• Step-up Authentication – mehr Sicherheit für sensible Inhalte

Step-up Authentication – mehr Sicherheit für sensible Inhalte

Lukas Kretzer, Dualer Student Modern Workplace bei Net at Work
Autor: Lukas KretzerDualer Student Modern WorkplaceAuf LinkedIn vernetzen

In einer Welt, in der Datenschutz und Datensicherheit immer wichtiger werden, suchen Unternehmen nach effektiven Möglichkeiten, ihre sensiblen Informationen zu schützen. Eine Methode, um hier die Sicherheit zu erhöhen, ist die Implementierung der Step-up Authentication über einen Conditional Access Authentication Context. Im nachfolgenden Blogartikel befassen wir uns genauer mit diesem Konzept und zeigen, wie es dazu beitragen kann, gelabelte Dokumente zusätzlich abzusichern.

Was ist ein Conditional Access Authentication Context?

Ein Conditional Access Authentication Context erlaubt es Apps, Conditional Access (CA) Policies auszuführen, wenn User auf bestimmte Daten oder Aktionen innerhalb einer App zugreifen. Der Authentication Context wird an eine Conditional Access Policy angehängt und bietet so eine Reihe von Möglichkeiten, den Zugriff auf bestimmte Ressourcen für bestimmte User oder Gruppen basierend auf verschiedenen Faktoren zu steuern und einzuschränken. Einige unterstützte Services sind:

  • Microsoft Cloud App Security
  • Azure Active Directory Privilege Identity Management
  • Microsoft Purview Information Protection

Was ist eine Step-up Authentication?

Die Step-up Authentication (deutsch: Step-up-Authentifizierung) ist ein Sicherheitskonzept, bei dem eine zusätzliche Authentifizierungsebene eingeführt wird, um den Zugriff oder das Durchführen bestimmter Aktionen mit sensiblen Inhalten besonders abzusichern. Vereinfacht gesagt findet eine erneute Überprüfung der Identität (z. B. durch Multi-Faktor-Authentifizierung) statt, wenn verschiedene Bedingungen erfüllt sind.

Im Microsoft Umfeld sind unter anderem folgende Use Cases mit der Step-up Authentication über Authentication Contexts denkbar:

  • Remotezugriff: In einer dezentralen Arbeitsumgebung den Zugriff auf Unternehmensressourcen absichern.
  • Zugriff auf sensible Daten: Bestimmte Aktionen auf sensible Daten, die durch Information Protection gekennzeichnet wurden, zusätzlich absichern.
  • Verdächtige Aktivitäten: Zugriff von beispielsweise ungewöhnlichen Geräten oder Standorten.

Im Folgenden werden wir das Konzept der Step-up-Authentifizierung über Authentication Context anhand eines Beispiels genauer betrachten, indem wir ein Szenario, das eine Kombination aus den ersten beiden Use Cases darstellt, definieren:

  • Ein Unternehmen nutzt SharePoint Online, OneDrive und Teams, um Dateien jeglicher Art zu speichern und zu teilen.
  • Dabei werden Sensitivity Labels genutzt, um Dateien zu klassifizieren. Einige sind öffentlich, andere vertraulich.
  • Das Unternehmen erlaubt seinen Mitarbeitenden, im Homeoffice zu arbeiten und auch eigene Geräte zu nutzen (BYOD).
  • Die Geschäftsführung gibt vor, den Download von vertraulichen Dateien aus dem Homeoffice und von BYOD-Geräten (also nicht Azure-AD joined) zusätzlich durch eine MFA-Abfrage abzusichern.

Folgende Schritte sind notwendig, um die Step-up Authentication für den Download als vertraulich gekennzeichneter Dateien von nicht-AzureAD-joined Geräten abzusichern:

  • Erstellen Sie einen Authentication Context

    In diesem können bis auf die Vergabe eines Namens und einer Beschreibung keine weiteren Einstellungen getätigt werden. Dazu muss eine Conditional Access Policy erstellt werden.

  • Erstellen Sie eine Conditional Access Policy

    Erstellen Sie eine Conditional Access Policy, um die Kontrollen und den Wirkungsbereich des Authentication Contexts festzulegen. Der zuvor erstellte Authentication Context wird mit dieser Policy verknüpft.

  • Erstellen Sie eine Conditional Access Policy

    Erstellen Sie eine Conditional Access Policy, um die Session der zu überwachenden Apps an Microsoft Cloud App Security (MCAS) weiterzuleiten.

  • Erstellen Sie eine MCAS Session Policy

    In dieser Policy müssen zuerst die Bedingungen festgelegt werden, die zu einer Step-up Authentication führen sollen. Anschließend wird der im ersten Schritt erstellte Authentication Context mit der Policy verknüpft. Treffen nun die in der Session Policy definierten Bedingungen zu, wird der Authentication Context getriggert und die CA-Policy ausgeführt.

    Aktivierung der Step-up Authentication für den Download gekennzeichneter Dateien

    Aktivierung der Step-up Authentication für den Download gekennzeichneter Dateien

User Experience der Step-up Authentication über Conditional Access Authentication Context

Als nächstes werfen wir einen Blick auf die User Experience. Greift ein User auf OneDrive oder SharePoint Online zu, wird die Session an MCAS weitergeleitet und ein Hinweis auf die Überwachung der App angezeigt. Dieser Hinweis muss durch den User bestätigt werden, bevor er auf die App zugreifen kann.

Möchte der User nun eine Datei herunterladen, die mit einem in der Session Policy angegebenen Label gekennzeichnet ist, wird der initiale Download-Versuch geblockt. Stattdessen wird eine .txt Datei erstellt und der User wird aufgefordert, eine zusätzliche Sicherheitsüberprüfung durchzuführen. In unserem Beispiel muss sich die nutzende Person also erneut über MFA authentifizieren.

ZurückWeiter
12

Hat der User die Multi-Faktor-Authentifizierung erfolgreich abgeschlossen, wird er zur ursprünglichen App weitergeleitet und kann anschließend die gewünschte Datei herunterladen.

Fazit

Die Step-up Authentication über Conditional Access Authentication Context ist eine effektive Methode, um den Zugriff auf sensible Inhalte zusätzlich abzusichern. Die Sicherheit wird durch eine zusätzliche Authentifizierungsebene (z. B. MFA) erheblich erhöht. Darüber hinaus bietet die Lösung Flexibilität und Kontrolle über Conditional Access und Session Policies. Dies ermöglicht Unternehmen, spezifische Zugriffsregeln basierend auf verschiedenen Faktoren, wie z. B. dem Geräte-Typen, -Standort oder -Status festzulegen. Zudem ermöglicht die kontinuierliche Überwachung verschiedener Aktivitäten auf sensible Inhalte eine Früherkennung von Cyber-Angriffen.

Es ist wichtig, die individuellen Anforderungen und den Kontext jeder Organisation zu berücksichtigen, um die passenden Sicherheitsmaßnahmen zu implementieren und den optimalen Schutz sensibler Informationen zu gewährleisten. Wir stehen Ihnen gerne zur Seite, um mit Ihnen ein auf Ihr Unternehmen zugeschnittenes Konzept zu erstellen.

Security Assessment

Das Security Assessment beinhaltet einen Security & Compliance Check, bei dem wir Ihre Umgebung überprüfen und Sicherheitsrisiken identifizieren. Darüber hinaus definieren wir Maßnahmen zur Erhöhung der Security & Compliance.

Jetzt informieren!

Weitere News zu diesem Thema