Unabhängige Kompetenz-Plattform
für Integrierte Sicherheit in der Schweiz.

08.06.2021

Conditional Access: Zugriffe sicher und benutzerfreundlich verwalten

Sicherheit und Benutzerkomfort stehen oft in Konkurrenz zu einander. So ist etwa der Zugriff auf die Unternehmensdaten und -Programme mit Username/Passwort wesentlich einfacher, als wenn zusätzlich noch eine Multifaktor Authentifizierung (MFA, wie man sie vom Online Banking her kennt) als Sicherheitsmassnahme hinzukommt. Auf der anderen Seite genügt der Schutz mit Username/Passwort schon lange nicht mehr und mit der Einführung von MFA lassen sich 99% der Cyberangriffe erfolgreich abwehren.

Azure AD Conditional Access (CA) löst dieses Dilemma. Mit CA können Sie den Zugriff auf Programme und Daten in Abhängigkeit von der Bedrohungslage steuern. So können Sie beispielsweise diese Regeln definieren:

  • Benutzer meldet sich aus dem internen Firmennetz an > kein MFA notwendig
  • Benutzer meldet sich zum ersten Mal ausserhalb des Firmennetzes an, z.B. aus dem Homeoffice > zusätzliche Authentifizierung durch MFA notwendig. Für die nächsten sieben Tage kann dann auf MFA verzichtet werden

Was sich sonst noch hinter CA verbirgt und welche Vorteile das für Sie bringt erfahren Sie im heutigen Beitrag.

Was ist ein bedingter Zugriff?
Szenario: Immer, wenn ein Nutzer auf eine Ressource zugreifen will, so muss er eine Aktion ausführen. Als Beispiel nehmen wir einen Buchhalter, der auf die Unternehmenszahlen zugreifen möchte. Er muss dazu eine mehrstufige Authentifizierung durchführen. Hier stehen Administratoren vor zwei Aufgaben:

1.) Benutzer sollen immer und von überall aus produktiv und agil bleiben
2.) Die Unternehmensdaten, Ressourcen und Anwendungen müssen beim Zugriff immer angemessen geschützt sein

Genau an diesem Punkt kommen die Conditional Access-Richtlinien zum Tragen. Mit diesen können Sie die Zugriffe in Abhängigkeit vom Risiko und der Vertraulichkeit von Daten und Programmen steuern. Gleichzeitig werden Ihre Mitarbeiter nicht unnötig in ihrer Arbeit behindert und können weiterhin produktiv arbeiten. Im obigen Beispiel kann die Regel z.B. so lauten: Nur Mitglieder der Gruppe Finanz- und Rechnungswesen dürfen auf die Finanzdaten zugreifen, und dies nur, wenn sie im Firmennetz arbeiten.

Bedingung, Überprüfung der Identität, Zugriff
Das obige Beispiel lässt sich allgemein so formulieren: Abhängig von einer Bedingung (bzw. einem Signal) wird der Zugriff auf bestimmte Programme und/oder Daten gewährt, verlangt MFA oder wird verweigert.

Wichtig: Richtlinien für den bedingten Zugriff werden immer dann durchgesetzt, wenn die First-Factor-Authentifizierung (also z.B. Benutzername/Passwort) erfolgreich abgeschlossen wurde.

Quelle und gesamter Artikel: baggenstos.ch
Baggenstos auf Secruity-Finder Schweiz


mySecurityService

  • Consulting, Project, Education
  • Integration, Security
  • SOC-Services
  • Certifications/Standards

Security-Kompetenzen

Kalender Security Schweiz

Keine Ereignisse gefunden.

Security-Finder Schweiz: Newsletter