Privilegierte Konten mit Azure PIM schützen

Dass man dafür mit zwei Benutzerkonten hantieren muss, verleitet leider oft dazu, permanent ein privi­legiertes Konto zu nutzen. Wird ein solches allerdings kompromittiert, dann ist der Schaden groß, auch wenn sich der Blast-Radius in einem klassischen Perimeter-Firewall-Szenario noch in Grenzen hält.

Was ist PIM?

In der Public Cloud droht durch die Account-Kompromittierung ein größerer Schaden (Stichwort "Lateral Movement"). Zudem ist auch die Angriffsfläche in aller Regel bekannt bzw. nicht verschleiert.

An dieser Stelle kommt Azure Privileged Identity Management (PIM) ins Spiel. Mit aktiviertem PIM unterscheidet das Azure AD zwischen berechtigter ("eligible") und aktiver ("active") Rollenzuweisung.

Ist ein Benutzer zur Übernahme einer höherwertigen Azure AD-Rolle (dauerhaft oder temporär) berechtigt, dann kann er sie in einem zeitlich begrenzten Rahmen und/oder abhängig von der Genehmigung eines Dritten ("Approval") oder ggf. unter zwingender Anwendung von MFA aktivieren. Zusätzlich protokolliert PIM sämtliche Vorgänge.

Nach Ablauf der konfigurierten Zeit verliert der User die erhöhten Rechte wieder, indem ihm die Rolle entzogen wird. Außerdem ist Azure PIM im Rahmen der Azure Identity Governance mit dem Feature Zugriffs­prüfungen ("Access Reviews") für Azure-AD-Rollen verknüpft.

Nutzer können so verpflichtet werden, die Notwendigkeit zur Übernahme einer privilegierten Rolle oder die Mitgliedschaft in einer Azure-AD-Gruppe beispielsweise durch einen Vorgesetzten nach einer bestimmten Zeit überprüfen zu lassen. Auch dieses Ergebnis wird protokolliert.

PIM gewährt übrigens nicht nur den privilegiertem Just-In-Time-Zugriff auf Azure AD-Rollen (der Schwerpunkt in diesem Beitrag), sondern auch auf Azure-Ressourcen.

PIM-Onboarding

Für PIM ist eine Azure AD Premium P2-Lizenz erforderlich. Nutzer eine Free-Lizenz (Default) können allerdings im Azure-AD-Blade unter Lizenzen => Alle Produkte mit einem Klick auf Ausprobieren => Kaufen eine 30-Tage-Test-Version von Azure AD Premium P2 buchen.

Dabei ist zu berücksichtigen, dass nur Benutzer mit der Rolle Administrator für privilegierte Rollen oder der Rolle Globaler Administrator Zuweisungen für andere Administratoren verwalten dürfen.

Das Anzeigen von Azure-AD-Rollen in PIM ist bereits mit den Rollen Sicherheits­administrator, globale Leser und Benutzer mit Leseberechtigung für die Sicherheits­funktionen möglich.

Haben Sie eine P2-Lizenz aktiviert, dann differenziert Azure AD bei jedem ausgewählten Benutzer unter Zugewiesene Rollen stets zwischen Berechtigte Zuweisungen, Aktive Zuweisungen und Abgelaufene Zuweisungen.

Zum Konfigurieren von PIM suchen Sie im Azure Portal nach Azure AD Priviliged Identity Management. Das PIM-Blade präsentiert Ihnen dann zunächst die Seite Schnellstart.

Hier können Sie mit einem Blick auf den Bereich Verwalten auch erkennen, dass Sie PIM wahlweise für Azure AD Rollen oder Azure Ressourcen aktivieren können. Wir öffnen in unserem Beispiel die Schnell­startseite für PIM für Azure-AD-Rollen.

Sie können nun jede einzelne Azure-Rolle, die Sie unter die Kontrolle von PIM bringen wollen, individuell konfigurieren. Klicken Sie dazu auf Verwalten => Rollen und suchen Sie in der Filterleiste diejenige Rolle heraus, die Sie für PIM konfigurieren möchten, zum Beispiel Globaler Administrator.

Zunächst sehen Sie die aktuell bestehenden Zuweisungen in separaten Tabs für Berechtigte Zuweisungen, Aktive Zuweisungen und Abgelaufene Zuweisungen.

Klicken Sie nun auf Einstellungen, um diese Rolle für die Verwendung von PIM zu konfigurieren. Sie erhalten dann eine ziemlich umfangreiche Übersicht aller für diese Rolle vorhandenen Einstellungen.

Achtung: Die hier getroffenen Einstellungen hängen faktisch an der Rolle selbst und gelten dann für alle später vorgenommenen Zuweisungen.

Klicken Sie nun auf Bearbeiten, um sich einen Überblick über die Optionen zu verschaffen.

Im Tab Aktivierung können Sie etwa entscheiden, wie lange eine spätere Aktivierung maximal bestehen bleiben darf (in Stunden) und ob der Vorgang der Aktivierung einen zweiten Faktor benötigt (MFA).

Ferner können Sie vom Benutzer verlangen, dass er eine Begründung für die Rollen­hochstufung eingeben muss, ob für den Vorgang die Erstellung eines Tickets im Ticketsystem erforderlich sein oder ob ein dritter Benutzer die Rollenanforderungen genehmigen soll.

Im Tab Zuweisung können Sie konfigurieren, ob Sie dauerhafte Zuweisungen generell erlauben wollen und wie lange eine berechtigte (eligible) bzw. aktive Zuweisung maximal bestehen bleiben darf.

Im Tab Benachrichtigungen können Sie dann detailliert konfigurieren, bei welchen Ereignissen bzw. unter welchen Bedingungen Benachrichtigungen an Administratoren, Zugewiesene Rollen oder Genehmigende Personen ergehen sollen und wie die einzelnen E-Mail-Adressen lauten.

Rollenzuweisung aktivieren

Um nun eine Rollenzuweisung in PIM für einen anderen Benutzer vornehmen zu können, müssen Sie, wie oben erwähnt, selbst über die Rolle Administrator für privilegierte Rollen verfügen.

Klicken Sie dazu im PIM-Blade ausgehend im Abschnitt Verwalten auf Zuweisungen und dort auf Zuweisungen hinzufügen.

Alternativ können Sie die Zuweisung im Azure AD-Blade bei einem markierten Benutzer unter Zugewiesene Rollen mit Zuweisung hinzufügen vornehmen. Um von PIM zu profitieren, vergeben Sie zunächst nur Berechtigte Zuweisungen.

Nach einem Klick auf Weiter können Sie festlegen, ob die Zuweisung für Berechtigt oder Aktiv, ob sie Permanent berechtigt oder Dauerhaft zugewiesen sein soll bzw. die jeweiligen Zeiträume einschränken.

Eine neue Zuweisung wird dann im vorherigen Blade unter Berechtigte Zuweisungen angezeigt, und zwar sortiert nach Rollen und innerhalb der gleichen Rolle nach Benutzer.

Rollenzuweisung testen

Um den Erfolg zu testen, melden Sie sich als derjenige Benutzer an, für den Sie soeben eine berechtigte Rollenzuweisung in PIM konfiguriert haben. Suchen Sie dann im Azure Portal nach PIM und klicken im Abschnitt Aufgaben auf Meine Rollen.

Sie sehen nun alle Rollen, für die Sie momentan berechtigt sind. Klicken Sie nun rechts von der gewünschten Rolle (hier Globaler Administrator) auf den Link Aktivieren. Sie können nun entweder die in der Rolle vorkonfigurierte Dauer der Aktivierung (hier 8 Stunden) beibehalten oder mit Hilfe des Schiebereglers etwa auf eine Stunde heruntersetzen. Alternativ können Sie auch die Startzeit der benutzerdefinierten Aktivierung festlegen.

Gemäß unserer Vorkonfiguration müssen Sie außerdem eine Begründung für die Hochstufung angeben. Wie oben erläutert hätten Sie zusätzlich auch eine Genehmigung durch einen Dritten oder eine Bestätigung mittels MFA erzwingen können.

Der Aktivierungsprozess durchläuft selbständig die drei Stufen Ihre Rollenaktivierungsanforderung wird verarbeitet, Die aktivierte Rolle wird in ihrem Verzeichnis überprüft und Die Aktivierung wurde erfolgreich angeschlossen.

Anschließend aktualisiert sich die Browser-Sitzung automatisch und der gewählte Benutzer ist für die gewählte Zeitspanne nun Globaler Administrator. Das können Sie im Tab Aktive Zuweisungen verifizieren.

Dabei werden sämtliche PIM-Aktivierungsvorgänge sauber protokolliert. Das lässt sich im PIM-Blade für Azure-AD-Rollen unter dem Abschnitt Aktivität unter Ressourcenüberwachung und Meine Überwachung überprüfen.

Fazit

Diese kleine Einführung in Azure Priviliged Identity Management zeigt die Mächtigkeit des Features, befasst sich aber zunächst nur mit Azure-AD-Rollen. Dabei haben wir viele Spezial­funktionen wie Approvals oder MFA ausgelassen, ebenso wie Zugriffs­prüfungen oder das Aktivieren von PIM für Azure Ressourcen.