Implementierung von Mindestzugriffsrichtlinien in Azure mit RBAC (Role-Based Access Control)

Implementierung von Mindestzugriffsrichtlinien in Azure mit RBAC (Role-Based Access Control)

08.10.2024

Dieser technische und lehrreiche Artikel soll Sicherheitsanalysten, IT-Administratoren und Systemingenieure bei der Implementierung und Verwaltung von Mindestzugriffsrichtlinien in Azure mithilfe der rollenbasierten Zugriffskontrolle (Role-Based Access Control, RBAC) anleiten. Azure RBAC ist ein Autorisierungssystem, mit dem Sie verwalten können, wer Zugriff auf Azure-Ressourcen hat, was sie mit diesen Ressourcen tun können und auf welche Bereiche sie Zugriff haben. Die Anwendung des Prinzips der geringsten Rechte ist entscheidend für die Reduzierung der Angriffsfläche und die Minderung von Sicherheitsrisiken in jeder Cloud-Umgebung [1].

Einführung

In einer dynamischen Cloud-Umgebung wie Azure, in der Ressourcen ständig erstellt, geändert und gelöscht werden, ist es eine ständige Herausforderung sicherzustellen, dass Benutzer und Dienste nur über die Berechtigungen verfügen, die sie zum Ausführen ihrer Aufgaben benötigen. Azure RBAC ist das native Tool von Azure zur Umsetzung des Prinzips der geringsten Rechte, das es Unternehmen ermöglicht, granulare Berechtigungen zu definieren und den Zugriff effektiv zu steuern [2].

Dieser praktische Leitfaden behandelt die grundlegenden Konzepte von Azure RBAC, einschließlich Rollen, Bereichen und Rollenzuweisungen, mit schrittweisen Anweisungen zum Erstellen und Zuweisen von Rollen, zum Verwalten von Zuweisungen und zum Überprüfen von Berechtigungen.

Warum sind Azure RBAC und das Prinzip der geringsten Rechte so wichtig?

  • Reduzierung der Angriffsfläche: Begrenzt die potenziellen Auswirkungen eines kompromittierten Kontos.
  • Einhaltung gesetzlicher Vorschriften: Hilft bei der Erfüllung von Audit- und Compliance-Anforderungen (LGPD, DSGVO, HIPAA).
  • Erweiterte Governance: Bietet ein klares Modell für die Verwaltung und Überwachung von Berechtigungen.
  • Verhinderung versehentlicher Fehler: Reduziert das Risiko einer versehentlichen Beschädigung kritischer Ressourcen.

Voraussetzungen

  1. Aktives Azure-Abonnement.
  2. Administrativer Zugriff: Hat die Rolle „Eigentümer“ oder „Benutzerzugriffsadministrator“ im gewünschten Bereich [3].

Schritt für Schritt: Azure RBAC implementieren

1. Grundlegendes zu Azure RBAC-Komponenten

  • Sicherheitseinheit: Wer erhält Zugriff (Benutzer, Gruppe usw.).
  • Rollendefinition: Was kann getan werden (Erfassung von Berechtigungen). Beispiel: „Leser“, „Mitarbeiter“.
  • Geltungsbereich: Wo der Zugriff gilt (Abonnement, Ressourcengruppe usw.).

Eine Rollenzuweisung ist die Kombination dieser drei Elemente.

2. Interne Rollen zuweisen

  1. Navigieren Sie im Azure-Portal zur gewünschten Ressource oder zum gewünschten Bereich (z. B. einer Ressourcengruppe).
  2. Wählen Sie Zugriffskontrolle (IAM).
  3. Klicken Sie auf + Hinzufügen > Rollenzuweisung hinzufügen.
  4. Wählen Sie auf der Registerkarte „Rolle“ die gewünschte Rolle aus (z. B. „Leser“).
  5. Wählen Sie auf der Registerkarte „Mitglieder“ den Benutzer, die Gruppe oder den Dienstprinzipal aus.
  6. Klicken Sie zum Abschluss auf „Überprüfen + zuweisen“.

3. Benutzerdefinierte Funktionen erstellen

Wenn integrierte Funktionen nicht ausreichen, erstellen Sie eine benutzerdefinierte Funktion.

  1. Klicken Sie in Zugriffskontrolle (IAM) für ein Abonnement auf + Hinzufügen > Benutzerdefinierte Rolle hinzufügen.
  2. Geben Sie der Rolle einen Namen (z. B. „Eingeschränkter VM-Operator“).
  3. Fügen Sie unter „Berechtigungen“ die spezifischen erforderlichen Aktionen hinzu. Beispiel für einen VM-Operator:
    • Microsoft.Compute/virtualMachines/start/action
    • Microsoft.Compute/virtualMachines/restart/action
    • Microsoft.Compute/virtualMachines/read
  4. Definieren Sie die „zuweisbaren Bereiche“ (in denen die Funktion verwendet werden kann).
  5. Klicken Sie auf „Überprüfen + erstellen“ und dann auf „Erstellen“.

Weisen Sie diese benutzerdefinierte Rolle nach der Erstellung auf die gleiche Weise zu wie eine integrierte Rolle.

4. Aufgaben verwalten und prüfen

  • Auf dem Bildschirm Zugriffskontrolle (IAM) werden auf der Registerkarte „Rollenzuweisungen“ alle Berechtigungen für diesen Bereich aufgeführt.
  • Überprüfen Sie diese Liste regelmäßig. Über die Schaltfläche „Entfernen“ können Sie nicht mehr benötigte Zugriffe widerrufen.

Best Practices

  • Azure AD-Gruppen verwenden: Weisen Sie Gruppen Rollen zu, nicht einzelnen Benutzern. Die Verwaltung der Gruppenmitgliedschaft ist einfacher als die Verwaltung Dutzender RBAC-Zuweisungen.
  • Kleinster möglicher Bereich: Wenn ein Benutzer Zugriff auf nur eine Ressource benötigt, weisen Sie die Rolle im Bereich dieser Ressource zu, nicht der Ressourcengruppe oder dem Abonnement.
  • Verwenden Sie Azure AD Privileged Identity Management (PIM): Für hochprivilegierte Rollen („Besitzer“, „Globaler Administrator“) verwenden Sie PIM, um Just-in-Time-Zugriff (JIT) zu ermöglichen, der pro gewährttemporäre Missionen und bedarf einer Begründung.

Allgemeine Fehlerbehebung

  • Benutzer kann nicht auf eine Ressource zugreifen: Überprüfen Sie die Rollenzuweisungen auf allen Ebenen (Ressource, Ressourcengruppe, Abonnement). Berechtigungen werden vererbt. Überprüfen Sie außerdem, ob eine Zuweisung verweigern den Zugriff blockiert.
  • Berechtigungskonflikte: Azure RBAC folgt einem additiven Modell. Wenn ein Benutzer die Rolle „Leser“ für die Ressourcengruppe und „Mitwirkender“ für eine VM darin hat, werden die Berechtigungen addiert. Allerdings haben Ablehnungszuweisungen immer Vorrang. Wenn eine Deny-Zuweisung eine Aktion blockiert, wird der Zugriff verweigert, auch wenn eine Rollenzuweisung dies zulässt [4].
  • Neu gewährter Zugriff funktioniert nicht: Es kann zu einer Verzögerung von einigen Minuten kommen, bis die Berechtigungen weitergegeben werden. Bitten Sie den Benutzer, sich vom Portal abzumelden und wieder anzumelden.

Fazit

Die disziplinierte Umsetzung des Prinzips der geringsten Rechte durch Azure RBAC ist eine der effektivsten Sicherheitspraktiken in der Cloud. Durch die Nutzung integrierter Rollen, die Erstellung detaillierter benutzerdefinierter Rollen bei Bedarf und die regelmäßige Überprüfung des Zugriffs können Unternehmen ihre Angriffsfläche drastisch reduzieren, die Auswirkungen eines potenziellen Verstoßes begrenzen und die Einhaltung gesetzlicher Standards sicherstellen. Tools wie Azure AD PIM ergänzen RBAC und fügen Kontroll- und Überwachungsebenen für den kritischsten Zugriff hinzu.

Referenzen

[1] Microsoft. (2023). Was ist die rollenbasierte Zugriffskontrolle von Azure (Azure RBAC)? [2] Microsoft. (2023). Best Practices für Azure RBAC. [3] Microsoft. (2023). In Azure integrierte Funktionen. [4] Microsoft. (2023). Verstehen Sie Azure-Ablehnungszuweisungen.