In der Ignite Session “Introducing Microsoft Entra Workload Identities” (gehalten von Grace McNamara, Etan Basseri und Stefan van der Wiele) wurde publiziert, dass die Identity und Access Management Lösung „Workload Identities“ im November 2022 allgemein verfügbar sein wird. Mithilfe dieser Microsoft Entra Komponente werden neue Möglichkeiten eröffnet Accounts und Berechtigungen zu verwalten die typischerweise für oder von Applikationen genutzt werden.

Mit Workload Identities bezeichnet Microsoft die Azure AD Berechtigungs-Objekte vom Typ Application, Service Principals und Managed Identities. In der Regel  werden diese Identitäten genutzt, um Applikationen oder Prozesse auf Ressourcen in Azure und Microsoft 365 zu berechtigen.

Ein Problem ist, dass derartige Workload Identities häufig einmalig nach Anforderung von Entwicklern und Administratoren eingerichtet und mit z. T. hohen Privilegien versehen werden und gleichzeitig Ausnahmen von z. B. Multi-Faktor-Authentifizierung, Conditional Access und Passwortrichtlinien eingerichtet werden, um automatisierte Anmeldungen und dauerhafte stabile Nutzung zu gewährleisten.

Wie Alex Simons in dem Blog Artikel „Extend the reach of Azure AD Identity Protection into workload identities“ anführt, haben Organisationen laut Microsoft typischerweise fünf Mal mehr Software-Workloads (also z.B. Apps und Skripte) als Benutzer. In der Session wurde die Aussage getroffen das die Erwartung ist das sich dieses Verhältnis sich innerhalb von 5 Jahren von 1:5 auf 1:20 anheben wird. Diese Aussagen und die oftmals pragmatisch eingerichteten Berechtigungen, sowie speziell auf Workload Identities angesetzte Attacken verdeutlichen, dass nicht nur unsere Kunden sich verstärkt damit auseinandersetzen müssen, entsprechende Risiken zu schmälern.

Microsoft stellt mit Entra Workload Identities nun einen guten Werkzeugkasten bereit der speziell für die Minderung der Risiken von Workload Identities genutzt werden kann. Angekündigt sind die folgenden Komponenten:

• Access Reviews: In Azure AD Identity Governance können einmalig oder in Intervallen automatisierte Reviews der eingerichteten Workload Identities validiert und rezertifiziert werden.

• Identity Protection: Mit Hilfe der Risk Detection für Workload Identities können entsprechende Identitäten anhand von ungewöhnlichen Logins und Verhalten erfasst und anhand des Risiko-Levels Maßnahmen eingeleitet werden.

• Conditional Access: Anhand von spezifischen Richtlinien wird es ermöglicht, dass Workload Identity Sign-In Szenarien besser eingegrenzt werden können. Es können z.b. Trusted Locations oder auch der Risiko-Status (Identity Protection) der jeweiligen Identität mit einbezogen werden.

• Workload Identity Federation: In der Regel werden für App-Authentifizierungs-Szenarien von Dritt-Anbietern Credentials (z.B. AppSecrets) für die entsprechende Workload Identity hinterlegt um sich gegen das Azure AD authentifizieren. Über das Federation-Feature wird es ermöglicht eine Authentifizierung für Workload Identities ohne sensible Komponenten (wie z.B. ein App Secret) von föderierten Identity Provider (z.B. Google Cloud) zu realisieren.

Wie die obigen Features final lizensiert werden, wurde meines Wissens noch nicht kommuniziert. In den Docs ist beschrieben, dass derzeit eine AAD P2 Lizenz für die Nutzung erforderlich ist, aber perspektivisch andere Lizenzen für die Nutzung bereitgestellt werden.

Ich teile die allgemeine Einschätzung von Microsoft, dass dringender Handlungsbedarf bei den Workload Identities besteht. In unserem täglichen Geschäft begegnen uns bei Kunden häufig z.B. App Registrations mit hohen, nicht benötigten Berechtigungen oder unsicher hinterlegte Credentials. Ich empfinde den vorgestellten Werkzeugkasten als sehr hilfreich, um die Risiken für applikations-basierte Authentifizierungs-Szenarien zu reduzieren. Die erforderliche AAD P2 Lizenz wird aber meiner Einschätzung nach, wegen des nicht unmittelbar profitablen Mehrwerts, viele Kunden von einer Nutzung abschrecken. Ich werde die Features auf jeden Fall weiter validieren und die davon behandelten Risiken in meinen Kunden-Projekten ansprechen, um die Sensibilität der Kunden für das Thema weiter zu stärken.

Wenn ihr wie ich auch schon einmal die Möglichkeiten von Workload Identities ausprobieren wollt, könnt ist diese URL ein guter Einstiegspunkt in das Admin Center Workload identities – Microsoft Entra admin center.

Habt ihr Fragen oder Anmerkungen zu diesem Feature? Kontaktiert mich gerne dazu auf Twitter oder benutzt die Kommentar-Funktion dieses Artikels.

Other News