Identitätsbaseline: Prozesse für RichtlinienkonformitätIdentity Baseline policy compliance processes

In diesem Artikel wird ein Ansatz für Prozesse zur Einhaltung von Richtlinien beschrieben, die die Disziplin Identitätsbaseline regeln.This article discusses an approach to policy adherence processes that govern the Identity Baseline discipline. Eine wirkungsvolle Identitätskontrolle (Governance) beginnt mit wiederkehrenden manuellen Prozessen zur Steuerung von Übernahme und Überarbeitungen der Identitätsrichtlinien.Effective governance of identity starts with recurring manual processes that guide identity policy adoption and revisions. Dies erfordert die regelmäßige Einbeziehung des Cloudgovernanceteams sowie interessierter Geschäfts- und IT-Beteiligter, um Richtlinien zu überprüfen und zu aktualisieren und die Einhaltung von Richtlinien sicherzustellen.This requires regular involvement of the cloud governance team and interested business and IT stakeholders to review and update policy and ensure policy compliance. Darüber hinaus können viele laufende Überwachungs- und Durchsetzungsprozesse automatisiert oder durch Werkzeuge ergänzt werden, um den Kontrolloverhead zu reduzieren und schneller auf Abweichungen von der Richtlinie reagieren zu können.In addition, many ongoing monitoring and enforcement processes can be automated or supplemented with tooling to reduce the overhead of governance and allow for faster response to policy deviation.

Planungs-, Prüfungs- und BerichterstellungsprozessePlanning, review, and reporting processes

Identitätsverwaltungstools bieten Funktionen und Features, die Benutzerverwaltung und Zugriffssteuerung innerhalb einer Cloudbereitstellung erheblich unterstützen.Identity management tools offer capabilities and features that greatly assist user management and access control within a cloud deployment. Sie erfordern auch gut durchdachte Prozesse und Richtlinien, um die Ziele Ihrer Organisation zu unterstützen.They also require well-considered processes and policies to support your organization's goals. Nachstehend sind eine Reihe von Beispielprozessen ausgeführt, die häufig im Rahmen der Disziplin „Identitätsbaseline“ verwendet werden.The following is a set of example processes commonly involved in the Identity Baseline discipline. Beim Planen der Prozesse, die Ihnen die fortgesetzte Aktualisierung der Identitätsrichtlinie aufgrund von geschäftlichen Änderungen und Feedback von den IT-Teams (deren Aufgabe es ist, den Governanceleitfaden in die Tat umzusetzen) erlauben, können Sie diese Beispiele als Ausgangspunkt verwenden.Use these examples as a starting point when planning the processes that will allow you to continue to update identity policy based on business change and feedback from the IT teams tasked with turning governance guidance into action.

Anfängliche Risikobewertung und Planung: Als Teil Ihrer erstmaligen Einführung der Disziplin „Identitätsbaseline“ identifizieren Sie Ihre Kerngeschäftsrisiken und Toleranzen im Zusammenhang mit der Identitätsverwaltung in der Cloud.Initial risk assessment and planning: As part of your initial adoption of the Identity Baseline discipline, identify your core business risks and tolerances related to cloud identity management. Verwenden Sie diese Informationen, um spezifische technische Risiken mit Mitgliedern Ihrer IT-Teams zu besprechen, die für die Verwaltung von Identitätsdiensten verantwortlich sind, und entwickeln Sie einen grundlegenden Satz von Sicherheitsrichtlinien zur Minimierung dieser Risiken, um Ihre erste Governancestrategie zu formulieren.Use this information to discuss specific technical risks with members of your IT teams responsible for managing identity services and develop a baseline set of security policies for mitigating these risks to establish your initial governance strategy.

Bereitstellungsplanung: Überprüfen Sie vor jeder Bereitstellung den Zugriffsbedarf für alle Workloads, und entwickeln Sie eine Zugriffssteuerungsstrategie, die auf die etablierte Corporate Identity-Richtlinie abgestimmt ist.Deployment planning: Before any deployment, review the access needs for any workloads and develop an access control strategy that aligns with established corporate identity policy. Dokumentieren Sie alle Lücken zwischen dem Bedarf und der aktuellen Richtlinie, um festzustellen, ob Aktualisierungen der Richtlinie erforderlich sind, und ändern Sie die Richtlinie bei Bedarf.Document any gaps between needs and current policy to determine whether policy updates are required, and modify policy as needed.

Bereitstellungstests: Im Rahmen der Bereitstellung ist das Cloudgovernanceteam in Zusammenarbeit mit den für Identitätsdienste zuständigen IT-Teams für die Überprüfung der Bereitstellung zur Überprüfung der Einhaltung der Identitätsrichtlinien verantwortlich.Deployment testing: As part of the deployment, the cloud governance team, in cooperation with IT teams responsible for identity services, will be responsible for reviewing the deployment to validate identity policy compliance.

Jährliche Planung: Führen Sie jährlich eine allgemeine Überprüfung der Identitätsverwaltungsstrategie durch.Annual planning: On an annual basis, perform a high-level review of identity management strategy. Untersuchen Sie geplante Änderungen an der Umgebung für Identitätsdienste und aktualisierte Cloudeinführungsstrategien, um potenzielle Risiken zu identifizieren oder aktuelle Muster der Identitätsinfrastruktur zu ändern.Explore planned changes to the identity services environment and updated cloud adoption strategies to identify potential risk increase or need to modify current identity infrastructure patterns. Nutzen Sie diese Zeit auch, um die neuesten bewährten Methoden für die Identitätsverwaltung zu überprüfen und in Ihre Richtlinien und Überprüfungsprozesse zu integrieren.Also use this time to review the latest identity management best practices and integrate these into your policies and review processes.

Vierteljährliche Planung: Führen Sie vierteljährlich eine allgemeine Überprüfung der Überwachungsdaten der Identitäts- und Zugriffssteuerung durch, und treffen Sie sich mit Cloudeinführungsteams, um potenzielle neue Risiken oder betriebliche Anforderungen zu identifizieren, die ggf. eine Aktualisierung der Identitätsrichtlinie oder Änderungen der Zugriffssteuerungsstrategie erforderlich machen.Quarterly planning: On a quarterly basis perform a general review of identity and access control audit data, and meet with the cloud adoption teams to identify any potential new risks or operational requirements that would require updates to identity policy or changes in access control strategy.

Dieser Planungsprozess ist auch ein guter Zeitpunkt, um die aktuelle Zusammensetzung Ihres Cloudgovernanceteams auf Wissenslücken im Zusammenhang mit neuen oder sich ändernden Richtlinien sowie Identitätsrisiken zu überprüfen.This planning process is also a good time to evaluate the current membership of your cloud governance team for knowledge gaps related to new or changing policy and risks related to identity. Laden Sie relevante IT-Mitarbeiter ein, an Überprüfungen und Planungen teilzunehmen, entweder als zeitlich begrenzte technische Berater oder als ständige Mitglieder Ihres Teams.Invite relevant IT staff to participate in reviews and planning as either temporary technical advisors or permanent members of your team.

Aus- und Weiterbildung: Bieten Sie zweimonatlich Trainingssitzungen an, um sicherzustellen, dass IT-Mitarbeiter und Entwickler auf dem neuesten Stand der Identitätsrichtlinien sind.Education and training: On a bimonthly basis, offer training sessions to make sure IT staff and developers are up-to-date on the latest identity policy requirements. Im Rahmen dieses Prozesses überprüfen und aktualisieren Sie alle Unterlagen, Anleitungen oder andere Trainingsmaterialien, um sicherzustellen, dass sie mit den neuesten Unternehmensrichtlinien übereinstimmen.As part of this process review and update any documentation, guidance, or other training assets to ensure they're in sync with the latest corporate policy statements.

Monatliche Überprüfungen und Berichte: Führen Sie monatlich eine Überprüfung für alle Cloudbereitstellungen durch, um sicherzustellen, dass sie weiterhin mit den Identitätsrichtlinien übereinstimmen.Monthly audit and reporting reviews: On a monthly basis, perform an audit on all cloud deployments to assure their continued alignment with identity policy. Überprüfen Sie dabei den Benutzerzugriff bei geschäftlichen Änderungen, um zu gewährleisten, dass Benutzer den erforderlichen Zugriff auf Cloudressourcen erhalten und Zugriffsstrategien wie Azure RBAC konsequent eingehalten werden.Use this review to check user access against business change to ensure users have correct access to cloud resources, and ensure access strategies such as Azure RBAC are being followed consistently. Identifizieren Sie alle privilegierten Konten und dokumentieren Sie deren Zweck.Identify any privileged accounts and document their purpose. Dieser Überprüfungsprozess erstellt einen Bericht für das Cloudstrategieteam und jedes Cloudeinführungsteam mit Details zur allgemeinen Einhaltung der Richtlinien.This review process produces a report for the cloud strategy team and each cloud adoption team detailing overall adherence to policy. Der Bericht wird außerdem für prüfungsbezogene und rechtliche Zwecke gespeichert.The report is also stored for auditing and legal purposes.

Prozesse zur fortlaufenden ÜberwachungProcesses for ongoing monitoring

Eine erfolgreiche Identitätsbaselinestrategie hängt von der Transparenz des aktuellen und vergangenen Zustands Ihrer Identitätssysteme ab.A successful Identity Baseline strategy depends on visibility into the current and past state of your identity systems. Ohne die Möglichkeit, die relevanten Metriken und Daten Ihrer Cloudbereitstellung zu analysieren, können Sie keine Veränderungen bei den Risiken und keine Verstöße gegen Ihre Risikotoleranzen erkennen.Without the ability to analyze your cloud deployment's relevant metrics and related data, you cannot identify changes in your risks or detect violations of your risk tolerances. Die oben beschriebenen laufenden Kontrollprozesse erfordern qualitativ hochwertige Daten, um sicherzustellen, dass die Richtlinie an die sich ändernden Bedürfnisse Ihres Unternehmens angepasst werden kann.The ongoing governance processes discussed above require quality data to ensure policy can be modified to support the changing needs of your business.

Stellen Sie sicher, dass Ihre IT-Teams automatisierte Überwachungssysteme für Ihre Identitätsdienste implementiert haben, die die Protokolle und Prüfungsinformationen erfassen, die Sie zur Risikobewertung benötigen.Ensure that your IT teams have implemented automated monitoring systems for your identity services that capture the logs and audit information you need to evaluate risk. Überwachen Sie diese Systeme proaktiv, um eine schnelle Erkennung und Eindämmung potenzieller Richtlinienverletzungen zu gewährleisten und sicherzustellen, dass alle Änderungen an Ihrer Identitätsinfrastruktur in Ihrer Überwachungsstrategie berücksichtigt werden.Be proactive in monitoring these systems to ensure prompt detection and mitigation of potential policy violation, and ensure any changes to your identity infrastructure are reflected in your monitoring strategy.

Auslöser bei Verstößen und DurchsetzungsmaßnahmenViolation triggers and enforcement actions

Verstöße gegen die Identitätsrichtlinie können zu unbefugtem Zugriff auf sensible Daten und schwerwiegenden Störungen unternehmenskritischer Anwendungen und Dienste führen.Violations of identity policy can result in unauthorized access to sensitive data and lead to serious disruption of mission-critical application and services. Wenn Verstöße festgestellt werden, sollten Sie so schnell wie möglich Maßnahmen ergreifen, um eine erneute Einhaltung der Richtlinien zu erreichen.When violations are detected, you should take actions to realign with policy as soon as possible. Ihr IT-Team kann die meisten Auslöser bei Verstößen mit den in der Identitätsbaseline-Toolkette beschriebenen Tools automatisieren.Your IT team can automate most violation triggers using the tools outlined in the Identity Baseline toolchain.

Die folgenden Auslöser und Durchsetzungsmaßnahmen sind Beispiele, auf die Sie bei der Planung der Verwendung von Überwachungsdaten zur Behebung von Richtlinienverstößen verweisen können:The following triggers and enforcement actions provide examples you can reference when planning how to use monitoring data to resolve policy violations:

  • Verdächtige Aktivität erkannt: Benutzeranmeldungen, die von anonymen Proxy-IP-Adressen oder unbekannten Standorten erkannt werden, oder aufeinanderfolgende Anmeldungen von unmöglich entfernten geografischen Standorten können auf eine mögliche Kontoverletzung oder einen bösartigen Zugriffsversuch hinweisen.Suspicious activity detected: User logins detected from anonymous proxy IP addresses, unfamiliar locations, or successive logins from impossibly distant geographical locations may indicate a potential account breach or malicious access attempt. Die Anmeldung wird blockiert, bis die Benutzeridentität überprüft und das Kennwort zurückgesetzt werden kann.Login will be blocked until user identity can be verified and password reset.
  • Kompromittierte Anmeldeinformationen von Benutzern: Konten, deren Benutzernamen und Kennwörter ins Internet gelangt sind, werden deaktiviert, bis die Benutzeridentität überprüft und das Kennwort zurückgesetzt werden kann.Leaked user credentials: Accounts that have their username and password leaked to the internet will be disabled until user identity can be verified and password reset.
  • Unzureichende Zugriffssteuerung erkannt: Alle geschützten Objekte, bei denen die Zugriffsbeschränkungen nicht den Sicherheitsanforderungen entsprechen, werden so lange gesperrt, bis sie die Complianceanforderungen erfüllen.Insufficient access controls detected: Any protected assets where access restrictions do not meet security requirements will have access blocked until the resource is brought into compliance.

Nächste SchritteNext steps

Verwenden Sie die Vorlage zur Disziplin „Identitätsbaseline“ zum Dokumentieren der Prozesse und Auslöser, die sich an dem aktuellen Cloudeinführungsplan orientieren.Use the Identity Baseline discipline template to document the processes and triggers that align to the current cloud adoption plan.

Anleitungen zur Ausführung von Cloudverwaltungsrichtlinien in Abstimmung mit Einführungsplänen finden Sie im Artikel über Verbesserungen von Disziplinen.For guidance on executing cloud management policies in alignment with adoption plans, see the article on discipline improvement.