Grundlegendes zur Verwaltung privilegierter Zugriffe

  • 7 Minuten

Privileged Access Management (PAM) in Microsoft Purview hilft Organisationen beim Steuern des Zugriffs auf vertrauliche Daten und kritische Konfigurationen in Microsoft Exchange Online. Herkömmliche Administratorkonten verfügen häufig über ständige Berechtigungen, was das Risiko von Missbrauch oder Kompromittierung erhöht. PAM verringert diese Risiken durch die Einführung strukturierter Zugriffssteuerungen:

  • Kein dauerhafter Zugriff: Administratorberechtigungen werden nicht dauerhaft zugewiesen. Benutzer fordern zugriff nur bei Bedarf an.
  • Just-in-Time-Zugriff: Für bestimmte Aufgaben werden temporäre Berechtigungen gewährt, wodurch das Fenster der Offenlegung eingeschränkt wird.
  • Just-genug-Zugriff: Der Zugriff ist auf die Mindestberechtigungen beschränkt, die für die anstehenden Aufgabe erforderlich sind.

Diese Kontrollen stellen sicher, dass Administratorberechtigungen nur bei Bedarf und nur so lange erteilt werden, wie dies erforderlich ist.

Gründe für die Verwendung von Privileged Access Management

Ständige Administratorberechtigungen erhöhen das Risiko von Datenschutzverletzungen und nicht autorisierten Änderungen. Wenn beispielsweise ein Administratorkonto kompromittiert wird, könnte es Angreifern kontinuierlichen Zugriff auf vertrauliche Daten und Systeme bieten.

PAM reduziert diese Risiken durch:

  • Sicherstellen, dass Berechtigungen temporär und taskspezifisch sind.
  • Anfordern einer Begründung für Zugriffsanforderungen.
  • Bereitstellen detaillierter Aufzeichnungen der Zugriffsaktivitäten für Audits und Rechenschaftspflicht.

Durch die Einführung von PAM stärken Organisationen ihren Sicherheitsstatus bei gleichzeitiger Aufrechterhaltung der betrieblichen Effizienz.

Wie funktioniert die Verwaltung des privilegierten Zugriffs?

PAM verwendet einen strukturierten Prozess, um den Administratorzugriff sicher zu verwalten. So funktioniert der Workflow:

  1. Anforderungszugriff: Ein Benutzer sendet eine Anforderung für eine bestimmte administrative Aufgabe und gibt dabei den Vorgangstyp, den Bereich und die Dauer an. Dadurch wird sichergestellt, dass der Zugang nur bei Bedarf und für einen klar definierten Zweck angefordert wird.
  2. Genehmigung: Benannte genehmigende Personen überprüfen die Anforderung und entscheiden basierend auf der Notwendigkeit und dem Umfang, ob der Zugriff gewährt oder verweigert werden soll. Mit diesem Schritt wird sichergestellt, dass Berechtigungen vor der Erteilung gründlich überprüft werden.
  3. Ausführen der Aufgabe: Nach der Genehmigung schließt der Benutzer die Aufgabe innerhalb der gewährten Zeit und des gewährten Bereichs ab. Berechtigungen werden automatisch entfernt, nachdem die Aufgabe abgeschlossen ist oder der Zugriff abläuft, wodurch das Risiko nicht autorisierter Aktionen verringert wird.
  4. Überwachung: Alle Aktionen, einschließlich Anforderungen, Genehmigungen und Aufgabenausführungen, werden im Hinblick auf Konformität und Verantwortlichkeit protokolliert. Diese Datensätze helfen dabei, Anomalien zu identifizieren und behördliche Prüfungen zu unterstützen.

Dieser Prozess stellt sicher, dass der Zugriff nur gewährt wird, wenn es gerechtfertigt und immer genau überwacht wird.

Schutzstufen

Privileged Access Management (PAM) ergänzt andere Sicherheitsfeatures innerhalb der Microsoft 365-Architektur, um einen mehrstufigen Schutz vor nicht autorisiertem Zugriff und Datenschutzverletzungen zu bieten. Durch die Integration von PAM als Teil eines integrierten Sicherheitsmodells können Organisationen vertrauliche Daten und kritische Konfigurationseinstellungen besser schützen.

Mehrstufiges Sicherheitsmodell

Wie im Diagramm dargestellt, baut die Microsoft 365-Sicherheitsarchitektur auf mehreren Schutzebenen auf:

Diagramm der Schutzschichten in der Verwaltung des privilegierten Zugangs.

  1. Verschlüsselung: Schützt ruhende und übertragene Daten, um nicht autorisierten Zugriff zu verhindern.
  2. Rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC): Richtet berechtigungen für den ständigen Zugriff basierend auf Rollen ein, um den Benutzerzugriff zu steuern.
  3. Bedingter Zugriff: Erzwingt Zugriffsrichtlinien basierend auf Faktoren wie Benutzerstandort, Gerätestatus und Verhaltensmustern.
  4. Privilegierte Identitäts- und Zugriffsverwaltung:
    • Microsoft Entra Privileged Identity Management (PIM): Bietet Eine Just-In-Time-Zugriffsverwaltung auf Rollenebene, mit der Benutzer mehrere Aufgaben innerhalb bestimmter Rollen ausführen können.
    • Microsoft Purview Privileged Access Management: Konzentriert sich auf die aufgabenspezifische Zugriffssteuerung, die Just-in-Time- und Just-Enough-Zugriffsprinzipien mit Genehmigungsworkflows erzwingt.

Integration in andere Sicherheitstools

PAM und Microsoft Entra PIM befassen sich mit verschiedenen Aspekten des privilegierten Zugriffs:

  • PAM: Legt den Zugriff auf Aufgabenebene fest und stellt eine präzise Steuerung und Genehmigung für bestimmte administrative Aktionen in Microsoft 365 sicher.
  • PIM: Beschränkt den Zugriff auf Rollenebene und ermöglicht Just-in-Time-Berechtigungen für breitere Verwaltungsfunktionen in Active Directory-Rollen und -Rollengruppen.

Ergänzende Anwendungsfälle

  • Verwenden von PAM zusammen mit Microsoft Entra PIM: Das Hinzufügen von PAM bietet eine präzise Kontrolle über bestimmte Verwaltungsaufgaben in Microsoft 365 und verbessert die Schutz- und Überwachungsfunktionen.
  • Hinzufügen von PIM zu einem vorhandenen PAM-Setup: PIM erweitert den privilegierten Zugriff auf Systeme und Daten außerhalb von Microsoft 365 und bietet eine umfassendere Abdeckung, die durch Rollen oder Identität definiert ist.

Durch die Kombination von PAM mit Tools wie Microsoft Entra PIM, Verschlüsselung und RBAC können Organisationen einen stabilen Sicherheitsstatus erzwingen und gleichzeitig die Prinzipien der geringsten Rechte und des Just-In-Time-Zugriffs einhalten.

Wo passt PAM in eine Sicherheitsstrategie?

PAM ist eine Ebene in einer umfassenderen Microsoft 365-Sicherheitsstrategie. Es funktioniert zusammen mit Tools wie den folgenden:

  • Verschlüsselung: Schützt ruhende und übertragene Daten.
  • Microsoft Entra Privileged Identity Management (PIM): Verwaltet den Zugriff auf Rollenebene, während PAM sich auf den aufgabenspezifischen Zugriff konzentriert.

Diese Tools arbeiten zusammen, um:

  • Stärken Sie den Schutz vor nicht autorisiertem Zugriff.
  • Stellen Sie detaillierte Datensätze bereit, um die Einhaltung von Sicherheitsvorschriften zu unterstützen.
  • Vereinfachen Sie die Durchsetzung von Sicherheitsprinzipien, z. B. das Einschränken des Zugriffs basierend auf Rolle oder Aufgabe.

Privileged Access Management (PAM) in Microsoft Purview ist ein wichtiges Tool zum Schützen des Administrativen Zugriffs. Durch die Sicherstellung, dass Berechtigungen temporär, spezifisch und überprüfbar sind, hilft PAM Organisationen dabei, Sicherheit und Effizienz in Einklang zu bringen.