Azure Security Best Practices

Dieses Jahr habe ich mir vorgenommen, etwas mehr von meiner täglichen Arbeit hier mit euch zu teilen. Und dieser Artikel ist ein erster Teil, um meinen Worten auch ein paar Taten folgen zu lassen.

Durch die vielen verschiedenen Kundenprojekte komme ich oft mit den unterschiedlichsten Personen und Unternehmen in Kontakt. Der erste “Aha-Moment” des Jahres sollte also nicht lange auf sich warten lassen. Und dann war es auch vor zwei Wochen schon so weit: Ein Kundentermin wie er irritierender nicht sein konnte.

Die Überschrift dieses Artikels weist ja schon auf das, was kommen könnte hin, aber ich möchte dich gerne erstmal zu meinem ersten “interessanten” Termin in diesem Jahr mitnehmen.

Die Anfrage

Die Anfrage des Kunden, welche mich noch zum Ende des letzten Jahres erreichte, war sehr simpel gestrickt: Wir möchten unsere Azure Ressourcen gerne von einer Subscription in die andere verschieben. Dieser Prozess ist – für die unter Euch die Azure vielleicht nicht so gut kennen – kein einfaches Anklicken und Verschieben, sondern bedarf etwas Vorausplanung und einer Analyse der bisherigen Architektur und der eingesetzten Services.

Diese Analyse habe ich mit Hilfe eines von uns geschriebenen Python Skripts relativ schnell durchgeführt, und wir konnten uns über die bereits entstandene Infrastruktur austauschen. Nach erster Durchsicht des bestehenden Kubernetes-Clusters sowie der Infrastruktur hatte ich Anmerkungen bezüglich Verfügbarkeit und Security vorgebracht, die vom Infrastruktur Ansprechpartner beim Kunden auch schnell verstanden und positiv aufgenommen wurden. Wir vereinbarten im Anschluss einen gemeinsamen Termin mit den Anwendungsentwicklern, um zu überprüfen, ob unsere Annahmen korrekt waren oder wir ggf. Teile übersehen hatten.

Der Besprechungstermin

Im Besprechungstermin, der für zwei Stunden angesetzt war, waren dann der Infrastruktur Ansprechpartner sowie seine Kollegen aus der Anwendungsentwicklung anwesend. Wir wollten uns dabei über die entsprechenden Themen austauschen.

Nach einer kurzen Einleitung kam sinngemäß folgender Satz aus Richtung des Kunden:

Wir haben uns über die von Ihnen vorgebrachten Einwände und Vorschläge ausgetauscht und sehen keine Relation zu den von uns betriebenen Workloads. Kurz gesagt: Die Lösung erscheint uns zu teuer.

Ich war zugegeben etwas irritiert und stellte dann meinerseits folgende Aussage in den virtuellen Raum: Ich verstehe, dass bei einer Gesamtkostensituation von ca. 300 € monatlichen Azure Kosten eine Web-Application Firewall für ca. 300 € zunächst viel erscheint, aber sagen Sie mir doch einfach: “Wir möchten ohne Security arbeiten”, und ich folge Ihrem Wunsch.

Zu diesem Zeitpunkt war mir bereits bewusst, wo wir landen, würden und ich kann abschließend sagen, dass ich den Kunden so nicht weiter begleiten kann. Leider ist das wieder ein Fall, indem zwar um Unterstützung gerufen wird, der Kunde diese aber leider nicht annehmen möchte.

Ich vergleiche das immer mit Arbeiten am Bau: ich hole mir doch keinen Maurer zur Unterstützung, wenn ich die Mauer selber hochziehen möchte und dem Maurer nicht vertraue, oder?

Azure Security: from Zero to Hero

(es könnte so einfach sein)

Zuerst einmal: Du musst das Rad nicht neu erfinden. Die Hersteller – und hier im Speziellen Microsoft – machen einen fantastischen Job, indem Sie uns das grundlegende Rüstzeug an die Hand geben, um die Basics einfach abdecken zu können.

In Bezug auf Azure Security bedeutet das konkret, dass Du nur wissen musst, wo Du die entsprechenden Informationen finden kannst. In den nächsten Abschnitten erkläre ich Dir, wie Du sowohl Deinem C-Level die Notwendigkeit von Security Maßnahmen verdeutlichen, als auch die Umsetzung direkt forcieren kannst.

Starten wir mit der Basis

(abholen, Aufmerksamkeit schaffen)

Um zunächst einmal Aufmerksamkeit zu generieren, schauen wir uns mal den Stand der Dinge an. Microsoft hat uns dazu mit dem im Oktober letzten Jahres erschienenen “Digital Defense Report” ein Referenzwerk geliefert, dass klar die Notwendigkeit geeigneter Security Maßnahmen aufzeigt. Zur Referenz geht’s hier entlang: Microsoft Digital Defense Report

Wie im Report unschwer zu erkennen ist und wie Du sicher bereits geahnt hast, hat sich die Zahl der Angriffe und Angriffsversuche drastisch erhöht. Dieser Anstieg geht leider nicht immer mit einem Anstieg der Security Budgets einher und verdeutlicht einmal mehr, die Notwendigkeit geeignete Maßnahmen zu ergreifen.

Der durchschnittliche ROI eines Ransomware-Angriffs liegt derzeit irgendwo zwischen 1,4 und 1,6 Mio. € – die Firmen, die kein Lösegeld zahlen eingeschlossen. Ein lukratives Geschäft für den Angreifer und durch bestehende Affiliate Modelle auch für böswillige Insider im Unternehmen. Denn, wenn ein Mitarbeiter bereit ist, dem Unternehmen durch das Einbringen von Schadsoftware zu schaden, winken bis zu 30 % (also im Durchschnitt 420.000 €!!!) als Bitcoins direkt ins Wallet.

An der Basis anfangen

So, erstmal genug der Panikmache, fangen wir mal mit der Basisarbeit und der aus meiner Sicht vorrangigen, nicht tief technischen Referenz (teils C-Level tauglich) an.

Dieses Toolset nannte sich in der Vergangenheit “Azure Security Compass” und wurde zwischenzeitlich umbenannt in “Azure Security Best Practices”. Ein aus meiner Sicht umfassendes (wenn nicht das umfassendste) Referenzwerk in Bezug auf Security und Compliance.

Du startest am besten mit dem Slide-Deck und bereitest daraus einen kompakten Workshop vor. Im Slide-Deck (Link) sind 148 Slides enthalten, die so ziemlich alle grundlegenden Überlegungen zum Aufbau und zu den Details Deiner zukünftigen Security und Compliance Architektur enthalten.

Parallel zum Slide-Deck öffnest Du das Excel-Workbook (Link), in das Ihr Eure Entscheidungen und Überlegungen im Workshop eintragen und festhalten könnt.

Mit diesen beiden mächtigen Ressourcen an der Hand, kannst Du schonmal den Grundstein für Euer zukünftiges Security Setup in Azure setzen. Nach Durchführung des Workshops seid Ihr also in der Lage, eine Bewertung Eurer Bestandsumgebung oder eine Leitschnur für Eure zukünftige Umgebung zu erhalten. Auf dieser Grundlage aufbauend gilt es nun, die Details zu überprüfen und in die technischen Tiefen des Kaninchenbaus herunterzusteigen.

Detailplanung und Framework Mapping

In der Detailplanung gilt es, sich an den Best Practices zu orientieren. Was ist dazu besser geeignet, als auf einem bestehenden Framework aufsetzend, die Azure Security Controls zu implementieren und dadurch an gesetzten Standards festzuhalten?

Im Azure Security Benchmark (Link) findest Du dafür einen geeigneten Partner. Der Azure Security Benchmark ist bereits in Version 3.0 erschienen und vereint Standard Frameworks mit den Azure Security Möglichkeiten und erlaubt Dir so, einen möglichst hohen Schutz auf Deinen Ressourcen umzusetzen.

Automatisierte Überprüfung

Der Azure Security Benchmark ist dabei in verschiedene Bereiche unterteilt und beschreibt jedes einzelne Control mit seiner Umsetzung in Azure. Diese Unterteilung ermöglicht Dir die Umsetzung in verschiedene Schritte zu gliedern und dabei gezielt auf die Bedürfnisse in Deiner Organisation oder bei Deinen Kunden einzugehen. Besonders wichtig ist hierbei, dass Du das aus dem Azure Security Benchmark gelieferte Excel-Workbook (hier geht’s zum Workbook: Link) Schritt für Schritt durchgehst und die einzelnen Teile direkt prüfst (mit dieser Auflistung: Link) und ggf. auf Deiner Umgebung umsetzt.

Wenn Du noch einen Schritt weitergehen möchtest, kannst Du Deine Security mittels Tool auch automatisiert überprüfen lassen. Auch dabei musst Du nicht bei 0 starten und kannst auf Bestehendes aufsetzen.

Es gibt verschiedene Skripte oder Tools, die Dich bei der Umsetzung unterstützen können. Eines davon ist zum Beispiel die “Azure Tenant Security Solution” (kurz AzTS). Diese Lösung – die im Deployment zugegebenermaßen nicht ganz einfach ist – bietet Dir einen guten Überblick über die implementierten Security Controls und zeigt Dir grafisch ggf. Schwachstellen auf. Du findest die AzTS unter dem folgenden Link.

Auch der Microsoft Defender for Cloud bietet Dir mit seinen Empfehlungen und den daraus resultierenden Maßnahmen einen guten Punkt, um Deine Security zu erhöhen. Dabei ist allerdings, wie übrigens bei allen automatisierten Empfehlungen darauf zu achten, dass die Empfehlung auch für Euren Einsatzzweck passt und Du diese nicht bereits über ein anderes Tool oder einen Drittanbieter umgesetzt hast.

Übersicht der Security Möglichkeiten von M365 & Azure

Microsoft hat übrigens auch eine (zugegeben etwas erschlagende) Übersicht der verschiedenen Security Möglichkeiten von M365 und Azure herausgebracht. Schau einfach mal hier: Link

Fazit

Wenn wir uns die bereits vorhandenen Möglichkeiten, die Microsoft uns für die Umsetzung unserer Security Controls auf Azure bietet anschauen, bedarf es aus meiner Sicht nur Zeit und einiger Workshops, um entsprechend zu bewerten, welche Teile im Unternehmen umgesetzt werden sollten. Wie immer ist der Aufwand für die technische Implementierung eher gering, vielmehr ist im Vorfeld vieles organisatorisch abzustimmen und festzulegen. Auch hierbei unterstützt Euch das o. g. Toolset (das übrigens keinen Anspruch auf Vollständigkeit hat).

Falls Ihr Fragen zu den o. g. Themen habt, stehen meine Kollegen sowie ich Euch gerne zur Verfügung!