Inbound-Marketing und CRM Blog

Passwörter in die Cloud?!

Passwörter in die Cloud?!

(Bildquelle: Pixabay)

Die Ausgangssituation

Für Dynamics CRM Online wird gerne Microsoft Azure verwendet, um dort diverse Schnittstellen und Add-Ons auszulagern. Für die Schnittstellen und Add-Ons müssen natürlich Passwörter hinterlegt werden.

Die Herausforderung

Gerne wird dann die Frage gestellt wie sicher es ist, die Passwörter dort zu speichern und wer im Zweifelsfall Zugriff auf diese hätte. Bisher wurde dies gelöst, indem die Passwörter per Code verschlüsselt und entschlüsselt wurden. Das ist jedoch nur eine „halbgare“ Lösung. Zwar liegen die Passwörter nicht mehr im Klartext vor, die Entschlüsselung ist jedoch direkt vorhanden. Weiterhin stellt sich die Frage: Wie stark ist die Verschlüsselung? Wer garantiert für die Verschlüsselung? Ist die Verschlüsselung zertifiziert? Je nach Branche und Schutzcharakter der Daten ist eine Zertifizierung notwendig. Hier hat man aus Kosten-Risikosicht nur die Option, eine bereits zertifizierte Lösung zu erwerben, was die Kosten und Möglichkeiten der Wartung negativ beeinflusst. Dies ist leider ein Hauptknackpunkt bei einer Migration in die Cloud. Aus Compliancegründen kann an dieser Stelle Schluss mit einem Projekt sein.

Die Lösung: Azure Key Vault

Microsoft hat reagiert und eine sehr elegante Lösung für dieses Problem geliefert. In Microsoft Azure können Kennwörter im sogenannten Azure Key Vault hinterlegt werden. Der Azure Key Vault ermöglicht es, Geheimnisse (Passwörter) sicher abzuspeichern.

Wie sicher ist sicher?

Azure Key Vault bietet die Möglichkeit, die Geheimnisse zusätzlich in sogenannter „HSM Hardware“, welche die FIPS 140-2 Level 2 Anforderungen erfüllt, zu speichern.

Fordern Sie hier Support für Ihr Microsoft Dynamics 365 an ».

 

Was bedeuten diese Begrifflichkeiten?

HSM = hardware security module

Ein HSM, zu Deutsch „Hardware-Sicherheitsmodell“, sind spezielle Peripheriegeräte zum Ausführen von kryptografischen Operationen.

HSM-Geräte sollen sicherstellen, dass die Datenintegrität erhalten bleibt. Außerdem sind diese Geräte gegen Manipulationen und das Abfischen von Daten gehärtet.

FIPS 140-2 Level 2

FIPS Allgemein

FIPS ist ein US Amerikanischer Standard. Dieser Standard hat sich mittlerweile etabliert und wird ebenfalls von kanadischen Behörden verwendet. Im Rahmen der weltweiten Verknüpfung und des Cloudzeitalters gewinnt dieser Standard weltweit an Bedeutung

FIPS 140-2 Level 2

Ein Level 2-zertifiziertes Gerät stellt sicher, dass die Verschlüsselungsfunktionen und Algorithmen geprüft sind. Zusätzlich ist das Gerät versiegelt. Demzufolge würde eine Manipulation durch direktes Auslesen der Hardware bemerkt werden. Zusätzlich werden die Daten durch ein Rollenkonzept gespeichert.

Wozu das Ganze?

An der Cloud führt kein Weg mehr vorbei. Wer während der Transformation zu IT 4.0 flexibel und schnell reagieren will, kann es sich nicht mehr leisten, Hardware selbst zu verwalten und zu beschaffen. Hierbei sind die Kosten noch nicht einmal ausschlaggebend, sondern vielmehr die Reaktionszeiten. Microsoft Azure bietet eine flexible automatische Skalierung an. Diese kann einfach konfiguriert werden. In der Vergangenheit mussten dafür umständliche interne Bestellungen und Genehmigungen angestoßen werden. Außerdem ist es betriebswirtschaftlich ineffizient, eine riesige Serverfarm aufzubauen, wenn nur kurzfristig Leistungsspitzen abgefangen werden müssen. Hier bietet Microsoft Azure diverse Pay-per-Use-Modelle, welche ideal geeignet sind, um auf Lastspitzen reagieren zu können. Die Lastspitzen werden zusätzlich bezahlt. Sobald die Last nachlässt, werden weniger Ressourcen verwendet und die Kosten sinken wieder. Klassische Hardware muss immer auf den „Worst Case“ ausgelegt werden, was zur Folge hat, dass die Hardware sich die meiste Zeit „langweilt“.

 Der Datenschutz

Natürlich wollen Sie Ihren Kunden nicht nur einen tollen Service und ein tolles Erlebnis bereitstellen, sondern ihm auch garantieren, dass seine Daten sicher sind. Dazu gehört es auch, Passwörter sicher abzulegen. Der Azure Key Vault hilft dabei, Complianceregeln durch bereits etablierte Standards zu erfüllen. Damit können Sie sensible Daten sicher und kontrolliert hinterlegen. Der Datenschutzbeauftragte hat durch die Verwendung von Standards ebenfalls weniger Prüfaufwand. Außerdem können Sie dann im Ernstfall nachweisen, dass Sie sich um die Sicherheit der Passwörter gekümmert haben. Durch den Azure Key Vault lässt sich die datenschutzrechtliche Akzeptanz weiter steigern.

Die Anleitung zur Einrichtung des Azure Key Vaults

Der Azure Key Vault kann wie jede Azure-Komponente einfach über das Portal „bestellt“ werden. Als Voraussetzung benötigen Sie ein Azure AD.

 Microsoft liefert eine sehr gute Beschreibung wie, das ganze einzurichten ist.

https://docs.microsoft.com/de-de/azure/key-vault/key-vault-get-started

So registrieren Sie die Anwendungen in Azure Active Directory:

  1. Melden Sie sich am klassischen Azure-Portal an.
  2. Klicken Sie auf der linken Seite auf Active Directory, und wählen Sie das Verzeichnis, in dem Sie Ihre Anwendung registrieren möchten.
    Hinweis : Sie müssen dasselbe Verzeichnis auswählen, in dem auch das Azure-Abonnement enthalten ist, mit dem Sie Ihren Schlüsseltresor erstellt haben. Gehen Sie wie folgt vor, wenn Sie nicht wissen, welches Verzeichnis dies ist: Klicken Sie auf Einstellungen, ermitteln Sie das Abonnement, mit dem Sie Ihren Schlüsseltresor erstellt haben, und notieren Sie sich den Namen des Verzeichnisses, der in der letzten Spalte angezeigt wird.
  3. Klicken Sie auf ANWENDUNGEN. Wenn Ihrem Verzeichnis keine Apps hinzugefügt wurden, wird auf dieser Seite der Link App hinzufügen Klicken Sie auf den Link, oder klicken Sie alternativ auf der Befehlsleiste auf HINZUFÜGEN .
  4. Klicken Sie im Assistenten ANWENDUNG HINZUFÜGEN auf der Seite Was möchten Sie tun? auf Eine von meinem Unternehmen entwickelte Anwendung hinzufügen.
  5. Geben Sie auf der Seite Erzählen Sie uns von Ihrer App einen Namen für Ihre Anwendung ein, und wählen Sie dann WEBANWENDUNG UND/ODER WEB-API (die Standardeinstellung) aus. Klicken Sie auf das Symbol Weiter .
  6. Geben Sie auf der Seite App-Eigenschaften die ANMELDE-URL und den APP-ID-URI für Ihre Webanwendung an. Wenn Ihre Anwendung über keine solchen Werte verfügt, können Sie in diesem Schritt Pseudowerte verwenden (Sie können beispielsweise in beide Felder den Wert „http://test1.contoso.com“ eingeben). Hierbei spielt es keine Rolle, ob diese Websites wirklich vorhanden sind. Es ist nur wichtig, dass der App-ID-URI für jede Anwendung in Ihrem Verzeichnis eindeutig ist. Das Verzeichnis verwendet diese Zeichenfolge zur Identifizierung Ihrer App.
  7. Klicken Sie auf das Symbol Abschließen , um Ihre Änderungen im Assistenten zu speichern.
  8. Klicken Sie auf der Seite Schnellstart auf KONFIGURIEREN.
  9. Führen Sie einen Bildlauf zum Abschnitt Schlüssel durch, wählen Sie die Dauer aus, und klicken Sie dann auf SPEICHERN. Die Seite wird aktualisiert und zeigt jetzt einen Schlüsselwert. Sie müssen Ihre Anwendung mit diesem Schlüsselwert und der CLIENT-ID (Die Anweisungen für diese Konfigurationen sind anwendungsspezifisch.)
  10. Kopieren Sie den Client-ID-Wert von dieser Seite. Sie verwenden ihn im nächsten Schritt, um Berechtigungen für Ihren Tresor festzulegen.

 Anders als in der Dokumentation beschrieben, braucht man nicht mehr zwangsläufig PowerShell, um die „APP“ auf den Key Vault zu berechtigen. Dies geht über die Oberfläche.

Rufen Sie dazu das Azure Portal auf und navigieren Sie zum Key Vault.

  • Nun klicken Sie auf „Principals“ (1) und anschließend auf „Add new“ (2)
  • Nun tragen Sie den Namen der App ein und vergeben die gewünschte Berechtigung, fertig!

 

 

Wie verwende ich den Key Vault im Quellcode?

Microsoft hat auch diesen Weg bereits sehr gut beschrieben:

https://docs.microsoft.com/en-us/azure/key-vault/key-vault-use-from-web-application

Wir haben uns einen kleinen Helper erstellt, um im Code einfacher auf den Key Vault zuzugreifen:

 

 Bild2.png

 

Damit hätten wir das Thema „Zugriffsdaten sicher ablegen für Aufrufe aus dem Code“ erledigt.

Und was ist mit Virtuellen Maschinen (VM)?

Auch hier bietet der Azure Key Vault die perfekte Lösung. Die Azure VM kann so konfiguriert werden, dass Bitlocker aktiviert wird und der Entschlüsselungskey im Key Vault gespeichert wird. Dadurch ist die Festplatte der Virtuellen Maschine verschlüsselt im Azure. Wenn jemand diese VM herunterlädt, kann er trotzdem nichts damit anfangen, da ihm der BitLockerschlüssel für den Zugriff auf die Festplatte fehlt.

Die Verschlüsselung einer VM lässt sich ebenfalls einfach konfigurieren. Hierfür ist PowerShell notwendig. Microsoft stellt die notwendigen Skripte bereit, eine detaillierte Anleitung kann hier entnommen werden:

https://docs.microsoft.com/en-us/azure/security-center/security-center-disk-encryption

Wenn bereits ein Key Vault existiert, verkürzt sich der PowerShell-Aufwand massiv. Der Key Vault wird über den Web Browser für die Verwendung zum Verschlüsseln freigeschaltet.

Bild3.png

Dazu klicken Sie auf „Advanced access policies“ und dann markieren Sie die Checkbox „Enable access to Azure Disk Encryption für volume encryption“.Im Powershell ist dann nur noch der folgende Befehl von Nöten:

Set-AzureRmVMDiskEncryptionExtension

Danach erscheint ein Hinweis, dass die VM neugestartet und BitLocker eingerichtet wird. Dies sollten Sie nur außerhalb der Hauptarbeitszeiten tun, da es ggf. Eine Weile dauert, bis BitLocker installiert ist. Erst dann startet die Verschlüsselung, welche ebenfalls eine Weile dauert. In den Disk-Einstellungen wird dann auch angezeigt, dass die Verschlüsselung aktiviert ist.

Fazit

Microsoft stellt mit dem Azure Key Vault eine sehr elegante Lösung bereit, um Passwörter sicher in der Cloud abzuspeichern. Azure ist eine sehr gute Erweiterung für Dynamics CRM Online. Bisherige Cloud Projekte scheiterten gerne und durchaus richtigerweise an Datenschutzbestimmungen. Gerade im stetig wachsenden CRM-Umfeld ist es wichtig, ein CRM-System schnell und flexibel und ohne große Hardwarekosten einführen zu können. Dies ist nur mit Cloud-Lösungen möglich. Microsoft bietet hier nicht nur ein tolles CRM-Produkt, sondern liefert auch Antworten auf wichtige Fragen beim Datenschutz. Beispielsweise eben mit dem Azure Key Vault, der dafür sorgt, dass Ihre Geheimnisse auch wirklich geheim bleiben oder mit der German Cloud, mit der Ihre Daten garantiert in Deutschland bleiben. Während Konkurrenten im CRM-Bereich dies auch gerne für sich behaupten, wird es allein von Microsoft garantiert.

Fordern Sie hier Support zu Ihrem Microsoft Dynamics 365 an >>

 


Themen: Cloud CRM / Kundenmanagement Microsoft Dynamics CRM CRM-System Arbeiten mit Microsoft Dynamics CRM