Identiteit beveiligen met Zero Trust

  • Artikel
  • 12 minuten om te lezen

Achtergrond

Cloudtoepassingen en het mobiele personeel hebben de beveiligingsperimeter opnieuw gedefinieerd. Werknemers brengen hun eigen apparaten mee en werken op afstand. Gegevens worden buiten het bedrijfsnetwerk gebruikt en worden gedeeld met externe medewerkers, zoals partners en leveranciers. Bedrijfstoepassingen en -gegevens gaan van on-premises naar hybride omgevingen en cloudomgevingen. Organisaties kunnen niet langer vertrouwen op traditionele netwerkbesturingselementen voor beveiliging. Besturingselementen moeten worden verplaatst naar de plaats waar de gegevens zich vinden: op apparaten, in apps en met partners.

Identiteiten, die personen, services of IoT-apparaten vertegenwoordigen, zijn de gemeenschappelijke dominator in de vele netwerken,eindpunten en toepassingen van vandaag. In het beveiligingsmodel Zero Trust werken ze als een krachtige, flexibele en gedetailleerde manier om toegang tot gegevens te bepalen.

Voordat een identiteit toegang probeert te krijgen tot een resource, moeten organisaties het volgende doen:

  • Controleer de identiteit met sterke verificatie.

  • Zorg ervoor dat toegang compatibel is en typisch is voor die identiteit.

  • Volgt de minst bevoorrechte toegangsprincipes.

Nadat de identiteit is geverifieerd, kunnen we de toegang van die identiteit tot resources beheren op basis van organisatiebeleid, risicoanalyse en andere hulpmiddelen.

Implementatiedoelstellingen van Identity Zero Trust

Voordat de meeste organisaties de Zero Trust-reisstarten, is hun benadering van identiteit problematisch omdat de on-premises identiteitsprovider wordt gebruikt, er geen SSO aanwezig is tussen cloud- en on-premises apps en de zichtbaarheid van identiteitsrisico's zeer beperkt is.

Wanneer u een end-to-end Zero Trust-framework voor identiteit implementeert, raden we u aan eerst de focus te leggen op deze eerste implementatiedoelstellingen:

Lijstpictogram met één vinkje.

I.Cloudidentiteit wordt federatief met on-premises identiteitssystemen.

II.Beleid voor voorwaardelijke toegang toegang tot toegang en herstelactiviteiten bieden.

III.Analyse verbetert de zichtbaarheid.

Nadat deze zijn voltooid, richt u zich op deze extra implementatiedoelstellingen:

Lijstpictogram met twee vinkjes.

IV.Identiteiten en toegangsbevoegdheden worden beheerd met identiteitsbeheer.

V.Gebruiker, apparaat, locatie en gedrag worden in realtime geanalyseerd om risico's te bepalen en permanente beveiliging te bieden.

VI.Integreer bedreigingssignalen van andere beveiligingsoplossingen om detectie, beveiliging en reactie te verbeteren.

Implementatiehandleiding identiteit nul vertrouwen

In deze handleiding wordt u begeleid door de stappen die nodig zijn voor het beheren van identiteiten volgens de principes van een Zero Trust-beveiligingskader.




Controlelijstpictogram met één vinkje.

Eerste implementatiedoelstellingen

I. Cloudidentiteit federeert met on-premises identiteitssystemen

Azure Active Directory (AD) maakt sterke verificatie, een integratiepunt voor eindpuntbeveiliging en de kern van uw gebruikersgerichte beleid mogelijk om de minst bevoorrechte toegang te garanderen. De voorwaardelijke toegangsmogelijkheden van Azure AD zijn het beleidsbesluitpunt voor toegang tot resources op basis van gebruikersidentiteit, omgeving, apparaattoestand en risico, die expliciet worden geverifieerd op het moment van toegang. We laten zien hoe u een identiteitsstrategie voor Zero Trust kunt implementeren met Azure AD.

Diagram van de stappen binnen fase 1 van de eerste implementatiedoelstellingen.

Verbinding maken al uw gebruikers naar Azure AD en federeren met on-premises identiteitssystemen

Door een gezonde pijplijn van de identiteiten van uw werknemers en de benodigde beveiligingsartefacten (groepen voor autorisatie en eindpunten voor extra toegangsbeleidsbesturingselementen) te behouden, bent u op de beste plaats om consistente identiteiten en besturingselementen in de cloud te gebruiken.

Volg deze stappen:

  1. Kies een verificatieoptie. Azure AD biedt u de beste bescherming tegen brute force, DDoS en password-besproeiing, maar maak de juiste beslissing voor uw organisatie en uw compliancebehoeften.

  2. Breng alleen de identiteiten mee die u absoluut nodig hebt. Gebruik bijvoorbeeld naar de cloud gaan als een mogelijkheid om serviceaccounts achter te laten die alleen on-premises zinvol zijn. Laat on-premises bevoorrechte rollen achter.

  3. Als uw bedrijf meer dan 100.000 gebruikers, groepen en apparaten samen heeft, maakt u een synchronisatievak met hoge prestaties dat uw levenscyclus up-to-date houdt.

Uw Identiteitsstichting vestigen met Azure AD

Voor een Zero Trust-strategie moet expliciet worden geverifieerd, met behulp van de minst bevoorrechte toegangsprincipes, en moet een inbreuk worden aangenomen. Azure AD kan fungeren als beleidsbeslissingspunt om uw toegangsbeleid af te dwingen op basis van inzichten over de gebruiker, het eindpunt, de doelresource en de omgeving.

Ga als volgende stap te werk:

  • Zet Azure AD in het pad van elke toegangsaanvraag. Hiermee wordt elke gebruiker en elke app of resource verbonden via één identiteitsbesturingselement en krijgt Azure AD het signaal om de best mogelijke beslissingen te nemen over het verificatie-/autorisatierisico. Bovendien bieden enkele aanmeldings- en consistente beleidsbeveiligers een betere gebruikerservaring en dragen ze bij aan productiviteitswinst.

Al uw toepassingen integreren met Azure AD

Met één aanmelding voorkomt u dat gebruikers kopieën van hun referenties achterlaten in verschillende apps en voorkomt u dat gebruikers gewend zijn hun referenties op te geven vanwege te veel gevraagde informatie.

Zorg er ook voor dat u niet meerdere IAM-engines in uw omgeving hebt. Dit vermindert niet alleen de hoeveelheid signaal die Azure AD ziet, waardoor slechte spelers in de naden tussen de twee IAM-engines kunnen leven, maar het kan ook leiden tot slechte gebruikerservaring en dat uw zakelijke partners de eerste twijfelaars van uw Zero Trust-strategie worden.

Volg deze stappen:

  1. Integreer moderne bedrijfstoepassingen die OAuth2.0 of SAML spreken.

  2. Voor Kerberos- en formuliergebaseerde auth-toepassingen kunt u deze integreren met behulp van de Azure AD Application Proxy.

  3. Als u uw oudere toepassingen publiceert met behulp van toepassingsleveringsnetwerken/-controllers, gebruikt u Azure AD om te integreren met de meeste belangrijke toepassingen (zoals Citrix, Akamai en F5).

  4. Als u uw apps wilt ontdekken en migreren van ADFS en bestaande/oudere IAM-engines, bekijkt u resources en hulpprogramma's.

  5. Push-identiteiten in uw verschillende cloudtoepassingen. Dit geeft u een strakkere integratie van de levenscyclus van identiteiten in die apps.

Tip

Meer informatie over het implementeren van een end-to-end Zero Trust-strategie voor toepassingen.

Expliciet verifiëren met sterke verificatie

Volg deze stappen:

  1. Azure AD MFA (P1) implementeren. Dit is een grondvestig onderdeel van het beperken van het sessierisico voor gebruikers. Aangezien gebruikers worden weergegeven op nieuwe apparaten en vanaf nieuwe locaties, is het kunnen reageren op een MFA-uitdaging een van de meest directe manieren waarop uw gebruikers ons kunnen leren dat dit vertrouwde apparaten/locaties zijn terwijl ze over de hele wereld bewegen (zonder dat beheerders afzonderlijke signalen parseren).

  2. Oudere verificatie blokkeren. Een van de meest voorkomende aanvalsvectoren voor kwaadwillende spelers is het gebruik van gestolen/opnieuw afgespeelde referenties tegen oudere protocollen, zoals SMTP, die moderne beveiligingsuitdagingen niet kunnen doen.

II. Toegang tot toegang tot beleid voor voorwaardelijke toegang en herstelactiviteiten bieden

Azure AD Conditional Access (CA) analyseert signalen zoals gebruiker, apparaat en locatie om beslissingen te automatiseren en organisatietoegangsbeleid voor resource af te dwingen. U kunt CA-beleid gebruiken om toegangsbesturingselementen toe te passen, zoals meervoudige verificatie (MFA). Met CA-beleid kunt u gebruikers vragen om MFA wanneer dat nodig is voor beveiliging en gebruikers niet in de weg staan wanneer dat niet nodig is.

Diagram van beleidsregels voor voorwaardelijke toegang in Zero Trust.

Microsoft biedt standaard voorwaardelijke beleidsregels genaamd beveiligingsstandaarden die een basisniveau van beveiliging garanderen. Het is echter mogelijk dat uw organisatie meer flexibiliteit nodig heeft dan standaardaanbiedingen voor beveiliging. U kunt Voorwaardelijke toegang gebruiken om beveiligings defaults met meer granulariteit aan te passen en nieuwe beleidsregels te configureren die aan uw vereisten voldoen.

Het vooraf plannen van uw beleid voor voorwaardelijke toegang en het hebben van een reeks actieve en terugvalbeleidsregels is een basispijler van uw Access-beleid in een Zero Trust-implementatie. Neem de tijd om uw vertrouwde IP-locaties in uw omgeving te configureren. Zelfs als u deze niet gebruikt in een beleid voor voorwaardelijke toegang, geeft het configureren van deze IP's het risico van de hierboven genoemde identiteitsbeveiliging aan.

Ga als volgende stap te werk:

Apparaten registreren met Azure AD om de toegang van kwetsbare en gecompromitteerde apparaten te beperken

Volg deze stappen:

  1. Azure AD Hybrid Join of Azure AD Join inschakelen. Als u de laptop/computer van de gebruiker beheert, brengt u die informatie naar Azure AD en gebruikt u deze om betere beslissingen te nemen. U kunt er bijvoorbeeld voor kiezen om uitgebreide clienttoegang toe te staan tot gegevens (clients met offlinekopien op de computer) als u weet dat de gebruiker afkomstig is van een computer die door uw organisatie wordt bestuurd en beheert. Als u dit niet binnen brengt, kiest u er waarschijnlijk voor om de toegang van rijke clients te blokkeren, wat kan leiden tot het werken met uw gebruikers rond uw beveiliging of het gebruik van schaduw-IT.

  2. Schakel de Intune-service binnen Microsoft Endpoint Manager (EMS) in voor het beheren van de mobiele apparaten van uw gebruikers en het registreren van apparaten. Hetzelfde kan worden gezegd over mobiele apparaten van gebruikers als over laptops: Hoe meer u weet over deze apparaten (patchniveau, jailbroken, geroot, enzovoort), hoe meer u ze kunt vertrouwen of wantrouwen en waarom u toegang blokkeert/toestaat.

Tip

Meer informatie over het implementeren van een end-to-end Zero Trust-strategie voor eindpunten

III. Analyse verbetert de zichtbaarheid

Terwijl u uw domein in Azure AD maakt met verificatie, autorisatie en inrichting, is het belangrijk om sterke operationele inzichten te hebben in wat er gebeurt in de adreslijst.

Uw logboekregistratie en rapportage configureren om de zichtbaarheid te verbeteren

Ga als volgende stap te werk:

  • Plan een Azure AD-rapportage- en monitoring-implementatie om logboeken uit Azure AD te kunnen aanhouden en analyseren, hetzij in Azure, hetzij met behulp van een SIEM-systeem naar keuze.




Controlelijstpictogram met twee vinkjes.

Aanvullende implementatiedoelstellingen

IV. Identiteiten en toegangsbevoegdheden worden beheerd met identiteitsbeheer

Nadat u de eerste drie doelstellingen hebt bereikt, kunt u zich richten op extra doelstellingen, zoals een krachtiger identiteitsbeheer.

Diagram van de stappen binnen fase 4 van de aanvullende implementatiedoelstellingen.

Beveiligde bevoorrechte toegang met Privileged Identity Management

Beheer de eindpunten, voorwaarden en referenties die gebruikers gebruiken voor toegang tot bevoorrechte bewerkingen/rollen.

Volg deze stappen:

  1. Neem de controle over uw bevoorrechte identiteiten. Houd er rekening mee dat in een digitaal getransformeerde organisatie niet alleen beheerderstoegang is, maar ook toegang van de eigenaar van toepassingen of ontwikkelaars die de manier kunnen wijzigen waarop uw bedrijfskritische apps gegevens uitvoeren en verwerken.

  2. Gebruik Privileged Identity Management om bevoorrechte identiteiten te beveiligen.

Gebruikers toestemming voor toepassingen is een veelgebruikte manier voor moderne toepassingen om toegang te krijgen tot organisatieresources, maar er zijn enkele best practices waar u rekening mee moet houden.

Volg deze stappen:

  1. Beperk de toestemming van gebruikers en beheer toestemmingsaanvragen om ervoor te zorgen dat de gegevens van uw organisatie niet onnodig worden blootgesteld aan apps.

  2. Controleer voorafgaande/bestaande toestemming in uw organisatie voor overmatige of schadelijke toestemming.

Zie 'Beveiliging tegen cyberdreigingen en malafide apps versterken' in onze handleiding voor het implementeren van een identiteits-Zero Trust-strategievoor meer informatie over hulpmiddelen om te beschermen tegen tactieken voor toegang tot gevoelige informatie.

Recht beheren

Met toepassingen die centraal worden authenticeren en worden aangestuurd vanuit Azure AD, kunt u nu uw toegangsaanvraag, goedkeurings- en hercertificeringsproces stroomlijnen om ervoor te zorgen dat de juiste personen de juiste toegang hebben en dat u een spoor hebt van de reden waarom gebruikers in uw organisatie de toegang hebben die ze hebben.

Volg deze stappen:

  1. Gebruik Entitlement Management om toegangspakketten te maken die gebruikers kunnen aanvragen wanneer ze deelnemen aan verschillende teams/projecten en die hen toegang geeft tot de bijbehorende resources (zoals toepassingen, SharePoint sites, groepslidmaatschap).

  2. Als het implementeren van Entitlement Management op dit moment niet mogelijk is voor uw organisatie, moet u ten minste selfserviceparadigma's in uw organisatie inschakelen door selfservice groepsbeheer en selfservicetoepassingstoegang te implementeren.

Wachtwoordloze verificatie gebruiken om het risico op phishing- en wachtwoordaanvallen te beperken

Met Azure AD die FIDO 2.0 en wachtwoordloze telefoonmelding ondersteunt, kunt u de speld verplaatsen naar de referenties die uw gebruikers (met name gevoelige/bevoorrechte gebruikers) dagelijks gebruiken. Deze referenties zijn sterke verificatiefactoren die het risico ook kunnen beperken.

Ga als volgende stap te werk:

V. Gebruikers, apparaten, locaties en gedrag worden in realtime geanalyseerd om risico's te bepalen en permanente beveiliging te bieden

Realtimeanalyse is essentieel voor het bepalen van risico's en beveiliging.

Diagram van de stappen binnen fase 5 van de aanvullende implementatiedoelstellingen.

Azure AD Password Protection implementeren

Terwijl u andere methoden inschakelen om gebruikers expliciet te verifiëren, negeert u geen zwakke wachtwoorden, wachtwoordverf en schendingen van herhalingsaanvallen. En klassieke complexe wachtwoordbeleidsregels voorkomen niet dat de meest voorkomende wachtwoordaanvallen worden uitgevoerd.

Ga als volgende stap te werk:

Identiteitsbeveiliging inschakelen

Krijg een gedetailleerder sessie-/gebruikersrisicosignaal met Identiteitsbeveiliging. U kunt risico's onderzoeken en het signaal bevestigen of sluiten, waardoor de motor beter begrijpt hoe het risico eruitziet in uw omgeving.

Ga als volgende stap te werk:

Integratie van Microsoft Defender voor cloud-apps inschakelen met identiteitsbeveiliging

Microsoft Defender voor Cloud-apps controleert het gedrag van gebruikers in SaaS en moderne toepassingen. Dit informeert Azure AD over wat er met de gebruiker is gebeurd nadat deze een token heeft geverifieerd en ontvangen. Als het gebruikerspatroon er verdacht uit begint te zien (een gebruiker begint bijvoorbeeld gigabytes aan gegevens te downloaden uit OneDrive of begint spamberichten te verzenden in Exchange Online), dan kan er een signaal worden verzonden naar Azure AD met de melding dat de gebruiker lijkt te zijn gecompromitteerd of een hoog risico loopt. In de volgende toegangsaanvraag van deze gebruiker kan Azure AD correct actie ondernemen om de gebruiker te verifiëren of te blokkeren.

Ga als volgende stap te werk:

Integratie met voorwaardelijke toegang inschakelen met Microsoft Defender voor cloud-apps

Met behulp van signalen die worden uitgezonden na verificatie en met proxyaanvragen van Defender voor cloud-apps naar toepassingen, kunt u sessies volgen die naar SaaS-toepassingen gaan en beperkingen afdwingen.

Volg deze stappen:

  1. Integratie met voorwaardelijke toegang inschakelen.

  2. Voorwaardelijke toegang uitbreiden tot on-premises apps.

Beperkte sessie inschakelen voor gebruik in toegangsbeslissingen

Als het risico van een gebruiker laag is, maar ze zich aanmelden vanaf een onbekend eindpunt, wilt u ze mogelijk toegang verlenen tot kritieke bronnen, maar niet toestaan dat ze dingen doen die uw organisatie in een niet-compatibele staat laten. U kunt nu Exchange Online en SharePoint Online configureren om de gebruiker een beperkte sessie te bieden waarmee ze e-mailberichten kunnen lezen of bestanden kunnen bekijken, maar niet kunnen downloaden en opslaan op een niet-vertrouwd apparaat.

Ga als volgende stap te werk:

VI. Bedreigingssignalen van andere beveiligingsoplossingen integreren om detectie, beveiliging en reactie te verbeteren

Ten slotte kunnen andere beveiligingsoplossingen worden geïntegreerd om de effectiviteit te vergroten.

Microsoft Defender voor identiteit integreren met Microsoft Defender voor cloud-apps

Integratie met Microsoft Defender voor identiteit stelt Azure AD in staat te weten dat een gebruiker risicovol gedrag weelde terwijl hij of zij on-premises, niet-moderne resources (zoals Bestandsaandelen) gebruikt. Dit kan vervolgens worden meegenomen in het totale gebruikersrisico om verdere toegang in de cloud te blokkeren.

Volg deze stappen:

  1. Schakel Microsoft Defender voor identiteit in met Microsoft Defender voor cloud-apps om on-premises signalen in te brengen in het risicosignaal dat we kennen van de gebruiker.

  2. Controleer de gecombineerde onderzoeksprioriteitsscore voor elke gebruiker die risico loopt om een holistisch beeld te geven van de punten waarop uw SOC zich moet richten.

Microsoft Defender voor eindpunt inschakelen

Met Microsoft Defender voor Eindpunt kunt u de status van Windows machines bevestigen en bepalen of er een compromis wordt gesloten. Vervolgens kunt u deze informatie invoeren in het beperken van risico's tijdens runtime. Terwijl domein join u een gevoel van controle geeft, kunt u met Defender voor Eindpunt in realtime reageren op een malware-aanval door patronen te detecteren waarbij meerdere gebruikersapparaten onbetrouwbare sites raken en om te reageren door hun apparaat-/gebruikersrisico tijdens runtime te verhogen.

Ga als volgende stap te werk:

Producten die in deze handleiding worden behandeld

Microsoft Azure

Azure Active Directory

Microsoft Defender voor identiteit

Microsoft 365

Microsoft Endpoint Manager (inclusief Microsoft Intune)

Microsoft Defender voor Eindpunt

SharePoint Online

Exchange Online

Conclusie

Identiteit staat centraal in een succesvolle Zero Trust-strategie. Neem voor meer informatie of hulp bij de implementatie contact op met uw Customer Success-team of lees verder met de andere hoofdstukken van deze handleiding, die alle Zero Trust-pijlers bespannen.



De reeks implementatiehandleiding voor Zero Trust

Pictogram voor de inleiding

Pictogram voor identiteit

Pictogram voor eindpunten

Pictogram voor toepassingen

Pictogram voor gegevens

Pictogram voor infrastructuur

Pictogram voor netwerken

Pictogram voor zichtbaarheid, automatisering, orkestratie