Sysbus
CloudTipps

Best Practices mit dem SAS-Token

dcg

Autor/Redakteur: Marc Meckel, Manager Systems Engineering bei Palo Alto Networks/gg

Viele Unternehmen benötigen einen regelmäßigen Datenaustausch mit ihren weltweiten Standorten. Oftmals greifen sie dabei auf die Azure-Cloud zu und nutzen ein SAS-Token als sichere Übertragungsmethode. Dieser Tipp erklärt, worauf Sie für einen Compliance-konformen Umgang mit geschäftskritischen und sensiblen Daten achten müssen.

Quelle: Palo Alto Networks

Datensicherheit wird immer wichtiger. Eine Shared Access Signature (SAS) ermöglicht einen sicheren und granular abgestimmten Zugriff auf Ressourcen im Azure-Storage. Bei falscher Konfiguration können diese Tokens allerdings ein Sicherheitsrisiko darstellen – insbesondere beim externen Datenaustausch.

Wir empfehlen folgende Maßnahmen:

  1. „Least Privilege“-Prinzip: Halten Sie sich immer an das sogenannte „Least Privilege“-Prinzip, indem Sie nur die minimal erforderlichen Berechtigungen gewähren. Dieser Ansatz begrenzt den Schaden, wenn ein SAS-Token kompromittiert wird.
  2. SAS-Ablaufrichtlinien: Legen Sie Ablaufrichtlinien für Ihre SAS-Token fest, um den SAS-Zugriff im Falle einer Kompromittierung zu begrenzen. Setzen Sie zudem ein möglichst kurzfristiges Verfallsdatum für Ad-hoc-SAS-Dienste oder -Konten ein.
  3. HTTPS schützt das SAS-Token: Wenn Sie ein SAS-Token über HTTP übertragen, können Angreifer es abfangen. Das macht Ihre IT-Infrastruktur angreifbar. Daher ist ein Schutz durch HTTPS unerlässlich. Damit lässt sich verhindern, dass sensible Daten kompromittiert oder offengelegt werden.
  4. SAS mit Benutzerdelegation: Entscheiden Sie sich möglichst für ein SAS-Token mit Benutzerdelegation. Das erhöht die Sicherheit. Noch sicherer wird das Token, wenn die Anmeldung zusätzlich bei Microsoft Entra erfolgt.
  5. Protokollierungs- und Überwachungsdienste: Implementieren Sie einen Protokollierungs- und Überwachungsdienst, um einen Einblick in die Benutzeraktivitäten zu erhalten. Auf diese Weise lassen sich Sicherheits- oder Leistungsprobleme leichter identifizieren.

Quelle: Abuse and Mitigation of Misconfigured SAS Tokens (paloaltonetworks.com)

Ähnliche Beiträge:

  1. Thycotic veröffentlicht kostenloses Least Privilege Discovery Tool
  2. Frage der Woche: Was erwarten Sie vom nächsten Jahr? (Teil 1)
  3. Firewall für die Azure-Cloud von Palo Alto Networks
  4. Erweiterte Privilege-Management-Funktionen für Linux-Desktops mit Unterstützung von Azure Active Directory (AD)

Das könnte dir auch gefallen

Frage der Woche: Welche Auswirkungen erwarten Sie dieses Jahr von Windows 10 auf den PC-Markt? (Teil 2)

gcg

Multi-Faktor-Authentifizierung in der AWS Management Console konfigurieren

gcg

Dropbox präsentiert neue Kollaborations-Lösung für Großunternehmen und Konzerne “Dropbox Enterprise”

gcg