Sicherstellung der Identität mit Zero Trust
Hintergrund
Cloud-Anwendungen und die mobilen Arbeitskräfte haben den Sicherheitsbereich neu definiert. Die Mitarbeiter bringen ihre eigenen Geräte mit und arbeiten ortsunabhängig. Auf Daten wird außerhalb des Unternehmensnetzwerks zugegriffen und sie werden mit externen Mitarbeitern wie Partnern und Anbietern geteilt. Unternehmensanwendungen und -Daten verlagern sich von lokalen Umgebungen zu hybriden und Cloud-Umgebungen. Die Unternehmen können sich bei der Sicherheit nicht mehr auf herkömmliche Netzwerkkontrollen verlassen. Die Kontrollen müssen dorthin verlagert werden, wo sich die Daten befinden: auf Geräten, in Apps und bei Partnern.
Identitäten, die Personen, Dienste oder IoT-Geräte repräsentieren, sind der gemeinsame Dominator über die vielen aktuellen Netzwerke, Endpunkte, und Anwendungen hinweg. Im Zero-Trust-Sicherheitsmodell fungieren sie als leistungsfähige, flexible und präzise Methode zur Kontrolle des Zugriffs auf Daten.
Bevor eine Identität versucht, auf eine Ressource zuzugreifen, müssen Unternehmen:
Die Identität anhand einer starken Authentifizierung überprüfen.
Sicherstellen, dass der Zugriff konform und typisch für diese Identität ist.
Den Zugriffsprinzipien des geringsten Privilegs befolgt.
Sobald die Identität verifiziert wurde, können wir den Zugriff dieser Identität auf Ressourcen auf der Grundlage von Unternehmensrichtlinien, laufenden Risikoanalysen und anderen Tools kontrollieren.
Ziele der Identity Zero Trust-Bereitstellung
Bevor die meisten Unternehmen die Zero-Trust-Erfahrung beginnen, ist ihr Ansatz für die Identität insofern problematisch, als dass der lokale Identitätsanbieter verwendet wird, kein SSO zwischen Cloud- und lokalen Apps vorhanden ist und die Transparenz des Identitätsrisikos sehr begrenzt ist.
Beim Implementieren eines End-to-End-Zero Trust-Frameworks zum Schutz von Netzwerken empfehlen wir Ihnen, sich zuerst auf diese anfänglichen Bereitstellungsziele zu konzentrieren: |
|
|
I.Cloud-Identitätsverbund mit lokalen Identitätssystemen. II.Richtlinien für bedingten Zugriff sperren den Zugriff und stellen Wartungsaktivitäten bereit. |
Konzentrieren Sie sich nach Abschluss dieser Schritte auf die folgenden zusätzlichen Bereitstellungsziele: |
|
|
IV.Identitäten und Zugriffsberechtigungen werden mit Identity Governance verwaltet. |
Bereitstellungs-Anleitung für Identity Zero Trust
Dieser Leitfaden führt Sie durch die erforderlichen Schritte, um Ihre Netzwerke gemäß den Prinzipien eines Zero Trust-Sicherheitsframeworks zu verwalten.
|
Anfängliche Bereitstellungsziele |
I. Die Cloud-Identität lässt sich mit lokalen Identitätssystemen zusammenführen
Die Azure Active Directory (AD) ermöglicht eine starke Authentifizierung, einen Integrationspunkt für die Endpunktsicherheit und den Kern Ihrer benutzerzentrierten Richtlinien, um den am wenigsten privilegierten Zugriff zu gewährleisten. Die Funktionen von Azure AD für den bedingten Zugriff sind der Richtlinienentscheidungspunkt für den Zugriff auf Ressourcen, basierend auf der Benutzeridentität, der Umgebung, dem Gerätezustand und dem Risiko - explizit am Ort des Zugriffs überprüft. Wir zeigen Ihnen, wie Sie eine Zero Trust Identitätsstrategie mit Azure AD implementieren können.
Verbinden Sie alle Benutzer mit Azure AD und führen Sie die Zusammenführung mit lokalen Identitätssystemen aus
Indem Sie eine gesunde Pipeline mit den Identitäten Ihrer Mitarbeiter und den erforderlichen Sicherheitsartefakten (Gruppen für die Autorisierung und Endpunkte für zusätzliche Zugriffsrichtlinienkontrollen) bewahren, haben Sie die besten Voraussetzungen für die Verwendung konsistenter Identitäten und Kontrollen in der Cloud.
Folgen Sie diesen Schritten:
Wählen Sie eine Authentifizierungsoption. Azure AD bietet Ihnen den besten Brute-Force-, DDoS- und Passwort-Spray-Schutz, treffen Sie jedoch die Entscheidung, die für Ihr Unternehmen und Ihre Compliance-Anforderungen die richtige ist.
Verwenden Sie nur die Identitäten, die Sie unbedingt benötigen. Nutzen Sie beispielsweise den Wechsel in die Cloud als eine Gelegenheit, Servicekonten, die nur vor Ort sinnvoll sind, zurückzulassen. Lassen Sie lokale privilegierte Rollen zurück.
Wenn Ihr Unternehmen zusammen über mehr als 100.000 kombinierte Benutzer, Gruppen und Geräte verfügt, bauen Sie eine Hochleistungs Sync-Box auf, die Ihren Lebenszyklus auf dem neuesten Stand hält.
Richten Sie Ihre Identitäts-Grundlage mit Azure AD ein
Eine Zero-Trust-Strategie erfordert eine explizite Authentifizierung, die Verwendung des Prinzips des am wenigsten privilegierten Zugriffs und die Annahme eines Verstoßes. Azure AD kann als Entscheidungspunkt für Richtlinien fungieren, um Ihre Zugriffsrichtlinien basierend auf Erkenntnissen über den Benutzer, den Endpunkt, die Zielressource und die Umgebung durchzusetzen.
Führen Sie diesen Schritt aus:
- Setzen Sie Azure AD in den Pfad jeder Zugriffsanforderung ein. Dies verbindet jeden Benutzer und jede App oder Ressource anhand einer Identitätskontrollebene und gibt Azure AD das Signal, die bestmöglichen Entscheidungen bzgl. des Authentifizierungs-/Autorisierungsrisikos zu treffen. Zusätzlich sorgen Single Sign-Ons und konsistente Richtlinienschranken für ein besseres Benutzererlebnis und tragen zur Produktivitätssteigerung bei.
Integrieren Sie alle Ihrer Apps in Azure AD
Das Single Sign-On verhindert, dass Benutzer Kopien ihrer Anmeldedaten in verschiedenen Apps hinterlassen und hilft zu vermeiden, dass sich Benutzer daran gewöhnen, ihre Anmeldedaten aufgrund übermäßiger Aufforderungen abzugeben.
Stellen Sie außerdem sicher, dass In Ihrer Umgebung nicht mehrere IAM-Engines verwendet werden. Dies verringert nicht nur die Signalmenge, die Azure AD sieht, und es schlechten Akteuren ermöglicht, sich in den Nahtstellen zwischen den beiden IAM-Engines aufzuhalten, es kann auch zu einer schlechten Benutzererfahrung führen sowie dazu, dass Ihre Geschäftspartner die ersten Zweifler an Ihrer Zero Trust-Strategie werden.
Folgen Sie diesen Schritten:
Integrieren Sie moderne Unternehmensanwendungen, die OAuth 2.0 oder SAML sprechen.
Integrieren Sie Kerberos- und formularbasierte Authentifizierungsanwendungen anhand des Azure AD Anwendungsproxys.
Wenn Sie Ihre Legacy-Anwendungen mithilfe von Application Delivery Networks/Controllern veröffentlichen, können Sie Azure AD für die Integration mit den meisten großen Anbietern (wie Citrix, Akamai und F5) verwenden.
Um Sie bei der Erkennung und Migration Ihrer Anwendungen von ADFS und bestehenden/älteren IAM-Engines zu unterstützen, überprüfen Sie Ressourcen und Tools.
Power-Pushen Sie Identitäten in Ihre verschiedenen Cloud-Anwendungen. Dadurch erzielen Sie eine engere Integration des Identitätslebenszyklus innerhalb dieser Anwendungen.
Tipp
Erfahren Sie mehr über die Implementierung einer End-to-End Zero-Trust-Strategie für Anwendungen.
Überprüfen Sie explizit anhand einer starken Authentifizierung
Folgen Sie diesen Schritten:
Azure AD MFA (P1) Roll out. Dies ist ein wesentlicher Bestandteil zur Reduzierung des Risikos von Benutzer-Sessions. Wenn Benutzer auf neuen Geräten und an neuen Standorten erscheinen, ist die Möglichkeit, auf eine MFA-Abfrage zu reagieren, eine der unmittelbarsten Methoden, mit denen Ihre Benutzer uns anzeigen können, dass es sich um vertraute Geräte/Standorte handelt, während sie sich in der Welt bewegen (ohne dass Administratoren einzelne Signale analysieren müssen).
Sperren der Legacy-Authentifizierung. Einer der häufigsten Angriffsvektoren für böswillige Akteure ist die Verwendung gestohlener/wiedergegebener Anmeldeinformationen für Legacy-Protokolle, wie z. B. SMTP, die modernen Sicherheitsanforderungen nicht gewachsen sind.
II. Die Richtlinien für den bedingten Zugriff schränken den Zugriff ein und bieten Abhilfemaßnahmen
Der bedingte Zugriff auf Azure AD (CA) analysiert Signale wie Benutzer, Gerät und Standort, um Entscheidungen zu automatisieren und organisatorische Zugriffsrichtlinien für Ressourcen durchzusetzen. Sie können CA-Richtlinien verwenden, um Zugriffskontrollen wie die Multi-Faktor-Authentifizierung (MFA) anzuwenden. CA(bedingter Zugriff)-Richtlinien ermöglichen es Ihnen, Benutzer zur MFA aufzufordern, wenn dies für die Sicherheit erforderlich ist, und den Benutzern aus dem Weg zu gehen, wenn dies nicht erforderlich ist.
Microsoft stellt bedingte Standardrichtlinien mit dem Namen Sicherheitsstandards bereit, die ein grundlegendes Maß an Sicherheit sicherstellen. Ihre Organisation benötigt jedoch möglicherweise mehr Flexibilität als das, was die Sicherheitsstandards bieten. Sie können bedingten Zugriff verwenden, um Sicherheitsstandards präziserer anzupassen und neue Richtlinien zu konfigurieren, die Ihren Anforderungen entsprechen.
Die Planung Ihrer Richtlinien für den bedingten Zugriff im Voraus und das Vorhandensein eines Satzes von aktiven und Ausweichrichtlinien ist ein grundlegender Pfeiler für die Durchsetzung Ihrer Zugriffsrichtlinien in einer Zero Trust-Bereitstellung. Nehmen Sie sich die Zeit, um die vertrauenswürdigen IP-Standorte in Ihrer Umgebung zu konfigurieren. Auch wenn Sie nicht in einer Richtlinie für bedingten Zugriff verwendet werden, informiert die Konfiguration dieser IPs über das oben erwähnte Risiko der Identity Protection.
Führen Sie diesen Schritt aus:
- Betrachten Sie unsere Implementierungsanleitung und Best Practices für widerstandsfähige Conditional Access-Richtlinien.
Registrieren Sie Geräte bei Azure AD, um den Zugriff von anfälligen und gefährdeten Geräten einzuschränken
Folgen Sie diesen Schritten:
Aktivieren Sie Azure AD Hybrid Join oder Azure AD Join. Wenn Sie den Laptop/Computer des Benutzers verwalten, übertragen Sie diese Informationen zur Verwendung in Azure AD um bessere Entscheidungen zu treffen. Sie können beispielsweise den Rich-Client-Zugriff auf Daten zulassen (Clients, die Offline-Kopien auf dem Computer haben), wenn Sie wissen, dass der Benutzer von einem Gerät kommt, den Ihre Organisation kontrolliert und verwaltet. Wenn Sie dies nicht einbringen, werden Sie wahrscheinlich den Zugriff von Rich Clients blockieren, was dazu führen kann, dass Ihre Benutzer Ihre Sicherheit umgehen oder Schatten-IT verwenden.
Aktivieren Sie den Intune-Dienst im Microsoft Endpoint Manager (EMS) für die Verwaltung der mobilen Geräte Ihrer Benutzer und melden Sie Geräte an. Für die mobilen Geräte der Benutzer gilt dasselbe wie für Laptops: Je mehr Sie über sie wissen (Patch-Level, jailbroken, gerootet, usw.), desto mehr können Sie ihnen vertrauen oder misstrauen und eine Begründung liefern, warum Sie den Zugriff sperren/erlauben.
III. Analytics verbessern die Transparenz
Beim Aufbau Ihres Bestands in Azure AD mit Authentifizierung, Autorisierung und Bereitstellung ist es wichtig, dass Sie über einen guten betrieblichen Einblick in die Vorgänge im Verzeichnis verfügen.
Konfigurieren Sie Ihre Protokollierung und Berichterstattung, um die Transparenz zu verbessern
Führen Sie diesen Schritt aus:
- Planen Sie eine Azure AD-Berichts- und Überwachungsbereitstellung, um Protokolle von Azure AD aufrechtzuerhalten und zu analysieren, entweder in Azure oder mit einem SIEM-System Ihrer Wahl.
|
Zusätzliche Bereitstellungsziele |
IV. Identitäten und Zugriffsberechtigungen werden anhand der Identitätsverwaltung verwaltet
Sobald Sie die ersten drei Ziele erfüllt haben, können Sie sich auf weitere Ziele konzentrieren, z. B. einer robusteren Identitätsverwaltung.
Schützen des privilegierten Zugriffs mit Privileged Identity Management
Steuern Sie die Endpunkte, Bedingungen und Anmeldeinformationen, die Benutzer für den Zugriff auf privilegierte Vorgänge/Rollen verwenden.
Folgen Sie diesen Schritten:
Übernehmen Sie die Kontrolle über Ihre privilegierten Identitäten. Denken Sie daran, dass in einer digital transformierten Organisation der privilegierte Zugriff nicht nur Administratorzugriff, sondern auch Anwendungsbesitzer- oder Entwicklerzugriff ist, der die Art und Weise ändern kann, wie Ihre einsatzkritischen Apps ausgeführt und mit den Daten umgegangen wird.
Verwenden Privileged Identity Management, um privilegierte Identitäten sicherzustellen.
Schränken Sie die Zustimmung des Benutzers zu Anwendungen ein
Die Zustimmung des Benutzers zu Anwendungen ist ein sehr gängiger Weg für moderne Anwendungen, um Zugriff auf Unternehmensressourcen zu erhalten, es bestehen jedoch einige Best Practices, die zu beachten sind.
Folgen Sie diesen Schritten:
Schränken Sie die Benutzerzustimmung ein und verwalten Sie Zustimmungsanfragen, um sicherzustellen, dass die Daten Ihres Unternehmens nicht unnötig für Apps freigegeben werden.
Überprüfen Sie vorherige/bestehende Einwilligungen in Ihrer Organisation auf übermäßige oder böswillige Einwilligungen.
Weitere Informationen zu Tools zum Schutz vor Taktiken zum Zugriff auf sensible Informationen finden Sie unter „Verstärken Sie den Schutz vor Cyber-Bedrohungen und böswilligen-Apps" in unserem Leitfaden zur Implementierung einer Identity Zero Trust-Strategie.
Berechtigungen verwalten
Mit Anwendungen, die sich zentral authentifizieren und von Azure AD gesteuert werden, können Sie jetzt Ihren Zugriffsanforderungs-, Genehmigungs- und Neuzertifizierungsprozess optimieren, um sicherzustellen, dass die richtigen Personen über den richtigen Zugriff verfügen und dass Sie Informationen darüber haben, warum Benutzer in Ihrer Organisation über den Zugriff verfügen.
Folgen Sie diesen Schritten:
Verwenden Sie die Berechtigungsverwaltungt, um Zugriffspakete zu erstellen, die Benutzer anfordern können, wenn sie verschiedenen Teams/Projekten beitreten, und die ihnen Zugriff auf die zugehörigen Ressourcen (z. B. Anwendungen, SharePoint-Sites, Gruppenmitgliedschaften) zuweisen.
Wenn die Bereitstellung der Berechtigungsverwaltung für Ihr Unternehmen zu diesem Zeitpunkt nicht möglich ist, sollten Sie zumindest Self-Service-Paradigmen in Ihrem Unternehmen aktivieren, indem Sie den Self-Service-Gruppenmanagement und Self-Service-Anwendungszugriff bereitstellen.
Verwenden Sie die passwortlose Authentifizierung, um das Risiko von Phishing- und Passwort-Angriffen zu verringern
Mit Azure AD, das FIDO 2.0 und der passwortlosen Telefonanmeldung unterstützt, können Sie die Anmeldeinformationen, die Ihre Benutzer (insbesondere sensible/privilegierte Benutzer) tagtäglich verwenden, deutlich verbessern. Diese Anmeldeinformationen sind starke Authentifizierungsfaktoren, die auch das Risiko mindern können.
Führen Sie diesen Schritt aus:
- Starten Sie die Einführung passwortloser Anmeldeinformationen in Ihrer Organisation.
V. Benutzer, Gerät, Standort und Verhalten werden in Echtzeit analysiert, um Risiken zu ermitteln und kontinuierlichen Schutz zu bieten
Die Echtzeit-Analyse ist entscheidend für die Bestimmung von Risiko und Schutz.
Bereitstellen des Kennwortschutzes für Azure AD
Auch wenn Sie andere Methoden zur expliziten Verifizierung von Benutzern aktivieren, sollten Sie schwache Passwörter, Passwort-Spray und Replay-Angriffe nicht ignorieren. Klassische komplexe Passwortrichtlinien verhindern die häufigsten Passwortangriffe nicht.
Führen Sie diesen Schritt aus:
- Aktivieren Sie den Azure AD Passwortschutz für Ihre Benutzer in der Cloud sowie lokal.
Aktivieren von Identity Protection
Erhalten Sie mit Identity Protection präzisere Session-/Benutzerrisikosignale. Sie werden in der Lage sein, das Risiko zu untersuchen und die Gefährdung zu bestätigen oder das Signal zu verwerfen, was der Engine hilft, das Risiko in Ihrer Umgebung besser zu verstehen.
Führen Sie diesen Schritt aus:
Aktivieren der Integration von Microsoft Defender for Cloud Apps mit Identity Protection
Microsoft Defender for Cloud Apps überwacht das Benutzerverhalten in SaaS-Anwendungen und modernen Anwendungen. Dadurch wird Azure AD darüber informiert, was dem Benutzer widerfahren ist, nachdem er sich authentifiziert und ein Token erhalten hat. Wenn das Benutzermuster anfängt, verdächtig zu erscheinen (z. B. wenn ein Benutzer anfängt, Gigabytes an Daten von OneDrive herunterzuladen oder anfängt, Spam-E-Mails in Exchange Online zu versenden), dann kann ein Signal an Azure AD gesendet werden, das es darüber informiert, dass der Benutzer kompromittiert oder ein hohes Risiko zu sein scheint. Bei der nächsten Zugriffsanforderung dieses Benutzers kann Azure AD ordnungsgemäß Maßnahmen ergreifen, um den Benutzer zu überprüfen oder zu sperren.
Führen Sie diesen Schritt aus:
- Aktivieren Sie die Überwachung von Defender für Cloud-Apps , um das Identity Protection-Signal anzureichern.
Aktivieren der Integration des bedingten Zugriffs mit Microsoft Defender for Cloud Apps
Mithilfe von Signalen, die nach der Authentifizierung ausgegeben werden, und mit Defender für Cloud Apps-Proxyanforderungen an Anwendungen können Sie Sitzungen überwachen, die zu SaaS-Anwendungen wechseln, und Einschränkungen erzwingen.
Folgen Sie diesen Schritten:
Aktivieren Sie die eingeschränkte Session für die Verwendung bei Zugriffsentscheidungen
Bei geringem Risiko eines Benutzers, der sich jedoch von einem unbekannten Endpunkt aus anmeldet, möchten Sie ihm vielleicht den Zugriff auf wichtige Ressourcen gestatten, ihm aber nicht erlauben, Maßnahmen zu ergreifen, die Ihr Unternehmen in einen nicht konformen Zustand versetzen. Sie können jetzt Exchange Online und SharePoint Online so konfigurieren, dass dem Benutzer eine eingeschränkte Session ermöglicht wird, in der er E-Mails lesen oder Dateien anzeigen kann, diese aber nicht herunterladen und auf einem nicht vertrauenswürdigen Gerät speichern kann.
Führen Sie diesen Schritt aus:
- Aktivieren Sie den eingeschränkten Zugriff auf SharePoint Online und Exchange Online
VI. Integrieren Sie Bedrohungssignale von anderen Sicherheitslösungen, um die Erkennung, den Schutz und die Reaktion zu verbessern
Letztendlich können andere Sicherheitslösungen integriert werden, um eine höhere Effektivität zu erzielen.
Integrieren von Microsoft Defender for Identity in Microsoft Defender for Cloud Apps
Die Integration mit Microsoft Defender for Identity ermöglicht es Azure AD, riskantes Verhalten von Benutzern beim Zugriff auf lokale, nicht-moderne Ressourcen (wie Dateifreigaben) zu erkennen. Dies kann dann in das Gesamtanwenderrisiko eingerechnet werden, um den weiteren Zugriff in der Cloud zu sperren.
Folgen Sie diesen Schritten:
Aktivieren Sie Microsoft Defender for Identity mit Microsoft Defender for Cloud Apps, um lokale Signale in das Risikosignal einzufügen, das wir über den Benutzer kennen.
Überprüfen Sie den kombinierten Untersuchungs-Prioritätswert für jeden riskanten Benutzer, um einen ganzheitlichen Überblick darüber zu erhalten, auf welche Benutzer sich Ihr SOC konzentrieren sollte.
Aktivieren von Microsoft Defender für Endpunkt
Microsoft Defender für Endpunkt ermöglicht es Ihnen, die Integrität von Windows-Computern zu überprüfen und festzustellen, ob sie einer Bedrohung ausgesetzt sind. Sie können diese Informationen dann zur Ausführungszeit in die Risikominderung einspeisen. Während Sie mit „Domänenbeitritt“ ein gewisses Maß an Kontrolle erhalten, können Sie mit Defender für Endpunkt nahezu in Echtzeit auf Malwareangriffe reagieren, indem Sie Muster erkennen, bei denen mehrere Benutzergeräte auf nicht vertrauenswürdige Websites zugreifen, und zur Laufzeit mit einer Erhöhung des Geräte-/Benutzerrisikos reagieren.
Führen Sie diesen Schritt aus:
Sicherung der Identität gemäß executive order 14028 on Cybersecurity & OMB Memorandum 22-09
DasOMB-Memorandum22-09 der Exekutive 14028 zur Verbesserung der Cybersicherheit& der Nationen enthält spezifische Maßnahmen zu Zero Trust. Identitätsaktionen umfassen die Verwendung zentralisierter Identitätsverwaltungssysteme, die Verwendung starker Phishing-resistenter MFA und die Einbindung von mindestens einem Signal auf Geräteebene in Autorisierungsentscheidungen. Eine ausführliche Anleitung zum Ausführen dieser Aktionen mit Azure Active Directory finden Sie unter Erfüllen der Identitätsanforderungen des Memorandums 22-09 mit Azure Active Directory.
In diesem Leitfaden behandelte Produkte
Microsoft Azure
Microsoft Defender for Identity
Microsoft 365
Microsoft Endpoint Manager (einschließlich Microsoft Intune)
Microsoft Defender für den Endpunkt
Zusammenfassung
Die Identität ist von zentraler Bedeutung für eine erfolgreiche Zero Trust Strategie. Für weitere Informationen oder Unterstützung bei der Implementierung wenden Sie sich bitte an Ihr Customer Success Team oder lesen Sie die anderen Kapitel dieses Leitfadens durch, die alle Zero Trust-Säulen umfassen.
Die Leitfadenreihe für die Zero Trust-Bereitstellung