Sichern der Identität mit Zero Trust

Hintergrund

Cloudanwendungen und mobile Mitarbeiter haben den Sicherheitsperimeter neu definiert. Mitarbeiter bringen ihre eigenen Geräte mit und arbeiten remote. Auf Daten wird außerhalb des Unternehmensnetzwerks zugegriffen und an externe Mitarbeiter wie Partner und Lieferanten weitergegeben. Unternehmensanwendungen und -daten wechseln von lokalen zu Hybrid- und Cloudumgebungen. Organisationen können sich aus Sicherheitsgründen nicht mehr auf herkömmliche Netzwerkkontrollen verlassen. Steuerelemente müssen an den Speicherort der Daten verschoben werden: auf Geräten, innerhalb von Apps und mit Partnern.

Identitäten, die Personen, Dienste oder IoT-Geräte darstellen, sind der allgemeine Dominantor in den vielen heutigen Netzwerken, Endpunkten und Anwendungen. Im Zero Trust-Sicherheitsmodells funktionieren sie als leistungsstarke, flexible und präzise Möglichkeit, den Zugriff auf Daten zu steuern.

Bevor eine Identität versucht, auf eine Ressource zuzugreifen, müssen Organisationen Folgendes ausführen:

  • Überprüfen Sie die Identität mit starker Authentifizierung.

  • Stellen Sie sicher, dass der Zugriff konform und typisch für diese Identität ist.

  • Folgt den Grundsätzen für den Zugriff auf die geringsten Berechtigungen.

Nachdem die Identität überprüft wurde, können wir den Zugriff dieser Identität auf Ressourcen basierend auf Organisationsrichtlinien, laufender Risikoanalyse und anderen Tools steuern.

Identitäts- Zero Trust Bereitstellungsziele

Bevor die meisten Organisationen mit dem Zero Trust beginnen, ist ihr Identitätsansatz insofern problematisch, als der lokale Identitätsanbieter verwendet wird, kein SSO zwischen Cloud- und lokalen Apps vorhanden ist und die Sichtbarkeit des Identitätsrisikos sehr eingeschränkt ist.

Bei der Implementierung eines End-to-End-Zero Trust-Frameworks für Identität empfehlen wir, dass Sie sich zuerst auf diese anfänglichen Bereitstellungsziele konzentrieren:

List icon with one checkmark.

I.Cloud-Identitätsverbunde mit lokalen Identitätssystemen.

II.Richtlinien für bedingten Zugriff ermöglichen den Zugriff und stellen Wartungsaktivitäten bereit.

III.Analysen verbessern die Sichtbarkeit.

Konzentrieren Sie sich nach Abschluss dieser Schritte auf die folgenden zusätzlichen Bereitstellungsziele:

List icon with two checkmarks.

IV.Identitäten und Zugriffsrechte werden mit Identitätsgovernance verwaltet.

V.User, Device, Location und Behavior werden in Echtzeit analysiert, um Risiken zu ermitteln und kontinuierlichen Schutz bereitzustellen.

VI.Integrieren Von Bedrohungssignalen aus anderen Sicherheitslösungen zur Verbesserung der Erkennung, des Schutzes und der Reaktion.

Identitäts- Zero Trust Bereitstellungshandbuch

In diesem Leitfaden werden Sie durch die Schritte geführt, die zum Verwalten von Identitäten gemäß den Grundsätzen eines Zero Trust Sicherheitsframeworks erforderlich sind.




Checklist icon with one checkmark.

Anfängliche Bereitstellungsziele

Ich. Cloudidentitätsverbunde mit lokalen Identitätssystemen

Azure Active Directory (AD) ermöglicht eine starke Authentifizierung, einen Integrationspunkt für die Endpunktsicherheit und den Kern Ihrer benutzerorientierten Richtlinien, um den Zugriff mit den geringsten Rechten zu gewährleisten. die Funktionen für bedingten Zugriff von Azure AD sind der Richtlinienentscheidungspunkt für den Zugriff auf Ressourcen basierend auf Benutzeridentität, Umgebung, Geräteintegrität und Risiko – explizit am Zugriffspunkt überprüft. Wir zeigen Ihnen, wie Sie eine Zero Trust Identitätsstrategie mit Azure AD implementieren können.

Diagram of the steps within phase 1 of the initial deployment objectives.

Verbinden alle Ihre Benutzer zum Azure AD und Verbinden mit lokalen Identitätssystemen

Durch die Aufrechterhaltung einer fehlerfreien Pipeline der Identitäten Ihrer Mitarbeiter und der erforderlichen Sicherheitsartefakte (Gruppen für Autorisierung und Endpunkte für zusätzliche Zugriffsrichtliniensteuerelemente) sind Sie am besten geeignet, konsistente Identitäten und Steuerelemente in der Cloud zu verwenden.

Führen Sie die folgenden Schritte aus:

  1. Wählen Sie eine Authentifizierungsoption aus. Azure AD bietet Ihnen den besten Brute-Force-, DDoS- und Kennwortsprühschutz, treffen Sie jedoch die für Ihre Organisation und Ihre Complianceanforderungen geeignete Entscheidung.

  2. Bringen Sie nur die Identitäten mit, die Sie unbedingt benötigen. Verwenden Sie beispielsweise den Weg in die Cloud als Möglichkeit, Dienstkonten zu hinterlassen, die nur lokal sinnvoll sind. Lassen Sie lokale privilegierte Rollen zurück.

  3. Wenn Ihr Unternehmen über mehr als 100.000 Benutzer, Gruppen und Geräte verfügt, erstellen Sie ein Synchronisierungsfeld mit hoher Leistung , das Ihren Lebenszyklus auf dem neuesten Stand hält.

Einrichten Ihrer Identity Foundation mit Azure AD

Eine Zero Trust-Strategie erfordert eine explizite Überprüfung, die Verwendung von Grundsätzen für den Zugriff mit geringsten Rechten und die Annahme von Verstößen. Azure AD können als Richtlinienentscheidungspunkt fungieren, um Ihre Zugriffsrichtlinien basierend auf Erkenntnissen zu Benutzer, Endpunkt, Zielressource und Umgebung durchzusetzen.

Führen Sie diesen Schritt aus:

  • Fügen Sie Azure AD in den Pfad jeder Zugriffsanforderung ein. Dies verbindet jeden Benutzer und jede App oder Ressource über eine Identitätssteuerungsebene und gibt Azure AD das Signal, um die bestmöglichen Entscheidungen über das Authentifizierungs-/Autorisierungsrisiko zu treffen. Darüber hinaus bieten einmaliges Anmelden und konsistente Richtlinienschutzschienen eine bessere Benutzererfahrung und tragen zu Produktivitätssteigerungen bei.

Integrieren Sie alle Ihre Anwendungen in Azure AD

Einmaliges Anmelden verhindert, dass Benutzer Kopien ihrer Anmeldeinformationen in verschiedenen Apps hinterlassen, und verhindert, dass Benutzer sich aufgrund übermäßiger Aufforderung an die Übergabe ihrer Anmeldeinformationen gewöhnen.

Stellen Sie außerdem sicher, dass Sie nicht über mehrere IAM-Engines in Ihrer Umgebung verfügen. Dies verringert nicht nur das Signal, das Azure AD sieht, was es schlechten Akteuren ermöglicht, in den Nähten zwischen den beiden IAM-Motoren zu leben, es kann auch zu einer schlechten Benutzererfahrung führen und Ihre Geschäftspartner zu den ersten Zweiflern Ihrer Zero Trust-Strategie werden.

Führen Sie die folgenden Schritte aus:

  1. Integrieren Sie moderne Unternehmensanwendungen , die OAuth2.0 oder SAML sprechen.

  2. Integrieren Sie sie für Kerberos- und formularbasierte Authentifizierungsanwendungen mithilfe der Azure AD Anwendungsproxy.

  3. Wenn Sie Ihre Legacyanwendungen mithilfe von Anwendungsbereitstellungsnetzwerken/-controllern veröffentlichen, verwenden Sie Azure AD, um sie in die meisten der wichtigsten Anwendungen (z. B. Citrix, Akamai und F5) zu integrieren.

  4. Um Ihre Apps von ADFS und vorhandenen/älteren IAM-Engines zu ermitteln und zu migrieren, überprüfen Sie Ressourcen und Tools.

  5. Power push identities into your various cloud applications. Dadurch erhalten Sie eine engere Identitätslebenszyklusintegration innerhalb dieser Apps.

Explizite Überprüfung mit starker Authentifizierung

Führen Sie die folgenden Schritte aus:

  1. Rollout Azure AD MFA (P1). Dies ist ein grundlegender Teil der Verringerung des Benutzersitzungsrisikos. Wenn Benutzer auf neuen Geräten und von neuen Standorten aus angezeigt werden, ist die Möglichkeit, auf eine MFA-Herausforderung zu reagieren, eine der direktesten Möglichkeiten, wie Ihre Benutzer uns beibringen können, dass dies vertraute Geräte/Standorte sind, während sie sich auf der ganzen Welt bewegen (ohne dass Administratoren einzelne Signale analysieren müssen).

  2. Legacyauthentifizierung blockieren. Einer der häufigsten Angriffsvektoren für böswillige Akteure ist die Verwendung gestohlener/wiedergegebener Anmeldeinformationen für Legacyprotokolle wie SMTP, die keine modernen Sicherheitsprobleme bewältigen können.

II. Richtlinien für bedingten Zugriff ermöglichen den Zugriff und stellen Wartungsaktivitäten bereit.

Azure AD Conditional Access (CA) analysiert Signale wie Benutzer, Gerät und Standort, um Entscheidungen zu automatisieren und Organisationszugriffsrichtlinien für Ressourcen durchzusetzen. Sie können Ca-Richtlinien verwenden, um Zugriffssteuerungen wie die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) anzuwenden. Zertifizierungsstellenrichtlinien ermöglichen es Ihnen, Benutzer zur MFA aufzufordern, wenn dies aus Sicherheitsgründen erforderlich ist, und den Benutzern bei Bedarf nicht im Weg zu bleiben.

Diagram of Conditional Access policies in Zero Trust.

Microsoft stellt standardmäßige bedingte Richtlinien bereit, die als Sicherheitsstandards bezeichnet werden und eine grundlegende Sicherheitsstufe gewährleisten. Ihre Organisation benötigt jedoch möglicherweise mehr Flexibilität als sicherheitsstandard bieten. Sie können bedingten Zugriff verwenden, um Sicherheitsstandards präziser anzupassen und neue Richtlinien zu konfigurieren, die Ihren Anforderungen entsprechen.

Die Planung Ihrer Richtlinien für bedingten Zugriff im Voraus und die Verwendung einer Reihe aktiver und Fallbackrichtlinien ist eine grundlegende Säule ihrer Durchsetzung von Zugriffsrichtlinien in einer Zero Trust Bereitstellung. Nehmen Sie sich zeit, um Ihre vertrauenswürdigen IP-Speicherorte in Ihrer Umgebung zu konfigurieren. Auch wenn Sie sie nicht in einer Richtlinie für bedingten Zugriff verwenden, informiert die Konfiguration dieser IPs über das oben erwähnte Risiko von Identity Protection.

Führen Sie diesen Schritt aus:

Registrieren von Geräten mit Azure AD zum Einschränken des Zugriffs von gefährdeten und kompromittierten Geräten

Führen Sie die folgenden Schritte aus:

  1. Aktivieren Sie Azure AD Hybrid join oder Azure AD Join. Wenn Sie den Laptop/Computer des Benutzers verwalten, bringen Sie diese Informationen in Azure AD und verwenden Sie sie, um bessere Entscheidungen zu treffen. Sie können beispielsweise den Rich-Client-Zugriff auf Daten (Clients mit Offlinekopien auf dem Computer) zulassen, wenn Sie wissen, dass der Benutzer von einem Computer stammt, der von Ihrer Organisation gesteuert und verwaltet wird. Wenn Sie dies nicht bereitstellen, entscheiden Sie sich wahrscheinlich dafür, den Zugriff von Rich-Clients zu blockieren, was dazu führen kann, dass Ihre Benutzer Ihre Sicherheit umgehen oder Schatten-IT verwenden.

  2. Aktivieren Sie den Intune-Dienst in Microsoft Endpoint Manager (EMS), um die mobilen Geräte Ihrer Benutzer zu verwalten und Geräte zu registrieren. Dasselbe kann über mobile Benutzergeräte gesagt werden wie über Laptops: Je mehr Sie über sie wissen (Patch-Level, Jailbroken, root usw.), desto mehr können Sie ihnen vertrauen oder ihnen nicht vertrauen und eine Begründung dafür liefern, warum Sie den Zugriff blockieren/zulassen.

III. Analyse verbessert die Sichtbarkeit

Wenn Sie Ihr Vermögen in Azure AD mit Authentifizierung, Autorisierung und Bereitstellung aufbauen, ist es wichtig, starke operative Einblicke in das Geschehen im Verzeichnis zu erhalten.

Konfigurieren der Protokollierung und Berichterstellung zur Verbesserung der Sichtbarkeit

Führen Sie diesen Schritt aus:




Checklist icon with two checkmarks.

Zusätzliche Bereitstellungsziele

IV. Identitäten und Zugriffsberechtigungen werden mit Identitätsgovernance verwaltet

Nachdem Sie Ihre ursprünglichen drei Ziele erreicht haben, können Sie sich auf zusätzliche Ziele wie eine robustere Identitätsgovernance konzentrieren.

Diagram of the steps within phase 4 of the additional deployment objectives.

Sichern des privilegierten Zugriffs mit Privileged Identity Management

Steuern Sie die Endpunkte, Bedingungen und Anmeldeinformationen, die Benutzer für den Zugriff auf privilegierte Vorgänge/Rollen verwenden.

Führen Sie die folgenden Schritte aus:

  1. Übernehmen Sie die Kontrolle über Ihre privilegierten Identitäten. Beachten Sie, dass in einer digital transformierten Organisation privilegierter Zugriff nicht nur administrativer Zugriff ist, sondern auch Anwendungsbesitzer- oder Entwicklerzugriff, der die Art und Weise ändern kann, wie Ihre unternehmenskritischen Apps ausgeführt und verarbeitet werden.

  2. Verwenden Sie Privileged Identity Management, um privilegierte Identitäten zu sichern.

Die Zustimmung der Benutzer zu Anwendungen ist eine sehr gängige Methode für moderne Anwendungen, um Zugriff auf Organisationsressourcen zu erhalten, aber es gibt einige bewährte Methoden, die Sie berücksichtigen sollten.

Führen Sie die folgenden Schritte aus:

  1. Beschränken Sie die Zustimmung des Benutzers, und verwalten Sie Zustimmungsanforderungen , um sicherzustellen, dass keine unnötige Gefährdung der Daten Ihrer Organisation gegenüber Apps auftritt.

  2. Überprüfen Sie die vorherige/vorhandene Zustimmung in Ihrer Organisation auf jede übermäßige oder böswillige Zustimmung.

Weitere Informationen zu Tools zum Schutz vor Taktiken für den Zugriff auf vertrauliche Informationen finden Sie unter "Stärken des Schutzes vor Cyberbedrohungen und bösartigen Apps" in unserem Leitfaden zur Implementierung einer Identitäts- Zero Trust-Strategie.

Berechtigung verwalten

Mit Anwendungen, die zentral authentifiziert und von Azure AD gesteuert werden, können Sie jetzt Ihren Zugriffsanforderungs-, Genehmigungs- und Rezertifizierungsprozess optimieren, um sicherzustellen, dass die richtigen Personen den richtigen Zugriff haben und dass Sie einen Überblick darüber haben, warum Benutzer in Ihrer Organisation zugriffsbereit sind.

Führen Sie die folgenden Schritte aus:

  1. Verwenden Sie die Berechtigungsverwaltung, um Zugriffspakete zu erstellen, die Benutzer anfordern können, wenn sie verschiedenen Teams/Projekten beitreten und ihnen Zugriff auf die zugeordneten Ressourcen (z. B. Anwendungen, SharePoint Websites, Gruppenmitgliedschaften) zuweisen.

  2. Wenn die Bereitstellung der Berechtigungsverwaltung für Ihre Organisation derzeit nicht möglich ist, aktivieren Sie zumindest Self-Service-Paradigmen in Ihrer Organisation, indem Sie Self-Service-Gruppenverwaltung und Self-Service-Anwendungszugriff bereitstellen.

Verwenden sie die kennwortlose Authentifizierung, um das Risiko von Phishing- und Kennwortangriffen zu verringern.

Mit Azure AD Unterstützung von FIDO 2.0 und kennwortloser Telefonanmeldung können Sie die Nadel auf die Anmeldeinformationen setzen, die Ihre Benutzer (insbesondere sensible/privilegierte Benutzer) täglich verwenden. Diese Anmeldeinformationen sind starke Authentifizierungsfaktoren, die auch Risiken mindern können.

Führen Sie diesen Schritt aus:

V. Benutzer, Gerät, Standort und Verhalten werden in Echtzeit analysiert, um Risiken zu ermitteln und kontinuierlichen Schutz bereitzustellen.

Die Echtzeitanalyse ist entscheidend für die Ermittlung von Risiko und Schutz.

Diagram of the steps within phase 5 of the additional deployment objectives.

Bereitstellen Azure AD Kennwortschutzes

Wenn Sie es anderen Methoden ermöglichen, Benutzer explizit zu überprüfen, ignorieren Sie schwache Kennwörter, Kennwort-Sprays und Angriffe auf die Wiederholung von Sicherheitsverletzungen nicht. Und klassische komplexe Kennwortrichtlinien verhindern nicht die am häufigsten vorkommenden Kennwortangriffe.

Führen Sie diesen Schritt aus:

Identitätsschutz aktivieren

Rufen Sie mit Identity Protection ein präziseres Sitzungs-/Benutzerrisikosignal ab. Sie können das Risiko untersuchen und die Kompromittieren bestätigen oder das Signal schließen, wodurch das Modul besser verstehen kann, wie das Risiko in Ihrer Umgebung aussieht.

Führen Sie diesen Schritt aus:

Aktivieren Microsoft Defender for Cloud Apps Integration mit Identity Protection

Microsoft Defender for Cloud Apps überwacht das Benutzerverhalten innerhalb von SaaS und modernen Anwendungen. Dadurch wird Azure AD darüber informiert, was mit dem Benutzer passiert ist, nachdem er sich authentifiziert und ein Token erhalten hat. Wenn das Benutzermuster verdächtig aussieht (z. B. beginnt ein Benutzer, Gigabyte an Daten aus OneDrive herunterzuladen oder beginnt, Spam-E-Mails in Exchange Online zu senden), kann ein Signal an Azure AD benachrichtigt werden, dass der Benutzer gefährdet oder ein hohes Risiko zu sein scheint. Bei der nächsten Zugriffsanforderung dieses Benutzers kann Azure AD ordnungsgemäß Maßnahmen ergreifen, um den Benutzer zu überprüfen oder zu blockieren.

Führen Sie diesen Schritt aus:

Aktivieren der Integration des bedingten Zugriffs in Microsoft Defender for Cloud Apps

Mit Signalen, die nach der Authentifizierung ausgegeben werden, und mit Defender für Cloud Apps-Proxyanforderungen an Anwendungen können Sie Sitzungen überwachen, die an SaaS-Anwendungen gesendet werden, und Einschränkungen erzwingen.

Führen Sie die folgenden Schritte aus:

  1. Aktivieren sie die Integration des bedingten Zugriffs.

  2. Erweitern des bedingten Zugriffs auf lokale Apps.

Aktivieren einer eingeschränkten Sitzung für die Verwendung in Zugriffsentscheidungen

Wenn das Risiko eines Benutzers gering ist, er sich aber von einem unbekannten Endpunkt aus anmeldet, möchten Sie möglicherweise den Zugriff auf kritische Ressourcen zulassen, aber nicht zulassen, dass er Dinge tut, die Ihre Organisation in einem nicht konformen Zustand belassen. Jetzt können Sie Exchange Online und SharePoint Online so konfigurieren, dass dem Benutzer eine eingeschränkte Sitzung angeboten wird, mit der er E-Mails lesen oder Dateien anzeigen, aber nicht herunterladen und auf einem nicht vertrauenswürdigen Gerät speichern kann.

Führen Sie diesen Schritt aus:

VI. Integrieren von Bedrohungssignalen aus anderen Sicherheitslösungen zur Verbesserung der Erkennung, des Schutzes und der Reaktion

Schließlich können andere Sicherheitslösungen integriert werden, um die Effektivität zu erhöhen.

Integrieren von Microsoft Defender for Identity in Microsoft Defender for Cloud Apps

Die Integration in Microsoft Defender for Identity ermöglicht es Azure AD zu wissen, dass ein Benutzer beim Zugriff auf lokale, nicht moderne Ressourcen (z. B. Dateifreigaben) riskantes Verhalten eingeht. Dies kann dann in das Gesamtrisiko der Benutzer einbezogen werden, um den weiteren Zugriff in der Cloud zu blockieren.

Führen Sie die folgenden Schritte aus:

  1. Aktivieren Sie Microsoft Defender for Identity mit Microsoft Defender for Cloud Apps, um lokale Signale in das Risikosignal zu bringen, das wir über den Benutzer kennen.

  2. Überprüfen Sie die kombinierte Bewertung der Untersuchungspriorität für jeden gefährdeten Benutzer, um eine ganzheitliche Ansicht davon zu erhalten, auf welche sich Ihr SOC konzentrieren sollte.

aktivieren Microsoft Defender für Endpunkt

Microsoft Defender für Endpunkt ermöglicht es Ihnen, die Integrität von Windows Maschinen zu bestätigen und festzustellen, ob sie sich einem Kompromiss unterziehen. Anschließend können Sie diese Informationen zur Risikominderung zur Laufzeit einspeisen. Während Ihnen der Domänenbeitritt ein Gefühl der Kontrolle gibt, ermöglicht Ihnen Defender für Endpunkt, nahezu in Echtzeit auf einen Schadsoftwareangriff zu reagieren, indem Sie Muster erkennen, bei denen mehrere Benutzergeräte nicht vertrauenswürdige Websites erreichen, und um zu reagieren, indem sie ihr Geräte-/Benutzerrisiko zur Laufzeit erhöhen.

Führen Sie diesen Schritt aus:

In diesem Leitfaden behandelte Produkte

Microsoft Azure

Azure Active Directory

Microsoft Defender for Identity

Microsoft 365

Microsoft Endpoint Manager (einschließlich Microsoft Intune)

Microsoft Defender für Endpunkt

SharePoint Online

Exchange Online

Schlussfolgerung

Identität ist von zentraler Bedeutung für eine erfolgreiche Zero Trust Strategie. Für weitere Informationen oder Hilfe bei der Implementierung wenden Sie sich bitte an Ihr Customer Success-Team oder lesen Sie weiter in den anderen Kapiteln dieses Leitfadens, die alle Zero Trust Säulen umfassen.



Die Zero Trust-Bereitstellungsleitfadenreihe

Icon for the introduction

Icon for identity

Icon for endpoints

Icon for applications

Icon for data

Icon for infrastructure

Icon for networks

Icon for visibility, automation, orchestration