Copyright 1998 - 2023 DPG Media B.V. Thu, 12 Jan 2023 04:06:18 GMT Thu, 12 Jan 2023 04:06:18 GMT https://tweakers.net/reviews/76 Tweakblogs.net is de weblog service van Tweakers, de grootste hardwaresite en techcommunity van Nederland. https://tweakblogs.net/ https://tweakers.net/g/if/logo.gif Tweakblogs.net nl-nl https://enduria.tweakblogs.net gathering@tweakers.net https://enduria.tweakblogs.net/blog/19562/microsoft-cloud-security-lessons-learned#r_272496 xFeverr schreef op dinsdag 3 augustus 2021 @ 09:59: [...] Maar... dan heb je toch gewoon een account met alle rechten? Je moet alleen even op een knop drukken om ergens bij te kunnen, maar die knop kán je indrukken dus heb je eigenlijk al alle rechten. Dan veranderd het niet zo gek veel. Disclaimer: ik ben geen beheerder, dus ik heb geen flauw idee hoe dit in de praktijk afspeelt. Vind het daarom wel een interessante discussie. (Ik zit in de software-hoek.)Hangt er vanaf welke rollen er aan toegekend zijn en welke rollen je kan aanvragen, als je het goed doet, probeer je altijd het principe least privilege te hanteren. Dus welke rechten heb je minimaal nodig om je werk te kunnen doen en meer nietTurdie https://enduria.tweakblogs.net/blog/19562/microsoft-cloud-security-lessons-learned#r_272496#reacties https://enduria.tweakblogs.net/blog/19562#r_272496 Tue, 03 Aug 2021 08:38:05 GMT https://enduria.tweakblogs.net/blog/19562/microsoft-cloud-security-lessons-learned#r_272492 SunnieNL schreef op woensdag 28 juli 2021 @ 15:46: [...] Als jij kennis hebt van SQL en iets moet doen op de sql server, dan geeft de privilege access management oplossing jou een account voor een aantal uur op het moment dat je dat nodig hebt. Na die tijd wordt het ingetrokken. Jij hebt dus op elk moment de mogelijkheid om ook maar wat te doen wat je wilt. [...]Maar... dan heb je toch gewoon een account met alle rechten? Je moet alleen even op een knop drukken om ergens bij te kunnen, maar die knop kán je indrukken dus heb je eigenlijk al alle rechten. Dan veranderd het niet zo gek veel. Disclaimer: ik ben geen beheerder, dus ik heb geen flauw idee hoe dit in de praktijk afspeelt. Vind het daarom wel een interessante discussie. (Ik zit in de software-hoek.)xFeverr https://enduria.tweakblogs.net/blog/19562/microsoft-cloud-security-lessons-learned#r_272492#reacties https://enduria.tweakblogs.net/blog/19562#r_272492 Tue, 03 Aug 2021 07:59:55 GMT https://enduria.tweakblogs.net/blog/19562/microsoft-cloud-security-lessons-learned#r_272326 @itlee Ik moet SunnyNL en iStealYourGun gelijk geven. Goede account beveiliging hoeft niet te betekenen dat je bepaalde taken gaat afschermen. Ik zou zelfs zeggen: in tegendeel. Je kan eigenlijk net meer rechten geven aan mensen dan wat ze vandaag hebben wanneer er simpelweg een verantwoording moet komen wanneer ze op een bepaald moment bepaalde toegang wensen te hebben. Wij zijn ondertussen zo ver dat onze customer support toegang kan krijgen tot de systemen van klanten afhankelijk van het ticket waaraan zij werken. Staan zij toegewezen aan een ticket voor klant X dan krijgen zij toegang tot de systemen van klant X voor zolang zij toegewezen staan en het ticket niet is afgesloten. Ik heb de afgelopen jaren implementaties meegemaakt van zowel PIM als PAM en je merkt telkens tegenkanting van gebruikers. Niet onverwacht want verandering stoot altijd op verzet. Maar ondanks dat het mij ook treft in mijn dageijks werk ben ik wel voorstander. Zeker als je ziet hoe eenvoudig aanvallers soms in je netwerk kunnen komen en als ze er eenmaal zijn, hoe snel ze daarna schade kunnen aanrichten.Blokker_1999 https://enduria.tweakblogs.net/blog/19562/microsoft-cloud-security-lessons-learned#r_272326#reacties https://enduria.tweakblogs.net/blog/19562#r_272326 Sat, 31 Jul 2021 07:41:23 GMT https://enduria.tweakblogs.net/blog/19562/microsoft-cloud-security-lessons-learned#r_272296 Interessante post!XtremeDesign https://enduria.tweakblogs.net/blog/19562/microsoft-cloud-security-lessons-learned#r_272296#reacties https://enduria.tweakblogs.net/blog/19562#r_272296 Thu, 29 Jul 2021 12:06:59 GMT https://enduria.tweakblogs.net/blog/19562/microsoft-cloud-security-lessons-learned#r_272292 Mooi stukje, dank! Ik ben bij ons (MSP) bezig om de security naar een hoger plan te tillen, dit is nuttige info waar ik zelf ook al mee bezig was.Rossi https://enduria.tweakblogs.net/blog/19562/microsoft-cloud-security-lessons-learned#r_272292#reacties https://enduria.tweakblogs.net/blog/19562#r_272292 Thu, 29 Jul 2021 10:22:33 GMT https://enduria.tweakblogs.net/blog/19562/microsoft-cloud-security-lessons-learned#r_272278 @itlee En elke chauffeur op de baan is overtuigd dat ze zelf nooit een ongeval zullen veroorzaken. Als iemand die nog geen 25 jaar in het vak zit maar ondertussen wel zijn strepen heeft verdiend, ben ik net een grote voorstander van MFA, PIM en PAM. Ik heb bijna dagelijks global admin access nodig binnen Azure AD, maar heb niet het gevoel dat die technologieën een rem zijn. Cybersecurity aanvallen worden steeds complexer en veel gerichter omdat er grof geld mee te verdienen valt. Je hebt er als IT'er alle baat bij om die attack vector zo klein mogelijk te maken en dat begint bij de accounts met de meeste rechten. IStealYourGun https://enduria.tweakblogs.net/blog/19562/microsoft-cloud-security-lessons-learned#r_272278#reacties https://enduria.tweakblogs.net/blog/19562#r_272278 Wed, 28 Jul 2021 20:41:49 GMT https://enduria.tweakblogs.net/blog/19562/microsoft-cloud-security-lessons-learned#r_272272 itlee schreef op woensdag 28 juli 2021 @ 11:34: In mijn begin jaren was ik ook van de policies, afbakenen, eilandjes creëren, "ik kan meer als jij" taktiek,.... en als je ouder en langer in het vak zit leer je dat het beter is om goede beheerders om je heen te verzamelen en kennis te delen zodat iedereen slimmer wordt en minder eilandjes zijn. waarom? T werkt sneller, taken kan je immers verdelen, kennis nivo is hoger bij je beheerders dus bij uitdagingen kan je deze samen aanvliegen en je beheerders blijven bij je bedrijf werken omdat ze gemotiveerd zijn en verantwoordelijkheden kunnen dragen. En technisch je beheerders met de vingers tussen de bankschroef zetten is het domste wat je kan doen binnen een IT organisatie die het bedrijfsproces ondersteund. (Er vanuit gaande dat de rollen helder zijn binnen je organisatie, dus een SQL beheerder is een database man en geen systeembeheerder. (kennis).Je begrijpt mogelijk het risico van wat jij beschrijft en zijn aangedragen oplossing niet. Het gaat er niet om om eilandjes te maken, het gaat erom geen accounts te hebben die 100% van de tijd overal maar rechten hebben. Als jij kennis hebt van SQL en iets moet doen op de sql server, dan geeft de privilege access management oplossing jou een account voor een aantal uur op het moment dat je dat nodig hebt. Na die tijd wordt het ingetrokken. Jij hebt dus op elk moment de mogelijkheid om ook maar wat te doen wat je wilt. Er worden geen eilandjes gemaakt. We gaan ook niet zeggen "ik mag meer dan jij". Er wordt geen kennisdelen blokkade neergelegd. Er wordt alleen voor gezorgd dat jou account niet continue de masterkey heeft om overal alles te kunnen doen. Waarom niet? Omdat als een hacker binnenkomt en hij jou identiteit steelt, hij in jou geval overal altijd bij kan. In het geval van de blog kan die dat niet. Jou account is namelijk alleen maar normale gebruiker. Als jij iets moet doen, krijg jij een tijdelijk ander account met de rechten die je op dat moment nodig hebt voor een bepaald systeem en daarna wordt dat account destroyed. Die hacker kan dus wel jou identiteit stelen van dat moment, maar daar heeft hij maar kort wat aan of hij moet het gaan aanvragen, maar dan gaat het systeem, wat deze accounts uitdeelt, piepen.SunnieNL https://enduria.tweakblogs.net/blog/19562/microsoft-cloud-security-lessons-learned#r_272272#reacties https://enduria.tweakblogs.net/blog/19562#r_272272 Wed, 28 Jul 2021 13:46:09 GMT https://enduria.tweakblogs.net/blog/19562/microsoft-cloud-security-lessons-learned#r_272268 itlee schreef op woensdag 28 juli 2021 @ 11:34: verhaal+1woekele https://enduria.tweakblogs.net/blog/19562/microsoft-cloud-security-lessons-learned#r_272268#reacties https://enduria.tweakblogs.net/blog/19562#r_272268 Wed, 28 Jul 2021 12:24:53 GMT https://enduria.tweakblogs.net/blog/19562/microsoft-cloud-security-lessons-learned#r_272266 Allereerst leuk artikel, top dat je de diverse onderwerpen inhoudelijk hebt beschreven. klasse! Ik zit al 25 jr in het vak en heb alle transities van "hoi we willen internet en inbellen met een modem/isdn" Tot hoogste regionen van fortinet / checkpoint security meegemaakt en alles wat er tussen zit. Het onderwerp over je beheerders zou ik graag wat willen nuanceren, waarom? Een beheerder vertrouw je, Als een beginnende beheerder te weinig kennis heeft leidt je die op, leg je zaken uit en leer je dingen. Iemand digitaal afknijpen voor 2 uurtjes kan diegene in die 2 uur net zoveel stuk maken als dat hij elke dag toegang heeft tot het systeem. In mijn begin jaren was ik ook van de policies, afbakenen, eilandjes creëren, "ik kan meer als jij" taktiek,.... en als je ouder en langer in het vak zit leer je dat het beter is om goede beheerders om je heen te verzamelen en kennis te delen zodat iedereen slimmer wordt en minder eilandjes zijn. waarom? T werkt sneller, taken kan je immers verdelen, kennis nivo is hoger bij je beheerders dus bij uitdagingen kan je deze samen aanvliegen en je beheerders blijven bij je bedrijf werken omdat ze gemotiveerd zijn en verantwoordelijkheden kunnen dragen. En technisch je beheerders met de vingers tussen de bankschroef zetten is het domste wat je kan doen binnen een IT organisatie die het bedrijfsproces ondersteund. (Er vanuit gaande dat de rollen helder zijn binnen je organisatie, dus een SQL beheerder is een database man en geen systeembeheerder. (kennis). Dus top dat je de tools hebt, maar mensen op training sturen, verantwoording en inzicht geven waar ze op moeten letten en deze verantwoording ook laten dragen brengt je verder dan alles maar dicht metselen. itlee https://enduria.tweakblogs.net/blog/19562/microsoft-cloud-security-lessons-learned#r_272266#reacties https://enduria.tweakblogs.net/blog/19562#r_272266 Wed, 28 Jul 2021 09:34:32 GMT https://enduria.tweakblogs.net/blog/19562/microsoft-cloud-security-lessons-learned#r_272262 Leuk om eens wat anders te lezen op een blog hier! Het is een behoorlijk breed onderwerp en verandert sneller dan dat je bij kan houden. Heb je ook voorbeelden uit de praktijk van wat er mogelijk is tegengehouden? Wat een leverancier voorstelt en wat de theorie is, is nog niet altijd de praktijk. Probeer maar eens een bestaande complexe enterprise AD omgeving met een sync/federation naar Azure AD veiliger te krijgen, zonder dat de gehele IT/business vast loopt.Motrax https://enduria.tweakblogs.net/blog/19562/microsoft-cloud-security-lessons-learned#r_272262#reacties https://enduria.tweakblogs.net/blog/19562#r_272262 Wed, 28 Jul 2021 03:51:58 GMT https://enduria.tweakblogs.net/blog/19562/microsoft-cloud-security-lessons-learned#r_272258 Ik zal dit stukje proza eens laten lezen door m'n moeder. Kan je lachen...woekele https://enduria.tweakblogs.net/blog/19562/microsoft-cloud-security-lessons-learned#r_272258#reacties https://enduria.tweakblogs.net/blog/19562#r_272258 Tue, 27 Jul 2021 17:43:28 GMT