Die Cloud-Einführung ist in vielen Organisationen ein Katalysator für die IT-Modernisierung

Eine der größten Änderungen für Administratoren in den letzten Jahren ist die Cloud. Aufgrund seiner Präsenz müssen Administratoren von ihrer lokalen Denkweise abwandern.

Das Problem ist nicht die Cloud. Schließlich sollte es weniger Arbeit geben, wenn jemand anderes den Server für Sie betreut. Die Einführung der Cloud hat einige der veralteten Methoden der Branche ans Licht gebracht, was diese Bewegung zur IT-Modernisierung veranlasst. Die Praktiken in vielen IT-Shops waren vor der Einführung der Cloud nicht so streng oder reglementiert, da der externe Zugriff eingeschränkt war.

Veränderte Zeiten und neue Technologien beflügeln die Bemühungen zur IT-Modernisierung

Wenn sich Organisationen ausschließlich vor Ort befanden, war es einfach genug, fein kontrollierte Firewall-Regeln hinzuzufügen, um nur bestimmte Verbindungen ein- und auszulassen. Interne webbasierte Anwendungen benötigten kein HTTPS – nur einfaches HTTP funktionierte einwandfrei. Sie mussten nicht mit Zertifikaten herumspielen, die immer schwer zu verstehen scheinen. Jeder in Ihrem Netzwerk war berechtigt, dort zu sein, sodass es keine Rolle spielte, ob die Daten unverschlüsselt waren. Das Risiko im Vergleich zum Aufwand hat sich nicht gelohnt – viele von uns sagten es uns – und die Benutzer hätten sowieso keine Ahnung.
Sie finden verschiedene Möglichkeiten, um die Bedrohungen für das Unternehmen zu begrenzen. Sie könnten implementieren 802.1X, die nur autorisierte Geräte im Netzwerk zuließen. Dies verringerte die Wahrscheinlichkeit eines Verstoßes, da der Angreifer sowohl physischen Zugriff auf das Netzwerk als auch ein zugelassenes Gerät benötigen würde. Active Directory kann unordentlich sein. Die IT hatte eine entspannte Haltung in Bezug auf Kontoverwaltung und Bereinigung, was in Ordnung war, solange jeder seinen Job machen konnte.

Jetzt, da das Risiko, die Systeme des Unternehmens über die Cloud der Welt auszusetzen, ein erhöhtes Risiko darstellt, ist es nicht mehr möglich, die Dinge auf die gleiche Weise zu erledigen, nur um durchzukommen.

Die Zeit vor der Cloud ermöglichte viele Unordnung und Abkürzungen, da das Risiko, dass sich diese Dinge drastisch auf das Geschäft auswirken, geringer war. Administratoren, die einen neuen Job angetreten haben, haben routinemäßig ein Durcheinander vom letzten IT-Team geerbt. Es gab wenig Anreiz, Dinge aufzuräumen; Lassen Sie einfach die vorhandenen Workloads laufen. Jetzt, da das Risiko, die Systeme des Unternehmens über die Cloud der Welt auszusetzen, ein erhöhtes Risiko darstellt, ist es nicht mehr möglich, die Dinge auf die gleiche Weise zu erledigen, nur um durchzukommen.
Ein Beispiel dafür, wie die Cloud IT-Praktiken zur Änderung zwingt, ist die Standardkonfiguration, wenn Sie Microsoft Azure Active Directory verwenden. Dieses Produkt synchronisiert jedes Active Directory-Objekt mit der Cloud, sofern Sie keine Filterung anwenden. Die offizielle Dokumentation besagt, dass dies die empfohlene Konfiguration ist. Denken Sie darüber nach: Jedes einzelne übersehene, grundlegende Passwort, das vor einigen Jahren während der LinkedIn-Verletzung durchgesickert ist, befindet sich jetzt in der Cloud und kann von jedem auf der Welt verwendet werden. Diese Konten gingen von einem vergessenen Durcheinander, das vor Jahren unter den Teppich geschoben wurde, zu einer tickenden Zeitbombe über, die darauf wartete, dass Angreifer sich erfolgreich anmeldeten, während sie ihre Listen mit Millionen von Kombinationen aus Benutzernamen und Passwort durchsuchten.
Zurück auf der HTTP / HTTPS-Seite möchten Benutzer jetzt von zu Hause aus oder an einem Ort arbeiten, an dem sie möglicherweise eine Internetverbindung haben. Sie möchten dies auch von jedem Gerät aus tun, z. B. von ihrem persönlichen Laptop, Mobiltelefon oder Tablet. Das Aufdecken interner Websites war einmal – und ist es in vielen Szenarien immer noch – ein Fall, in dem ein Loch in die Firewall gesteckt und auf das Beste gehofft wurde. Bei einer unverschlüsselten HTTP-Site sind alle Daten, die an diesen Endpunkt gesendet und von diesem übertragen werden, von allem, was der Benutzer sieht, bis zu allem, was er eingibt, wie Benutzername und Kennwort, gefährdet. Ihre Benutzer können über eine kostenlose McDonald’s-WLAN-Verbindung oder an einem beliebigen Flughafen der Welt arbeiten. Es ist nicht schwer für Angreifer, gefälschte Relay-Zugriffspunkte einzurichten, alle Daten abzuhören und alles zu lesen, was nicht verschlüsselt ist. Weitere Informationen zu den potenziellen Risiken finden Sie unter WiFi Pineapple.

So passen Sie Ihre Benutzer an und erhöhen die Sicherheit

Wie Sie sehen, ist es leicht, in eine Situation mit hohem Risiko zu geraten, wenn sich die IT darauf konzentriert, Benutzer glücklich zu machen, anstatt die Sicherheit des Unternehmens. Wie schaffen Sie den Übergang zu einer sichereren Umgebung? Auf hoher Ebene müssen mehrere Sofortmaßnahmen ergriffen werden:

  • Bereinigen Sie Active Directory. Audit-Konten, deaktivieren Sie nicht verwendete, organisieren Sie Ihre Organisationseinheiten so, dass sie klar und logisch sind. Implementieren Sie einen Kontoverwaltungsprozess von Anfang bis Ende.
  • Überprüfen Sie Ihre Passwortrichtlinie. Wenn Sie keinen anderen Schutz haben, wechseln Sie Ihre Passwörter regelmäßig und erzwingen Sie ein gewisses Maß an Komplexität. Schauen Sie sich andere Methoden für zusätzlichen Schutz an, wie z Multifaktor-Authentifizierung (MFA), das von Azure Active Directory bereitgestellt wird und das das Durchlaufen von Kennwörtern überflüssig macht. Kombinieren Sie für mehr Sicherheit MFA mit bedingtem Zugriff, sodass ein Benutzer in Ihrem vertrauenswürdigen Netzwerk oder bei Verwendung eines vertrauenswürdigen Geräts nicht einmal MFA benötigt. Es ist deine Entscheidung.
  • Überprüfen und melden Sie die Kontonutzung. Wenn etwas mit der Kontonutzung nicht stimmt, sollten Sie so schnell wie möglich Korrekturmaßnahmen ergreifen. Technologien wie die Identitätsschutzfunktion Azure Active Directory gibt Warnungen aus und behebt verdächtige Aktivitäten, z. B. eine Anmeldung von einem für dieses Konto nicht typischen Speicherort.
  • Implementieren Sie HTTPS auf allen Sites. Sie müssen nicht für jede einzelne Site ein Zertifikat kaufen, um HTTPS zu aktivieren. Sparen Sie Geld und generieren Sie sie selbst, wenn die Site nur für vertrauenswürdige Computer bestimmt ist, auf denen Sie die Zertifikatkette bereitstellen können. Eine andere Möglichkeit besteht darin, ein Platzhalterzertifikat zu kaufen, das Sie überall verwenden können. Sobald das Zertifikat bereitgestellt ist, können Sie es verfügbar machen die Websites, die Sie möchten mit Azure Active Directory-Anwendungsproxy anstelle von offenen Ports in Ihrer Firewall. Dies bietet den zusätzlichen Vorteil, dass eine Azure Active Directory-Anmeldung gezwungen wird, MFA- und Identitätsschutz anzuwenden, bevor der Benutzer zum internen Standort gelangt, unabhängig vom Gerät und seinem physischen Standort.

Dies sind einige der kritischen Aspekte, die Sie berücksichtigen sollten, wenn Sie Ihre Denkweise von lokal auf Cloud umstellen. Dies ist eine grundlegende Übersicht über die Bereiche, um einen genaueren Blick darauf zu werfen. Abhängig von den Cloud-Diensten, die Sie verwenden möchten, ist noch viel mehr zu beachten.

Similar Posts

Leave a Reply