Vorgaben der CISA: Sichere Microsoft-Cloud – so geht’s
Die Security-Vorgaben der CISA für die Microsoft-Cloud sind fertig. Wir zeigen, was hinter den Empfehlungen steckt und wo sie sich von MS und CIS unterscheiden.
(Bild: iX)
- Christian Biehler
Kurz vor Weihnachten hat die US-amerikanische Cybersecurity & Infrastructure Security Agency (CISA) ihre Arbeiten an den Sicherheitsvorgaben für diverse Microsoft365-Clouddienste fertiggestellt. Die neue Security Baseline wurde als Teil der Bemühungen der CISA veröffentlicht, eine sichere Nutzung von Cloud-Diensten für US-Behörden zu ermöglichen. Sie sind im Projekt Secure Cloud Business Applications (ScuBa) zusammengefasst und stehen natürlich nicht nur den US-Behörden zur Verfügung. Damit gibt es eine umfangreiche Alternative zu den Microsoft 365 Foundation Benchmark vom Center for Internet Security (CIS) als Orientierungshilfe zur Absicherung des eigenen Tenants – wobei: so alternativ sind beide Empfehlungen gar nicht.
Sicherheit im Vergleich
Die Sicherheitsvorgaben der CISA sind in vielen Gebieten sehr detailliert und bieten im Vergleich zur Standardkonfiguration der Hersteller oft ein deutliches Plus an Sicherheit. An den CISA-Vorgaben für M365 wurde nun über ein Jahr lang gearbeitet und das Ergebnis kann sich sehen lassen: Mehr als 125 einzelne Vorgaben und Prüfpunkte für die Microsoft-Cloud-Dienste Entra ID, M365 Defender, Exchange Online, SharePoint und OneDrive sowie Teams bieten gute Ansatzpunkte, um die Sicherheit der Datenverarbeitung in den Microsoft-Diensten zu erhöhen. Einige der Anforderungen sind bekannt aus den zugehörigen Benchmarks des CIS, die teilweise auch im Microsoft Security Center als Empfehlungen zu finden sind. Der aktuelle CIS-Benchmark kommt auf 114 Empfehlungen (Level 1 und Level 2), ist damit also in einer ähnlichen Größenordnung.
Die CISA geht in manchen Punkten weiter als die Empfehlungen aus dem Microsoft Secure Score und hat mehr die Absicherung als die Kollaboration im Fokus. Beispielsweise wird der Einsatz von Phishing-resistenter Mehrfaktorauthentifizierung für Benutzer in der CISA-Baseline sowie im CIS-Benchmark gefordert – also ein FIDO2-Schlüssel, Windows Hello oder die zertifikatsbasierte Authentifizierung. Die Authenticator App gehört nicht zu den Phishing-resistenten Authentifizierungsmethoden, was eine klare Kampfansage auf die wachsende Zahl von Phishing-Angriffen mit frei verfügbaren Werkzeugen wie evilginx ist. Für privilegierte Accounts gilt die Forderung nach Phishing-resistenter Authentifizierung natürlich ebenso. Microsoft hatte Anfang Dezember in einem längeren Blog-Post die typischen Angriffe auf die eigene Cloud-Umgebung analysiert und Gegenmaßnahmen vorgestellt. Die Absicherung privilegierter Accounts sowie der bisherigen Notfall-Accounts mit Phishing-resistenter Multifaktorauthentifizierung war auch hier ein Thema und dürfte damit langsam allgemeiner Konsens werden.
Auch andere Empfehlungen und Anforderungen der CISA-Baseline richten sich gegen Angriffe aus der Praxis. So werden die "Illicit Consent"-Angriffe gegen Anwendungen adressiert, indem nur noch Administratoren neue Anwendungen in den Tenant bringen dürfen – ein Teil der Tenant-Absicherung, bei dem sich sogar Microsoft Secure Score, CIS-Benchmark und CISA-Baseline einig sind. Für den Umgang mit Benutzern oder Login-Versuchen, die als "high risk" klassifiziert werden, ist die CISA-Baseline deutlicher als die beiden anderen Empfehlungsgeber und sieht hier die "Block"-Option als angemessen vor.
Die Empfehlungen zum Thema Entra ID aus der CISA-Baseline werden ergänzt um Empfehlungen zur Konfiguration von Exchange Online und dem Microsoft Defender, wie sie auch im frei verfügbaren Prüfwerkzeug Microsoft Defender for Office 365 Recommended Configuration Analyzer (ORCA) zu finden sind. Hierbei geht es primär um den Schutz vor Spam, Phishing und Schadsoftware, der beispielsweise durch die Konfiguration der E-Mail-Filter optimiert werden kann. Die ORCA-Empfehlungen sind an dieser Stelle deutlich detaillierter und technischer als die CISA-Baseline und empfehlen auch Maßnahmen gegen die Verbreitung von Spam über die RecipientLimit-Einstellungen – eine Empfehlung, die sowohl in der CISA-Baseline als auch im CIS-Benchmark fehlt, dafür aber im Microsoft Secure Score vorhanden ist.
Egal nach welcher Baseline oder welchem Benchmark die Absicherung des Tenants erfolgen soll: Die Frage, welche Empfehlungen in der jeweiligen Organisation umsetzbar sind, muss im Einzelfall geprüft werden. Ob beispielsweise die Aufnahme von Meetings in Teams, wie von der CISA empfohlen, deaktiviert werden soll oder wie eine DLP-Policy im Detail aussieht, um nützlich zu sein, das obliegt dem jeweiligen Administrator oder der zuständigen Informationssicherheit.
PowerShell-Tool mitgeliefert
Neben den textuellen Anforderungen liefert die CISA mit dem Tool ScubaGear auch gleich ein Werkzeug, um die aktuelle Konfiguration des M365-Tenants und der unterstützten Dienste zu prüfen und einen HTML-Bericht zu erstellen. Das PowerShell-Script ist in der Bedienung unkompliziert und liefert mit den richtigen Berechtigungen ausgestattet auch schnell die Prüfergebnisse. Damit wächst der Werkzeugkasten für Microsoft-Cloud-Audits um ein weiteres nützliches Werkzeug mit Prüfungen und Empfehlungen.
Mit dem Blick auf die vollumfängliche Absicherung der Microsoft-Cloud-Umgebung gibt es keinen eindeutigen Favoriten oder Gewinner. Es gibt zwar wenig Widersprüche zwischen den unterschiedlichen Rahmenwerken, sie sind aber auch nicht komplett deckungsgleich. Einige Knackpunkte der Absicherung der M365-Welt, wie ein vernünftiges Conditional-Access-Regelwerk oder die Alarmierung auf sicherheitsrelevante Ereignisse, kommen in allen bisherigen Empfehlungswerken zu kurz und bergen in der Praxis doch die größten Risiken. Während sich die CISA mindestens für ein zentrales Logging ohne weitere Spezifikation ausspricht, schweigen sich der CIS-Benchmark und der Microsoft Secure Score an dieser Stelle weitestgehend aus. Hier gibt es also noch Luft nach oben.
(fo)