The Doppler Quarterly (DEUTSCHE) Winter 2018 | Page 15
Sicherheitsrisiken bei
Implementierungen mit mehreren
Clouds lassen sich besser
handhaben, wenn Unternehmen
anbieterübergreifend konsistente
Best Practices und
Sicherheitskontrollen einrichten.
sind Azure-Services, die analog zu den Services sind, die in der CIS AWS Foun-
dations Benchmark abgedeckt werden:
1. Identity and Access Management (IAM)
Die CTP Azure Foundations Benchmark-Regeln für IAM enthalten Empfehlun-
gen und Einschätzungen zur Nutzung von Azure RBAC-Rollen (Role-Based
Access Control). Die reduzierte Verwendung von Rollen auf Subskriptionse-
bene, wie „Owner" und die Einführung von Rollen auf Ressourcengruppene-
bene ermöglicht es Ihnen, das Prinzip der „geringsten Privilegien“ für den
Zugriff auf Azure-Ressourcen anzuwenden. Dadurch lässt sich das Risiko ver-
sehentlicher Änderungen reduzieren und lassen sich Schäden eingrenzen, die
aus einem Versehen oder einem Fehler resultieren können.
Außerdem empfehlen die CTP Azure Foundations Benchmark-Regeln für IAM den
Einsatz von Managed Service Identity (MSI). Azure MSI ist eines der aktuellen Kon-
trollelemente des Azure IAM Toolsets und analog zu den AWS IAM-Instanzrollen,
über die Berechtigungsnachweise für den Zugriff auf AWS-Ressourcen bereitge-
stellt werden. Mit MSI können Sie Berechtigungsnachweise außerhalb Ihres Codes
halten und so das ärgerliche Problem mit der „Bootstrap-Identität“ lösen.
Die Regeln zur Verwendung von Multi-Factor Authentication (MFA) sind eben-
falls Bestandteil der CTP Azure Foundations Benchmark.
2. Protokollierung und Echtzeitüberwachung
Die CTP Azure Benchmark-Regeln steuern die ordnungsgemäße Handhabung
von Azure Activity Logs für die weitere Analyse und Verarbeitung in SIEM-Sys-
temen (Security Information and Event Management). Die Azure Activity Logs
WINTER 2018 | THE DOPPLER | 13