Identiteit beveiligen met Zero Trust

Achtergrond

Cloudtoepassingen en het mobiele personeel hebben de beveiligingsperimeter opnieuw gedefinieerd. Werknemers brengen hun eigen apparaten mee en werken op afstand. Gegevens worden geopend buiten het bedrijfsnetwerk en gedeeld met externe samenwerkers, zoals partners en leveranciers. Bedrijfstoepassingen en -gegevens worden verplaatst van on-premises naar hybride en cloudomgevingen. Organisaties kunnen niet langer vertrouwen op traditionele netwerkbesturingselementen voor beveiliging. Besturingselementen moeten worden verplaatst naar de locatie waar de gegevens zich bevinden: op apparaten, in apps en met partners.

Identiteiten, die personen, services of IoT-apparaten vertegenwoordigen, zijn de algemene overheerser in de vele netwerken, eindpunten en toepassingen van vandaag. In het Zero Trust beveiligingsmodel fungeren ze als een krachtige, flexibele en gedetailleerde manier om de toegang tot gegevens te beheren.

Voordat een identiteit toegang probeert te krijgen tot een resource, moeten organisaties het volgende doen:

  • Verifieer de identiteit met sterke verificatie.

  • Zorg ervoor dat de toegang compatibel is en typisch is voor die identiteit.

  • Volgt de minimale toegangsprincipes voor bevoegdheden.

Zodra de identiteit is geverifieerd, kunnen we de toegang van die identiteit tot resources beheren op basis van organisatiebeleid, actuele risicoanalyse en andere hulpprogramma's.

Doelstellingen voor de implementatie van identiteits-Zero Trust

Voordat de meeste organisaties het Zero Trust traject starten, is hun identiteitsbenadering problematisch omdat de on-premises id-provider in gebruik is, er geen SSO aanwezig is tussen cloud- en on-premises apps en de zichtbaarheid van identiteitsrisico's zeer beperkt is.

Wanneer u een end-to-end Zero Trust framework voor identiteit implementeert, raden we u aan om u eerst te richten op deze initiële implementatiedoelstellingen:

List icon with one checkmark.

I.Cloud-identiteit federeert met on-premises identiteitssystemen.

II.Beleid voor voorwaardelijke toegang opent toegang en biedt herstelactiviteiten.

III.Analyse verbetert de zichtbaarheid.

Nadat deze zijn voltooid, richt u zich op deze aanvullende implementatiedoelstellingen:

List icon with two checkmarks.

IV.Identiteiten en toegangsbevoegdheden worden beheerd met identiteitsbeheer.

V.User, device, location, and behavior wordt in realtime geanalyseerd om risico's te bepalen en doorlopende beveiliging te bieden.

VI.Integreer bedreigingssignalen van andere beveiligingsoplossingen om detectie, beveiliging en reactie te verbeteren.

Implementatiehandleiding voor identiteits-Zero Trust

Deze handleiding begeleidt u bij de stappen die nodig zijn om identiteiten te beheren volgens de principes van een Zero Trust beveiligingsframework.




Checklist icon with one checkmark.

Initiële implementatiedoelstellingen

I. Cloudidentiteit federeert met on-premises identiteitssystemen

Azure Active Directory (AD) maakt sterke verificatie, een integratiepunt voor eindpuntbeveiliging en de kern van uw gebruikersgericht beleid mogelijk om toegang met minimale bevoegdheden te garanderen. De mogelijkheden voor voorwaardelijke toegang van Azure AD zijn het beleidsbeslissingspunt voor toegang tot resources op basis van gebruikersidentiteit, omgeving, apparaatstatus en risico, expliciet geverifieerd op het punt van toegang. We laten zien hoe u een Zero Trust identiteitsstrategie kunt implementeren met Azure AD.

Diagram of the steps within phase 1 of the initial deployment objectives.

Verbinding maken al uw gebruikers naar Azure AD en federeren met on-premises identiteitssystemen

Door een gezonde pijplijn van de identiteiten van uw werknemers en de benodigde beveiligingsartefacten (groepen voor autorisatie en eindpunten voor extra besturingselementen voor toegangsbeleid) te onderhouden, kunt u het beste consistente identiteiten en besturingselementen in de cloud gebruiken.

Volg deze stappen:

  1. Kies een verificatieoptie. Azure AD biedt u de beste beveiliging tegen brute force, DDoS en wachtwoordspray, maar neem de beslissing die geschikt is voor uw organisatie en uw nalevingsbehoeften.

  2. Breng alleen de identiteiten mee die u absoluut nodig hebt. Gebruik bijvoorbeeld naar de cloud gaan als een kans om serviceaccounts achter te laten die alleen on-premises zinvol zijn. Laat on-premises bevoorrechte rollen achter.

  3. Als uw onderneming meer dan 100.000 gebruikers, groepen en apparaten heeft gecombineerd, bouwt u een synchronisatievak met hoge prestaties waarmee uw levenscyclus up-to-date blijft.

Uw Identity Foundation tot stand brengen met Azure AD

Voor een Zero Trust-strategie moet expliciet worden gecontroleerd met behulp van de beginselen voor toegang met minimale bevoegdheden en moet worden aangenomen dat er inbreuk is opgetreden. Azure AD kan fungeren als het beslissingspunt voor het beleid om uw toegangsbeleid af te dwingen op basis van inzichten in de gebruiker, het eindpunt, de doelresource en de omgeving.

Voer deze stap uit:

  • Plaats Azure AD in het pad van elke toegangsaanvraag. Hiermee wordt elke gebruiker en elke app of resource met elkaar verbonden via één identiteitsbeheervlak en biedt Azure AD het signaal om de best mogelijke beslissingen te nemen over het verificatie-/autorisatierisico. Bovendien bieden eenmalige aanmelding en consistente beleidsrichtlijnen een betere gebruikerservaring en dragen ze bij aan productiviteitsverbeteringen.

Al uw toepassingen integreren met Azure AD

Eenmalige aanmelding voorkomt dat gebruikers kopieën van hun referenties in verschillende apps achterlaten en helpt voorkomen dat gebruikers gewend raken aan het overgeven van hun referenties vanwege overmatig vragen.

Zorg er ook voor dat u niet meerdere IAM-engines in uw omgeving hebt. Dit vermindert niet alleen de hoeveelheid signaal die Azure AD ziet, waardoor slechte actoren in de naden tussen de twee IAM-engines kunnen leven, het kan ook leiden tot een slechte gebruikerservaring en uw zakelijke partners worden de eerste twijfelaars van uw Zero Trust strategie.

Volg deze stappen:

  1. Integreer moderne bedrijfstoepassingen die OAuth2.0 of SAML spreken.

  2. Voor Kerberos- en op formulieren gebaseerde verificatietoepassingen kunt u deze integreren met behulp van de Azure AD-toepassingsproxy.

  3. Als u uw oudere toepassingen publiceert met behulp van netwerken/controllers voor toepassingslevering, gebruikt u Azure AD om te integreren met de meeste belangrijke toepassingen (zoals Citrix, Akamai en F5).

  4. Raadpleeg resources en hulpprogramma's om uw apps te detecteren en te migreren van ADFS- en bestaande/oudere IAM-engines.

  5. Power push-identiteiten naar uw verschillende cloudtoepassingen. Dit biedt u een strakkere integratie van de identiteitslevenscyclus binnen deze apps.

Expliciet verifiëren met sterke verificatie

Volg deze stappen:

  1. Azure AD MFA (P1) implementeren. Dit is een fundamenteel onderdeel van het verminderen van gebruikerssessierisico's. Wanneer gebruikers op nieuwe apparaten en vanaf nieuwe locaties worden weergegeven, is het kunnen reageren op een MFA-uitdaging een van de meest directe manieren waarop uw gebruikers ons kunnen leren dat dit vertrouwde apparaten/locaties zijn terwijl ze over de hele wereld bewegen (zonder dat beheerders afzonderlijke signalen hoeven te parseren).

  2. Verouderde verificatie blokkeren. Een van de meest voorkomende aanvalsvectoren voor kwaadwillende actoren is het gebruik van gestolen/opnieuw afgespeelde referenties voor verouderde protocollen, zoals SMTP, die geen moderne beveiligingsuitdagingen kunnen uitvoeren.

II. Toegang tot beleid voor voorwaardelijke toegang wordt afgesloten en herstelactiviteiten worden geboden

Voorwaardelijke toegang van Azure AD (CA) analyseert signalen zoals gebruiker, apparaat en locatie om beslissingen te automatiseren en organisatietoegangsbeleid voor resources af te dwingen. U kunt CA-beleid gebruiken om toegangsbeheer toe te passen, zoals meervoudige verificatie (MFA). Met CA-beleid kunt u gebruikers vragen om MFA wanneer dat nodig is voor beveiliging en de gebruikers uit de weg blijven wanneer ze dat niet nodig hebben.

Diagram of Conditional Access policies in Zero Trust.

Microsoft biedt standaard voorwaardelijk beleid, ook wel standaardinstellingen voor beveiliging genoemd, waarmee een basisniveau van beveiliging wordt gegarandeerd. Uw organisatie heeft echter mogelijk meer flexibiliteit nodig dan de standaardinstellingen voor beveiliging. U kunt voorwaardelijke toegang gebruiken om standaardinstellingen voor beveiliging aan te passen met meer granulariteit en om nieuwe beleidsregels te configureren die voldoen aan uw vereisten.

Het vooraf plannen van uw beleid voor voorwaardelijke toegang en het hebben van een set actief en terugvalbeleid is een fundamentele pijler van het afdwingen van toegangsbeleid in een Zero Trust implementatie. Neem de tijd om uw vertrouwde IP-locaties in uw omgeving te configureren. Zelfs als u ze niet gebruikt in een beleid voor voorwaardelijke toegang, geeft het configureren van deze IP-adressen het risico op identiteitsbeveiliging zoals hierboven vermeld.

Voer deze stap uit:

Apparaten registreren bij Azure AD om de toegang vanaf kwetsbare en aangetaste apparaten te beperken

Volg deze stappen:

  1. Azure AD Hybrid Join of Azure AD Join inschakelen. Als u de laptop/computer van de gebruiker beheert, brengt u die informatie naar Azure AD en gebruikt u deze om betere beslissingen te nemen. U kunt er bijvoorbeeld voor kiezen om uitgebreide clienttoegang tot gegevens toe te staan (clients met offlinekopieën op de computer) als u weet dat de gebruiker afkomstig is van een computer die uw organisatie beheert en beheert. Als u dit niet binnenkomt, zult u er waarschijnlijk voor kiezen om de toegang van uitgebreide clients te blokkeren, wat ertoe kan leiden dat uw gebruikers uw beveiliging omzeilen of schaduw-IT gebruiken.

  2. Schakel de Intune-service in Microsoft Endpoint Manager (EMS) in om de mobiele apparaten van uw gebruikers te beheren en apparaten in te schrijven. Hetzelfde kan worden gezegd over mobiele apparaten van gebruikers als over laptops: hoe meer u er over weet (patchniveau, gekraakt, geroot, enzovoort), hoe meer u ze kunt vertrouwen of vertrouwen en een reden kunt geven waarom u toegang blokkeert/toestaat.

III. Analyse verbetert de zichtbaarheid

Wanneer u uw estate in Azure AD bouwt met verificatie, autorisatie en inrichting, is het belangrijk om sterke operationele inzichten te hebben in wat er in de directory gebeurt.

Uw logboekregistratie en rapportage configureren om de zichtbaarheid te verbeteren

Voer deze stap uit:




Checklist icon with two checkmarks.

Aanvullende implementatiedoelstellingen

IV. Identiteiten en toegangsbevoegdheden worden beheerd met identiteitsbeheer

Zodra u de eerste drie doelstellingen hebt bereikt, kunt u zich richten op aanvullende doelstellingen, zoals krachtiger identiteitsbeheer.

Diagram of the steps within phase 4 of the additional deployment objectives.

Bevoegde toegang beveiligen met Privileged Identity Management

Beheer de eindpunten, voorwaarden en referenties die gebruikers gebruiken voor toegang tot bevoegde bewerkingen/rollen.

Volg deze stappen:

  1. Neem de controle over uw bevoegde identiteiten. Houd er rekening mee dat in een digitaal getransformeerde organisatie bevoegde toegang niet alleen beheerderstoegang is, maar ook toegang van toepassingseigenaars of ontwikkelaars die de manier wijzigen waarop uw bedrijfskritische apps gegevens uitvoeren en verwerken.

  2. Gebruik Privileged Identity Management om bevoegde identiteiten te beveiligen.

Gebruikerstoestemming voor toepassingen is een veelgebruikte manier voor moderne toepassingen om toegang te krijgen tot organisatieresources, maar er zijn enkele aanbevolen procedures waarmee u rekening moet houden.

Volg deze stappen:

  1. Beperk gebruikerstoestemming en beheer toestemmingsaanvragen om ervoor te zorgen dat de gegevens van uw organisatie niet onnodig worden blootgesteld aan apps.

  2. Controleer de voorafgaande/bestaande toestemming in uw organisatie op overmatige of schadelijke toestemming.

Zie 'Beveiliging versterken tegen cyberbedreigingen en malafide apps' in onze handleiding voor het implementeren van een identiteit Zero Trust strategie voor meer informatie over hulpprogramma's om te beschermen tegen tactieken om toegang te krijgen tot gevoelige informatie.

Rechten beheren

Met toepassingen die centraal worden geverifieerd en gedreven vanuit Azure AD, kunt u nu uw toegangsaanvraag, goedkeurings- en hercertificeringsproces stroomlijnen om ervoor te zorgen dat de juiste personen de juiste toegang hebben en dat u een spoor hebt van waarom gebruikers in uw organisatie de toegang hebben die ze hebben.

Volg deze stappen:

  1. Gebruik Rechtenbeheer om toegangspakketten te maken die gebruikers kunnen aanvragen wanneer ze deelnemen aan verschillende teams/projecten en waarmee ze toegang krijgen tot de bijbehorende resources (zoals toepassingen, SharePoint sites, groepslidmaatschappen).

  2. Als het implementeren van rechtenbeheer op dit moment niet mogelijk is voor uw organisatie, schakelt u in ieder geval selfserviceparadigma's in uw organisatie in door selfservicegroepsbeheer en selfservicetoepassingstoegang te implementeren.

Verificatie zonder wachtwoord gebruiken om het risico op phishing- en wachtwoordaanvallen te verminderen

Met Azure AD-ondersteuning voor FIDO 2.0 en wachtwoordloze telefoonaanmelding kunt u de naald verplaatsen op de referenties die uw gebruikers (met name gevoelige/bevoegde gebruikers) dagelijks gebruiken. Deze referenties zijn sterke verificatiefactoren die ook risico's kunnen beperken.

Voer deze stap uit:

V. Gebruiker, apparaat, locatie en gedrag worden in realtime geanalyseerd om risico's te bepalen en doorlopende beveiliging te bieden

Realtime analyse is essentieel voor het bepalen van risico's en beveiliging.

Diagram of the steps within phase 5 of the additional deployment objectives.

Azure AD-wachtwoordbeveiliging implementeren

Terwijl u andere methoden inschakelt om gebruikers expliciet te verifiëren, moet u zwakke wachtwoorden, wachtwoordspray en schendingsherhalingsaanvallen niet negeren. En klassiek complex wachtwoordbeleid voorkomt niet de meest voorkomende wachtwoordaanvallen.

Voer deze stap uit:

Identiteitsbeveiliging inschakelen

Krijg een gedetailleerder sessie-/gebruikersrisicosignaal met Identity Protection. U kunt risico's onderzoeken en het compromis bevestigen of het signaal sluiten, waardoor de engine beter begrijpt hoe risico er in uw omgeving uitziet.

Voer deze stap uit:

Integratie van Microsoft Defender for Cloud Apps met Identity Protection inschakelen

Microsoft Defender for Cloud Apps bewaakt het gebruikersgedrag binnen SaaS en moderne toepassingen. Dit informeert Azure AD over wat er met de gebruiker is gebeurd nadat deze een token heeft geverifieerd en ontvangen. Als het gebruikerspatroon er verdacht uitziet (bijvoorbeeld als een gebruiker gigabytes aan gegevens begint te downloaden van OneDrive of spam-e-mails begint te verzenden in Exchange Online), kan er een signaal naar Azure AD worden verzonden waarin wordt gemeld dat de gebruiker is gecompromitteerd of een hoog risico lijkt te hebben. Bij de volgende toegangsaanvraag van deze gebruiker kan Azure AD op de juiste manier actie ondernemen om de gebruiker te verifiëren of te blokkeren.

Voer deze stap uit:

Integratie van voorwaardelijke toegang met Microsoft Defender for Cloud Apps inschakelen

Met behulp van signalen die worden verzonden na verificatie en met Defender voor Cloud Apps-proxyaanvragen naar toepassingen, kunt u sessies controleren die naar SaaS-toepassingen gaan en beperkingen afdwingen.

Volg deze stappen:

  1. Integratie van voorwaardelijke toegang inschakelen.

  2. Voorwaardelijke toegang uitbreiden naar on-premises apps.

Beperkte sessie inschakelen voor gebruik in toegangsbeslissingen

Wanneer het risico van een gebruiker laag is, maar ze zich aanmelden vanaf een onbekend eindpunt, wilt u ze mogelijk toegang geven tot kritieke resources, maar niet toestaan dat ze dingen doen waardoor uw organisatie niet compatibel is. U kunt nu Exchange Online en SharePoint Online configureren om de gebruiker een beperkte sessie te bieden waarmee ze e-mailberichten kunnen lezen of bestanden kunnen bekijken, maar deze niet kunnen downloaden en opslaan op een niet-vertrouwd apparaat.

Voer deze stap uit:

VI. Bedreigingssignalen van andere beveiligingsoplossingen integreren om detectie, beveiliging en reactie te verbeteren

Ten slotte kunnen andere beveiligingsoplossingen worden geïntegreerd voor een grotere effectiviteit.

Microsoft Defender for Identity integreren met Microsoft Defender for Cloud Apps

Dankzij integratie met Microsoft Defender for Identity kan Azure AD weten dat een gebruiker riskant gedrag vertoont tijdens het openen van on-premises, niet-moderne resources (zoals bestandsshares). Dit kan vervolgens worden meegenomen in het algemene gebruikersrisico om verdere toegang in de cloud te blokkeren.

Volg deze stappen:

  1. Schakel Microsoft Defender for Identity met Microsoft Defender for Cloud Apps in om on-premises signalen in het risicosignaal te brengen dat we over de gebruiker kennen.

  2. Controleer de gecombineerde onderzoeksprioriteitsscore voor elke gebruiker die risico lopen om een holistische weergave te geven van de gebruikers waarop uw SOC zich moet richten.

Microsoft Defender voor Eindpunt inschakelen

met Microsoft Defender voor Eindpunt kunt u de status van Windows machines controleren en bepalen of ze een inbreuk ondergaan. U kunt die informatie vervolgens invoeren om risico's tijdens runtime te beperken. Terwijl domeindeelname u een gevoel van controle geeft, kunt u met Defender voor Eindpunt vrijwel in realtime reageren op een malware-aanval door patronen te detecteren waarbij meerdere gebruikersapparaten onbetrouwbare sites raken en om te reageren door hun apparaat-/gebruikersrisico tijdens runtime te verhogen.

Voer deze stap uit:

Producten die in deze handleiding worden behandeld

Microsoft Azure

Azure Active Directory

Microsoft Defender for Identity

Microsoft 365

Microsoft Endpoint Manager (inclusief Microsoft Intune)

Microsoft Defender voor Eindpunt

SharePoint Online

Exchange Online

Conclusie

Identiteit staat centraal in een succesvolle Zero Trust strategie. Neem voor meer informatie of hulp bij de implementatie contact op met uw klantsuccesteam of lees verder in de andere hoofdstukken van deze handleiding, die alle Zero Trust pijlers beslaan.



De reeks Zero Trust-implementatiehandleiding

Icon for the introduction

Icon for identity

Icon for endpoints

Icon for applications

Icon for data

Icon for infrastructure

Icon for networks

Icon for visibility, automation, orchestration