Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die digitale Transformation gestaltet eine neue Normalität. Organisationen nutzen die digitale Transformation, um kontinuierliche Änderungen der Geschäftsumgebung zu verwalten, indem Sie Folgendes verfolgen:
- Verschiebt Geschäftsmodelle und Partnerschaften.
- Technologietrends.
- Regulatorische, geopolitische und kulturelle Kräfte.
Darüber hinaus hat die COVID-19-Telearbeit diese Transformation beschleunigt und verschiebt die Sicherheit von einer Kostenstelle zu einem strategischen Wachstumstreiber.
Zero Trust ist Sicherheit für digitales Geschäft. Die digitale Transformation erfordert das Aktualisieren herkömmlicher Sicherheitsmodelle, da herkömmliche Sicherheitsansätze die aktuellen Anforderungen für geschäftliche Flexibilität, Benutzererfahrungen und ständig weiterentwickelnde Bedrohungen nicht erfüllen. Organisationen implementieren Zero Trust, um diese Herausforderungen zu bewältigen und die neue Normalität der Arbeit überall, mit jedem, jederzeit zu ermöglichen.
Die Umstellung von einem herkömmlichen Sicherheitsmodell auf Zero Trust stellt jedoch eine erhebliche Transformation dar, die Unterstützung, Einführung und Change Management in der gesamten Organisation erfordert. Führungskräfte, Technologieführer, Sicherheitsleiter und Sicherheitsexperten spielen alle wichtige Teile bei der Erstellung eines agilen Zero Trust-Sicherheitsansatzes.
Viele Sicherheitsarchitekten und IT-Teams bitten um Hilfe bei der Kommunikation mit Führungskräften, zum Nachverfolgen des Fortschritts und zur Förderung der Einführung. Dieser Leitfaden hilft Sicherheits- und Technologieteams bei der Zusammenarbeit mit Führungskräften in Zero Trust durch Folgendes:
- Empfohlene Zero Trust-Ziele für Führungskräfte in allen Organisationen.
- Ein methodischer und phasenweiser Ansatz zur Implementierung einer Zero Trust-Architektur.
- Eine systematische Möglichkeit zum Nachverfolgen des Fortschritts, die sich an Führungskräfte richtet.
- Kurierung der relevantesten Ressourcen für die Einführung des Zero-Trust-Modells, von präsentationsfertigen Folien für Führungskräfte bis hin zu technischer Implementierungsanleitung und Benutzerinfografiken.
"Unser Ziel ist es, jede Organisation dabei zu unterstützen, ihre Sicherheitsfunktionen durch eine Zero Trust-Architektur zu stärken, die auf unseren umfassenden Lösungen basiert, die Identität, Sicherheit, Compliance und Geräteverwaltung auf allen Clouds und Plattformen umfassen." –Satya Nadella, Vorstandsvorsitzender und CEO von Microsoft
Als Microsoft-Partner hat NB Consult zu diesem Einführungsleitfaden beigetragen und materielles Feedback gegeben.
Zero Trust erfordert Engagement auf höchster Führungsebene
Zero Trust schützt Geschäftsressourcen überall dort, wo sie sich befinden und wo sie hingehen. Zero Trust ist ein proaktiver, integrierter Ansatz für Sicherheit, der erfordert, dass sie wissen, welche Geschäftsressourcen und -prozesse am wichtigsten sind, um sie zu schützen und zu sichern und gleichzeitig die Geschäftliche Flexibilität zu wahren.
Die Einführung eines Zero Trust-Ansatzes erfordert ein Buy-In in der gesamten C-Suite. Da sich die Bedrohungslandschaft ausdehnt und kritische Angriffe häufiger werden, beschäftigen sich Unternehmensführer in funktionsübergreifenden Bereichen zunehmend mit dem Cybersicherheitsansatz, den ihre Organisation annimmt.
Zero Trust ermöglicht es der gesamten C-Suite und dem Unternehmen, ein messbares Geschäftsergebnis zu nutzen, das an die Verringerung von Bedrohungen und die Steigerung der Produktivität ausgerichtet ist.
Zero Trust bringt Nutzen für zwei vorherrschende Szenarien, die auf dem Markt zu sehen sind.
- Eine formale Sicherheitsstrategie, die auf die Geschäftsergebnisse abgestimmt ist. Dieser Zero Trust-Ansatz bietet einen ganzheitlichen Blick auf die Sicherheit für das gesamte Unternehmen, durch Werte, die im gesamten Unternehmen geteilt und auf jeder Ebene von oben nach unten übernommen werden. Dies wird oft von CISOs geleitet, und Geschäftsergebnisse werden als Teil der Berichtsfunktion von Zero Trust fortlaufend nachverfolgt.
- Delegierte Sicherheit an IT-Funktionen , bei denen Sicherheit als eine andere Technologie vertikal mit minimaler C-Suite-Eingabe und -Integration behandelt wird. Dies konzentriert sich häufig darauf, die Sicherheit kurzfristig kostenoptimal zu gestalten, anstatt sie als Geschäftsrisiko zu verwalten. Oft wird die Sicherheit dadurch weiter in nicht integrierte „best of breed“-Lösungen von unabhängigen Anbietern getrennt.
Zero Trust bietet eine Möglichkeit, die vertikalen Lösungen in eine einzelne Vision zu integrieren. Diese Vision unterstützt konsistente Geschäftsfunktionen und -ergebnisse und stellt fortlaufend messbare Metriken zum Sicherheitszustand bereit.
Traditionell legt der CISO- oder IT/Security-Manager die Strategie oder zumindest die Auswahl von Sicherheitstechnologien fest. Allerdings ist ein Buy-In von den anderen Führungskräften auf C-Ebene erforderlich, um zusätzliche "Sicherheitsausgaben" zu rechtfertigen. Im Rahmen der Zero Trust-Sicherheitsstrategie müssen andere C-Suite-Mitglieder an der Zero Trust-Reise teilnehmen und verstehen, dass Sicherheit eine gemeinsame Geschäftsverantwortung ist, die auf die Geschäftsergebnisse abgestimmt ist.
Es folgt eine generalisierte Ansicht der möglichen Funktionen verschiedener Funktionen auf C-Ebene und deren Ausrichtung auf eine integrierte Vision der Sicherheit mithilfe von Zero Trust.
| Rolle | Verantwortung | Zero Trust Interesse |
|---|---|---|
| Vorstandsvorsitzender (CEO) | Verantwortlich für das Unternehmen | Zero Trust bietet einen integrierten Ansatz zur Sicherheit auf allen digitalen Ebenen. |
| Chief Marketing Officer (CMO) / Marketingvorstand | Verantwortlich für die Marketing-Vision und -Ausführung | Zero Trust schafft die Voraussetzung für die schnelle Wiederherstellung von Sicherheitsverletzungen und unterstützt die verantwortungsvolle Berichterstattung in einer öffentlich wahrnehmbaren Organisation, sodass Sicherheitsverletzungen ohne Reputationsverlust eingedämmt werden können. |
| Chief Information Officer (CIO) | Verantwortlich für IT im Ganzen | Zero Trust-Prinzipien beseitigen vertikale Sicherheitslösungen, die nicht an Geschäftsergebnisse ausgerichtet sind, und ermöglicht Sicherheit als Plattform, die sich an geschäftsergebnissen richtet. |
| Chief Information Security Officer (CISO) | Verantwortlich für die Implementierung des Sicherheitsprogramms | Zero Trust-Prinzipien bieten eine ausreichende Grundlage für die Organisation, um verschiedene Sicherheitsstandards einzuhalten, und ermöglicht es der Organisation, Daten, Ressourcen und Infrastruktur zu sichern. |
| Chief Technology Officer (CTO) | Chefarchitekt im Geschäft | Zero Trust hilft bei der defensiblen Technologieausrichtung, die an geschäftsergebnisse ausgerichtet ist. Bei Verwendung von Zero Trust ist die Sicherheit in jede Architektur integriert. |
| Leitender Betriebsleiter (COO) | Verantwortlich für die operative Ausführung | Zero Trust hilft bei der operativen Governance; die Anleitung zur Sicherheitsvision und die Sichtbarmachung, wer was und wann getan hat. Beide sind an den Geschäftsergebnissen ausgerichtet. |
| Finanzvorstand (CFO) | Verantwortlich für Governance und Ausgaben | Zero Trust hilft bei der Rechenschaftspflicht und der Verteidigung der Ausgaben; eine messbare Möglichkeit, eine risikobasierte Maßnahme gegen die Sicherheit und die Zero-Trust-Ausgaben zu gewinnen, die mit den Geschäftsergebnissen abgestimmt sind. |
Zero Trust-Prinzipien für die C-Suite
Zero Trust ist eine Strategie und Architektur, die auf drei Prinzipien basiert.
| Prinzip | Technische Beschreibung | Geschäftsbeschreibung |
|---|---|---|
| Explizit verifizieren | Authentifizieren und autorisieren Sie immer basierend auf allen verfügbaren Datenpunkten, einschließlich Benutzeridentität, Standort, Geräteintegrität, Dienst oder Workload, Datenklassifizierung und Anomalien. | Dieses Prinzip erfordert, dass Benutzer überprüfen, wer sie sind, indem sie mehr als eine Methode verwenden, damit kompromittierte Konten, die von Hackern gewonnen werden, nicht auf Ihre Daten und Apps zugreifen dürfen. Dieser Ansatz erfordert auch, dass Geräte als berechtigt erkannt werden, auf die Umgebung zuzugreifen, und idealerweise verwaltet werden und fehlerfrei sind (nicht durch Schadsoftware kompromittiert). |
| Geringstmögliche Zugriffsberechtigungen verwenden | Beschränken Sie den Benutzerzugriff mit just-in-time und just-enough-Zugriff (JIT/JEA), risikobasierten adaptiven Richtlinien und Datenschutz, um sowohl Daten als auch Produktivität zu sichern. | Dieses Prinzip beschränkt den Strahlradius einer potenziellen Verletzung, sodass der potenzielle Schaden begrenzt ist, wenn ein Konto kompromittiert wird. Für Konten mit höheren Berechtigungen, z. B. Administratorkonten, umfasst dies die Nutzung von Möglichkeiten, die den Umfang und die Zeitpunkte des Zugriffs dieser Konten einschränken. Sie umfasst auch die Verwendung von Authentifizierungsrichtlinien auf höheren Ebenen, die risikobasiert sind, für diese Konten. Dieses Prinzip umfasst auch das Identifizieren und Schützen vertraulicher Daten. Beispielsweise sollte ein Dokumentordner, der einem vertraulichen Projekt zugeordnet ist, nur Zugriffsberechtigungen für die Teammitglieder enthalten, die es benötigen. Diese Schutzmaßnahmen beschränken zusammen, wie viel Schaden durch ein kompromittiertes Benutzerkonto verursacht werden kann. |
| Gehe von einem Verstoß aus | Minimieren Sie den Explosionsradius und segmentieren Sie den Zugriff. Überprüfen Sie die End-to-End-Verschlüsselung, und verwenden Sie Analysen, um Sichtbarkeit zu erhalten, Bedrohungserkennung zu fördern und Abwehrmaßnahmen zu verbessern. | Bei diesem Prinzip wird davon ausgegangen, dass ein Angreifer Zugriff auf ein Konto, eine Identität, einen Endpunkt, eine Anwendung, eine API oder ein anderes Objekt erhält. Um darauf zu reagieren, schützt Microsoft alle Ressourcen entsprechend, um den Schaden zu begrenzen. Dieses Prinzip umfasst auch die Implementierung von Tools zur kontinuierlichen Bedrohungserkennung und schnellen Reaktion. Im Idealfall haben diese Tools Zugriff auf Signale, die in Ihre Umgebung integriert sind, und können automatisierte Maßnahmen ergreifen, z. B. das Deaktivieren eines Kontos, um den Schaden so schnell wie möglich zu reduzieren. |
Zero Trust-Funktionsbereiche und technische Architektur
Die drei Prinzipien von Zero Trust werden auf verteidigungsübergreifende Bereiche angewendet. Diese werden manchmal als Funktionale Bereiche oder Disziplinen des IT-Managements bezeichnet. Viele Organisationen sind in diesen Bereichen mit Teams spezialisierter Einzelpersonen strukturiert.
Zero Trust erfordert einen integrierten Ansatz in diesen Bereichen und Teams. Deshalb ist es so wichtig, ein Buy-In der C-Suite und eine gut koordinierte Strategie sowie einen einheitlichen Plan in Ihrer Organisation zu haben.
| Funktionsbereich | Technische Definition | Geschäftsübersetzung |
|---|---|---|
| Identitäten | Menschliche und nicht menschliche Identitäten, einschließlich Benutzer, Computer und Dienstprinzipale. Alles, was authentifiziert werden kann. | Alles, was auf menschlicher oder maschineller Basis besteht, das sich anmelden oder Ihre Dienste nutzen kann. |
| Endpunkte | Computergeräte für Endbenutzer, einschließlich Computer, Laptops, Mobiltelefone und Tablets. | Die Geräte, die unsere Benutzer verwenden, um eine Verbindung mit Ihren Diensten herzustellen und mit Ihren Daten zu arbeiten. |
| Anwendungen | Cloud- oder Rechenzentrumsbasierte Anwendungen, für die Benutzer sich anmelden und diese Dienste oder Anwendungen nutzen müssen. | Alle Apps, die von Ihrer Organisation verwendet werden, einschließlich SaaS-Apps, die Sie abonnieren, und andere Anwendungen, unabhängig davon, ob in der Cloud oder lokal. |
| Infrastruktur | Infrastruktur als Dienst (IaaS) oder rechenzentrumsbasierte Infrastruktur, einschließlich Netzwerkkomponenten, Server und Datenspeicher. | Dies sind die technischen Grundlagen und Komponenten, die Ihre Organisation unterstützen, einschließlich physischer und virtueller Server, die in Ihrem Rechenzentrum oder einem Clouddienst gehostet werden. |
| Daten | Strukturierte, unstrukturierte und anwendungsbezogene Daten. | Ihre Unternehmensdaten, die in Dateien, Datenbanken oder anderen Anwendungen (z. B. CRM) enthalten sind. |
| Netzwerk | LAN-, WAN-, drahtlose oder Internetverbindung, einschließlich mobiler (z. B. 3G und 5G) oder sogar des Café-WLAN. | Das Netzwerk, das verwendet wird, um Ihre Benutzer mit den benötigten Diensten zu verbinden. Dies kann ein unternehmensgeführtes Lokales Netzwerk (LOCAL Area Network, LAN), das breitere Netzwerk sein, das den Zugriff auf Ihre digitale Umgebung umfasst, oder die Internetverbindungen, die von Ihren Mitarbeitern zum Herstellen einer Verbindung verwendet werden. |
Bei der Anwendung der Zero Trust-Strategie auf eine digitale Umgebung ist es weniger hilfreich, die einzelnen Domänenbereiche unabhängig voneinander zu betrachten. Es ist nicht so, als ob das Identitätsteam alle Empfehlungen ausführen kann, und dann kann der Zero Trust-Fokus auf das Team wechseln, das Endpunkte verwaltet. Die Zero Trust-Strategie wendet diese Funktionsbereiche zusammen, um einen Bereich innerhalb eines digitalen Nachlasses zu sichern und dann den Umfang des gesamten Schutzes zu erweitern.
Beispielsweise kann das Identitätsteam nur begrenzte Fortschritte bei der Verwendung von Microsoft Entra-Richtlinien für bedingten Zugriff machen, bevor es mit dem Endpunktteam koordiniert wird, um den Schutz zusammen zu integrieren.
Das folgende Diagramm integriert diese Funktionsbereiche in eine einheitliche Zero Trust-Architektur.
In der Abbildung:
- Jeder der Funktionsbereiche wird dargestellt: Identitäten, Endpunkte, Netzwerk, Daten, Apps, Infrastruktur
- Zero Trust integriert schutz in alle Funktionsbereiche durch Richtlinien und Richtlinienoptimierung.
- Der Bedrohungsschutz vereint Signale in der gesamten Organisation in Echtzeit, um Einblicke in Angriffe zu bieten und die Behebung durch automatisierte Aktionen und die Nachverfolgung von Vorfällen zu optimieren.
Im nächsten Abschnitt wird erläutert, wie Sie mit der Zero Trust-Reise beginnen. Wir verwenden den Funktionsbereich "Identitäten" als Beispiel.
Die Zero Trust-Einführungsbewegung
Kunden, die mit dem Cloud Adoption Framework für Azure vertraut sind, haben gefragt: "Wo ist das Zero Trust Adoption Framework?"
Das Cloud Adoption Framework für Azure ist ein methodischer Prozess für die Einführung neuer Apps und Dienste in eine Organisation. Der Schwerpunkt liegt in erster Linie auf einem bewährten Prozess, dem eine Organisation folgen kann, um eine App oder einen Dienst in die Umgebung einzuführen. Die Skalierungsbewegung wiederholt den Prozess für jede App, die einem digitalen Bereich hinzugefügt wird.
Die Einführung einer Zero Trust-Strategie und -Architektur erfordert einen anderen Bereich. Es geht darum, neue Sicherheitskonfigurationen in einer gesamten digitalen Infrastruktur einzuführen. Die Skalierungsbewegung ist zweidimensional:
- Greifen Sie auf einen Teil der Zero Trust-Sicherheitsarchitektur zurück, wie z. B. den Datenschutz, und skalieren Sie diesen Schutz über die gesamte digitale Umgebung.
- Wiederholen Sie den Prozess mit jedem zusätzlichen Teil der Zero Trust-Architektur, beginnend mit strategischen Schnellgewinnen und grundlegenden Teilen, und wechseln Sie dann zu komplexeren Teilen.
Wie das Cloud Adoption Framework für Azure bearbeitet dieser Zero Trust Einführungsleitfaden die Arbeit anhand von Einführungsszenarien, die im nächsten Abschnitt beschrieben werden.
Das folgende Diagramm fasst die Unterschiede zwischen diesen beiden Arten von Einführungsbewegungen zusammen.
Diese Zero Trust-Einführungsanleitung verwendet die gleichen Lebenszyklusphasen wie das Cloud Adoption Framework für Azure, aber angepasst für Zero Trust.
In der folgenden Tabelle werden die Lebenszyklusphasen beschrieben.
| Lebenszyklusphase | BESCHREIBUNG |
|---|---|
| Definieren der Strategie | Erstellen Sie einen Geschäftsfall, der sich auf die Ergebnisse konzentriert, die am ehesten mit den Risiken und strategischen Zielen Ihrer Organisation übereinstimmen. |
| Plan |
|
| Bereit |
|
| Adoptieren | Inkrementelle Implementierung der Strategie in funktionsübergreifenden Bereichen. |
| Regieren | Verfolgen und messen Sie den Erfolg Ihrer Bereitstellung. |
| Verwalten |
|
Geschäftsszenarien
Diese Zero Trust-Einführungsanleitung empfiehlt die Erstellung einer Zero Trust-Strategie und -Architektur anhand dieser Geschäftsszenarien:
- Schnell modernisieren Sie Ihren Sicherheitsstatus
- Sichere Remote- und Hybridarbeit
- Identifizieren und Schützen vertraulicher Geschäftsdaten
- Verhindern oder Reduzieren von Unternehmensschäden durch eine Verletzung
- Einhaltung gesetzlicher und Complianceanforderungen
Jedes Geschäftsszenario wird in einem Artikel beschrieben, in dem beschrieben wird, wie die technische Arbeit in den einzelnen Lebenszyklusphasen voranschreitet, beginnend mit der Erstellung des Geschäftsfalles. Die am besten geeigneten Ressourcen werden entlang des Weges bereitgestellt.
Jedes dieser Geschäftsszenarien unterteilt die Arbeit von Zero Trust in verwaltbare Teile, die über vier Implementierungsstufen implementiert werden können. Auf diese Weise können Sie Die Arbeit priorisieren, vorwärts verschieben und nachverfolgen, während Sie durch die verschiedenen Ebenen der Implementierung einer Zero Trust-Architektur navigieren.
Dieser Leitfaden enthält eine PowerPoint-Foliengruppe mit Fortschrittsfolien, mit denen Sie die Arbeit präsentieren und Ihren Fortschritt auf hoher Ebene für Führungskräfte und andere Projektbeteiligte nachverfolgen können. Die Folien enthalten Features, mit denen Sie den Fortschritt der Projektbeteiligten nachverfolgen und präsentieren können. Hier ist ein Beispiel.
Diese Anleitung enthält auch eine Excel-Arbeitsmappe mit Arbeitsblättern für jedes Geschäftsszenario, mit denen Sie Besitzer zuweisen und den Fortschritt für jede Phase, jedes Ziel und jede Aufgabe nachverfolgen können. Hier ist ein Beispiel.
In verschiedenen Geschäftsszenarien werden die Implementierungsphasen grob so ausgerichtet, dass die Erreichung der Ziele der Phase 1 in den Szenarien dazu beiträgt, dass Ihre Organisation sich auf allen Ebenen weiterentwickelt.
Starten einer Zero Trust-Reise
Wenn Sie sich auf eine Zero Trust-Reise begeben, die auf ein Geschäftsszenario ausgerichtet ist oder zero Trust als strategische Verteidigungsdotrin nutzen möchten, kann der Erfolg schwierig zu messen sein. Dies liegt daran, dass die Sicherheit keine einfache Pass/Fail-Auswertung durchläuft. Vielmehr ist Sicherheit ein Engagement und eine Reise, zu der Zero Trust Leitprinzipien liefert.
Anhand dieser Einführungsleitfaden als Prozessframework können Sie zunächst unsere Sicherheitsstrategie einrichten und dokumentieren, ähnlich wie ein Project Initiation Document (PID). Unter Verwendung der Grundsätze, die für die Strategie gelten, sollten Sie mindestens Folgendes dokumentieren:
- Was machst du?
- Warum machen Sie es?
- Wie einigen Sie sich auf Erfolg und messen ihn?
Jedes Geschäftsszenario umfasst eine andere Gruppe von Ressourcen mit unterschiedlichen Tools zum Erfassen des Inventars. Methodisch beginnen Sie mit einer Bestandsaufnahme und Klassifizierung der Ressourcen für jedes Geschäftsszenario:
- Asset Identification: Welche Ressourcen möchten Sie schützen, z. B. Identitäten, Daten, Apps, Dienste und Infrastruktur? Sie können die oben genannten Funktionsbereiche als Leitfaden für den Einstieg verwenden. Die Bestandsidentifikation ist Teil Ihrer Define-Strategie und der Plan-Lebenszyklusphasen. Die Phase "Strategie definieren" kann ein bestimmtes Szenario formulieren, während die Planungsphase den digitalen Vorrat dokumentiert.
- Ressourcenklassifizierung: Wie wichtig ist jeder der identifizierten Ressourcen, z. B. Identitäten, geschäftskritische Daten und Personaldaten? Die Ressourcenklassifizierung ist Teil der Phase " Bereit ", in der Sie beginnen, die Schutzstrategie für jedes Objekt zu identifizieren.
- Vermögensverwaltung: Wie können Sie diese Ressourcen schützen (verwalten) und verwalten?
- Vermögensrückgewinnung: Wie können Sie sich von einer Kompromittierung oder einem Verlust der Kontrolle über einen Vermögenswert erholen (regulieren)?
Jedes Geschäftsszenario empfiehlt, wie Sie Inventur machen sowie die Vermögenswerte schützen und über den Fortschritt berichten sollten. Obwohl es zwangsläufig einige Überschneidungen in den Geschäftsszenarien gibt, versucht dieser Einsatzleitfaden, so viel wie möglich zu vereinfachen, indem er Asset-Typen in vorwiegend einem Geschäftsszenario behandelt.
Nachverfolgung des Verlaufs
Das Nachverfolgen Ihres Fortschritts während des Zero Trust-Einführungsprozesses ist entscheidend, da es Ihrer Organisation ermöglicht, strategische Ziele und Ziele zu überwachen und zu messen.
Was nachverfolgt und gemessen werden soll
Microsoft empfiehlt, zwei Ansätze zum Nachverfolgen Ihres Fortschritts zu ergreifen:
- Messen Sie Ihren Fortschritt, um Risiken für Ihr Unternehmen zu verringern.
- Messen Sie Ihren Fortschritt bei der Erreichung strategischer Ziele in der Zero Trust-Architektur.
Viele Organisationen verwenden Ressourcen und Tools für die International Organization for Standardization (ISO), um das Risiko einer Organisation zu messen. Dies gilt insbesondere in folgenden Fällen:
ISO/IEC 27001:2022
- Informationssicherheit, Cybersicherheit und Datenschutz
- Systeme zur Informationssicherheitsverwaltung
- Anforderungen
ISO 31000
- Risikomanagement
Die Anforderungen und Richtlinien in diesen Standards sind generisch und können für jede Organisation gelten. Sie bieten eine strukturierte und umfassende Möglichkeit, um die Risiken zu überprüfen und zu messen, die für Ihre Organisation gelten, sowie Gegenmaßnahmen.
Wenn Sie die spezifischen Risiken identifizieren und verstehen, die für Ihre Organisation gelten, können Sie Ihre strategischen Ziele in der Zero Trust-Architektur priorisieren.
So verfolgen und messen Sie
Nachdem Ihre Organisation Ihre strategischen technischen Ziele identifiziert und priorisiert hat, können Sie einen gestuften Fahrplan für die Umsetzung erstellen. Anschließend können Sie ihren Fortschritt mithilfe verschiedener Tools nachverfolgen.
Anpassbare Tracking-Berichte
Microsoft bietet anpassbare PowerPoint- und Excel-Nachverfolgungstools. Dies sind vorab mit Zielen und Aufgaben gefüllt, die nach Zero Trust-Geschäftsszenarien organisiert sind. Sie können diese mit Ihren eigenen Prioritäten, Zielen und Teammitgliedern anpassen. Weitere Informationen finden Sie unter "Bewertungs- und Fortschrittsverfolgungsressource". Sie können co-brandingfähige und anpassbare Tracker aus dem Zero Trust Partner Kit herunterladen.
Produktinterne Dashboards
Microsoft Security Exposure Management ist eine Sicherheitslösung, die eine einheitliche Ansicht der Sicherheitslage über Unternehmensressourcen und Workloads hinweg bietet. In diesem Tool helfen Ihnen Sicherheitsinitiativen bei der Bewertung der Bereitschaft und Reife in bestimmten Bereichen des Sicherheitsrisikos. Sicherheitsinitiativen verfolgen einen proaktiven Ansatz zur Verwaltung von Sicherheitsprogrammen in Richtung spezifischer Risiko- oder domänenbezogener Ziele.
Verwenden Sie die Zero Trust-Initiative, um den Fortschritt Ihrer Organisation bei der Implementierung der Zero Trust-Sicherheit nachzuverfolgen. Diese Initiative ist mit diesem Microsoft Zero Trust Adoption Framework abgestimmt, sodass Sie Ihren Fortschritt mit Metriken nachverfolgen können, die mit Geschäftsszenarien abgestimmt sind. Diese Metriken erfassen Ihre Ressourcenabdeckung über priorisierte empfehlungen für Aktionen, um Sicherheitsteams beim Schutz ihrer Organisation zu unterstützen. Die Initiative bietet auch Echtzeitdaten zu Ihrem Zero Trust-Fortschritt, die für die Projektbeteiligten freigegeben werden können.
Weitere Informationen zur Verwendung der Zero Trust-Initiative im Exposure Management-Tool finden Sie unter "Schnell modernisieren Sie Ihren Sicherheitsstatus – Nachverfolgen und Messen".
Darüber hinaus können Mehrere andere Portale und Berichte Ihnen bei der Erstellung eines Überblicks über risiken in Ihrem Unternehmen helfen, einschließlich:
- Die Initiative "Critical Asset Protection" in Microsoft Security Exposure Management vereint Risiken für kritische Vermögenswerte in Defender-Produkten und -Bereichen.
- Berichte in Microsoft Defender XDR enthalten Informationen zu Sicherheitstrends und verfolgen den Schutzstatus Ihrer Identitäten, Daten, Geräte, Anwendungen und Infrastruktur.
- Mit dem Cloud Security Explorer können Sie proaktiv nach Sicherheitsrisiken suchen.
In Microsoft Defender XDR bietet der Gerätebestand beispielsweise einen klaren Einblick in neu entdeckte Geräte in Ihrem Netzwerk, die noch nicht geschützt sind. Oben auf jeder Registerkarte " Gerätebestand " können Sie die Gesamtanzahl der Geräte sehen, die nicht integriert sind. Hier ist ein Beispiel.
Weitere Informationen zur Verwendung von Microsoft Defender XDR zum Nachverfolgen Ihres Fortschritts finden Sie unter "Stärken Ihres Sicherheitsstatus mit Microsoft Defender XDR".
Beachten Sie, dass die von produktinternen Tools bereitgestellten Fortschrittsprozentsätze möglicherweise nicht korrekt für Organisationen sind, die nicht bereit sind, alle Steuerelemente zu implementieren, z. B.:
- Umfang des Unternehmens
- Lizenzierung
- Kapazität
Weitere Artikel zur Annahme
- Schnell modernisieren Sie Ihren Sicherheitsstatus
- Sichere Remote- und Hybridarbeit mit Zero Trust
- Identifizieren und Schützen vertraulicher Geschäftsdaten
- Verhindern oder Reduzieren von Unternehmensschäden durch eine Verletzung
- Einhaltung gesetzlicher und Complianceanforderungen
Ressourcen zur Fortschrittsnachverfolgung
Für jedes Geschäftsszenario können Sie die folgenden Fortschrittsverfolgungsressourcen verwenden.
| Fortschrittsverfolgungsressource | Das hilft Ihnen... | Konzipiert für... |
|---|---|---|
Phase des Einführungsszenarioplans – Herunterladbare Visio-Datei oder PDF-Datei 
|
Verstehen Sie einfach die Sicherheitsverbesserungen für jedes Geschäftsszenario und den Aufwand für die Phasen und Ziele der Planphase. | Projektleiter für Geschäftsszenarios, Führungskräfte und andere Projektbeteiligte. |
Zero Trust Adoption Tracker herunterladbare PowerPoint-Foliensammlung 
|
Verfolgen Sie Ihren Fortschritt durch die Phasen und Ziele der Planphase. | Projektleiter für Geschäftsszenarios, Führungskräfte und andere Projektbeteiligte. |
Ziele und Aufgaben eines Geschäftsszenarios als herunterladbare Excel-Arbeitsmappe 
|
Weisen Sie Zuständigkeiten zu und verfolgen Sie Ihren Fortschritt durch die Phasen, Ziele und Aufgaben der Planungsphase. | Projektleiter für Geschäftsszenarios, IT-Leads und IT-Implementierer. |
Weitere Ressourcen finden Sie unter Zero Trust-Bewertung und Fortschrittsverfolgungsressourcen.
Zusätzliche Zero Trust-Dokumentation
Weitere Zero Trust-Inhalte basierend auf einem Dokumentationssatz oder Ihrer Rolle in Ihrer Organisation anzeigen.
Dokumentationspaket
Befolgen Sie diese Tabelle für die besten Zero Trust-Dokumentationssätze für Ihre Anforderungen.
| Dokumentationspaket | Hilft Ihnen... | Rollen |
|---|---|---|
| Adoptionsframework für Phasen- und Schrittanleitungen zu wichtigen Geschäftslösungen und -ergebnissen | Wenden Sie Zero Trust-Schutz von der C-Suite auf die IT-Implementierung an. | Sicherheitsarchitekten, IT-Teams und Projektmanager |
| Bewertungs- und Fortschrittsverfolgungsressource | Bewerten Sie die Bereitschaft Ihrer Infrastruktur, und verfolgen Sie den Fortschritt. | Sicherheitsarchitekten, IT-Teams und Projektmanager |
| Partner Kit „Zero Trust“ | Co-Branded-Tracking-Ressourcen, Workshop und Architekturdarstellungen | Partner und Sicherheitsarchitekten |
| Bereitstellung für Technologiesäulen für konzeptionelle Informations- und Bereitstellungsziele | Wenden Sie Zero Trust-Schutzmaßnahmen an, die an typischen IT-Technologiebereichen ausgerichtet sind. | IT-Teams und Sicherheitsmitarbeiter |
| Zero Trust für kleine Unternehmen | Wenden Sie Zero Trust-Prinzipien auf Kleinkunden an. | Kunden und Partner, die mit Microsoft 365 Business zusammenarbeiten |
| Zero Trust für Microsoft-Copilots für eine schrittweise und detaillierte Design- und Bereitstellungsanleitung | Wenden Sie Zero Trust-Schutz auf Microsoft Copilots an. | IT-Teams und Sicherheitsmitarbeiter |
| Zero Trust-Bereitstellungsplan mit Microsoft 365 für einen schrittweisen und detaillierten Entwurfs- und Bereitstellungsleitfaden | Wenden Sie Zero Trust-Schutz auf Ihre Microsoft 365-Organisation an. | IT-Teams und Sicherheitsmitarbeiter |
| Reaktion auf Vorfälle mit XDR und integrierter SIEM- | Festlegen von XDR-Tools und Integrieren dieser Tools in Microsoft Sentinel | IT-Teams und Sicherheitsmitarbeiter |
| Zero Trust für Azure-Dienste für schrittweises und detailliertes Design und Bereitstellungsleitfaden | Wenden Sie Zero Trust-Schutz auf Azure-Workloads und -Dienste an. | IT-Teams und Sicherheitsmitarbeiter |
| Partnerintegration mit Zero Trust für Designanleitungen für Technologiebereiche und Spezialisierungen | Wenden Sie Zero Trust-Schutz auf Partner-Microsoft-Cloudlösungen an. | Partnerentwickler, IT-Teams und Sicherheitsmitarbeiter |
| Entwickeln Sie nach den Zero Trust-Prinzipien für Leitlinien zur Anwendungsentwicklung und bewährte Verfahren | Wenden Sie Zero Trust-Schutz auf Ihre Anwendung an. | Anwendungsentwickler |
| Leitlinien der US-Regierung für CISA, DoDund das Memorandum zur Zero-Trust-Architektur. | Präskriptive Empfehlungen für Anforderungen der US-Regierung | IT-Architekten und IT-Teams |