Berechtigungen

Die Verwaltung von Zugriffen und Rollen ist ein zentraler Bestandteil der Cloud-Sicherheit. In Microsoft Azure wird dafür RBAC (Role-Based Access Control) verwendet – ein rollenbasiertes Berechtigungskonzept, das den Zugriff auf Ressourcen gezielt und nachvollziehbar regelt.

Identitäts- und Zugriffverwaltung

Microsoft Entra ID

Cloud-basiertes Verzeichnis für Benutzer, Gruppen, Geräte und Rollen
Unterstützt moderne Authentifizierungsprotokolle (OpenID, OAuth2, SAML, SCIM)
Wird für die Verwaltung von Identitäten in Microsoft Azure und Microsoft 365 verwendet

Identities

Identities sind Objekte, welche authentifiziert werden können
Accounts sind Identities, denen Daten zugeordnet werden
Guests stammen aus einem anderen Entra ID

Groups

Security Groups oder M365 Groups
Direkte oder dynamische Zuweisung

Microsoft Active Directory

Traditionelles lokales Verzeichnis (on-prem)
Häufig per Azure AD Connect mit Entra ID synchronisert
Langfristig soll Entra ID das lokale AD ersetzen

Role Based Access Management

Benutzer oder Gruppen erhalten Rollen, und Rollen enthalten die Berechtigungen.

Element

Bedeutung

Identität

Benutzer, Gruppen oder Service Principal

Rolle

Sammlung von Berechtigungen

Scope

Geltungsbereich der Rolle (z.B. Ressourcengruppe, Ressource)

In Entra ID können Rollen nur auf Tenant- oder Administrative Unit-Ebene vergeben werden.

Azure-spezifische Scopes

RBAC lässt sich auf verschiedene Ebene anwenden:

Management Group
Susbcription
Resource Group
Einzelne Ressourcen

Je tiefer der Scope, desto feingranularer und sicherer die Rechtevergabe.

Integrierte Rollen

Rolle

Beschreibung

Owner

Volle Kontrolle über Ressourcen und Rollenverwaltung

Contributor

Ressourcen erstellen, änder, löschen - keine Rechtevergabe

Reader

Lesen von Ressourcen - keine Änderungen möglich

Diese Rollen können direkt zugewiesen oder zur Erstellung eigener Rollen verwendet werden.

Vorteile

Flexibilität

Rollen können an Gruppen oder Benutzer vergeben werden – sogar temporär.

Geringer Verwaltungsaufwand

Kein Einzelrechtemanagement nötig.

Sicherheit

Prinzip der geringsten Rechte (PoLP) wird gefördert.

Transparenz

Klare Zuweisungen durch verständliche Rollenbezeichnungen.

Nachteile

Initialer Aufwand

Struktur und Rollenkonzept müssen gut durchdacht werden.

Temporäre Zuweisungen

Müssen aktiv überwacht werden.

Für kleine Teams

Wartung kann aufwändiger wirken als direkte Berechtigungen.

Best Practices

Rollen nur Gruppen zuweisen, nicht direkt Benutzern
Priviligierte Rollen (z.B. Owner) nur gezielt einsetzen
Priviliged Identity Management (PIM) nutzen, um zeitlich begrenzten Zugriff zu ermöglichen
Regelmässige Kontrolle der Berechtigungen (z.B. Access Reviews)
Dokumentation und Naming Convention einführen für bessere Nachvollziehbarkeit

VorherigeSecurity NächsteNetzwerk und Firewall

Zuletzt aktualisiert vor 2 Tagen

Berechtigungen

Identitäts- und Zugriffverwaltung

Microsoft Entra ID

Cloud-basiertes Verzeichnis für Benutzer, Gruppen, Geräte und Rollen
Unterstützt moderne Authentifizierungsprotokolle (OpenID, OAuth2, SAML, SCIM)
Wird für die Verwaltung von Identitäten in Microsoft Azure und Microsoft 365 verwendet

Identities

Identities sind Objekte, welche authentifiziert werden können
Accounts sind Identities, denen Daten zugeordnet werden
Guests stammen aus einem anderen Entra ID

Groups

Security Groups oder M365 Groups
Direkte oder dynamische Zuweisung

Microsoft Active Directory

Traditionelles lokales Verzeichnis (on-prem)
Häufig per Azure AD Connect mit Entra ID synchronisert
Langfristig soll Entra ID das lokale AD ersetzen

Role Based Access Management

Benutzer oder Gruppen erhalten Rollen, und Rollen enthalten die Berechtigungen.

Element

Bedeutung

Identität

Benutzer, Gruppen oder Service Principal

Rolle

Sammlung von Berechtigungen

Scope

Geltungsbereich der Rolle (z.B. Ressourcengruppe, Ressource)

In Entra ID können Rollen nur auf Tenant- oder Administrative Unit-Ebene vergeben werden.

Azure-spezifische Scopes

RBAC lässt sich auf verschiedene Ebene anwenden:

Management Group
Susbcription
Resource Group
Einzelne Ressourcen

Je tiefer der Scope, desto feingranularer und sicherer die Rechtevergabe.

Integrierte Rollen

Rolle

Beschreibung

Owner

Volle Kontrolle über Ressourcen und Rollenverwaltung

Contributor

Ressourcen erstellen, änder, löschen - keine Rechtevergabe

Reader

Lesen von Ressourcen - keine Änderungen möglich

Diese Rollen können direkt zugewiesen oder zur Erstellung eigener Rollen verwendet werden.

Vorteile

Flexibilität

Rollen können an Gruppen oder Benutzer vergeben werden – sogar temporär.

Geringer Verwaltungsaufwand

Kein Einzelrechtemanagement nötig.

Sicherheit

Prinzip der geringsten Rechte (PoLP) wird gefördert.

Transparenz

Klare Zuweisungen durch verständliche Rollenbezeichnungen.

Nachteile

Initialer Aufwand

Struktur und Rollenkonzept müssen gut durchdacht werden.

Temporäre Zuweisungen

Müssen aktiv überwacht werden.

Für kleine Teams

Wartung kann aufwändiger wirken als direkte Berechtigungen.

Best Practices

Rollen nur Gruppen zuweisen, nicht direkt Benutzern
Priviligierte Rollen (z.B. Owner) nur gezielt einsetzen
Priviliged Identity Management (PIM) nutzen, um zeitlich begrenzten Zugriff zu ermöglichen
Regelmässige Kontrolle der Berechtigungen (z.B. Access Reviews)
Dokumentation und Naming Convention einführen für bessere Nachvollziehbarkeit

VorherigeSecurity NächsteNetzwerk und Firewall

Zuletzt aktualisiert vor 2 Tagen