Mit diesen 5 einfachen Schritten sind Sie mit Ihrem Tenant in Azure und Microsoft 365 sicherer unterwegs – und sparen im Falle eines Hackerangriffs viel Zeit sowie Geld.
An manchen Tagen ist einfach der Wurm drin. Da verschüttet man nicht nur den Kaffee am Arbeitsplatz oder touchiert beim Einparken auf dem Firmenparkplatz das Auto des Chefs. Wenn es ganz blöd läuft, wird man auch noch gehackt. Doch so weit muss es nicht kommen. Zumindest um Letzteres zu verhindern, gibt es verlässliche Mittel und Wege.
Microsoft hält ein großes Portfolio an Sicherheitsmaßnahmen bereit, allerdings müssen diese auch genutzt werden. Es ist wie beim Fahrradfahren: Wenn man seinen Helm nicht aufsetzt und auf dem Rad fällt, tut das weh – und man erleidet mitunter schwere Verletzungen.
So ähnlich ist es auch in der Cloud. Es ist wichtig, die vorhandenen Sicherheitsfeatures richtig zu nutzen, um sich und seine Kunden bestmöglich vor Cyber-Angriffen zu schützen. Das spart nicht nur unnötige Stunden oder womöglich auch Tage und Wochen an späterer Wiederherstellungsarbeit, sondern ebenso hohe Kosten. Diese können sehr leicht entstehen, wenn ein Hacker sich in Ihr Azure-Portal einloggt und hier Schaden anrichtet.
Gegen eine Tollpatschigkeit wie das Verschütten des Morgenkaffees kann man leider nichts machen, aber gegen Angriffe aufs eigene Active Directory sehr wohl.
Beherzigen Sie folgende 5 Schritte, die Ihren Tenant sicherer machen!
1. Admin Accounts korrekt absichern
Als Erstes sollten Sie Ihre Admin Accounts korrekt absichern: Am besten richten Sie dazu einen bedingten Zugriff (Conditional Access) ein. So können Sie zum Beispiel einstellen, dass sich Admins nur aus dem Firmennetzwerk einloggen können. Ebenfalls sollten Sie für Ihre Admin-Accounts keine personalisierten Accounts nutzen. Heutzutage geben Anwender – auch unbewusst – viele Informationen in den Sozialen Medien über sich preis: Das macht es manches Mal zu einem Kinderspiel für Hacker, einen Account zu knacken.
Weiterer Tipp: Nennen Sie Ihren Admin-Account nicht einfach nur Admin oder Administrator. Das sind die zwei Accountnamen, die von Angreifern zuerst genutzt werden. Verwenden Sie für alle Administratoren das Privileged Identity Management (PIM; mehr dazu unter Punkt 4).
2. MFA für jeden User aktivieren
Auch wenn die Multi-Faktor-Authentifizierung (MFA) kein Allheilmittel für das Absichern Ihres Accounts ist, ist es zumindest ein nicht zu unterschätzendes Feature, wie Sie Ihren User Account deutlich sicherer machen können. Angreifern fällt es dann nämlich nicht so leicht, sich Zugang zu verschaffen, da der Benutzer des gehackten Accounts zum Beispiel eine Authentifizierungsanfrage auf sein Mobiltelefon bekommt; der Versuch, sich unrechtmäßig Zugang zu verschaffen, fällt auf diese Weise zumindest frühzeitig auf.
3. Azure Ressourcen und Subscriptions einschränken
Active Directory Rollen sind nicht gleich dem Role Based Access: Ein Globaler Admin hat zwar alle Rechte im Active Directory, standardmäßig aber keine über Azure Ressourcen! Segmentieren Sie Ihre Nutzer gründlich und arbeiten Sie nach dem „Principle of Least Privilege“. Das bedeutet, dass ein Nutzer nur die Rechte erhält, die er auch tatsächlich benötigt. Hierbei bieten Ihnen die Management Groups eine Möglichkeit, Ihre User besser zu gruppieren und den richtigen Ressourcen zuzuweisen.
4. PIM als Benutzersteuerung für die Cloud
Nutzen Sie für Ihre Administratoren das „Privileged Identity Management“ (PIM): Damit verfügt ein Administrator nicht permanent über die Admin-Rechte, sondern er kann sie für einen bestimmten Administrationsvorgang auf einen Zeitraum beschränkt anfordern. Dies kann dann auch mit einem 4-Augen-Prinzip genutzt werden.
5. Limits in Azure setzen
Azure bietet Ihnen die Möglichkeit, Verbrauchslimits zu setzen. Damit können Sie sich zum Beispiel Nachrichten schicken lassen, wenn eine gewisse Azure Consumption überschritten ist. Das ist sehr nützlich, damit Sie immer wissen, wie viele Kosten aktuell produziert werden.
Hintergrund für die Überlegung, Limits zu setzen, muss nicht unbedingt ein Hackerangriff sein. Es kann auch ein Mitarbeiter sein, der vergessen hat, eine Virtuelle Maschine auszuschalten, oder der einen sehr teuren Maschinentyp ausgewählt hat, welcher unnötige Kosten verursacht. Legen Sie ein Limit bei einem bestimmten Betrag fest und lassen Sie sich eine automatisierte E-Mail senden, sobald das Volumen überschritten ist. Das lässt Ihnen genügend Spielraum, um zu handeln und erspart Ihnen unangenehme Überraschungen.
Noch Fragen?
Es gibt natürlich noch weitere Möglichkeiten, wie man sich und seine Nutzer in Azure schützen und wie man seine Ressourcen effizienter nutzen kann. Die Kollegen von ADN beantworten Ihnen gerne Ihre Security-Fragen rund um Azure und Microsoft 365. Ebenfalls können Sie auch mit den Experten von ADN Kontakt aufnehmen, wenn Sie Unterstützung bei Ihren Projekten brauchen.
ADN verfügt on top über ein erweitertes, abgestimmtes Portfolio rund um Microsoft 365, um diesen Kosmos entsprechend abzusichern: Dies eröffnet Ihnen die Möglichkeit, eigene professionelle Managed Security Services zu kreieren.
Mehr Informationen unter: ADN Akademie: ADN – Value Added IT-Distribution
Rufen Sie uns an: +49 2327 9912-116
oder schreiben Sie uns unter: training@adn.de
Presales Consultant
T +49 234 36717-116 E david.joerg@adn.de
Ein Lehrvideo wie ein PC-Spiel:
Stellen Sie sich folgenden Fall vor: Heute ist Ihr erster Arbeitstag als Administrator bei einem Systemhaus. Sie haben sich gerade Ihren ersten Morgenkaffee aus der Küche geholt, da klingelt auch schon das Telefon. Ein Kunde hat ein bevorstehendes Audit und braucht Ihre Hilfe. Schaffen Sie es, gegen alle Widrigkeiten zu bestehen und alle Vorgaben des Audits zu erfüllen? Die Aufgabe: Sicheren Sie den Kundentenant ab und nutzen Sie Microsoft Security Features, um den Kunden und Ihr Unternehmen vor Schaden zu bewahren. Die Zeit läuft …
Das Lehrvideo „Don’t follow the white rabbit: Ein Abenteuerspiel in der Microsoft Cloud“ sehen Sie auf Cloud Champion (Registrierung bzw. Einloggen erforderlich): hier klicken!