Sichere Anwendungen mit Zero Trust

Hintergrund

Um den vollen Nutzen von Cloud-Apps und -Diensten zu erhalten, müssen Organisationen das richtige Gleichgewicht zwischen zugriffsbasierten Zugriffen und gleichzeitiger Kontrolle finden, um wichtige Daten zu schützen, auf die über Anwendungen und APIs zugegriffen wird.

Das Zero Trust-Modell hilft Organisationen sicherzustellen, dass Apps und die darin enthaltenen Daten durch Folgendes geschützt sind:

• Anwenden von Steuerelementen und Technologien, um Schatten-IT zu entdecken.
• Sicherstellen der entsprechenden In-App-Berechtigungen.
• Einschränken des Zugriffs basierend auf Echtzeitanalysen.
• Überwachung auf ungewöhnliches Verhalten.
• Steuern von Benutzeraktionen.
• Überprüfen sicherer Konfigurationsoptionen.

Anwendungen Zero Trust Bereitstellungsziele

Bevor die meisten Organisationen mit dem Zero Trust beginnen, werden ihre lokalen Apps über physische Netzwerke oder VPN aufgerufen, und einige wichtige Cloud-Apps sind für Benutzer zugänglich.

Bei der Implementierung eines Zero Trust Ansatzes zum Verwalten und Überwachen von Anwendungen wird empfohlen, sich zuerst auf diese anfänglichen Bereitstellungsziele zu konzentrieren:
	I.GewinnenSie Einblick in die Aktivitäten und Daten in Ihren Anwendungen, indem Sie sie über APIs verbinden. II.Entdecken und steuern Sie die Verwendung von Schatten-IT. III.Schützen Sie vertrauliche Informationen und Aktivitäten automatisch, indem Sie Richtlinien implementieren.
Konzentrieren Sie sich nach Abschluss dieser Schritte auf die folgenden zusätzlichen Bereitstellungsziele:
	IV.Bereitstellen von adaptiven Zugriffs- und Sitzungssteuerelementen für alle Apps. V.Stärkungdes Schutzes vor Cyberbedrohungen und bösartigen Apps. VI.Bewerten des Sicherheitsstatus Ihrer Cloudumgebungen

Anwendungs- Zero Trust Bereitstellungshandbuch

In diesem Leitfaden werden Sie durch die Schritte geführt, die zum Sichern von Anwendungen und APIs gemäß den Prinzipien eines Zero Trust Sicherheitsframeworks erforderlich sind. Unser Ansatz richtet sich nach diesen drei Zero Trust Prinzipien:

1. Überprüfen Sie dies explizit. Authentifizieren und autorisieren Sie immer basierend auf allen verfügbaren Datenpunkten, einschließlich Benutzeridentität, Standort, Geräteintegrität, Dienst oder Workload, Datenklassifizierung und Anomalien.

2. Verwenden Sie den Zugriff mit den geringsten Berechtigungen. Beschränken Sie den Benutzerzugriff mit Just-In-Time und Just-Enough-Access (JIT/JEA), risikobasierten adaptiven Richtlinien und Datenschutz, um sowohl Daten als auch Produktivität zu schützen.

3. Gehen Sie von einer Verletzung aus. Minimieren Sie den Explosionsradius für Sicherheitsverletzungen, und verhindern Sie laterale Bewegungen, indem Sie den Zugriff nach Netzwerk, Benutzer, Geräten und Anwendungsbewusstsein segmentieren. Stellen Sie sicher, dass alle Sitzungen von Ende zu Ende verschlüsselt sind. Verwenden Sie Analysen, um Sichtbarkeit zu erhalten, die Bedrohungserkennung zu fördern und die Abwehr zu verbessern.

Anfängliche Bereitstellungsziele

Ich. Gewinnen Sie Einblick in die Aktivitäten und Daten in Ihren Anwendungen, indem Sie sie über APIs verbinden.

Die Meisten Benutzeraktivitäten in einer Organisation stammen aus Cloudanwendungen und zugehörigen Ressourcen. Die meisten wichtigen Cloud-Apps bieten eine API zum Verwenden von Mandanteninformationen und zum Empfangen entsprechender Governanceaktionen. Verwenden Sie diese Integrationen, um zu überwachen und zu benachrichtigen, wenn Bedrohungen und Anomalien in Ihrer Umgebung auftreten.

Führen Sie die folgenden Schritte aus:

1. Übernehmen Sie Microsoft Defender for Cloud Apps, die mit Diensten zur Optimierung von Sichtbarkeit, Governanceaktionen und Nutzung zusammenarbeiten.

2. Überprüfen Sie, welche Apps mit der Defender für Cloud Apps-API-Integration verbunden werden können, und verbinden Sie die benötigten Apps. Verwenden Sie die tiefer gehende Sichtbarkeit, um Aktivitäten, Dateien und Konten für die Apps in Ihrer Cloudumgebung zu untersuchen.

Tipp

Erfahren Sie mehr über die Implementierung einer End-to-End-Identitätsstrategie Zero Trust.

II. Entdecken und Steuern der Verwendung von Schatten-IT

Im Durchschnitt werden 1.000 separate Apps in Ihrer Organisation verwendet. 80 Prozent der Mitarbeiter verwenden nicht sanktionierte Apps, die niemand überprüft hat und die möglicherweise nicht ihren Sicherheits- und Compliancerichtlinien entsprechen. Und da Ihre Mitarbeiter von außerhalb Ihres Unternehmensnetzwerks auf Ihre Ressourcen und Apps zugreifen können, reicht es nicht mehr aus, Regeln und Richtlinien für Ihre Firewalls zu verwenden.

Konzentrieren Sie sich auf die Identifizierung von App-Nutzungsmustern, die Bewertung der Risikostufen und die Geschäftsbereitschaft von Apps, das Verhindern von Datenlecks an nicht kompatible Apps und das Einschränken des Zugriffs auf regulierte Daten.

Tipp

Erfahren Sie mehr über die Implementierung einer End-to-End-Zero Trust-Strategie für Daten.

Führen Sie die folgenden Schritte aus:

1. Richten Sie Cloud Discovery ein, das Ihre Datenverkehrsprotokolle anhand des Microsoft Defender for Cloud Apps Katalogs von über 16.000 Cloud-Apps analysiert. Die Apps werden basierend auf mehr als 90 Risikofaktoren bewertet und bewertet.

2. Entdecken und identifizieren Sie Schatten-IT , um herauszufinden, welche Apps verwendet werden, und folgen Sie einer von drei Optionen:

   1. Integrieren Sie sich in Microsoft Defender für Endpunkt, um sofort mit dem Sammeln von Daten über Clouddatenverkehr auf Ihren Windows 10 Geräten auf und außerhalb Ihres Netzwerks zu beginnen.

   2. Stellen Sie den Defender für Cloud Apps-Protokollsammler in Ihren Firewalls und anderen Proxys bereit, um Daten von Ihren Endpunkten zu sammeln und zur Analyse an Defender für Cloud Apps zu senden.

   3. Integrieren Sie Defender für Cloud Apps in Ihren Proxy.

3. Identifizieren Sie das Risikoniveau bestimmter Apps:

   1. Klicken Sie im Defender für Cloud Apps-Portal unter "Entdecken" auf "Erkannte Apps". Filtern Sie die Liste der in Ihrer Organisation ermittelten Apps nach den Risikofaktoren, die Ihnen sorgen.

   2. Führen Sie einen Drilldown in die App durch, um mehr über ihre Compliance zu erfahren, indem Sie auf den App-Namen und dann auf die Registerkarte " Informationen " klicken, um Details zu den Sicherheitsrisikofaktoren der App anzuzeigen.

4. Bewerten der Compliance und Analysieren der Nutzung:

   1. Klicken Sie im Defender für Cloud Apps-Portal unter "Entdecken" auf "Erkannte Apps". Filtern Sie die Liste der in Ihrer Organisation ermittelten Apps nach den Compliance-Risikofaktoren, die Ihnen sorgen. Verwenden Sie z. B. die vorgeschlagene Abfrage, um nicht kompatible Apps herauszufiltern.

   2. Führen Sie einen Drilldown in die App durch, um mehr über die Compliance zu erfahren, indem Sie auf den App-Namen und dann auf die Registerkarte " Informationen " klicken, um Details zu den Compliance-Risikofaktoren der App anzuzeigen.

   3. Klicken Sie im Defender für Cloud Apps-Portal unter "Entdecken" auf "Erkannte Apps", und führen Sie dann einen Drilldown aus, indem Sie auf die bestimmte App klicken, die Sie untersuchen möchten. Auf der Registerkarte "Verwenden" erfahren Sie, wie viele aktive Benutzer die App verwenden und wie viel Datenverkehr sie generiert. Wenn Sie sehen möchten, wer die App verwendet, können Sie einen weiteren Drilldown ausführen, indem Sie auf " Aktive Benutzer insgesamt" klicken.

   4. Tauchen Sie tiefer in die entdeckten Apps ein. Zeigen Sie Unterdomänen und Ressourcen an, um mehr über bestimmte Aktivitäten, Datenzugriff und Ressourcennutzung in Ihren Clouddiensten zu erfahren.

5. Verwalten Sie Ihre Apps:

   1. Erstellen Sie neue benutzerdefinierte App-Tags, um jede App nach ihrem Geschäftsstatus oder ihrer Begründung zu klassifizieren. Diese Tags können dann für bestimmte Überwachungszwecke verwendet werden.

   2. App-Tags können unter "Cloud Discovery-Einstellungen"-App-Tags verwaltet werden. Diese Tags können dann später zum Filtern auf den Cloud Discovery-Seiten und zum Erstellen von Richtlinien verwendet werden.

   3. Verwalten Sie ermittelte Apps mithilfe Azure Active Directory (Azure AD)-Katalogs. Wenden Sie für Apps, die bereits im Azure AD-Katalog angezeigt werden, einmaliges Anmelden an, und verwalten Sie die App mit Azure AD. Wählen Sie dazu in der Zeile, in der die relevante App angezeigt wird, die drei Punkte am Ende der Zeile und dann "App mit Azure AD verwalten" aus.

Tipp

Erfahren Sie mehr über die Implementierung einer End-to-End-Zero Trust-Strategie für Ihr Netzwerk.

III. Automatisches Schützen vertraulicher Informationen und Aktivitäten durch Implementierung von Richtlinien

Defender für Cloud Apps ermöglicht Es Ihnen, das Verhalten der Benutzer in der Cloud zu definieren. Dies kann durch Erstellen von Richtlinien erfolgen. Es gibt viele Typen: Zugriff, Aktivität, Anomalieerkennung, App-Ermittlung, Dateirichtlinie, Anomalieerkennung bei Cloud discovery und Sitzungsrichtlinien.

Mithilfe von Richtlinien können Sie riskantes Verhalten, Verstöße oder verdächtige Datenpunkte und Aktivitäten in Ihrer Cloudumgebung erkennen. Sie helfen Ihnen, Trends zu überwachen, Sicherheitsbedrohungen zu sehen und angepasste Berichte und Warnungen zu generieren.

Führen Sie die folgenden Schritte aus:

1. Verwenden Sie vordefinierte Richtlinien, die bereits für viele Aktivitäten und Dateien getestet wurden. Wenden Sie Governanceaktionen an, z. B. das Widerrufen von Berechtigungen und Das Anhalten von Benutzern, das Quarantänen von Dateien und das Anwenden von Vertraulichkeitsbezeichnungen.

2. Erstellen Sie neue Richtlinien, die Microsoft Defender for Cloud Apps für Sie vorschlägt.

3. Konfigurieren von Richtlinien zum Überwachen von Schatten-IT-Apps und Bereitstellen von Steuerung:

   1. Erstellen Sie eine App-Ermittlungsrichtlinie , die Sie darüber informiert, wann ein Anstieg von Downloads oder Datenverkehr von einer App vorhanden ist, über die Sie besorgt sind. Aktivieren Sie anomales Verhalten in der Richtlinie der ermittelten Benutzer, der Complianceüberprüfung der Cloudspeicher-App und der neuen riskanten App.Enable Anomalous behavior in discovered users' policy, Cloud storage app compliance check, and New risky app.

   2. Aktualisieren Sie weiterhin Richtlinien, und überprüfen Sie mithilfe des Cloud Discovery-Dashboards, welche (neuen) Apps Ihre Benutzer verwenden, sowie deren Nutzungs- und Verhaltensmuster.

4. Steuern Sie, was sanktioniert wird , und blockieren Sie unerwünschte Apps mithilfe dieser Option:

   1. Verbinden Apps über die API zur kontinuierlichen Überwachung.

5. Schützen Sie Apps mithilfe der App-Steuerung für bedingten Zugriff und Microsoft Defender for Cloud Apps.

Zusätzliche Bereitstellungsziele

IV. Bereitstellen adaptiver Zugriffs- und Sitzungssteuerelemente für alle Apps

Nachdem Sie Ihre ursprünglichen drei Ziele erreicht haben, können Sie sich auf zusätzliche Ziele konzentrieren, z. B. um sicherzustellen, dass alle Apps den Zugriff mit den geringsten Rechten mit kontinuierlicher Überprüfung verwenden. Durch die dynamische Anpassung und Einschränkung des Zugriffs bei Änderungen des Sitzungsrisikos können Sie Verletzungen und Lecks in Echtzeit beenden, bevor Mitarbeiter Ihre Daten und Ihre Organisation gefährden.

Führen Sie diesen Schritt aus:

• Aktivieren Sie echtzeitbasierte Überwachung und Kontrolle über den Zugriff auf beliebige Web-Apps, basierend auf Benutzer, Standort, Gerät und App. Sie können z. B. Richtlinien zum Schutz von Downloads vertraulicher Inhalte mit Vertraulichkeitsbezeichnungen erstellen, wenn Sie ein nicht verwaltetes Gerät verwenden. Alternativ können Dateien beim Upload gescannt werden, um potenzielle Schadsoftware zu erkennen und zu verhindern, dass sie in eine sensible Cloudumgebung gelangen.

Tipp

Erfahren Sie mehr über die Implementierung einer End-to-End-Zero Trust-Strategie für Endpunkte.

V. Stärkung des Schutzes vor Cyberbedrohungen und bösartigen Apps

Schlechte Akteure haben dedizierte und einzigartige Angriffstools, -techniken und -verfahren (TTPs) entwickelt, die die Cloud darauf abzielen, Schutzmaßnahmen zu verletzen und auf vertrauliche und geschäftskritische Informationen zuzugreifen. Sie verwenden Taktiken wie illegale OAuth-Zustimmungserteilungen, Cloud-Ransomware und kompromittierende Anmeldeinformationen für die Cloudidentität.

Organisationen können auf solche Bedrohungen mit Tools reagieren, die in Defender für Cloud Apps verfügbar sind, z. B. Benutzer- und Entitätsverhaltensanalysen (UEBA) und Anomalieerkennung, Schadsoftwareschutz, OAuth-App-Schutz, Untersuchung von Vorfällen und Wartung. Defender für Cloud Apps zielt auf zahlreiche Sicherheitsanomalien ab, z. B. unmögliche Reisen, verdächtige Posteingangsregeln und Ransomware.

Die verschiedenen Erkennungen werden unter Berücksichtigung von Sicherheitsteams entwickelt und zielen darauf ab, die Warnungen auf echte Kompromittierungsindikatoren zu konzentrieren und gleichzeitig die bedrohungsintelligenzgesteuerte Untersuchung und Behebung zu entsperren.

Führen Sie die folgenden Schritte aus:

• Nutzen Sie die funktionen Defender für Cloud Apps UEBA und Machine Learning (ML), die automatisch sofort aktiviert werden, um Bedrohungen sofort zu erkennen und die erweiterte Bedrohungserkennung in Ihrer Cloudumgebung auszuführen.

• Optimieren und Einschränken von Anomalieerkennungsrichtlinien.

VI. Bewerten des Sicherheitsstatus Ihrer Cloudumgebungen

Neben SaaS-Anwendungen werden Organisationen stark in IaaS- und PaaS-Dienste investiert. Defender für Cloud Apps ermöglicht Es Ihrer Organisation, Ihren Sicherheitsstatus und Ihre Funktionen für diese Dienste zu bewerten und zu stärken, indem Sie Einblick in den Sicherheitskonfigurations- und Compliancestatus auf Ihren öffentlichen Cloudplattformen erhalten. Dies ermöglicht eine risikobasierte Untersuchung des gesamten Plattformkonfigurationsstatus.

Führen Sie die folgenden Schritte aus:

1. Verwenden Sie Defender für Cloud Apps, um Ressourcen, Abonnements, Empfehlungen und entsprechende Schweregrade in Ihren Cloudumgebungen zu überwachen.

2. Begrenzen Sie das Risiko einer Sicherheitsverletzung, indem Sie Cloudplattformen wie Microsoft Azure, AWS und GCP mit Ihrer Organisationskonfigurationsrichtlinie und der Einhaltung gesetzlicher Vorschriften, dem CIS-Benchmark oder den bewährten Methoden des Anbieters für die Sicherheitskonfiguration einhalten.

3. Mit Defender für Cloud Apps kann das Sicherheitskonfigurationsdashboard verwendet werden, um Abhilfemaßnahmen zur Minimierung des Risikos durchzuführen.

Tipp

Erfahren Sie mehr über die Implementierung einer End-to-End-Zero Trust-Strategie für Ihre Infrastruktur.

In diesem Leitfaden behandelte Produkte

Microsoft Azure

Microsoft Azure Active Directory

Microsoft 365

Microsoft Defender for Cloud Apps

Cloud Discovery

Microsoft Endpoint Manager (umfasst Microsoft Intune und Configuration Manager)

Verwaltung mobiler Anwendungen

Schlussfolgerung

Unabhängig davon, wo sich die Cloudressource oder -anwendung befindet, tragen Zero Trust Prinzipien dazu bei, dass Ihre Cloudumgebungen und Daten geschützt sind. Für weitere Informationen zu diesen Prozessen oder Hilfe bei diesen Implementierungen wenden Sie sich bitte an Ihr Customer Success-Team.

Die Zero Trust-Bereitstellungsleitfadenreihe