Artikel top billede

(Foto: Fotis Fotopoulos)

Her er udfordringerne ved gendannelse af Azure AD efter et angreb

Klumme: Azure AD er en helt speciel størrelse, som virksomheder skal rette fokus mod og tage højde for de unikke karakteristika ved deres cloud-miljøer og identifikationsadministration.

Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.

Den digitale transformation har resulteret i, at flere virksomheder bruger cloudbaserede it-løsninger, og Azure Active Directory (Azure AD) er en attraktiv mulighed til at understøtte single sign-on på tværs af cloud- og on-premise-miljøer.

Og efterhånden som virksomheder benytter hybride AD’er, er det blevet afgørende at sikre og administrere infrastrukturen fra datacenteret til clouden.

Lige så vigtigt er det, at virksomhederne tager sine forholdsregler og forbereder sig på cyberangreb eller brugerrelaterede fejl, der gør det nødvendigt at gendanne Azure AD-miljøer.

Ligesom ved implementeringer af et on-premises AD, er det vigtigt at have en god backup- og gendannelsesstrategi for at beskytte virksomheden ordentligt.

Sådan en gendannelsesstrategi er imidlertid forbundet med nogle grundige overvejelser, som alle virksomheder bør have i baghovedet.

Her gennemgår jeg de overvejelser, jeg vægter højest, når vi taler om gendannelse af Azure AD.

Hav en plan for jeres Azure AD-filer

Mange virksomheder fokuserer især på, hvordan forstyrrelser i clouden påvirker tilgængelighed og drift, når de udformer en gendannelsesplan.

Her er det nødvendigt at indregne risikoen for utilsigtet sletning og potentiel ondsindet aktivitet i systemet.

For godt nok er Microsoft ansvarlig for backend’en i Azure AD, men ansvaret for en effektiv gendannelse af Microsoft 365 grupper, brugerroller etc. påhviler den enkelte virksomhed.

Som autentifikationsservice for Microsoft 365 og mange andre applikationer, indeholder Azure AD forskellige funktioner, som udelukkende er lagret i clouden og som man ikke kan kopiere til lokale AD-miljøer.

Det er en af årsagerne til, at virksomheder skal have fuldstændig styr på en AD-specifik gendannelsesstrategi.

Nogle virksomheder sætter deres lid til papirkurven, men den løsning er ikke særlig anbefalingsværdig.

Papirkurven er nemlig kun i stand til at gendanne visse filer og programmer i en tidsbegrænset periode på 30 dage – herefter vil filerne være slettet for evigt uden mulighed for gendannelse.

Desuden er det ikke muligt at se AD-grupper i papirkurven, ligesom man heller ikke kan bruge funktionen til gendannelse af ændrede filer, uanset om de blev ændret ved et uheld af virksomhedens ansatte eller af hackere.

On-premises AD og Azure AD bør betragtes som to separate ting, for selv med Azure AD Connect er der ingen fuld tovejssynkronisering.

Det betyder, at backup- og gendannelsesløsninger for on-premises AD ikke har nogen effekt på cloudmiljøet.

Det er ganske vist muligt delvist at gendanne en Azure AD-brugerprofil fra on-premises, men al cloudrelateret data som f.eks. brugertilladelser vil være tabt. Samme problem er der med cloudkonti, der er oprettet fra en partners eksterne mapper, f.eks. Azure AD's B2C- og B2B-konti.

Her vil det heller ikke være muligt at gendanne med en on-premises backup-løsning.

Gendannelse af Azure AD-miljøet er ikke 'a walk in the park'

En af de største udfordringer ved sikring og gendannelse af Azure AD-miljøet er, at administratorer ikke nødvendigvis kan se, hvad der er blevet tilføjet eller ændret.

Derfor er det en fordel, hvis virksomheder implementerer den samme overvågning og sikkerhed i clouden som det typisk er tilfældet for on-premises AD-miljøet.

For eksempel sikkerhedsløsninger der kan identificere mistænkelig aktivitet, opretholde et sundt AD-miljø og skabe indsigt i hændelser og reducere nedetiden, hvis et cyberangreb eller en manuel fejl forårsager forstyrrelser i systemet.

Det er også afgørende, at de it-ansvarlige er klar over, hvad der er muligt at gendanne via papirkurven og at en aktivering af Azure AD Connect-synkronisering ikke vil være tilstrækkelig for at gendanne i clouden.

Selv om begge funktioner er vigtige, er de ikke holdbare løsninger til sikkerhedskopiering og gendannelse.

Essensen er, at vi er nødt til at bygge bro mellem gendannelse efter hændelser, som skader Azure AD-ressourcer og de medfødte funktioner i Azure AD.

Det er kritisk når virksomheder implementerer flere cloudløsninger og dermed også øger fokus på at kontrollere brugeradgange pog -tilladelser.

Azure AD er en helt speciel størrelse, som virksomheder skal rette fokus mod og tage højde for de unikke karakteristika ved deres cloud-miljøer og identifikationsadministration.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.




CIO
Årets CIO 2022: Nu skal Danmarks dygtigste CIO findes - er det dig? Eller kender du en, du vil indstille?