Premises eingesetzt werden.

Mit einem guten Partner an Ihrer Seite ist Ihre IT so sicher wie nie

Vertraue niemandem und vor allem keinen Geräten und Services.

Es gibt eine ausreichende Anzahl an Sicherheitseinstellungen in der M365 Welt – diese in dem nötigen Detailgrad zu kennen und anzuwenden ist eine große Aufgabe. Dieser Aufgabe kann man sich mit einem professionellen Sicherheitspartner wie IT-P widmen.