Identiteit beveiligen met Zero Trust

Achtergrond

Cloudtoepassingen en mobiele werknemers hebben de beveiligingsperimeter opnieuw gedefinieerd. Werknemers brengen hun eigen apparaten mee en werken op afstand. Gegevens worden buiten het bedrijfsnetwerk geopend en gedeeld met externe medewerkers, zoals partners en leveranciers. Bedrijfstoepassingen en -gegevens worden verplaatst van on-premises naar hybride en cloudomgevingen. Organisaties kunnen niet langer vertrouwen op traditionele netwerkcontroles voor beveiliging. Besturingselementen moeten worden verplaatst naar de locatie waar de gegevens zich bevinden: op apparaten, in apps en met partners.

Identiteiten, die personen, services of IoT-apparaten vertegenwoordigen, zijn de meest voorkomende dominator in de vele netwerken, eindpunten en toepassingen van vandaag. In het Zero Trust-beveiligingsmodel fungeren ze als een krachtige, flexibele en gedetailleerde manier om de toegang tot gegevens te beheren.

Voordat een identiteit toegang probeert te krijgen tot een resource, moeten organisaties het volgende doen:

• Controleer de identiteit met sterke verificatie.

• Zorg ervoor dat de toegang compatibel is en gebruikelijk is voor die identiteit.

• Volgt de beginselen voor toegang tot minimale bevoegdheden.

Zodra de identiteit is geverifieerd, kunnen we de toegang van die identiteit tot resources beheren op basis van organisatiebeleid, risicoanalyse en andere hulpprogramma's.

Doelstellingen voor de implementatie van Zero Trust van identiteit

Voordat de meeste organisaties het Zero Trust-traject starten, is hun benadering van identiteit problematisch omdat de on-premises id-provider wordt gebruikt, er geen eenmalige aanmelding aanwezig is tussen cloud- en on-premises apps en is de zichtbaarheid van identiteitsrisico's zeer beperkt.

Bij het implementeren van een end-to-end Zero Trust-framework voor identiteit raden we u aan om u eerst te richten op deze eerste implementatiedoelstellingen:
	I.Cloud-identiteit federatief met on-premises identiteitssystemen. II.Beleid voor voorwaardelijke toegang poorttoegang en bieden herstelactiviteiten. III.Analyse verbetert de zichtbaarheid.
Nadat deze zijn voltooid, richt u zich op deze aanvullende implementatiedoelstellingen:
	IV.Identiteiten en toegangsbevoegdheden worden beheerd met identiteitsbeheer. V.User, apparaat, locatie en gedrag wordt in realtime geanalyseerd om risico's te bepalen en doorlopende beveiliging te bieden. VI.Integreer bedreigingssignalen van andere beveiligingsoplossingen om detectie, beveiliging en reactie te verbeteren.

Implementatiehandleiding voor Identity Zero Trust

In deze handleiding wordt u begeleid bij de stappen die nodig zijn voor het beheren van identiteiten volgens de principes van een Zero Trust-beveiligingsframework.

Initiële implementatiedoelstellingen

i. Cloudidentiteit federatief met on-premises identiteitssystemen

Microsoft Entra ID maakt sterke verificatie, een integratiepunt voor eindpuntbeveiliging en de kern van uw gebruikersgerichte beleid mogelijk om toegang met minimale bevoegdheden te garanderen. De mogelijkheden voor voorwaardelijke toegang van Microsoft Entra vormen het beleidsbeslissingspunt voor toegang tot resources op basis van gebruikersidentiteit, omgeving, apparaatstatus en risico, die expliciet zijn geverifieerd op het punt van toegang. We laten zien hoe u een Zero Trust-identiteitsstrategie met Microsoft Entra-id kunt implementeren.

Verbinding maken al uw gebruikers naar Microsoft Entra ID en federeren met on-premises identiteitssystemen

Door een gezonde pijplijn van de identiteiten van uw werknemers en de benodigde beveiligingsartefacten te behouden (groepen voor autorisatie en eindpunten voor extra besturingselementen voor toegangsbeleid) kunt u het beste consistente identiteiten en besturingselementen in de cloud gebruiken.

Volg vervolgens deze stappen:

1. Kies een verificatieoptie. Microsoft Entra ID biedt u de beste beveiligingsaanval, DDoS- en wachtwoordspraybeveiliging, maar neem de beslissing die geschikt is voor uw organisatie en uw nalevingsbehoeften.

2. Breng alleen de identiteiten die u absoluut nodig hebt. Gebruik bijvoorbeeld om naar de cloud te gaan als een mogelijkheid om serviceaccounts achter te laten die alleen on-premises zinvol zijn. Laat on-premises bevoorrechte rollen achter.

3. Als uw bedrijf meer dan 100.000 gebruikers, groepen en apparaten heeft gecombineerd , maakt u een synchronisatievak met hoge prestaties waarmee uw levenscyclus up-to-date blijft.

Uw Identity Foundation instellen met Microsoft Entra-id

Voor een Zero Trust-strategie moet expliciet worden gecontroleerd, met behulp van principes voor minimale bevoegdheden en ervan uitgaande dat er inbreuk wordt gemaakt. Microsoft Entra ID kan fungeren als het beleidsbeslissingspunt om uw toegangsbeleid af te dwingen op basis van inzichten in de gebruiker, het eindpunt, de doelresource en de omgeving.

Voer deze stap uit:

• Plaats Microsoft Entra-id in het pad van elke toegangsaanvraag. Dit verbindt elke gebruiker en elke app of resource via één identiteitsbeheervlak en biedt Microsoft Entra ID met het signaal om de best mogelijke beslissingen te nemen over het verificatie-/autorisatierisico. Daarnaast bieden eenmalige aanmelding en consistente beleidsregels een betere gebruikerservaring en dragen ze bij aan productiviteitswinsten.

Al uw toepassingen integreren met Microsoft Entra-id

Eenmalige aanmelding voorkomt dat gebruikers kopieën van hun referenties in verschillende apps achterlaten en voorkomen dat gebruikers gewend raken om hun referenties over te geven vanwege overmatige prompts.

Zorg er ook voor dat u niet meerdere IAM-engines in uw omgeving hebt. Dit vermindert niet alleen de hoeveelheid signaal dat Microsoft Entra ID ziet, waardoor slechte actoren in de naden tussen de twee IAM-engines kunnen leven, het kan ook leiden tot slechte gebruikerservaring en uw zakenpartners de eerste twijfels van uw Zero Trust-strategie worden.

Volg vervolgens deze stappen:

1. Integreer moderne bedrijfstoepassingen die OAuth2.0 of SAML spreken.

2. Voor Kerberos- en formuliergebaseerde verificatietoepassingen integreert u deze met behulp van de Microsoft Entra-toepassingsproxy.

3. Als u uw verouderde toepassingen publiceert met behulp van netwerken/controllers voor toepassingslevering, gebruikt u Microsoft Entra ID om te integreren met de meeste belangrijke toepassingen (zoals Citrix, Akamai en F5).

4. Raadpleeg de resources en hulpprogramma's om uw apps te detecteren en te migreren van ADFS en bestaande/oudere IAM-engines.

5. Power push identiteiten naar uw verschillende cloudtoepassingen. Zo beschikt u over een strakkere integratie van de identiteitslevenscyclus binnen deze apps.

Tip

Meer informatie over het implementeren van een end-to-end Zero Trust-strategie voor toepassingen.

Expliciet verifiëren met sterke verificatie

Volg vervolgens deze stappen:

1. Rol Microsoft Entra multifactor authentication (P1) uit. Dit is een fundamenteel onderdeel van het verminderen van het risico van gebruikerssessies. Wanneer gebruikers op nieuwe apparaten en vanaf nieuwe locaties worden weergegeven, is het kunnen reageren op een MFA-uitdaging een van de meest directe manieren waarop uw gebruikers ons kunnen leren dat dit bekende apparaten/locaties zijn wanneer ze zich over de hele wereld bewegen (zonder dat beheerders afzonderlijke signalen parseren).

2. Verouderde verificatie blokkeren. Een van de meest voorkomende aanvalsvectoren voor kwaadwillende actoren is het gebruik van gestolen/opnieuw afgespeelde referenties tegen verouderde protocollen, zoals SMTP, die geen moderne beveiligingsuitdagingen kunnen uitvoeren.

II. Toegang tot beleid voor voorwaardelijke toegang en herstelactiviteiten bieden

Microsoft Entra Conditional Access (CA) analyseert signalen zoals gebruiker, apparaat en locatie om beslissingen te automatiseren en organisatietoegangsbeleid af te dwingen voor resources. U kunt CA-beleid gebruiken om toegangsbeheer toe te passen, zoals meervoudige verificatie (MFA). Met CA-beleid kunt u gebruikers vragen om MFA wanneer dat nodig is voor beveiliging en wanneer ze niet nodig zijn, buiten de weg blijven van gebruikers.

Microsoft biedt standaard voorwaardelijk beleid, de standaardinstellingen voor beveiliging , die een basisniveau van beveiliging garanderen. Uw organisatie heeft echter mogelijk meer flexibiliteit nodig dan de standaardinstellingen voor beveiliging. U kunt voorwaardelijke toegang gebruiken om de standaardinstellingen voor beveiliging aan te passen met meer granulariteit en om nieuwe beleidsregels te configureren die voldoen aan uw vereisten.

Het plannen van uw beleid voor voorwaardelijke toegang van tevoren en het hebben van een set actieve en terugvalbeleidsregels is een basispijler van het afdwingen van uw toegangsbeleid in een Zero Trust-implementatie. Neem de tijd om uw vertrouwde IP-locaties in uw omgeving te configureren. Zelfs als u deze niet gebruikt in een beleid voor voorwaardelijke toegang, informeert het configureren van deze IP-adressen het risico van Identity Protection hierboven.

Voer deze stap uit:

• Bekijk onze richtlijnen en aanbevolen procedures voor flexibele beleidsregels voor voorwaardelijke toegang.

Apparaten registreren bij Microsoft Entra ID om de toegang te beperken tot kwetsbare en gecompromitteerde apparaten

Volg vervolgens deze stappen:

1. Schakel Hybride deelname van Microsoft Entra of Microsoft Entra join in. Als u de laptop/computer van de gebruiker beheert, brengt u die informatie naar Microsoft Entra ID en gebruikt u deze om betere beslissingen te nemen. U kunt er bijvoorbeeld voor kiezen om uitgebreide clienttoegang tot gegevens toe te staan (clients met offlinekopieën op de computer) als u weet dat de gebruiker afkomstig is van een computer die door uw organisatie wordt beheerd en beheerd. Als u dit niet binnenbrengt, zult u er waarschijnlijk voor kiezen om de toegang van rijke clients te blokkeren, wat kan leiden tot uw gebruikers die uw beveiliging omzeilen of schaduw-IT gebruiken.

2. Schakel de Intune-service in Microsoft Endpoint Manager (EMS) in voor het beheren van de mobiele apparaten van uw gebruikers en het inschrijven van apparaten. Hetzelfde kan worden gezegd over mobiele apparaten van gebruikers als over laptops: hoe meer u ervan weet (patchniveau, jailbroken, geroot, enzovoort), hoe meer u ze kunt vertrouwen of wantrouwt en een reden biedt waarom u toegang blokkeert/toestaat.

Tip

Meer informatie over het implementeren van een end-to-end Zero Trust-strategie voor eindpunten

III. Analyse verbetert de zichtbaarheid

Wanneer u uw domein bouwt in Microsoft Entra-id met verificatie, autorisatie en inrichting, is het belangrijk om sterke operationele inzichten te hebben in wat er in de directory gebeurt.

Uw logboekregistratie en rapportage configureren om de zichtbaarheid te verbeteren

Voer deze stap uit:

• Plan een Microsoft Entra-rapportage- en bewakingsimplementatie om logboeken van Microsoft Entra-id te kunnen behouden en analyseren, hetzij in Azure of met behulp van een SIEM-systeem van keuze.

Aanvullende implementatiedoelstellingen

IV. Identiteiten en toegangsbevoegdheden worden beheerd met identiteitsbeheer

Zodra u uw eerste drie doelstellingen hebt bereikt, kunt u zich richten op aanvullende doelstellingen, zoals robuuster identiteitsbeheer.

Beveiligde bevoegde toegang met Privileged Identity Management

Beheer de eindpunten, voorwaarden en referenties die gebruikers gebruiken voor toegang tot bevoegde bewerkingen/rollen.

Volg vervolgens deze stappen:

1. Beheer uw bevoorrechte identiteiten. Houd er rekening mee dat in een digitaal getransformeerde organisatie bevoorrechte toegang niet alleen beheerderstoegang is, maar ook eigenaars van toepassingen of ontwikkelaarstoegang die de manier kan wijzigen waarop uw essentiële apps worden uitgevoerd en gegevens kunnen verwerken.

2. Gebruik Privileged Identity Management om bevoorrechte identiteiten te beveiligen.

Gebruikerstoestemming beperken tot toepassingen

Gebruikerstoestemming voor toepassingen is een veelgebruikte manier voor moderne toepassingen om toegang te krijgen tot organisatieresources, maar er zijn enkele aanbevolen procedures om rekening mee te houden.

Volg vervolgens deze stappen:

1. Beperk gebruikerstoestemming en beheer toestemmingsaanvragen om ervoor te zorgen dat de gegevens van uw organisatie niet onnodig worden blootgesteld aan apps.

2. Controleer eerdere/bestaande toestemming in uw organisatie op overmatige of schadelijke toestemming.

Zie "Bescherming tegen cyberbedreigingen en malafide apps versterken" in onze handleiding voor het implementeren van een strategie van Zero Trust voor identiteiten voor meer informatie over de bescherming tegen tactieken om toegang te krijgen tot gevoelige informatie.

Rechten beheren

Met toepassingen die centraal worden geverifieerd en aangestuurd vanuit Microsoft Entra ID, kunt u uw toegangsaanvraag, goedkeuring en hercertificeringsproces stroomlijnen om ervoor te zorgen dat de juiste personen de juiste toegang hebben en dat u een spoor hebt van de reden waarom gebruikers in uw organisatie de toegang hebben die ze hebben.

Volg vervolgens deze stappen:

1. Gebruik Rechtenbeheer om toegangspakketten te maken die gebruikers kunnen aanvragen wanneer ze lid worden van verschillende teams/projecten en waarmee ze toegang krijgen tot de bijbehorende resources (zoals toepassingen, SharePoint-sites, groepslidmaatschappen).

2. Als het implementeren van Rechtenbeheer op dit moment niet mogelijk is voor uw organisatie, schakelt u in ieder geval selfserviceparadigma's in uw organisatie in door selfservicegroepsbeheer en selfservicetoepassingstoegang te implementeren.

Verificatie zonder wachtwoord gebruiken om het risico op phishing- en wachtwoordaanvallen te verminderen

Met Microsoft Entra ID die FIDO 2.0 en aanmelding zonder wachtwoord ondersteunt, kunt u de naald verplaatsen op de referenties die uw gebruikers (met name gevoelige/bevoegde gebruikers) dagelijks gebruiken. Deze referenties zijn sterke verificatiefactoren die ook risico's kunnen beperken.

Voer deze stap uit:

• Begin met het implementeren van referenties zonder wachtwoord in uw organisatie.

V. Gebruiker, apparaat, locatie en gedrag wordt in realtime geanalyseerd om risico's te bepalen en doorlopende beveiliging te bieden

Realtime-analyse is essentieel voor het bepalen van risico's en bescherming.

Microsoft Entra-wachtwoordbeveiliging implementeren

Terwijl u andere methoden inschakelt om gebruikers expliciet te verifiëren, negeert u geen zwakke wachtwoorden, wachtwoordspray en geschonden replay-aanvallen. En klassiek complex wachtwoordbeleid voorkomt niet de meest voorkomende wachtwoordaanvallen.

Voer deze stap uit:

• Schakel Microsoft Entra-wachtwoordbeveiliging in voor uw gebruikers in de cloud en on-premises.

Identity Protection inschakelen

Krijg meer gedetailleerde sessie-/gebruikersrisicosignaal met Identity Protection. U kunt risico's onderzoeken en compromissen bevestigen of het signaal negeren, zodat de engine beter begrijpt hoe het risico eruitziet in uw omgeving.

Voer deze stap uit:

• Schakel Identity Protection in.

Integratie van Microsoft Defender voor Cloud-apps met Identity Protection inschakelen

Microsoft Defender voor Cloud Apps bewaakt het gebruikersgedrag in SaaS en moderne toepassingen. Dit informeert Microsoft Entra ID over wat er met de gebruiker is gebeurd nadat deze een token heeft geverifieerd en ontvangen. Als het gebruikerspatroon er verdacht uitziet (bijvoorbeeld een gebruiker begint gigabytes aan gegevens van OneDrive te downloaden of spam-e-mailberichten verzendt in Exchange Online), kan een signaal worden ingevoerd bij Microsoft Entra-id, waarbij wordt gemeld dat de gebruiker lijkt te zijn gecompromitteerd of een hoog risico lijkt te lopen. Op de volgende toegangsaanvraag van deze gebruiker kan Microsoft Entra ID correct actie ondernemen om de gebruiker te verifiëren of te blokkeren.

Voer deze stap uit:

• Schakel Defender voor Cloud Apps-bewaking in om het Identity Protection-signaal te verrijken.

Integratie van voorwaardelijke toegang met Microsoft Defender voor Cloud Apps inschakelen

Met behulp van signalen die worden verzonden na verificatie en met Defender voor Cloud Apps-proxyaanvragen voor toepassingen, kunt u sessies bewaken die naar SaaS-toepassingen gaan en beperkingen afdwingen.

Volg vervolgens deze stappen:

1. Integratie van voorwaardelijke toegang inschakelen.

2. Voorwaardelijke toegang uitbreiden naar on-premises apps.

Beperkte sessie inschakelen voor gebruik in toegangsbeslissingen

Wanneer het risico van een gebruiker laag is, maar zich aanmeldt vanaf een onbekend eindpunt, wilt u ze mogelijk toegang geven tot kritieke resources, maar niet toestaan dat ze dingen doen die uw organisatie in een niet-compatibele status laten staan. U kunt Nu Exchange Online en SharePoint Online configureren om de gebruiker een beperkte sessie te bieden waarmee ze e-mailberichten kunnen lezen of bestanden kunnen bekijken, maar ze niet downloaden en opslaan op een niet-vertrouwd apparaat.

Voer deze stap uit:

• Beperkte toegang tot SharePoint Online en Exchange Online inschakelen

VI. Bedreigingssignalen van andere beveiligingsoplossingen integreren om detectie, beveiliging en reactie te verbeteren

Ten slotte kunnen andere beveiligingsoplossingen worden geïntegreerd voor een grotere effectiviteit.

Microsoft Defender for Identity integreren met Microsoft Defender voor Cloud-apps

Dankzij integratie met Microsoft Defender for Identity kan Microsoft Entra-id weten dat een gebruiker riskant gedrag gebruikt bij het openen van on-premises, niet-moderne resources (zoals bestandsshares). Dit kan vervolgens worden meegenomen in het totale gebruikersrisico om verdere toegang in de cloud te blokkeren.

Volg vervolgens deze stappen:

1. Schakel Microsoft Defender for Identity in met Microsoft Defender voor Cloud-apps om on-premises signalen naar het risicosignaal te brengen dat we over de gebruiker kennen.

2. Controleer de gecombineerde onderzoeksprioriteitsscore voor elke gebruiker die risico loopt om een holistisch beeld te geven van waarover uw SOC zich moet richten.

Microsoft Defender voor Eindpunt inschakelen

Microsoft Defender voor Eindpunt kunt u de status van Windows-computers controleren en bepalen of ze een inbreuk ondergaan. Vervolgens kunt u die informatie invoeren om risico's tijdens runtime te beperken. Terwijl Domain Join u een gevoel van controle geeft, kunt u met Defender voor Eindpunt in bijna realtime reageren op een malware-aanval door patronen te detecteren waarbij meerdere gebruikersapparaten onbetrouwbare sites raken en reageren door hun apparaat-/gebruikersrisico tijdens runtime te verhogen.

Voer deze stap uit:

• Configureer voorwaardelijke toegang in Microsoft Defender voor Eindpunt.

Identiteit beveiligen in overeenstemming met Executive Order 14028 op Cybersecurity & OMB Memorandum 22-09

De Executive Order 14028 on Improving the Nations Cyber Security & OMB Memorandum 22-09 omvat specifieke acties op Zero Trust. Identiteitsacties omvatten het gebruik van gecentraliseerde identiteitsbeheersystemen, het gebruik van sterke phishingbestendige MFA en het opnemen van ten minste één signaal op apparaatniveau in autorisatiebeslissing(en). Zie Voldoen aan identiteitsvereisten van memorandum 22-09 met Microsoft Entra ID voor gedetailleerde richtlijnen over het implemen van deze acties met Microsoft Entra ID.

Producten die in deze handleiding worden behandeld

Microsoft Azure

Microsoft Entra ID

Microsoft Defender for Identity

Microsoft 365

Microsoft Endpoint Manager (inclusief Microsoft Intune)

Microsoft Defender voor Eindpunt

SharePoint Online

Exchange Online

Conclusie

Identiteit is centraal in een succesvolle Zero Trust-strategie. Neem voor meer informatie of hulp bij de implementatie contact op met uw klantenteam of lees verder door de andere hoofdstukken van deze handleiding, die alle Zero Trust-pijlers omvatten.

De reeks Zero Trust-implementatiehandleidingen