Integrieren Sie Zero Trust-Praktiken in Ihre Landing Zone

Zero Trust ist eine Sicherheitsstrategie, bei der Sie Produkte und Dienste in Ihr Design und Ihre Implementierung integrieren, um die folgenden Sicherheitsgrundsätze einzuhalten:

• Überprüfen Sie explizit: Authentifizieren Sie und autorisieren Sie den Zugriff basierend auf allen verfügbaren Datenpunkten.

• Verwenden Sie den Zugriff mit den geringsten Rechten: Beschränken Sie die Benutzer auf nur den unbedingt notwendigen Zugriff, und verwenden Sie Tools, um Just-in-Time-Zugriff unter Berücksichtigung adaptiver, risikobasierter Richtlinien bereitzustellen.

• Gehen Sie von Sicherheitsverletzungen aus: Minimieren Sie den Auswirkungsradius und den Segmentzugriff, suchen Sie proaktiv nach Bedrohungen, und verbessern Sie die Verteidigung kontinuierlich.

Wenn Ihre Organisation der Zero Trust-Strategie entspricht, sollten Sie Zero Trust-spezifische Bereitstellungsziele in Ihre Designbereiche für die Zielzone integrieren. Ihre Zielzone ist die Grundlage Ihrer Workloads in Azure, daher ist es wichtig, Ihre Zielzone für die Einführung von Zero Trust vorzubereiten.

Dieser Artikel enthält Anleitungen für die Integration von Zero Trust-Praktiken in Ihre Zielzone und erläutert, wo die Einhaltung von Zero Trust-Prinzipien Lösungen außerhalb Ihrer Zielzone erfordert.

Zero Trust-Prinzipien und Entwurfsbereiche der Zielzone

Wenn Sie Zero Trust-Praktiken in Ihrer Azure-Bereitstellung in der Landing Zone implementieren, sollten Sie zunächst die Zero Trust-Anleitung für jeden Designbereich der Landing Zone in Betracht ziehen.

Überlegungen zum Entwerfen einer Landezone und Anleitungen für wichtige Entscheidungen in den einzelnen Bereichen finden Sie in den Entwurfsbereichen der Azure-Zielzone.

Das Zero Trust-Modell verfügt über Säulen, die nach Konzepten und Bereitstellungszielen organisiert sind. Weitere Informationen finden Sie unter Bereitstellen von Zero Trust-Lösungen.

Diese Säulen stellen spezifische Bereitstellungsziele bereit, die Organisationen bei der Ausrichtung an zero Trust-Prinzipien unterstützen. Diese Ziele gehen über technische Konfigurationen hinaus. Beispielsweise hat die Netzwerksäule ein Bereitstellungsziel für die Netzwerksegmentierung. Das Ziel enthält keine Informationen zum Konfigurieren isolierter Netzwerke in Azure, sondern bietet stattdessen Anleitungen zum Erstellen des Architekturmusters. Es gibt andere Entwurfsentscheidungen, die Sie berücksichtigen sollten, wenn Sie ein Bereitstellungsziel implementieren.

Das folgende Diagramm zeigt die Entwurfsbereiche der Landezone.

Die folgende Tabelle korreliert die Zero Trust-Säulen mit den Entwurfsbereichen, die in der Architektur gezeigt werden.

Legende	Gestaltungsbereich der Landezone	Zero Trust-Säule
	Azure-Abrechnung und Microsoft Entra-Mandant	Identitätspfeiler
	Identitäts- und Zugriffsverwaltung	Identitätssäule, Anwendungssäule, Datensäule
	Ressourcenorganisation	Identitätspfeiler
	Governance	Sichtbarkeit, Automatisierung und Orchestrierungssäule
	Verwaltung	Endpunktsäule, Anwendungssäule, Datensäule, Infrastruktursäule
	Netzwerktopologie und Konnektivität	Säule "Netzwerke"
	Sicherheit	Alle Säulen "Zero Trust"
	Plattformautomatisierung und DevOps	Sichtbarkeit, Automatisierung und Orchestrierungssäule

Nicht alle Zero Trust-Bereitstellungsziele sind Teil einer Zielzone. Viele Zero Trust-Bereitstellungsziele dienen zum Entwerfen und Freigeben einzelner Workloads für Azure.

In den folgenden Abschnitten werden die einzelnen Säulen überprüft und Überlegungen und Empfehlungen für die Implementierung von Bereitstellungszielen bereitgestellt.

Sichere Identität

Informationen zu Bereitstellungszielen zum Sichern der Identität finden Sie unter Sichern der Identität mit Zero Trust. Um diese Bereitstellungsziele zu implementieren, können Sie den Identitätsverbund, den bedingten Zugriff, die Identitätsgovernance und Echtzeitdatenvorgänge anwenden.

Überlegungen zur Identität

• Sie können Azure-Referenzimplementierungen für die Zielzone verwenden, um Ressourcen bereitzustellen, die Ihre vorhandene Identitätsplattform in Azure erweitern und die Identitätsplattform verwalten, indem Sie bewährte Methoden für Azure implementieren.

• Sie können viele der Steuerelemente für Zero Trust-Praktiken in Ihrem Microsoft Entra-Mandanten konfigurieren. Sie können auch den Zugriff auf Microsoft 365 und andere Clouddienste steuern, die Microsoft Entra ID verwenden.

• Sie müssen Konfigurationsanforderungen planen, die über das hinausgehen, was sich in Ihrer Azure-Zielzone befindet.

Identitätsempfehlungen

• Entwickeln Sie einen Plan für die Verwaltung von Identitäten in microsoft Entra ID, die über Azure-Ressourcen hinausgehen. So können Sie beispielsweise Folgendes verwenden:

  • Föderation mit Vor-Ort-Identitätssystemen.
  • Richtlinien für bedingten Zugriff.
  • Benutzer-, Geräte-, Standort- oder Verhaltensinformationen für die Autorisierung.

• Stellen Sie Ihre Azure-Zielzone mit separaten Abonnements für Identitätsressourcen wie Domänencontroller bereit, damit Sie den Zugriff auf Ressourcen besser sichern können.

• Verwenden Sie nach Möglichkeit von Microsoft Entra verwaltete Identitäten.

Sichere Endpunkte

Informationen zu Bereitstellungszielen zum Sichern von Endpunkten finden Sie unter Sichere Endpunkte mit Zero Trust. Um diese Bereitstellungsziele zu implementieren, können Sie:

• Registrieren Sie Endpunkte bei Cloudidentitätsanbietern, um den Zugriff auf Ressourcen ausschließlich über in der Cloud verwaltete kompatible Endpunkte und Apps zu ermöglichen.

• Erzwingen Sie die Verhinderung von Datenverlust (Data Loss Prevention, DLP) und die Zugriffssteuerung sowohl für Unternehmensgeräte als auch für persönliche Geräte, die bei BYOD-Programmen (Bring Your Own Device , BYOD) registriert sind.

• Überwachen Sie das Risiko des Geräts bei der Authentifizierung durch die Erkennung von Endpunktbedrohungen.

Überlegungen zu Endpunkten

• Endpunktbereitstellungsziele sind für Endbenutzer-Computegeräte vorgesehen, wie Laptops, Desktopcomputer und mobile Geräte.

• Während Sie Zero Trust-Methoden für Endpunkte einführen, müssen Sie Lösungen in Azure und außerhalb von Azure implementieren.

• Sie können Tools wie Microsoft Intune und andere Geräteverwaltungslösungen verwenden, um Bereitstellungsziele zu erreichen.

• Wenn Sie über Endpunkte in Azure verfügen, z. B. in Azure Virtual Desktop, können Sie die Clientumgebung in Intune registrieren und Azure-Richtlinien und -Steuerelemente anwenden, um den Zugriff auf die Infrastruktur einzuschränken.

Endpunktempfehlungen

• Entwickeln Sie zusätzlich zu Ihren Plänen zur Implementierung einer Azure-Zielzone einen Plan für die Verwaltung von Endpunkten mit Zero Trust-Praktiken.

• Weitere Informationen zu Geräten und Servern finden Sie unter "Sichere Infrastruktur".

Sichere Anwendungen

Informationen zu Bereitstellungszielen zum Sichern von Anwendungen finden Sie unter Sichere Anwendungen mit Zero Trust. Um diese Bereitstellungsziele zu implementieren, können Sie:

• Verwenden Sie APIs, um Einblicke in Anwendungen zu erhalten.

• Anwenden von Richtlinien zum Schutz vertraulicher Informationen.

• Wenden Sie adaptive Zugriffssteuerungen an.

• Beschränken Sie die Reichweite der Schatten-IT.

Überlegungen zu Anwendungen

• Die Bereitstellungsziele für Anwendungen konzentrieren sich auf die Verwaltung von Drittanbieter- und Erstanbieteranwendungen in Ihrer Organisation.

• Die Ziele richten sich nicht an die Sicherung der Anwendungsinfrastruktur. Stattdessen adressieren sie die Sicherung des Verbrauchs von Anwendungen, insbesondere Cloudanwendungen.

• Die Azure-Zielzonenpraktiken bieten keine detaillierten Steuerelemente für Anwendungsziele. Diese Steuerelemente werden als Teil der Anwendungskonfiguration konfiguriert.

Anwendungsempfehlungen

• Verwenden Sie Microsoft Defender für Cloud-Apps , um den Zugriff auf Anwendungen zu verwalten.

• Verwenden Sie die standardisierten Richtlinien, die in Defender für Cloud-Apps enthalten sind, um Ihre Praktiken zu erzwingen.

• Entwickeln Sie einen Plan, um Ihre Anwendungen in Ihre Praktiken für den Anwendungszugriff zu integrieren. Vertrauen Sie Anwendungen, die Ihre Organisation hostet, nicht mehr als Anwendungen von Drittanbietern.

Schützen von Daten

Informationen zu Bereitstellungszielen zum Sichern von Daten finden Sie unter Sichere Daten mit Zero Trust. Um diese Ziele zu implementieren, können Sie:

• Klassifizieren und Bezeichnen von Daten.
• Zugriffssteuerung aktivieren.
• Implementieren Sie den Schutz vor Datenverlust.

Informationen zum Protokollieren und Verwalten von Datenressourcen finden Sie unter Referenzimplementierungen der Azure-Zielzone.

Ein Zero Trust-Ansatz umfasst umfangreiche Kontrollen für Daten. Aus Implementierungsgründen bietet Microsoft Purview Tools für Datengovernance, Schutz und Risikomanagement. Sie können Microsoft Purview als Teil einer Cloud-Skalierungsanalysebereitstellung verwenden, um eine Lösung bereitzustellen, die Sie im großen Maßstab implementieren können.

Überlegungen zu Daten

• Im Einklang mit dem Prinzip der Demokratisierung von Landing-Zone-Abonnements können Sie Zugriff und Netzwerkisolation für Datenressourcen erstellen und auch Protokollierungspraktiken einrichten.

  Es gibt Richtlinien in den Referenzimplementierungen zum Protokollieren und Verwalten von Datenressourcen.

• Sie benötigen weitere Steuerelemente, die über das Sichern von Azure-Ressourcen hinausgehen, um die Bereitstellungsziele zu erfüllen. Zero Trust-Datensicherheit umfasst das Klassifizieren von Daten, die Bezeichnung für Vertraulichkeit und das Steuern des Datenzugriffs. Sie erstreckt sich auch über Datenbank- und Dateisysteme hinaus. Sie müssen überlegen, wie Sie Daten in Microsoft Teams, Microsoft 365-Gruppen und SharePoint schützen.

Datenempfehlungen

• Microsoft Purview bietet Tools für Datengovernance, Schutz und Risikomanagement.

• Implementieren Sie Microsoft Purview als Teil einer Cloud-Scale-Analytics-Bereitstellung, um Ihre Workload im großen Maßstab zu verwalten.

Sichere Infrastruktur

Informationen zu Bereitstellungszielen zum Sichern der Infrastruktur finden Sie unter Secure Infrastructure with Zero Trust. Um diese Ziele zu implementieren, können Sie:

• Überwachen Sie ungewöhnliches Verhalten in Workloads.
• Verwalten von Infrastrukturidentitäten.
• Einschränken des menschlichen Zugriffs.
• Segmentieren Sie Ressourcen.

Überlegungen zur Infrastruktur

• Zu den Zielen der Infrastrukturbereitstellung gehören:

  • Verwalten von Azure-Ressourcen.
  • Verwalten von Betriebssystemumgebungen.
  • Zugreifen auf Systeme.
  • Anwenden von arbeitslastspezifischen Steuerelementen.

• Sie können das Abonnementmodell für die Zielzone verwenden, um klare Sicherheitsgrenzen für Azure-Ressourcen zu erstellen und eingeschränkte Berechtigungen nach Bedarf auf Ressourcenebene zuzuweisen.

• Organisationen müssen ihre Arbeitslasten für die Verwaltung organisieren.

Infrastrukturempfehlungen

• Verwenden Sie die standardmäßigen Azure-Zielzonenrichtlinien , um nicht kompatible Bereitstellungen und Ressourcen zu blockieren und Protokollierungsmuster zu erzwingen.

• Konfigurieren Sie Privileged Identity Management in Microsoft Entra ID, um Just-in-Time-Zugriff auf hoch privilegierte Rollen bereitzustellen.

• Konfigurieren Sie just-in-time-Zugriff in Defender für Cloud für Ihre Zielzone, um den Zugriff auf virtuelle Computer einzuschränken.

• Erstellen Sie einen Plan zum Überwachen und Verwalten einzelner Workloads, die in Azure bereitgestellt werden.

Schützen von Netzwerken

Informationen zu Bereitstellungszielen zum Sichern von Netzwerken finden Sie unter Sichere Netzwerke mit Zero Trust. Um diese Ziele zu implementieren, können Sie:

• Implementieren sie die Netzwerksegmentierung.
• Verwenden Sie cloudeigene Filterung.
• Implementieren Sie das Prinzip der minimalen Zugriffsberechtigung.

Überlegungen zu Netzwerken

• Um sicherzustellen, dass Ihre Plattformressourcen das Zero Trust-Sicherheitsmodell unterstützen, müssen Sie Firewalls bereitstellen, die HTTPS-Datenverkehrsüberprüfungen durchführen und Identitäts- und Verwaltungsnetzwerkressourcen vom zentralen Hub isolieren können.

• Zusätzlich zu den Netzwerkressourcen im Konnektivitätsabonnement müssen Sie Pläne für die Mikrosegmentierung einzelner Workloads in ihren virtuellen Spokenetzwerken erstellen. Sie können z. B. Datenverkehrsmuster definieren und fein abgestimmte Netzwerksicherheitsgruppen für jedes Workload-Netzwerk erstellen.

Netzwerkempfehlungen

• Verwenden Sie die folgenden Zero Trust-spezifischen Bereitstellungshandbücher, um Ihre Azure-Zielzone bereitzustellen:

  • Azure Landing Zone Portal Accelerator-Bereitstellung mit Zero Trust-Netzwerkprinzipien
  • Bereitstellen von Netzwerken mit Zero Trust-Netzwerkprinzipien
  • Terraform-Bereitstellung für Azure-Zielzonen mit Zero Trust-Netzwerkprinzipien

• Informationen zum Anwenden von Zero Trust-Prinzipien auf die Anwendungsbereitstellung finden Sie unter Zero Trust-Netzwerk für Webanwendungen.

• Informationen zum Erstellen eines Plans für das Workloadnetzwerk finden Sie unter Zero Trust-Bereitstellungspläne mit Azure.

Transparenz, Automatisierung und Orchestrierung

Informationen zu Bereitstellungszielen für Sichtbarkeit, Automatisierung und Orchestrierung finden Sie unter Sichtbarkeit, Automatisierung und Orchestrierung mit Zero Trust. Um diese Ziele zu implementieren, können Sie:

• Transparenz erzielen
• Automatisierung einrichten
• Aktivieren Sie zusätzliche Steuerelemente, indem Sie kontinuierliche Verbesserungen üben.

Überlegungen zur Sichtbarkeit, Automatisierung und Orchestrierung

• Die Referenzimplementierungen der Azure-Zielzone enthalten Bereitstellungen von Microsoft Sentinel , mit denen Sie schnell Sichtbarkeit in Ihrer Azure-Umgebung herstellen können.

• Die Referenzimplementierungen stellen Richtlinien für die Azure-Protokollierung bereit, für andere Dienste ist jedoch zusätzliche Integration erforderlich.

• Sie sollten Automatisierungstools wie Azure DevOps und GitHub so konfigurieren, dass Signale gesendet werden.

Empfehlungen für Sichtbarkeit, Automatisierung und Orchestrierung

• Stellen Sie Microsoft Sentinel als Teil Ihrer Azure-Zielzone bereit.

• Erstellen Sie einen Plan, um Signale von Microsoft Entra ID und Tools in Microsoft 365 in Ihren Microsoft Sentinel-Arbeitsbereich zu integrieren.

• Erstellen Sie einen Plan für die Durchführung von Übungen zur Bedrohungssuche und kontinuierliche Sicherheitsverbesserungen.

Nächste Schritte

• Sicherheit im Microsoft Cloud Adoption Framework für Azure
• Anwenden von Zero Trust-Prinzipien auf Azure-Dienste
• Bewerten Ihres Zero Trust-Sicherheitsstatus