Beispiele für Richtlinienanweisungen der IdentitätsbaselineIdentity Baseline sample policy statements

Einzelne Cloudrichtlinienanweisungen sind Anleitungen für den Umgang mit bestimmten Risiken, die während Ihres Risikobewertungsprozesses identifiziert wurden.Individual cloud policy statements are guidelines for addressing specific risks identified during your risk assessment process. Diese Anweisungen sollten eine präzise Zusammenfassung der Risiken sowie der Pläne für den Umgang mit diesen bereitstellen.These statements should provide a concise summary of risks and plans to deal with them. Jede Anweisungsdefinition sollte diese Informationen enthalten:Each statement definition should include these pieces of information:

  • Technisches Risiko: Eine Zusammenfassung des Risikos, das diese Richtlinie behandelt.Technical risk: A summary of the risk this policy will address.
  • Richtlinienanweisung: Eine klare, zusammenfassende Erläuterung der Richtlinienanforderungen.Policy statement: A clear summary explanation of the policy requirements.
  • Entwurfsoptionen: Direkt umsetzbare Empfehlungen, Spezifikationen oder andere Anleitungen, die IT-Teams und Entwickler bei der Implementierung der Richtlinie verwenden können.Design options: Actionable recommendations, specifications, or other guidance that IT teams and developers can use when implementing the policy.

Die folgende Beispielrichtlinienanweisungen beziehen sich auf allgemeine identitätsbezogene Geschäftsrisiken.The following sample policy statements address common identity-related business risks. Diese Anweisungen sind Beispiele, auf die Sie sich beim Entwurf von Richtlinienanweisungen beziehen können, um die Anforderungen Ihres Unternehmens zu erfüllen.These statements are examples you can reference when drafting policy statements to address your organization's needs. Diese Beispiele sind nicht restriktiv gemeint, und es gibt immer potenziell mehrere Richtlinienoptionen für den Umgang mit jedem identifizierten Risiko.These examples are not meant to be proscriptive, and there are potentially several policy options for dealing with each identified risk. Arbeiten Sie eng mit den Geschäfts- und IT-Teams zusammen, um die besten Richtlinien für Ihre spezielle Risikogruppe zu identifizieren.Work closely with business and IT teams to identify the best policies for your unique set of risks.

Fehlende ZugriffssteuerungLack of access controls

Technisches Risiko: Unzureichende oder Ad-hoc-Zugriffssteuerungseinstellungen können das Risiko eines nicht autorisierten Zugriffs auf sensible oder unternehmenskritische Ressourcen bergen.Technical risk: Insufficient or ad hoc access control settings can introduce risk of unauthorized access to sensitive or mission-critical resources.

Richtlinienanweisung: Alle in der Cloud bereitgestellten Ressourcen sollten mit Identitäten und Rollen kontrolliert werden, die von aktuellen Governancerichtlinien genehmigt werden.Policy statement: All assets deployed to the cloud should be controlled using identities and roles approved by current governance policies.

Potenzielle Entwurfsoptionen: Der bedingte Azure Active Directory-Zugriff ist der Standardmechanismus für die Zugriffssteuerung in Azure.Potential design options: Azure Active Directory Conditional Access is the default access control mechanism in Azure.

Überdimensionierter ZugriffOverprovisioned access

Technisches Risiko: Wenn Benutzer und Gruppen die Kontrolle über Ressourcen außerhalb ihres Zuständigkeitsbereichs haben, kann dies zu nicht autorisierten Änderungen mit daraus resultierenden Ausfällen oder Sicherheitsrisiken führen.Technical risk: Users and groups with control over resources beyond their area of responsibility can result in unauthorized modifications leading to outages or security vulnerabilities.

Richtlinienanweisung: Die folgenden Richtlinien werden implementiert:Policy statement: The following policies will be implemented:

  • Das Zugriffsmodell der geringsten Rechte wird auf alle Ressourcen angewandt, die für unternehmenskritische Anwendungen oder geschützte Daten verwendet werden.A least-privilege access model will be applied to any resources involved in mission-critical applications or protected data.
  • Erhöhte Berechtigungen müssen eine Ausnahme bleiben, und solche Ausnahmen müssen vom Cloudgovernanceteam erfasst werden.Elevated permissions should be an exception, and any such exceptions must be recorded with the cloud governance team. Ausnahmen werden regelmäßig überwacht.Exceptions will be audited regularly.

Potenzielle Entwurfsoptionen: Machen Sie sich mit den bewährten Methoden für die Azure-Identitätsverwaltung vertraut, um eine rollenbasierte Zugriffssteuerung in Azure (Azure Role-Based Access Control, Azure RBAC) zu implementieren, über die der Zugriff basierend auf den Sicherheitsprinzipien Need-to-Know und geringste Rechte beschränkt wird.Potential design options: Consult the Azure identity management best practices to implement an Azure role-based access control (Azure RBAC) strategy that restricts access based on the need to know and least-privilege security principles.

Fehlende freigegebene Verwaltungskonten zwischen dem lokalen System und der CloudLack of shared management accounts between on-premises and the cloud

Technisches Risiko: Mitarbeiter in der IT-Verwaltung oder Administration mit Konten in Ihrer lokalen Active Directory-Instanz verfügen möglicherweise nicht über ausreichende Zugriffsberechtigungen für Cloudressourcen und können Betriebs- oder Sicherheitsprobleme unter Umständen nicht effizient beheben.Technical risk: IT management or administrative staff with accounts on your on-premises Active Directory may not have sufficient access to cloud resources might not be able to efficiently resolve operational or security issues.

Richtlinienanweisung: Alle Gruppen in der lokalen Active Directory-Infrastruktur mit erhöhten Rechten sollten einer genehmigten Azure-Rolle zugeordnet werden.Policy statement: All groups in the on-premises Active Directory infrastructure that have elevated privileges should be mapped to an approved Azure role.

Potenzielle Entwurfsoptionen: Implementieren Sie eine Hybrididentitätslösung zwischen der cloudbasierten Azure Active Directory-Instanz und der lokalen Azure Active Directory-Instanz, und fügen Sie die entsprechenden lokalen Gruppen den für ihre Aufgaben erforderlichen Azure-Rollen zu.Potential design options: Implement a hybrid identity solution between your cloud-based Azure Active Directory and your on-premises Active Directory, and add the required on-premises groups to the Azure roles necessary to do their work.

Schwache AuthentifizierungsmechanismenWeak authentication mechanisms

Technisches Risiko: Identitätsverwaltungssysteme mit unzureichend sicheren Methoden der Benutzerauthentifizierung, z.B. einfache Kombinationen von Benutzer und Kennwort, können zu kompromittierten oder gehackten Kennwörtern führen und ein erhebliches Risiko eines nicht autorisierten Zugriffs auf sichere Cloudsysteme bergen.Technical risk: Identity management systems with insufficiently secure user authentication methods, such as basic user/password combinations, can lead to compromised or hacked passwords, providing a major risk of unauthorized access to secure cloud systems.

Richtlinienanweisung: Für alle Konten muss die Anmeldung bei gesicherten Ressourcen über eine Methode der mehrstufigen Authentifizierung erfolgen.Policy statement: All accounts are required to sign in to secured resources using a multi-factor authentication method.

Potenzielle Entwurfsoptionen: Implementieren Sie für Azure Active Directory Azure Multi-Factor Authentication als Teil des Prozesses zur Benutzerautorisierung.Potential design options: For Azure Active Directory, implement Azure Multi-Factor Authentication as part of your user authorization process.

Isolierte IdentitätsanbieterIsolated identity providers

Technisches Risiko: Inkompatible Identitätsanbieter können dazu führen, dass Ressourcen oder Dienste nicht für Kunden oder andere Geschäftspartner freigegeben werden können.Technical risk: Incompatible identity providers can result in the inability to share resources or services with customers or other business partners.

Richtlinienanweisung: Die Bereitstellung von Anwendungen, für die eine Kundenauthentifizierung erforderlich ist, erfordert einen genehmigten Identitätsanbieter, der mit dem primären Identitätsanbieter für interne Benutzer kompatibel ist.Policy statement: Deployment of any applications that require customer authentication must use an approved identity provider that is compatible with the primary identity provider for internal users.

Potenzielle Entwurfsoptionen: Implementieren Sie einen Verbund mit Azure Active Directory zwischen Ihren internen Identitätsanbietern und den Identitätsanbietern von Kunden, oder nutzen Sie Azure Active Directory B2B.Potential design options: Implement federation with Azure Active Directory between your internal and customer identity providers or use Azure Active Directory B2B

IdentitätsüberprüfungenIdentity reviews

Technisches Risiko: Im Zuge geschäftlicher Veränderungen können neu hinzugefügte Cloudbereitstellungen oder andere Sicherheitsaspekte das Risiko nicht autorisierter Zugriffe auf geschützte Ressourcen erhöhen.Technical risk: As business changes over time, the addition of new cloud deployments or other security concerns can increase the risks of unauthorized access to secure resources.

Richtlinienanweisung: Cloudgovernanceprozesse müssen vierteljährliche Überprüfungen durch Identitätsverwaltungsteams umfassen, um böswillige Akteure oder Nutzungsmuster zu identifizieren, die durch die Cloudressourcenkonfiguration verhindert werden sollten.Policy statement: Cloud governance processes must include quarterly review with identity management teams to identify malicious actors or usage patterns that should be prevented by cloud asset configuration.

Potenzielle Entwurfsoptionen: Beraumen Sie ein vierteljährlich Meeting zur Sicherheitsüberprüfung an, an dem Governanceteammitglieder und IT-Mitarbeiter teilnehmen, die für die Verwaltung von Identitätsdiensten verantwortlich sind.Potential design options: Establish a quarterly security review meeting that includes both governance team members and IT staff responsible for managing identity services. Überprüfen Sie vorhandene Sicherheitsdaten und Metriken, um Lücken in der aktuellen Richtlinie und den Tools zur Identitätsverwaltung zu ermitteln, und aktualisieren Sie die Richtlinie, um alle neuen Risiken zu verringern.Review existing security data and metrics to establish gaps in current identity management policy and tooling, and update policy to remediate any new risks.

Nächste SchritteNext steps

Verwenden Sie die in diesem Artikel erwähnten Beispiele als Ausgangspunkt für die Entwicklung von Richtlinien, um bestimmte Geschäftsrisiken zu behandeln, die Ihren Plänen für die Einführung der Cloud entsprechen.Use the samples mentioned in this article as a starting point for developing policies to address specific business risks that align with your cloud adoption plans.

Wenn Sie mit der Entwicklung Ihrer eigenen, benutzerdefinierten Richtlinienanweisungen für die Identitätsbaseline beginnen möchten, laden Sie die Vorlage zur Disziplin „Identitätsbaseline“ herunter.To begin developing your own custom Identity Baseline policy statements, download the Identity Baseline discipline template.

Um die Einführung dieser Disziplin zu beschleunigen, wählen Sie den umsetzbaren Governanceleitfaden aus, der am besten zu Ihrer Umgebung passt.To accelerate adoption of this discipline, choose the actionable governance guide that most closely aligns with your environment. Ändern Sie dann den Entwurf, um Ihre speziellen Entscheidungen für Unternehmensrichtlinien zu integrieren.Then modify the design to incorporate your specific corporate policy decisions.

Erstellen Sie anhand der Risiken und Toleranzen einen Prozess, mit dem Sie die Einhaltung der Richtlinie für die Identitätsbaseline steuern und kommunizieren.Building on risks and tolerance, establish a process for governing and communicating Identity Baseline policy adherence.