Zero Trust und Ihre OT-Netzwerke

Zero Trust ist eine Sicherheitsstrategie für den Entwurf und die Implementierung der folgenden Sicherheitsprinzipien:

Explizit verifizieren Verwenden des Zugriffs mit den geringsten Rechten Von einer Sicherheitsverletzung ausgehen
Ziehen Sie zur Authentifizierung und Autorisierung immer alle verfügbaren Datenpunkte heran. Beschränken Sie den Benutzerzugriff mit Just-In-Time- und Just-Enough-Access (JIT/JEA), risikobasierten adaptiven Richtlinien und Datenschutz. Minimieren Sie Auswirkungsgrad und Segmentzugriff. Überprüfen Sie die End-to-End-Verschlüsselung, und verwenden Sie Analysen, um für Transparenz zu sorgen, die Bedrohungserkennung voranzutreiben und die Abwehr zu verbessern.

Implementieren Sie Zero Trust-Prinzipien in Ihren OT-Netzwerken (Operational Technology), um Sie bei Herausforderungen zu unterstützen, z. B.:

  • Steuern von Remoteverbindungen in Ihre OT-Systeme, Schutz Ihrer Netzwerksprungpunkte und Verhindern von lateralen Bewegungen im Netzwerk

  • Überprüfen und Reduzieren von Verbindungen zwischen abhängigen Systemen, Vereinfachen von Identitätsprozessen, z. B. für die Anmeldung von Auftragnehmern in Ihrem Netzwerk

  • Ermitteln einzelner Fehlerpunkte in Ihrem Netzwerk, Identifizieren von Problemen in bestimmten Netzwerksegmenten und Reduzieren von Verzögerungen und Bandbreitenengpässen

Einzigartige Risiken und Herausforderungen für OT-Netzwerke

OT-Netzwerkarchitekturen unterscheiden sich häufig von der herkömmlichen IT-Infrastruktur. OT-Systeme verwenden eine einzigartige Technologie mit proprietären Protokollen und verfügen möglicherweise über alternde Plattformen und eingeschränkte Konnektivität und Leistung. OT-Netzwerke können auch spezifische Sicherheitsanforderungen und einzigartige Gefährdungen gegenüber physischen oder lokalen Angriffen aufweisen, z. B. über externe Auftragnehmer, die sich bei Ihrem Netzwerk anmelden.

Da OT-Systeme häufig kritische Netzwerkinfrastrukturen unterstützen, sind sie häufig so konzipiert, dass sie physische Sicherheit oder Verfügbarkeit vor dem sicheren Zugriff und der Überwachung priorisieren. Beispielsweise funktionieren Ihre OT-Netzwerke möglicherweise getrennt von anderem Unternehmensnetzwerkdatenverkehr, um Ausfallzeiten bei regelmäßigen Wartungen zu vermeiden oder bestimmte Sicherheitsprobleme zu minimieren.

Da mehr OT-Netzwerke zu cloudbasierten Umgebungen migriert werden, kann die Anwendung von Zero Trust-Prinzipien besondere Herausforderungen darstellen. Zum Beispiel:

  • OT-Systeme sind möglicherweise nicht für mehrere Benutzer und rollenbasierte Zugriffsrichtlinien konzipiert und verfügen möglicherweise nur über einfache Authentifizierungsprozesse.
  • OT-Systeme verfügen möglicherweise nicht über die Verarbeitungsleistung, um sichere Zugriffsrichtlinien vollständig anzuwenden, und vertrauen stattdessen dem gesamten empfangenen Datenverkehr als sicher.
  • Die alternde Technologie stellt Herausforderungen bei der Beibehaltung des organisationsbezogenen Wissens, der Anwendung von Updates und der Verwendung von standardmäßigen Sicherheitsanalysetools dar, um Transparenz zu erreichen und die Bedrohungserkennung zu fördern.

Eine Sicherheitsgefährdung in Ihren unternehmenskritischen Systemen kann jedoch zu realen Folgen führen, die über herkömmliche IT-Vorfälle hinausgehen, und die Nichteinhaltung kann die Fähigkeit Ihrer Organisation beeinträchtigen, behördliche und branchenspezifische Vorschriften einzuhalten.

Anwenden von Zero Trust-Prinzipien auf OT-Netzwerke

Wenden Sie weiterhin in Ihren OT-Netzwerken die gleichen Zero Trust-Prinzipien wie in herkömmlichen IT-Netzwerken an, aber mit einigen logistischen Änderungen nach Bedarf. Zum Beispiel:

  • Stellen Sie sicher, dass alle Verbindungen zwischen Netzwerken und Geräten identifiziert und verwaltet werden, um unbekannte Abhängigkeiten zwischen Systemen zu verhindern und unerwartete Ausfallzeiten bei Wartungsvorgängen zu vermeiden.

    Da einige OT-Systeme möglicherweise nicht alle erforderlichen Sicherheitsverfahren unterstützen, empfehlen wir, Verbindungen zwischen Netzwerken und Geräten auf eine begrenzte Anzahl von Sprunghosts zu beschränken. Sprunghosts können dann verwendet werden, um Remotesitzungen mit anderen Geräten zu starten.

    Stellen Sie sicher, dass Ihre Sprunghosts über strengere Sicherheitsmaßnahmen und Authentifizierungsmethoden verfügen, z. B. Multi-Faktor-Authentifizierung und Verwaltungssysteme für privilegierten Zugriff.

  • Segmentieren Sie Ihr Netzwerk, um den Datenzugriff zu beschränken und so sicherzustellen, dass die gesamte Kommunikation zwischen Geräten und Segmenten verschlüsselt und geschützt ist, und laterale Bewegungen zwischen Systemen zu verhindern. Stellen Sie beispielsweise sicher, dass alle Geräte, die auf das Netzwerk zugreifen, gemäß den Richtlinien Ihrer Organisation vorautorisiert und geschützt sind.

    Möglicherweise müssen Sie der Kommunikation in Ihren gesamten Industriekontroll- und Sicherheitsinformationssystemen (ICS und SIS) vertrauen. Sie können Ihr Netzwerk jedoch häufig weiter in kleinere Bereiche segmentieren, was die Überwachung in Bezug auf Sicherheit und Wartung erleichtert.

  • Werten Sie Signale wie Gerätestandort, Integrität und Verhalten aus, indem Sie Integritätsdaten verwenden, um den Zugriff zu sperren oder für die Behebung zu kennzeichnen. Machen Sie es erforderlich, dass Geräte für den Zugriff auf dem neuesten Stand sein müssen, und verwenden Sie Analysen, um Sichtbarkeit zu erhalten und Schutzmaßnahmen mit automatisierten Antworten zu skalieren.

  • Überwachen Sie weiterhin Sicherheitsmetriken, z. B. autorisierte Geräte und Ihre Netzwerkdatenverkehr-Baseline, um sicherzustellen, dass Ihr Sicherheitsperimeter seine Integrität behält und Änderungen in Ihrer Organisation im Laufe der Zeit auftreten. Beispielsweise müssen Sie ggf. Ihre Segmente und Zugriffsrichtlinien ändern, wenn sich Personen, Geräte und Systeme ändern.

Zero Trust mit Defender for IoT

Stellen Sie Microsoft Defender for IoT-Netzwerksensoren bereit, um Geräte zu erkennen und den Datenverkehr in Ihren OT-Netzwerken zu überwachen. Defender for IoT bewertet Ihre Geräte auf Sicherheitsrisiken, bietet risikobasierte Schritte zur Problembehebung und überwacht Ihre Geräte kontinuierlich auf anomales oder nicht autorisiertes Verhalten.

Verwenden Sie beim Bereitstellen von OT-NetzwerksensorenStandorte und Zonen, um Ihr Netzwerk zu segmentieren.

  • Standorte spiegeln viele Geräte wider, die nach einem bestimmten geografischen Standort gruppiert sind, z. B. die Niederlassung an einer bestimmten Adresse.
  • Zonen spiegeln ein logisches Segment innerhalb eines Standorts wider, um einen Funktionsbereich zu definieren, z. B. eine bestimmte Produktionslinie.

Weisen Sie jeden OT-Sensor einem bestimmten Standort und einer bestimmten Zone zu, um sicherzustellen, dass jeder OT-Sensor einen bestimmten Bereich des Netzwerks abdeckt. Durch die Segmentierung Ihres Sensors über Standorte und Zonen hinweg können Sie den Datenverkehr zwischen Segmenten überwachen und Sicherheitsrichtlinien für jede Zone erzwingen.

Stellen Sie sicher, dass Sie standortbasierte Zugriffsrichtlinien zuweisen, damit Sie Zugriff auf Defender for IoT-Daten und -Aktivitäten mit den geringsten Berechtigungen gewähren können.

Wenn Ihr wachsendes Unternehmen beispielsweise über Fertigungsanlagen und Büros in Paris, Lagos, Dubai und Tianjin verfügt, können Sie Ihr Netzwerk wie folgt segmentieren:

Website Zones
Büro in Paris - Erdgeschoss (Gäste)
- 1. Etage (Vertrieb)
- 2. Etage (Führungskräfte)
Büro in Lagos - Erdgeschoss (Büros)
- 1. und 2. Etage (Fertigung)
Büro in Dubai - Erdgeschoss (Kongresszentrum)
- 1. Etage (Vertrieb)
- 2. Etage (Büros)
Büro in Tianjin - Erdgeschoss (Büros)
- 1. und 2. Etage (Fertigung)

Nächste Schritte

Erstellen Sie Websites und Zonen, während Sie OT-Sensoren im Azure-Portal integrieren, und weisen Sie Ihren Azure-Benutzern standortbasierte Zugriffsrichtlinien zu.

Wenn Sie in einer nicht verbundenen Umgebung mit einer lokalen Verwaltungskonsole arbeiten, erstellen Sie OT-Standorte und Zonen direkt in der lokalen Verwaltungskonsole.

Verwenden Sie integrierte Defender for IoT-Arbeitsmappen und erstellen Sie eigene Arbeitsmappen, um Ihren Sicherheitsperimeter im Laufe der Zeit zu überwachen.

Weitere Informationen finden Sie unter

Weitere Informationen finden Sie unter