Absicherung Clouddienste

[Maniska]

Mal eine Frage in die Runde:

Wie sichert ihr eure Clouddienste gegen unbefugten Zugriff ab? Sowohl auf Userbasis als auch Geräte/Apps? Ich hirne gerade über meiner Budegetplanung für nächstes Jahr und hänge an der Absicherung der Cloudprojekte die wohl kommen werden (leider).

1. Nur Benutzername/Passwort ist aus offensichtichen Gründen keine Option

2. MFA ist klar, aber was nimmt man denn als Faktor, wenn der User kein Firmenhandy hat? App fällt dann ja raus, da nur auf Privatgerät möglich und da muss der User mitspielen. Hardwaretoken ist umständlich und wird zu 99% irgendwann entweder vergessen (User im HO, Token im Büro oder andersrum) oder verloren.

3. Wie verhindere ich dass sich Lieschen Müller mal schnell vom privaten Rechner daheim einloggt und von dort aus Schadsoftware in die Cloudinfrastruktur rein kommt oder im Hintergrund sensible Daten abfließen?

4. Wie verhindere ich, dass sich eine Drittabbieterapp auf Lieschen Müllers Firmenhandy über die API der Cloudanbieterapp an die Daten heranmacht? (Hier hilft ja noch ein MDM).

5. Mischung aus 3 und 4: Privates Handy, Cloudanbieterapp und Drittanbieter...

6. Wie schaffe ich es, diese Sicherheitsfeatures so zu implementieren, dass der User im Idealfall möglichst wenig Berührungspunkte damit hat? Im Idealfall SSO bei einer berechtigen Kombi aus User und Endgerät, ohne viel Tokengefummel, Einmalpasswörtern oder sonstigen "das ist viiiiiiiiiiiiel zu kompliziert" Geschichten.

7. Was kostet der Spaß ~pro User?

[Griller]

zu 1/2: Hier hast du nur die Wahl, allen Usern ein Mobilgerät zur Verfügung zu stellen, auf das dann die Auth-App installiert werden kann (in Form der Google Authenticator App, o.ä.) oder einen Hardwaretoken zu nutzen. Ich habe zurzeit einen Hardwaretoken von RSA-Security hier liegen, den kann man auch am Schlüssel mit durch die Gegen schleppen, das ist tatsächlich ganz praktisch. Einfach mal nach "rsa securid hardware token" googlen. Vergessen kann man den aber natürlich schon... 

 

zu 3: Das kommt drauf an, was du unter "Cloudinfrastruktur" verstehst. Wenn einfach nur irgendwelche Services bei einem Public Cloud Provider (IaaS) gehostet werden, könntest du dein Netzwerk mit dem des Providers verknüpfen, hier mal die drei Möglichkeiten die du bspw. auf GCP hast (https://cloud.google.com/hybrid-connectivity?hl=de), die sind quasi bei allen Cloudprovidern gleich. Wenn wir über sowas wie O365 (SaaS) reden, kann man das vermutlich mit Zertifikaten regeln (näheres weiß ich aber nicht).

 

zu 4: Da kannst du maximal ein MDM nutzen, ob das wirklich was bringt, kann man aber vermutlich nicht wissen. Da müssen die Apps der "Cloudanbieter" und/oder das SmartphoneOS entsprechend safe sein. Dass das nicht so richtig einfach ist, ist ja bekannt.

 

zu 6: Das ist natürlich abwägen zwischen Benutzerfreundlichkeit und "wahrgenommener Sicherheit". Kombi aus Username+Passwort+Token ist okay, du könntest an der Sessionlänge schrauben, um etwas Benutzerfreundlichkeit zu gewinnen....

 

Punkt 6 spricht aber mehr oder weniger für dein Grundproblem. Deine User wollen es möglich einfach haben, das ist verständlich. Wenn du jetzt ein neues System einführst (auf der "Cloud") und das mit 2FA absicherst, ist das kein Problem der Cloud, sondern dass du zwei verschiedene "Level an Sicherheit" in deiner Umgebung haben möchtest. Da 2FA inzwischen auch erzwungen in anderen Bereichen des Lebens angekommen ist (bspw. im Online-Banking), halte ich persönlich eine solche Lösung als okay, der User kennt es schon. Im besten Fall spannt man diese Lösung dann über seine komplette Umgebung. Auf Unmut wirst du dabei allerdings stoßen, das weißt du ja selber, wenn du deine User kennst

[allesweg]

Hier mal meine Meinung als AE:

• BYOD sollte ein Angebot sein, kein Zwang. Somit fällt Privathandy raus
• Privathandy ist nicht geschützt durch Firmenrichtlinien, somit ist dieser Faktor ein Unsicherheitsfaltor. Somit fällt Privathandy raus
• Tokengedöns wie zB RSA (gibts noch andere?) https://blog.fefe.de/?ts=a0fe6275
• Was spricht gegen Zugriff auf Dienste nur von Firmengerät mit FirmenIP aus VPN heraus? Also woauchimmer erst mal VPN rein ins Büro und dann mit dortiger Adresse aufs Cloud-Gedöns zugreifen?
• Firmen-Rechner wäre ja auch ein Faktor.
• statt verlierbarem Token hatte ich auch schon eine SmartCard-Ausweis-Türöffner-Bezahlkarte. Die vergisst man nicht soo oft...

[Maniska]

vor 4 Minuten schrieb Listener:

zu 3: Das kommt drauf an, was du unter "Cloudinfrastruktur" verstehst.

Hier schwirren alle Möglichen Buzzwords durch den Äther. O365 und Salesforce sind da nur die prominentesten Beispiele. Das wäre dann SaaS. Ob zwischenzeitlich noch jemand auf die Idee kommt, dass die Entwicklung nicht doch den Adminzugriff auf die extern gehosteten Systeme absichern sollte (mir hört ja keiner zu), kommt Iaas dazu. Und welche Ideen dann nacher wirklich verfolgt werden... K.A. ich versuche nur meine Glaskugel zum Laufen zu bekommen und mich für alle Eventualitäten zu informieren.

vor 4 Minuten schrieb Listener:

zu 4: Da kannst du maximal ein MDM nutzen, ob das wirklich was bringt, kann man aber vermutlich nicht wissen. Da müssen die Apps der "Cloudanbieter" und/oder das SmartphoneOS entsprechend safe sein. Dass das nicht so richtig einfach ist, ist ja bekannt.

Das MDM das wir im Einsatz haben ist wohl in der Lage die gemanagten Apps von "Wildfängen" abzuschotten, das hilft mir aber nur bei gemanagten Firengeräten. Den Schutz vor "Mist, jetzt liegt das Firmenhandy in der Küche, dann nehme ich halt das Familientablet und lad schnell die App" hab ich dann trotzdem nicht.

vor 4 Minuten schrieb Listener:

Punkt 6 spricht aber mehr oder weniger für dein Grundproblem. Deine User wollen es möglich einfach haben, das ist verständlich. Wenn du jetzt ein neues System einführst (auf der "Cloud") und das mit 2FA absicherst, ist das kein Problem der Cloud, sondern dass du zwei verschiedene "Level an Sicherheit" in deiner Umgebung haben möchtest. Da 2FA inzwischen auch erzwungen in anderen Bereichen des Lebens angekommen ist (bspw. im Online-Banking), halte ich persönlich eine solche Lösung als okay, der User kennt es schon. Im besten Fall spannt man diese Lösung dann über seine komplette Umgebung. Auf Unmut wirst du dabei allerdings stoßen, das weißt du ja selber, wenn du deine User kennst

DIe Akzeptanz zur Sicherheit schwindet nunmal mit dem "Gschieß" das man damit hat

Vor allem wenn es dann merh wie 2-3 Clouddienste sind, jeweils mit Login, Einmalpasswort...

Mein Vertieb flucht ja jetzt schon über dei Kunden die auf ihr eigenes Webportal bestehen, jeweils natürlich mit individuellen Zugängen, Tokens, Kennwortrichtlinien...

Wenn ich dann auch noch dazu komme.. Ja sie kennen es, das bedeutet aber nicht dass sie mich dafür nicht lynchen

vor 3 Minuten schrieb allesweg:

Hier mal meine Meinung als AE:

• BYOD sollte ein Angebot sein, kein Zwang. Somit fällt Privathandy raus
• Privathandy ist nicht geschützt durch Firmenrichtlinien, somit ist dieser Faktor ein Unsicherheitsfaltor. Somit fällt Privathandy raus

An BYOD sollte man auch gesisse Standards setzen können, also "du kannst dein eigenes Gerät nehmen, das muss aber X, Y und Z und darf nicht A, B und C". Z.B mindestens Android Version XY, kein root...

Ich kann ja nicht dem User sagen dass er sich ein neues Gerät anschaffen soll, nur damit er mit den Tools die ihm der AG aufzwingt arbeiten kann. Und das Abschnorcheln durch zu neugierige Apps bekomm ich damit auch nicht hin, außer das Gerät kommt ins MDM. Spätestens da meutern aber die User.

vor 3 Minuten schrieb allesweg:

• Was spricht gegen Zugriff auf Dienste nur von Firmengerät mit FirmenIP aus VPN heraus? Also woauchimmer erst mal VPN rein ins Büro und dann mit dortiger Adresse aufs Cloud-Gedöns zugreifen?
• Firmen-Rechner wäre ja auch ein Faktor.
• statt verlierbarem Token hatte ich auch schon eine SmartCard-Ausweis-Türöffner-Bezahlkarte. Die vergisst man nicht soo oft...

Stichwort mobile Endgeräte wie Handy und Tablet. Smartcard wird das schwer, genau wie VPN. Zumal ich den Mist ja in die Cloud packe damit ich eben nicht ins VPN muss. Wenn dann die Infrastruktur im Haus ausfällt bin ich doppelt gemopst. Ich zahl teuer Geld für "Dauerfverfügbar in der Wolke" knips mir aber den Weg dahin ab

[Griller]

vor 27 Minuten schrieb Maniska:

Vor allem wenn es dann merh wie 2-3 Clouddienste sind, jeweils mit Login, Einmalpasswort...

Dafür kannst du eine zentrale SSO-Lösung mit integriertem 2FA (Keycloak oder ähnliches) aufbauen, die an die jeweilige Cloudumgebung federiert. Das geht zumindest bei den drei großen "Infrastruktur-Anbietern". Es würde mich stark wundern, wenn sowas nicht bei Salesforce und anderen SaaS-Anbietern ginge. 

Bearbeitet 26. Oktober 2020 von Listener

[-hartley-]

zu 4) Hierfür gibt es Mobile Application Management, da kannst du Schutzrichtlinien für bestimmte Apps konfigurieren, wie z.B. für Outlook damit keine Kontakte in andere Apps übertragen werden können. Hier kann man Ausnahmen definieren z.B. Kontakte nur in das native Telefonbuch übertragen. Andere Apps können dann trotzdem nicht auf diese Kontakte zugreifen. Perfekt ist eine Mischung aus MDM und MAM.

Nachtrag:

Um zu verhindern, dass sich über nicht konforme Geräte eingeloggt wird gibt es z.B. Conditional Access im Microsoft Umfeld.

Bearbeitet 26. Oktober 2020 von -hartley-
Nachtrag

[Maniska]

Ok, für mich hier noch mal ein paar Verständnisfragen:

Sobald ich in der O365 Geschichte hänge, egal wie tief, bin ich automatisch mit einem AzureAD verknüpft. Soweit richtig?

Azure beherrscht das SAML Protokoll, demnach müsste ich doch sämtliche Clouddienste die auch über SAML authentifizieren können gegen mein AzureAD prüfen lassen können. Auch noch richtig?

Im "richtigen" M365 Plan habe ich MFA und Conditional Access, das kann ich aber nur für die Azure-Wolke nutzen?

Oder könnte ich mit der Kombination Azure (+ MFA + Conditional Access) und einem MDM für die Mobilgeräte alles soweit erschlagen? Ich möchte nicht zu viele verschiedene Securitytools verwenden (müssen), das macht es im Endeffekt dann ja auch wieder unsicher.

[Crash2001]

Am 10/26/2020 um 9:28 AM schrieb Maniska:

[...]2. MFA ist klar, aber was nimmt man denn als Faktor, wenn der User kein Firmenhandy hat? App fällt dann ja raus, da nur auf Privatgerät möglich und da muss der User mitspielen. Hardwaretoken ist umständlich und wird zu 99% irgendwann entweder vergessen (User im HO, Token im Büro oder andersrum) oder verloren.[...]

Eine Möglichkeit wurde noch nicht genannt. Authentifizierung per Einmal-TAN aufs Handy. Dabei ist es ja unkritisch, wenn es ein Privatgerät ist, da es nur in eine Richtung geht. Nummer wird einmal hinterlegt und bei der 2FA gibt man halt Username / Passwort ein und bekommt dann, wie beim alten Online Banking, eine TAN zugeschickt, die [Zeitraum x] gültig ist.
Gab es bei meinem letzten Arbeitgeber als eine der Wahlmöglichkeiten. Ich denke mal, da wird wohl auch niemand Probleme haben, sein Privathandy dafür zu nutzen.

[AdelholzenerWasser]

Ich kann persönlich Cryptomator empfehlen. Die App kann geprüft werden und durchlief bereits einen Audit. In dem Bereich sind Open Source Lösungen unumgänglich.

[Gast]

vor 12 Minuten schrieb AdelholzenerWasser:

Ich kann persönlich Cryptomator empfehlen. Die App kann geprüft werden und durchlief bereits einen Audit. In dem Bereich sind Open Source Lösungen unumgänglich.

Du reduzierst damit aber sträflicherweise Cloudservices zu reinen Fileservices. Jegliche SAAS-Ansätze werden ignoriert.