Privilegierte Konten mit Azure PIM schützen


    Tags: , ,

    Azure Privileged Identity Management (PIM)Mit Privileged Identity Management (PIM) lassen sich privilegierte Konten wie der globale Admini­strator im Azure AD zeitlich beschränken. Nutzer kommen dann nur noch bei tatsächlichem Bedarf in den Genuss der erhöhten Rechte, wobei sie das im Self Service erledigen können. Dieser Artikel zeigt, wie PIM für den Schutz von Azure AD-Ressourcen funktioniert.

    Im lokalen Netzwerk sind Sie während des Alltagsbetriebs üblicherweise als Standard­benutzer unterwegs und verwenden nur für administrative Aufgaben Ihren jeweiligen Administrator-Account.

    Dass man dafür mit zwei Benutzerkonten hantieren muss, verleitet leider oft dazu, permanent ein privi­legiertes Konto zu nutzen. Wird ein solches allerdings kompromittiert, dann ist der Schaden groß, auch wenn sich der Blast-Radius in einem klassischen Perimeter-Firewall-Szenario noch in Grenzen hält.

    Was ist PIM?

    In der Public Cloud droht durch die Account-Kompromittierung ein größerer Schaden (Stichwort "Lateral Movement"). Zudem ist auch die Angriffsfläche in aller Regel bekannt bzw. nicht verschleiert.

    An dieser Stelle kommt Azure Privileged Identity Management (PIM) ins Spiel. Mit aktiviertem PIM unterscheidet das Azure AD zwischen berechtigter ("eligible") und aktiver ("active") Rollenzuweisung.

    Bestehende Rollenzuweisungen in Azure PIM

    Ist ein Benutzer zur Übernahme einer höherwertigen Azure AD-Rolle (dauerhaft oder temporär) berechtigt, dann kann er sie in einem zeitlich begrenzten Rahmen und/oder abhängig von der Genehmigung eines Dritten ("Approval") oder ggf. unter zwingender Anwendung von MFA aktivieren. Zusätzlich protokolliert PIM sämtliche Vorgänge.

    Nach Ablauf der konfigurierten Zeit verliert der User die erhöhten Rechte wieder, indem ihm die Rolle entzogen wird. Außerdem ist Azure PIM im Rahmen der Azure Identity Governance mit dem Feature Zugriffs­prüfungen ("Access Reviews") für Azure-AD-Rollen verknüpft.

    Nutzer können so verpflichtet werden, die Notwendigkeit zur Übernahme einer privilegierten Rolle oder die Mitgliedschaft in einer Azure-AD-Gruppe beispielsweise durch einen Vorgesetzten nach einer bestimmten Zeit überprüfen zu lassen. Auch dieses Ergebnis wird protokolliert.

    PIM gewährt übrigens nicht nur den privilegiertem Just-In-Time-Zugriff auf Azure AD-Rollen (der Schwerpunkt in diesem Beitrag), sondern auch auf Azure-Ressourcen.

    PIM-Onboarding

    Für PIM ist eine Azure AD Premium P2-Lizenz erforderlich. Nutzer eine Free-Lizenz (Default) können allerdings im Azure-AD-Blade unter Lizenzen => Alle Produkte mit einem Klick auf Ausprobieren => Kaufen eine 30-Tage-Test-Version von Azure AD Premium P2 buchen.

    Dabei ist zu berücksichtigen, dass nur Benutzer mit der Rolle Administrator für privilegierte Rollen oder der Rolle Globaler Administrator Zuweisungen für andere Administratoren verwalten dürfen.

    Das Anzeigen von Azure-AD-Rollen in PIM ist bereits mit den Rollen Sicherheits­administrator, globale Leser und Benutzer mit Leseberechtigung für die Sicherheits­funktionen möglich.

    Haben Sie eine P2-Lizenz aktiviert, dann differenziert Azure AD bei jedem ausgewählten Benutzer unter Zugewiesene Rollen stets zwischen Berechtigte Zuweisungen, Aktive Zuweisungen und Abgelaufene Zuweisungen.

    Azure PIM differenziert zwischen verschiedenen Zuweisungsarten

    Zum Konfigurieren von PIM suchen Sie im Azure Portal nach Azure AD Priviliged Identity Management. Das PIM-Blade präsentiert Ihnen dann zunächst die Seite Schnellstart.

    Schnellstart zur Konfiguration von Azure PIM

    Hier können Sie mit einem Blick auf den Bereich Verwalten auch erkennen, dass Sie PIM wahlweise für Azure AD Rollen oder Azure Ressourcen aktivieren können. Wir öffnen in unserem Beispiel die Schnell­startseite für PIM für Azure-AD-Rollen.

    Der PIM-Schnellstart für Azure-AD-Rollen

    Sie können nun jede einzelne Azure-Rolle, die Sie unter die Kontrolle von PIM bringen wollen, individuell konfigurieren. Klicken Sie dazu auf Verwalten => Rollen und suchen Sie in der Filterleiste diejenige Rolle heraus, die Sie für PIM konfigurieren möchten, zum Beispiel Globaler Administrator.

    Jede Azure-AD-Rolle kann für PIM konfiguriert werden.

    Zunächst sehen Sie die aktuell bestehenden Zuweisungen in separaten Tabs für Berechtigte Zuweisungen, Aktive Zuweisungen und Abgelaufene Zuweisungen.

    Bestehende aktive Zuweisungen in PIM anzeigen

    Klicken Sie nun auf Einstellungen, um diese Rolle für die Verwendung von PIM zu konfigurieren. Sie erhalten dann eine ziemlich umfangreiche Übersicht aller für diese Rolle vorhandenen Einstellungen.

    Die für die ausgewählte Rolle konfigurierten PIM-Einstellungen

    Achtung: Die hier getroffenen Einstellungen hängen faktisch an der Rolle selbst und gelten dann für alle später vorgenommenen Zuweisungen.

    Klicken Sie nun auf Bearbeiten, um sich einen Überblick über die Optionen zu verschaffen.

    Im Tab Aktivierung können Sie etwa entscheiden, wie lange eine spätere Aktivierung maximal bestehen bleiben darf (in Stunden) und ob der Vorgang der Aktivierung einen zweiten Faktor benötigt (MFA).

    Ferner können Sie vom Benutzer verlangen, dass er eine Begründung für die Rollen­hochstufung eingeben muss, ob für den Vorgang die Erstellung eines Tickets im Ticketsystem erforderlich sein oder ob ein dritter Benutzer die Rollenanforderungen genehmigen soll.

    Aktivierungseinstellungen bearbeiten

    Im Tab Zuweisung können Sie konfigurieren, ob Sie dauerhafte Zuweisungen generell erlauben wollen und wie lange eine berechtigte (eligible) bzw. aktive Zuweisung maximal bestehen bleiben darf.

    Zuweisungseinstellungen in Azure PIM

    Im Tab Benachrichtigungen können Sie dann detailliert konfigurieren, bei welchen Ereignissen bzw. unter welchen Bedingungen Benachrichtigungen an Administratoren, Zugewiesene Rollen oder Genehmigende Personen ergehen sollen und wie die einzelnen E-Mail-Adressen lauten.

    Benachrichtigungseinstellungen in Azure PIM bearbeiten

    Rollenzuweisung aktivieren

    Um nun eine Rollenzuweisung in PIM für einen anderen Benutzer vornehmen zu können, müssen Sie, wie oben erwähnt, selbst über die Rolle Administrator für privilegierte Rollen verfügen.

    Klicken Sie dazu im PIM-Blade ausgehend im Abschnitt Verwalten auf Zuweisungen und dort auf Zuweisungen hinzufügen.

    Rollenzuweisungen lassen sich direkt im PIM-Blade vornehmen.

    Alternativ können Sie die Zuweisung im Azure AD-Blade bei einem markierten Benutzer unter Zugewiesene Rollen mit Zuweisung hinzufügen vornehmen. Um von PIM zu profitieren, vergeben Sie zunächst nur Berechtigte Zuweisungen.

    Eine Rollenzuweisung unter PIM-Kontrolle im Azure AD

    Nach einem Klick auf Weiter können Sie festlegen, ob die Zuweisung für Berechtigt oder Aktiv, ob sie Permanent berechtigt oder Dauerhaft zugewiesen sein soll bzw. die jeweiligen Zeiträume einschränken.

    Neue Zuweisung konfigurieren

    Eine neue Zuweisung wird dann im vorherigen Blade unter Berechtigte Zuweisungen angezeigt, und zwar sortiert nach Rollen und innerhalb der gleichen Rolle nach Benutzer.

    Alle berechtigten Zuweisungen in Azure PIM

    Rollenzuweisung testen

    Um den Erfolg zu testen, melden Sie sich als derjenige Benutzer an, für den Sie soeben eine berechtigte Rollenzuweisung in PIM konfiguriert haben. Suchen Sie dann im Azure Portal nach PIM und klicken im Abschnitt Aufgaben auf Meine Rollen.

    Ein berechtigter Nutzer kann sich in PIM selbst hochstufen.

    Sie sehen nun alle Rollen, für die Sie momentan berechtigt sind. Klicken Sie nun rechts von der gewünschten Rolle (hier Globaler Administrator) auf den Link Aktivieren. Sie können nun entweder die in der Rolle vorkonfigurierte Dauer der Aktivierung (hier 8 Stunden) beibehalten oder mit Hilfe des Schiebereglers etwa auf eine Stunde heruntersetzen. Alternativ können Sie auch die Startzeit der benutzerdefinierten Aktivierung festlegen.

    Gemäß unserer Vorkonfiguration müssen Sie außerdem eine Begründung für die Hochstufung angeben. Wie oben erläutert hätten Sie zusätzlich auch eine Genehmigung durch einen Dritten oder eine Bestätigung mittels MFA erzwingen können.

    Das Aktivieren einer Rolle im Self Service

    Der Aktivierungsprozess durchläuft selbständig die drei Stufen Ihre Rollenaktivierungsanforderung wird verarbeitet, Die aktivierte Rolle wird in ihrem Verzeichnis überprüft und Die Aktivierung wurde erfolgreich angeschlossen.

    Der Aktivierungsprozess im Verlauf

    Anschließend aktualisiert sich die Browser-Sitzung automatisch und der gewählte Benutzer ist für die gewählte Zeitspanne nun Globaler Administrator. Das können Sie im Tab Aktive Zuweisungen verifizieren.

    Der Benutzer ist nun im Besitz einer aktiven Zuweisung.

    Dabei werden sämtliche PIM-Aktivierungsvorgänge sauber protokolliert. Das lässt sich im PIM-Blade für Azure-AD-Rollen unter dem Abschnitt Aktivität unter Ressourcenüberwachung und Meine Überwachung überprüfen.

    Die Protokollierung in PIM gehört zu den wichtigsten Governance-Funktionen.

    Fazit

    Diese kleine Einführung in Azure Priviliged Identity Management zeigt die Mächtigkeit des Features, befasst sich aber zunächst nur mit Azure-AD-Rollen. Dabei haben wir viele Spezial­funktionen wie Approvals oder MFA ausgelassen, ebenso wie Zugriffs­prüfungen oder das Aktivieren von PIM für Azure Ressourcen.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Thomas Drilling

    Thomas Drilling arbeitet seit mehr als 20 Jahren selb­ständig als Redakteur und Autor für viele ehe­malige und aktuelle IT-Magazine sowie Blogs. Thomas ist zudem Buch­autor und IT-Consultant.

    Seit 5 Jahren ist Thomas neben seiner journa­listischen Tätig­keit haupt­beruflicher, selb­ständiger IT-Trainer für VMware und Microsoft.

    Seine Themen­schwer­punkte sind Virtua­lisierung und Cloud Com­puting, speziell VMware, Amazon Web Services, Google Cloud und Microsoft Azure. Thomas ist zerti­fi­zierter VMware Professional, Advanced Professional und wurde von VMware in den Jahren 2016, 2017, 2018, 2019 und 2020 mit dem Blogger-Status vExpert ausge­zeichnet.

    Thomas ist außerdem zertifi­zierter AWS Solu­tions Archi­tect, Sysops Engineer und Devops Engineer sowie Microsoft Certified Azure Admini­strator.

    Thomas führt aktuell jeden zwei­ten Mon­tag einen 4-tägigen Grund­lagenkurs in Cloud Computing mit AWS via Zoom-Meeting durch. Weitere Infor­mationen und Anmel­dung über sein AWS-Blog.

    Ähnliche Beiträge

    Weitere Links