Möchten Sie mit Ihrem Team teilnehmen? Profitieren Sie von unseren Gruppenrabatten! Schreiben Sie an events@dpunkt.de

Angriffsziel Azure und Azure Active Directory

Azure Active Directory (AAD) ist der Identitätsdienst von Azure. Vielleicht ohne sich dessen bewusst zu sein, verlassen sich Architekten und Entwickler bei Azure-Diensten wie virtuellen Maschinen oder Funktionsapps auf diese zentrale Komponente.

Wie bei Microsoft On-Premises sind in Azure und AAD naheliegende Muster und Standardeinstellungen auf Funktionalität ausgelegt, nicht auf Sicherheit. Fehler in der Entwicklung und mangelnde Härtung sind Einfallstore für Angreifer, die einzelne Anwendungen, Ressourcen und Identitäten kompromittieren – oder gar das komplette AAD und damit verbundene Abos.

Dieser Vortrag zeigt, wie eine sichere Entwicklung sowie eine sichere Konfiguration möglich sind und welche kostenlosen Tools und Quellen dabei helfen.

Vorkenntnisse

Grundlegende Kenntnis über Architektur von und Entwicklung in Cloud-Umgebungen im Allgemeinen sowie Azure im Speziellen.

Lernziele

  • Bewusstsein dafür, wie zentral AAD für die Nutzung von PaaS und IaaS in der Microsoft-Cloud ist, und dass bei der Entwicklung einbrachte Fehlkonfigurationen in Azure-Diensten oder AAD zu totaler Kompromittierung der Cloudinstanz und ggf. von damit verbundenen On-Prem-Umgebungen führen können.
  • Kenntnis von sicherer Architektur in und Entwicklung für die Azure-Cloud, von eingebauten und kostenfreien Werkzeugen zum Selbstaudit und zur Härtung sowie Kennenlernen weiterführender Quellen.
  • Verständnis darüber, wie unterschiedlich On-Premises-Active-Directory und Azure AD sind.

Speaker

 

Frank Ully
Frank Ully arbeitet seit 2017 bei der Oneconsult Deutschland AG in München, ab 2018 als Senior Penetration Tester & Security Consultant. Von Oktober 2020 bis Dezember 2021 war er CTO; seit Anfang 2022 beschäftigt er sich als Head of Research vornehmlich mit Entwicklungen in der offensiven IT-Sicherheit. Er hält regelmäßig Vorträge, gibt Workshops und veröffentlicht Fachartikel in der iX.

Gold-Sponsoren

CyberRes
securai
WIBU Systems

heise-devSec-Newsletter

Sie möchten über die heise devSec
auf dem Laufenden gehalten werden?

 

Anmelden