Fachartikel

Hybride Identitäten als Sicherheitsherausforderung

Die wachsende Zahl an mobilen und Home-Office-Nutzern sowie Cloudanwendungen hat die traditionellen Netzwerkabgrenzungen nahezu aufgelöst: Wichtigster Kontrollpunkt ist die Benutzeridentität geworden. Hier kommt das Active Directory ins Spiel, das vielerorts die zentrale Instanz für das Management von Identitäten darstellt. Der Fachartikel zeigt, warum bei der Integration von Active Directory und Azure Active Directory – also dem Aufkommen hybrider Identitäten – ein Umdenken beim Sicherheitsmanagement nötig ist.
Hybride Identitäten vereinheitlichen die Authentifizierung in lokalen und Cloudumgebungen.
Eine hybride Identität erlaubt die Steuerung des Zugriffs der Mitarbeiter sowohl auf lokal betriebene Anwendungen im eigenen Rechenzentrum als auch auf cloudnative Anwendungen, die Cloud-Serviceprovider betreiben. Beispiele aus den beiden Welten wären einerseits eine lokale .NET-Anwendung und andererseits Microsoft Teams, das aus der Cloud heraus verfügbar ist. Bei dieser Konstellation müssen sich Unternehmen mit hybriden Identitäten auseinandersetzen – speziell mit den unterschiedlichen Authentifizierungsprotokollen, die hier zum Einsatz kommen.

Unterschiedliche Benutzerauthentifizierung
On-Premises-Applikationen im lokalen Rechenzentrum nutzen oft das Active Directory für die Kerberos-Authentifizierung, was sich jedoch als sicherheitsanfällig erwiesen hat. Teilweise kommt sogar das noch ältere und stärker gefährdete NLTM-Protokoll (NT LAN Manager) aus Windows-NT-Zeiten zum Einsatz. Beide Protokolle stammen aus der Vor-Cloud-Ära und gehen von einer direkten Erreichbarkeit des Anmeldeservers beim Anmelde- und Berechtigungsprozess aus. Dies bedeutet, dass sich sowohl das Endbenutzergerät als auch das Zielsystem in einem direkt per DNS oder WINS adressierbarem Netzwerk befinden, wo auch der Anmeldeserver stationiert ist. In dieser Konstellation wäre dies der Domaincontroller der internen AD-Umgebung.

Solange die Applikationen im eigenhändig kontrollierten Netzwerk verwaltet werden, lässt sich die Benutzerauthentifizierung – als Nachweis der Benutzeridentität – problemlos mit den Protokollen der AD-Implementierung durchführen. Die Autorisierung, also Berechtigung zur Nutzung lokaler Applikationen oder Daten, erfolgt über Protokolle, indem ein Benutzer über seinen Token die nötigen Gruppenmitgliedschaften bestätigt, die das Zielsystem überprüft. Entscheidend ist dabei, dass sämtliche Zugriffsprozesse im selbst verwalteten Netzwerk geschehen.

Cloudapplikationen wie Microsoft Teams aus der Azure Cloud werden außerhalb des lokalen Rechenzentrums vorgehalten, was einen anderen Anmeldeprozess erfordert. Das Kerberos-Protokoll zur Anmeldung und Berechtigung für die Applikationen kommt hier nicht zum Einsatz. An dessen Stelle treten neue, aus webbasierten Methoden hervorgegangene Protokoll zur Authentifizierung und Autorisierung über das lokale Netzwerk hinaus. Hierfür haben sich das XML-Framework SAML, das offene Authentifizierungsprotokoll OpenID Connect und das Autorisierungs-Framework OAuth 2.0 durchgesetzt.
Mehrfache Identitäten als Notlösung
Je nachdem, ob die jeweilige Anwendung im eigenen Rechenzentrum oder in der Cloud läuft, müssen Benutzer auf unterschiedliche Protokolle zurückgreifen. Im Fall von Microsoft Teams könnte sich ein lokaler AD-Nutzer nicht direkt anmelden, weil die lokale AD-Implementierung die erforderlichen Protokolle für eine Cloudanmeldung nicht unterstützt. Unternehmen behelfen sich, indem sie ein weiteres Nutzerkonto in einem Cloud-Directory erstellen, in diesem Fall Azure Active Directory (AAD). AAD stellt die erforderlichen Protokolle zur Authentifizierung und Autorisierung für die Cloud-Apps bereit. Auf diese Weise erfolgt der Zugang zu gängigen Clouddiensten, was für jeden Mitarbeiter eine neue ID und ein weiteres Passwort bedeutet. Im Optimalfall ist der Prozess noch mit Multifaktor-Authentifizierung (MFA) geschützt.

Mehrfache Identitäten auf verschiedenen Plattformen, die zudem separat verwaltet werden müssen, sind aber nicht das, was mit hybriden Identitäten eigentlich gemeint ist. So ist Single Sign-on für verschiedene Applikationen nicht gegeben und die Zwischenspeicherung der Zugangsdaten im Browser ist ebenfalls nicht der optimale Weg.

Hybride Identitäten richtig umgesetzt
Eine hybride Identität setzt eine direkte Beziehung zwischen den lokalen AD-Nutzer und einem entsprechenden Referenzobjekt des gleichen Nutzers im Cloud-Directory, also hier Azure AD, voraus. Entscheidend ist, dass hierfür keine separate Verwaltung des lokalen Zugriffs und des Cloudzugriffs nötig ist. Deswegen gilt es, Nutzerkennungen, Gruppen, Mitgliedschaften oder Arbeitsplätze zwischen beiden Verzeichnissen kontinuierlich zu synchronisieren, was mit Microsoft Azure AD Connect erfolgt. Microsoft hat dieses Tool laut eigenen Angaben entwickelt, um Hybrididentitätsziele zu erfüllen und zu erreichen.

Azure AD Connect bietet Kennwort-Hash-Synchronisierung für das lokale AD-Kennwort eines Benutzers mit Azure AD und Passthrough-Authentifizierung, um Benutzern die Verwendung des gleichen Kennworts lokal und in der Cloud zu ermöglichen. Die Verbundintegration dient dabei zum Konfigurieren einer Hybridumgebung mithilfe einer lokalen AD-FS-Infrastruktur. Die Synchronisierung als weiteres Funktionsmerkmal ist verantwortlich für das Erstellen von Benutzern, Gruppen und anderen Objekten und stellt auch sicher, dass Identitätsinformationen für lokale Benutzer und Gruppen denen in der Cloud entsprechen. Eine Systemüberwachung ist zudem optional mit Azure AD Connect möglich.



Seite 1 von 2 Nächste Seite >>
12.01.2022/ln/Guido Grillenmeier, Chief Technologist bei Semperis

Nachrichten

In eigener Sache: Trauer um Marc Grote [26.01.2022]

Kürzlich musste die Redaktion leider vom unerwarteten Tod Marc Grotes erfahren, einem langjährigen Stammautor des IT-Administrator. Wir sind sehr bestürzt und traurig über diese Nachricht und verlieren mit Marc Grote einen freien Mitarbeiter, der uns bereits seit den frühen Anfängen des Magazins im Jahr 2006 zuverlässig begleitet hat. [mehr]

Schritte zur Ransomware-Abwehr [26.01.2022]

Die Ransomware-Gefahr von Datenbeständen und Netzwerken in Unternehmen und Organisationen wächst – mit weitreichenden bis verheerenden Folgen für die Betroffenen, wenn ein solcher Angriff erfolgreich verläuft. BlackBerry hat mit dem Prevention First-Ansatz eine Methode entwickelt, um Hackerangriffe durch den Einsatz von KI präventiv zu verhindern. Die Experten für IT-Sicherheit fassen in drei Tipps zusammen, wie sich Unternehmen wirksam gegen Data Leaks wehren können. [mehr]

Tipps & Tools

Mehr Cloudsicherheit durch Zero-Trust-Segmentierung [27.01.2022]

Immer neue erfolgreiche Ransomware-Attacken lassen nicht zuletzt angesichts des oft enormen materiellen Schadens aufhorchen, den ihre Opfer erleiden – und der sich für die betroffenen Organisationen bis zur Überlebensfrage ausweiten kann. Eine junge Verteidigungsstrategie gegen die Erpresser ist die Zero-Trust-Segmentierung, die unser Fachartikel vorstellt. Dabei erfahren Sie unter auch, wie es die Mikrosegmentierung im Zusammenspiel mit einer Livekarte vermag, den modernen Cybergefahren mehr Granularität und Flexibilität entgegenzusetzen, als das die traditionellen Werkzeuge schaffen. [mehr]

Download der Woche: Optimizer [26.01.2022]

Wer sein Windows-System absichern und/oder optimieren möchte, dem bieten die Bordmittel des OS theoretisch einige Stellschrauben – praktisch allerdings oft genug recht versteckt oder beispielsweise aufgrund von IT-Policies schwierig beziehungsweise gar nicht zu bedienen. Als Alternative hat sich das kostenfreie Tool "Optimizer" auf die Fahnen geschrieben, Optionen zur Systemsicherheits und -verbesserung für das OS aus Redmond wesentlich einfacher umzusetzen. [mehr]

Buchbesprechung

Datenschutz im Unternehmen

von Michael Wächter

Anzeigen