Metriken, Indikatoren und Risikotoleranz für die IdentitätsbaselineIdentity baseline metrics, indicators, and risk tolerance

Lernen Sie, die Risikotoleranz von Unternehmen im Zusammenhang mit der Disziplin „Identitätsbaseline“ zu quantifizieren.Learn to quantify business risk tolerance associated with the Identity Baseline discipline. Indem Sie Metriken und Indikatoren definieren, können Sie ein Geschäftsszenario erstellen, um in die Ausgereiftheit dieser Disziplin zu investieren.Defining metrics and indicators helps to create a business case for investing in the maturity of this discipline.

MetrikenMetrics

Die Identitätsverwaltung legt den Schwerpunkt auf das Identifizieren, Authentifizieren und Autorisieren von Personen, Benutzergruppen oder automatisierten Prozessen und bietet ihnen den entsprechenden Zugriff auf Ressourcen in Ihren Cloudbereitstellungen.Identity management focuses on identifying, authenticating, and authorizing individuals, groups of users, or automated processes, and providing them appropriate access to resources in your cloud deployments. Im Rahmen der Risikoanalyse sollten Sie Daten zu Ihren Identitätsdiensten sammeln, um zu ermitteln, welches Risiko vorliegt und wie wichtig Investitionen in die Disziplin „Identitätsbaseline“ für Ihre geplanten Cloudbereitstellungen ist.As part of your risk analysis you'll want to gather data related to your identity services to determine how much risk you face, and how important investment in your Identity Baseline discipline is for your planned cloud deployments.

Es folgen Beispiele für nützliche Metriken, die Sie erfassen sollten, um die Risikotoleranz innerhalb der Disziplin „Identitätsbaseline“ zu bewerten:The following are examples of useful metrics that you should gather to help evaluate risk tolerance within the Identity Baseline discipline:

  • Größe von Identitätssystemen.Identity systems size. Die Gesamtanzahl von Benutzern, Gruppen oder anderen Objekte, die über Ihre Identitätssysteme verwaltet werden.Total number of users, groups, or other objects managed through your identity systems.
  • Gesamtgröße der Verzeichnisdienstinfrastruktur.Overall size of directory services infrastructure. Die Anzahl von Verzeichnisgesamtstrukturen, Domänen und Mandanten, die von Ihrer Organisation verwendet werden.Number of directory forests, domains, and tenants used by your organization.
  • Abhängigkeit von älteren oder lokalen Authentifizierungsmechanismen.Dependency on legacy or on-premises authentication mechanisms. Die Anzahl von Workloads, die von Legacy- oder Drittanbieter-MFA-Mechanismen (Multi-Factor Authentication, mehrstufige Authentifizierung) abhängig sind.Number of workloads that depend on legacy or third-party or multi-factor authentication mechanisms.
  • Umfang der in der Cloud bereitgestellten Verzeichnisdienste.Extent of cloud-deployed directory services. Die Anzahl von Verzeichnisgesamtstrukturen, Domänen und Mandanten, die Sie in der Cloud bereitstellen.Number of directory forests, domains, and tenants you've deployed to the cloud.
  • In der Cloud bereitgestellte Active Directory-Server.Cloud-deployed Active Directory servers. Die Anzahl von Active Directory-Servern, die in der Cloud bereitgestellt werden.Number of Active Directory servers deployed to the cloud.
  • In der Cloud bereitgestellte Organisationseinheiten.Cloud-deployed organizational units. Die Anzahl der in der Cloud bereitgestellten Active Directory-Organisationseinheiten (OUs).Number of Active Directory organizational units (OUs) deployed to the cloud.
  • Verbundumfang.Extent of federation. Die Anzahl der Identitätsverwaltungssysteme, die sich mit den Systemen Ihrer Organisation im Verbund befinden.Number of identity management systems federated with your organization's systems.
  • Benutzer mit erhöhten Rechten.Elevated users. Die Anzahl von Benutzerkonten mit erhöhten Zugriffsrechten für Ressourcen oder Verwaltungstools.Number of user accounts with elevated access to resources or management tools.
  • Verwenden rollenbasierter Zugriffssteuerung in AzureUse of Azure role-based access control. Die Anzahl von Abonnements, Ressourcengruppen oder einzelnen Ressourcen, die nicht durch die rollenbasierte Zugriffssteuerung in Azure (Azure Role-Based Access Control, Azure RBAC) über Gruppen verwaltet werden.Number of subscriptions, resource groups, or individual resources not managed through Azure role-based access control (Azure RBAC) via groups.
  • Authentifizierungsansprüche.Authentication claims. Die Anzahl erfolgreicher und fehlerhafter Versuche zur Benutzerauthentifizierung.Number of successful and failed user authentication attempts.
  • Autorisierungsansprüche.Authorization claims. Die Anzahl erfolgreicher und fehlerhafter Versuche von Benutzern, auf Ressourcen zuzugreifen.Number of successful and failed attempts by users to access resources.
  • Kompromittierte Konten.Compromised accounts. Die Anzahl von Benutzerkonten, die kompromittiert wurden.Number of user accounts that have been compromised.

RisikotoleranzindikatorenRisk tolerance indicators

Risiken im Hinblick auf die Identitätsbaseline beruhen zum größten Teil auf der Komplexität der Identitätsinfrastruktur in Ihrer Organisation.Risks related to identity baseline are largely related to the complexity of your organization's identity infrastructure. Wenn alle Ihre Benutzer und Gruppen über ein einziges Verzeichnis oder einen einzigen nativen Cloudidentitätsanbieter mit minimaler Integration in andere Dienste verwaltet werden, ist Ihre Risikostufe wahrscheinlich relativ gering.If all your users and groups are managed using a single directory or cloud-native identity provider using minimal integration with other services, your risk level will likely be small. Wenn Ihre Geschäftsanforderungen steigen, müssen Ihre Identitätsverwaltungsysteme möglicherweise kompliziertere Szenarien wie z. B. mehrere Verzeichnisse unterstützen, um Ihre interne Organisation oder den Verbund mit externen Identitätsanbietern abzubilden.As your business needs grow, your identity management systems may need to support more complicated scenarios, such as multiple directories to support your internal organization or federation with external identity providers. Mit komplexeren Systemen steigt auch das Risiko.As these systems become more complex, risk increases.

In den frühen Phasen der Cloudeinführung arbeiten Sie mit Ihrem IT-Sicherheitsteam und den Projektbeteiligten des Unternehmens zusammen, um Geschäftsrisiken im Zusammenhang mit der Identität zu identifizieren, und bestimmen anschließend eine akzeptable Baseline für die Identitätsrisikotoleranz.In the early stages of cloud adoption, work with your IT security team and business stakeholders to identify business risks related to identity, then determine an acceptable baseline for identity risk tolerance. Dieser Abschnitt des Cloud Adoption Framework enthält einige Beispiele. Die Risiken und Baselines in Ihrem Unternehmen bzw. bei Ihren Bereitstellungen weichen im Detail möglicherweise davon ab.This section of the Cloud Adoption Framework provides examples, but the detailed risks and baselines for your company or deployments may be different.

Legen Sie nach der Einigung auf eine Baseline minimale Benchmarks fest, die eine unzulässige Zunahme der identifizierten Risiken darstellen.Once you have a baseline, establish minimum benchmarks representing an unacceptable increase in your identified risks. Diese Benchmarks fungieren als Auslöser und geben an, wann Sie Maßnahmen zum Behandeln dieser Risiken ergreifen müssen.These benchmarks act as triggers for when you need to take action to address these risks. Im Folgenden wird anhand einiger Beispiele dargestellt, wie identitätsbezogene Metriken (z.B. die oben erwähnten) eine höhere Investition in die Disziplin „Identitätsbaseline“ rechtfertigen können.The following are a few examples of how identity related metrics, such as those discussed above, can justify an increased investment in the Identity Baseline discipline.

  • Trigger durch Anzahl von Benutzerkonten.User account number trigger. Ein Unternehmen mit mehr als x Benutzern, Gruppen oder anderen Objekten, die in Ihren Identitätssystemen verwaltet werden, profitieren von der Investition in die Disziplin „Identitätsbaseline“, um eine effiziente Governance für eine große Anzahl von Konten sicherzustellen.A company with more than x users, groups, or other objects managed in your identity systems could benefit from investment in the Identity Baseline discipline to ensure efficient governance over a large number of accounts.
  • Trigger durch lokale Identitätsabhängigkeiten.On-premises identity dependency trigger. Ein Unternehmen, das die Migration von Workloads zur Cloud plant, die ältere Authentifizierungsfunktionen oder mehrstufige Authentifizierung von Drittanbietern benötigen, sollten in die Disziplin „Identitätsbaseline“ investieren, um Risiken im Zusammenhang mit Refactoring oder der zusätzlichen Cloudinfrastrukturbereitstellung zu mindern.A company planning to migrate workloads to the cloud that require legacy authentication capabilities or third-party multi-factor authentication should invest in the Identity Baseline discipline to reduce risks related to refactoring or additional cloud infrastructure deployment.
  • Trigger durch komplexe Verzeichnisdienste.Directory services complexity trigger. Ein Unternehmen, das mehr als x einzelne Gesamtstrukturen, Domänen oder Verzeichnismandanten verwaltet, sollte in die Disziplin „Identitätsbaseline“ investieren, um Risiken im Zusammenhang mit der Kontoverwaltung sowie Effizienzprobleme in Bezug auf die Verteilung von Anmeldeinformationen auf mehrere Systeme zu reduzieren.A company maintaining more than x individual forests, domains, or directory tenants should invest in the Identity Baseline discipline to reduce risks related with account management and the efficiency issues related to multiple user credentials spread across multiple systems.
  • Trigger durch in der Cloud gehostete Verzeichnisdienste.Cloud-hosted directory services trigger. Ein Unternehmen, das x virtuelle Active Directory-Servercomputer (VMs) in der Cloud hostet oder x Organisationseinheiten (OUs) auf diesen cloudbasierten Servern verwaltet, kann durch die Investition in die Disziplin „Identitätsbaseline“ profitieren, um die Integration in lokale oder andere externe Identitätsdienste zu optimieren.A company hosting x Active Directory server virtual machines (VMs) hosted in the cloud, or having x organizational units (OUs) managed on these cloud-based servers, can benefit from investment in the Identity Baseline discipline to optimize integration with any on-premises or other external identity services.
  • Trigger durch Verbund.Federation trigger. Ein Unternehmen, das einen Identitätsverbund mit x externen Identitätsverwaltungsystemen implementiert, kann von einer Investition in die Disziplin „Identitätsbaseline“ profitieren, um eine konsistente, organisationsweite Richtlinie für alle Verbundmitglieder sicherzustellen.A company implementing identity federation with x external identity management systems can benefit from investing in the Identity Baseline discipline to ensure consistent organizational policy across federation members.
  • Trigger durch erhöhte Zugriffsrechte.Elevated access trigger. Ein Unternehmen, in dem mehr als x % der Benutzer erweiterte Zugriffsrechte für Verwaltungstools und Ressourcen besitzen, sollte eine Investition in die Disziplin „Identitätsbaseline“ in Betracht ziehen, um das Risiko einer unbeabsichtigten übermäßigen Zugriffsbereitstellung für Benutzer zu mindern.A company with more than x% of users with elevated permissions to management tools and resources should consider investing in the Identity Baseline discipline to minimize the risk of inadvertent overprovisioning of access to users.
  • Trigger durch Azure RBAC.Azure RBAC trigger. Ein Unternehmen, in dem weniger als x % der Ressourcen die Methoden der rollenbasierten Zugriffssteuerung in Azure verwenden, sollte eine Investition in die Disziplin „Identitätsbaseline“ in Betracht ziehen, um optimierte Möglichkeiten für die Zuweisung des Benutzerzugriffs für Ressourcen zu identifizieren.A company with less than x% of resources using Azure role-based access control methods should consider investing in the Identity Baseline discipline to identify optimized ways to assign user access to resources.
  • Trigger durch Authentifizierungsfehler.Authentication failure trigger. Ein Unternehmen, in dem bei mehr als x Prozent der Versuche Authentifizierungsfehler auftreten, sollten in die Disziplin „Identitätsbaseline“ investieren, um sicherzustellen, dass die Authentifizierungsmethoden keinen externen Angriffen ausgesetzt sind und dass sich Benutzer ordnungsgemäß authentifizieren können.A company where authentication failures represent more than x% of attempts should invest in the Identity Baseline discipline to ensure that authentication methods are not under external attack, and that users can authenticate properly.
  • Trigger durch Autorisierungsfehler.Authorization failure trigger. Ein Unternehmen, in dem Zugriffsversuche in mehr als x % der Zeit abgelehnt werden, sollten in die Disziplin „Identitätsbaseline“ investieren, um die Anwendung und Aktualisierung der Zugangssteuerung zu verbessern und potenziell böswillige Zugriffsversuche zu identifizieren.A company where access attempts are rejected more than x% of the time should invest in the Identity Baseline discipline to improve the application and updating of access controls, and identify potentially malicious access attempts.
  • Trigger durch kompromittierte Konten.Compromised account trigger. Ein Unternehmen mit mehreren kompromittierten Konten sollte in die Disziplin „Identitätsbaseline“ investieren, um sowohl die Sicherheit von Authentifizierungsmechanismen zu erhöhen als auch die Mechanismen zur Minimierung von Risiken im Zusammenhang mit kompromittierten Konten zu verbessern.A company with more than 1 compromised account should invest in the Identity Baseline discipline to improve the strength and security of authentication mechanisms and improve mechanisms to remediate risks related to compromised accounts.

Die genauen Metriken und Auslöser, die Sie zum Bemessen der Risikotoleranz verwenden, und die Höhe der Investitionen in die Disziplin „Identitätsbaseline“ sind für Ihre Organisation spezifisch. Die oben genannten Beispiele sollten jedoch eine hilfreiche Diskussionsgrundlage für Ihr Cloudgovernanceteam darstellen.The exact metrics and triggers you use to gauge risk tolerance and the level of investment in the Identity Baseline discipline will be specific to your organization, but the examples above should serve as a useful base for discussion within your cloud governance team.

Nächste SchritteNext steps

Verwenden Sie die Disziplin „Identitätsbaseline“ zum Dokumentieren der Metriken und Toleranzindikatoren, die sich an dem aktuellen Cloudeinführungsplan orientieren.Use the Identity Baseline discipline template to document metrics and tolerance indicators that align to the current cloud adoption plan.

Nutzen Sie Identitätsbaseline-Beispielrichtlinien als Ausgangspunkt für die Entwicklung eigener Richtlinien, die bestimmte Geschäftsrisiken behandeln, entsprechend Ihren Plänen für die Einführung der Cloud.Review sample Identity Baseline policies as a starting point to develop your own policies to address specific business risks aligned with your cloud adoption plans.