Stap 1. Vertrouwensrelatie expliciet valideren voor alle toegangsaanvragen

De eerste stap bestaat uit het instellen van een beveiligingsperimeter voor cloudtoepassingen en mobiele apparaten die gebruikmaken van identiteit als besturingsvlak en waarmee het vertrouwen voor gebruikersaccounts en apparaten expliciet wordt gevalideerd voordat toegang wordt toegestaan voor zowel openbare als privénetwerken.

Dit omvat het gebruik van Zero Trust om de vertrouwensrelatie expliciet te valideren voor alle toegangsaanvragen voor:

Nadat u deze stap hebt voltooid, hebt u dit deel van de Zero Trust-architectuur opgebouwd.

The identities, endpoints, apps, and network sections of the Zero Trust architecture

Identiteiten

Verifieer en beveilig elke identiteit met sterke verificatie in uw hele digitale omgeving met Azure Active Directory (Azure AD), een complete oplossing voor identiteits- en toegangsbeheer met geïntegreerde beveiliging die elke maand 425 miljoen mensen verbindt met hun apps, apparaten en gegevens.

Accountmogelijkheden voor programma- en projectleden

In deze tabel wordt de algehele beveiliging van uw gebruikersaccounts beschreven in termen van een sponsorship-/programmabeheer-/projectbeheerhiërarchie om resultaten te bepalen en te stimuleren.

Leiden Eigenaar Verantwoording
CISO, CIO of Director of Identity Security Executive sponsorship
Programmaleider van Identity Security of Identity Architect Resultaten en samenwerking tussen teams stimuleren
Beveiligingsarchitect Advies over configuratie en standaarden
Identiteitsbeveiliging of een identiteitsarchitect Configuratiewijzigingen implementeren
Identiteitsbeheerder Standaarden en beleidsdocumenten bijwerken
Beveiligingsbeheer of identiteitsbeheerder Controleren om naleving te garanderen
User Education Team Zorg ervoor dat de richtlijnen voor gebruikers beleidsupdates weerspiegelen

Implementatiedoelstellingen

Voldoe aan deze implementatiedoelstellingen om uw bevoegde identiteiten te beveiligen met Zero Trust.

Gedaan Implementatiedoelstelling Eigenaar Documentatie
1. Beveiligde bevoegde toegang implementeren om gebruikersaccounts met beheerdersrechten te beveiligen. IT-implementeerer Bevoegde toegang beveiligen voor hybride en cloudimplementaties in Azure AD
2. Implementeer Azure AD Privileged Identity Management (PIM) voor een tijdsgebonden, Just-In-Time-goedkeuringsproces voor het gebruik van bevoegde gebruikersaccounts. IT-implementeerer Een Privileged Identity Management-implementatie plannen

Voldoe aan deze implementatiedoelstellingen om uw gebruikersidentiteiten te beveiligen met Zero Trust.

Gedaan Implementatiedoelstelling Eigenaar Documentatie
1. Selfservice voor wachtwoordherstel (SSPR) inschakelen, waarmee u de mogelijkheden voor het opnieuw instellen van referenties kunt gebruiken IT-implementeerer Een azure AD-implementatie voor het opnieuw instellen van wachtwoorden plannen
2. Schakel Multi-Factor Authentication (MFA) in en selecteer de juiste methoden voor MFA IT-implementeerer Een Implementatie van Azure AD Multi-Factor Authentication plannen
3. Gecombineerde gebruikersregistratie inschakelen voor uw directory zodat gebruikers zich in één stap kunnen registreren voor SSPR en MFA IT-implementeerer Registratie van gecombineerde beveiligingsgegevens inschakelen in Azure AD
4. Configureer een beleid voor voorwaardelijke toegang om MFA-registratie te vereisen. IT-implementeerer Procedure: Het registratiebeleid voor Azure AD Multi-Factor Authentication configureren
5. Beleid op basis van gebruikers- en aanmeldingsrisico's inschakelen om de toegang van gebruikers tot resources te beveiligen. IT-implementeerer Procedure: Risicobeleid configureren en inschakelen
6. Detecteer en blokkeer bekende zwakke wachtwoorden en hun varianten en blokkeer aanvullende zwakke termen die specifiek zijn voor uw organisatie. IT-implementeerer Ongeldige wachtwoorden elimineren met Behulp van Azure AD-wachtwoordbeveiliging
7. Implementeer Microsoft Defender for Identity en controleer en beperk eventuele openstaande waarschuwingen (parallel met uw beveiligingsbewerkingen). Team beveiligingsbewerkingen Microsoft Defender for Identity
8. Referenties zonder wachtwoord implementeren. IT-implementeerer Een implementatie van verificatie zonder wachtwoord plannen in Azure AD

U hebt nu de sectie Identiteiten van de Zero Trust-architectuur opgebouwd.

The Identities section of the Zero Trust architecture

Eindpunten

Zorg voor naleving en status voordat u toegang verleent tot uw eindpunten (apparaten) en krijg inzicht in hoe ze toegang krijgen tot het netwerk.

Accountmogelijkheden voor programma- en projectleden

In deze tabel wordt de algehele beveiliging van uw eindpunten beschreven in termen van een sponsorship-/programmabeheer-/projectbeheerhiërarchie om resultaten te bepalen en te stimuleren.

Leiden Eigenaar Verantwoording
CISO, CIO of Director of Identity Security Executive sponsorship
Programmaleider van Identity Security of een identiteitsarchitect Resultaten en samenwerking tussen teams stimuleren
Beveiligingsarchitect Advies over configuratie en standaarden
Identiteitsbeveiliging of een infrastructuurbeveiligingsarchitect Configuratiewijzigingen implementeren
MDM-beheerder (Mobile Device Management) Standaarden en beleidsdocumenten bijwerken
Beveiligingsbeheer of MDM-beheerder Controleren om naleving te garanderen
User Education Team Zorg ervoor dat de richtlijnen voor gebruikers beleidsupdates weerspiegelen

Implementatiedoelstellingen

Voldoe aan deze implementatiedoelstellingen om uw eindpunten (apparaten) te beveiligen met Zero Trust.

Gedaan Implementatiedoelstelling Eigenaar Documentatie
1. Apparaten registreren bij Azure AD. MDM-beheerder Apparaat-id's
2. Apparaten inschrijven en configuratieprofielen maken. MDM-beheerder Overzicht van apparaatbeheer
3. Verbinding maken Defender voor Eindpunt om te Intune (parallel met uw beveiligingsbewerkingen). Identiteitsbeveiligingsbeheerder Microsoft Defender voor Eindpunt configureren in Intune
4. Controleer de naleving van apparaten en het risico voor voorwaardelijke toegang. Identiteitsbeveiligingsbeheerder Nalevingsbeleid gebruiken om regels in te stellen voor apparaten die u beheert met Intune
5. Implementeer Microsoft Information Protection en integreer met beleid voor voorwaardelijke toegang. Identiteitsbeveiligingsbeheerder Vertrouwelijkheidslabels gebruiken om inhoud te beveiligen

U hebt nu de sectie Eindpunten van de Zero Trust-architectuur opgebouwd.

The Endpoints section of the Zero Trust architecture

Apps

Omdat apps door kwaadwillende gebruikers worden gebruikt om uw organisatie te infiltreren, moet u ervoor zorgen dat uw apps gebruikmaken van services, zoals Azure AD en Intune, die Zero Trust beveiliging bieden of worden beveiligd tegen aanvallen.

Accountmogelijkheden voor programma- en projectleden

In deze tabel wordt een Zero Trust implementatie voor apps beschreven in termen van een sponsorship-/programmabeheer-/projectbeheerhiërarchie om resultaten te bepalen en te stimuleren.

Leiden Eigenaar Verantwoording
CISO, CIO of Director of Application Security Executive sponsorship
Programmaleider van Apps Management Resultaten en samenwerking tussen teams stimuleren
Identiteitsarchitect Adviseren over Azure AD-configuratie voor apps
Verificatiestandaarden voor on-premises apps bijwerken
Architect voor ontwikkelaars Advies over configuratie en standaarden voor interne on-premises en cloud-apps
Netwerkarchitect Wijzigingen in DE VPN-configuratie implementeren
Cloudnetwerkarchitect Azure AD-toepassingsproxy implementeren
Beveiligingsgovernance Controleren om naleving te garanderen

Implementatiedoelstellingen

Voldoe aan deze implementatiedoelstellingen om te zorgen voor Zero Trust beveiliging voor uw SaaS-, PaaS- en on-premises apps.

Gedaan Type app- of app-gebruik Implementatiedoelstellingen Eigenaar Documentatie
SaaS- en PaaS-apps die deel uitmaken van uw Microsoft-cloudabonnementen Gebruik azure AD-app-registratie en -certificering en beleid voor app-toestemming.
Gebruik beleid voor voorwaardelijke toegang van Azure AD en Intune MAM- en APP-beleid (Application Protection Policies) om app-gebruik toe te staan.
Identiteitsarchitect Toepassingsbeheer in Azure AD
Apps in uw Microsoft-cloudabonnementen waarvoor OAuth is ingeschakeld en toegang hebben tot Microsoft 365 gegevens via de Graph API's Gebruik de app-governance-invoegtoepassing om apps te Defender voor Cloud voor zichtbaarheid van app-gedrag, governance met beleidshandhaving en detectie en herstel van op apps gebaseerde aanvallen. Beveiligingstechnicus Overzicht
SaaS- en PaaS-apps die GEEN deel uitmaken van uw Microsoft-cloudabonnementen Zorg ervoor dat ze Azure AD gebruiken voor verificatie. Dit betekent dat alle aanmeldingen bij de app onderhevig zijn aan beveiligingsvereisten voor gebruikers en apparaten, zoals meervoudige verificatie en het voldoen aan gedefinieerde vereisten voor apparaatcompatibiliteit. Apps-architect Al uw apps integreren met Azure AD
On-premises gebruikers die toegang hebben tot on-premises toepassingen, waaronder toepassingen die worden uitgevoerd op zowel on-premises als IaaS-servers Zorg ervoor dat uw apps moderne verificatieprotocollen ondersteunen, zoals OAuth/OIDC en SAML. Neem contact op met de leverancier van uw toepassing voor updates om gebruikersaanmelding te beveiligen. Identiteitsarchitect Raadpleeg de documentatie van uw leverancier
Externe gebruikers die toegang hebben tot on-premises toepassingen via een VPN-verbinding Uw VPN-apparaat zo configureren dat het Azure AD als id-provider gebruikt Netwerkarchitect Raadpleeg de documentatie van uw leverancier
Externe gebruikers die toegang hebben tot on-premises webtoepassingen via een VPN-verbinding Publiceer de toepassingen via Azure AD toepassingsproxy. Externe gebruikers hebben alleen toegang nodig tot de afzonderlijke gepubliceerde toepassing, die via een toepassingsproxyconnector wordt doorgestuurd naar de on-premises webserver.

Verbindingen profiteren van sterke Azure AD-verificatie en beperken gebruikers en hun apparaten tot toegang tot één toepassing tegelijk. Het bereik van een typisch VPN voor externe toegang is daarentegen alle locaties, protocollen en poorten van het hele on-premises netwerk.
Cloudnetwerkarchitect Externe toegang tot on-premises toepassingen via Azure AD toepassingsproxy

Nadat u deze implementatiedoelstellingen hebt voltooid, hebt u de sectie Apps van de Zero Trust-architectuur opgebouwd.

The Apps section of the Zero Trust architecture

Netwerk

In het Zero Trust-model wordt ervan uitgegaan dat er inbreuk is opgetreden en wordt elke aanvraag geverifieerd alsof deze afkomstig is van een ongecontroleerd netwerk. Hoewel dit gebruikelijk is voor openbare netwerken, is het ook van toepassing op de interne netwerken van uw organisatie die over het algemeen worden gefirewalld vanaf het openbare internet.

Als u zich wilt houden aan Zero Trust, moet uw organisatie beveiligingsproblemen in zowel openbare als privénetwerken aanpakken, zowel on-premises als in de cloud, en ervoor zorgen dat u expliciet verifieert, minimale toegangsrechten gebruikt en een schending ervan aanneemt. Apparaten, gebruikers en apps mogen niet inherent worden vertrouwd omdat ze zich in uw privénetwerken bevinden.

Accountmogelijkheden voor programma- en projectleden

In deze tabel wordt een Zero Trust implementatie voor openbare en particuliere netwerken beschreven in termen van een sponsorship-/programmabeheer-/projectbeheerhiërarchie om resultaten te bepalen en te stimuleren.

Leiden Eigenaar Verantwoording
CISO, CIO of Director of Network Security Executive sponsorship
Programmaleider van Networking Leadership Resultaten en samenwerking tussen teams stimuleren
Beveiligingsarchitect Advies over de configuratie en standaarden voor versleutelings- en toegangsbeleid
Netwerkarchitect Adviseren over het filteren van verkeer en wijzigingen in de netwerkarchitectuur
Netwerktechnici Configuratiewijzigingen voor ontwerpsegmentatie
Netwerk implementerende gebruikers Configuratiedocumenten voor netwerkapparatuur wijzigen en bijwerken
Netwerkbeheer Controleren om naleving te garanderen

Implementatiedoelstellingen

Voldoe aan deze implementatiedoelstellingen om te zorgen voor Zero Trust beveiliging voor uw openbare en privénetwerken, voor zowel on-premises als cloudverkeer. Deze doelstellingen kunnen parallel worden uitgevoerd.

Gedaan Implementatiedoelstelling Eigenaar Documentatie
Versleuteling vereisen voor alle verkeersverbindingen, inclusief tussen IaaS-onderdelen en tussen on-premises gebruikers en apps. Beveiligingsarchitect Azure IaaS-onderdelen

IPsec voor on-premises Windows-apparaten
Beperk de toegang tot kritieke gegevens en toepassingen op basis van beleid (gebruikers- of apparaatidentiteit) of verkeersfiltering. Beveiligingsarchitect of netwerkarchitect Toegangsbeleid voor Cloud App Security app-beheer voor voorwaardelijke toegang

Windows Firewall voor Windows-apparaten
Implementeer on-premises netwerksegmentatie met besturingselementen voor inkomend en uitgaand verkeer met micro-perimeters en microsegmentatie. Netwerkarchitect of netwerktechnicus Raadpleeg de documentatie over uw on-premises netwerk en edge-apparaten.
Gebruik realtime detectie van bedreigingen voor on-premises verkeer. SecOps-analisten Windows beveiliging tegen bedreigingen

Microsoft Defender voor Eindpunt
Implementeer cloudnetwerksegmentatie met besturingselementen voor inkomend en uitgaand verkeer met microperimeter en microsegmentatie. Netwerkarchitect of netwerktechnicus Netwerksegmentatiepatronen implementeren in Azure
Gebruik realtime bedreigingsdetectie voor cloudverkeer. Netwerkarchitect of netwerktechnicus filteren op basis van bedreigingsinformatie Azure Firewall

Azure Firewall Premium netwerkindringingsdetectie- en -preventiesysteem (IDPS)

Nadat u deze implementatiedoelstellingen hebt voltooid, hebt u de sectie Netwerk van de Zero Trust-architectuur opgebouwd.

The Network section of the Zero Trust architecture

Volgende stap

Ga door met het initiatief voor gebruikerstoegang en productiviteit met Gegevens, Naleving en Governance.