Acceptatie afstemmen met Zero Trust frameworks

Dit artikel bevat een overzicht van bekende Zero Trust frameworks en laat zien hoe het Zero Trust acceptatiemodel van Microsoft u helpt om van frameworkkennis tot acceptatie op schaal over te stappen.

Zero Trust is geen enkel framework. Het is een beveiligingsmodel dat overeenkomt met meerdere industrie- en overheidsstandaarden. Deze standaarden zijn geen concurrerende oplossingen. Elk element heeft betrekking op een ander aspect van Zero Trust, zoals het definiëren van kernconcepten, het beoordelen van de voortgang of het coördineren van de acceptatie binnen een organisatie.

Hoewel brancheframeworks helpen bepalen wat Zero Trust moet bereiken, hebben organisaties nog steeds een manier nodig om die richtlijnen te vertalen in een specifieke strategie en architectuur voor het plannen, ontwerpen en implementeren van oplossingen.

Microsofts Zero Trust-adoptiemodel doet precies dat. Het biedt een referentiestrategie en -architectuur die is afgestemd op en bouwt voort op brancheframeworks om de acceptatie en implementatie van Zero Trust te versnellen.

Tip

Microsoft biedt een uitgebreide reeks workshops voor beveiligingsimplementatie: de workshops Security Adoption Framework (SAF. Onze richtlijnen voor gestructureerd acceptatiemodel zijn afgestemd op de deskundige richtlijnen van Microsoft Unified die in deze workshops worden geleverd. Meer informatie over SAF-workshops.

NIST-Zero Trust

National Institute of Standards and Technology (NIST) Special Publication (SP) 800-207 Zero Trust Architecture stelt een door de branche erkende definitie van Zero Trust architectuur vast. Hierin wordt uitgelegd wat Zero Trust is en hoe vertrouwensbeslissingen worden genomen, onafhankelijk van een specifieke leverancier, product of implementatieschema.

NIST SP 800-207 is het handigst wanneer organisaties een algemene, gezaghebbende definitie van Zero Trust concepten nodig hebben die kunnen worden gedeeld tussen beveiligings-, IT- en architectuurteams.

NIST-mogelijkheden

NIST plaatst Zero Trust expliciet als een architectuur waarbij de toegang tot resources nooit impliciet wordt vertrouwd.

Zero Trust principes in NIST zijn onder andere:

  • Uitgaan van een inbreuk om een integrale en praktische beveiligingsaanpak te realiseren.
  • Verificatie van vertrouwen expliciet voordat u toegang verleent tot assets.
  • De impact beperken door alleen de minimaal noodzakelijke rechten toe te kennen.

De belangrijkste architectuurconcepten zijn gericht op:

  • Continue dynamische evaluatie van toegangsaanvragen met behulp van contextuele signalen.
  • Gecentraliseerde beleidsbeslissingslogica die signalen evalueert op basis van organisatiebeleid.
  • Functionaliteit voor beleidshandhaving dicht bij de beschermde bronnen voert het besluit uit.

De Zero Trust conceptuele architectuur die door NIST is gedefinieerd, is gericht op hoe toegangsbeslissingen worden geëvalueerd en afgedwongen met behulp van beleidsengines, afdwingingspunten en contextuele signalen.

Houd er rekening mee dat:

  • NIST SP 800-270 definieert geen technologiepijlers of beveiligingsdomeinen zoals identiteit, eindpunten of gegevensbeveiliging.
  • Identiteit, apparaatpostuur, toepassingen en gegevens worden gemodelleerd als onderwerpen, resources en bronnen van context die vertrouwensbeslissingen informeren in plaats van als afzonderlijke architectuurdomeinen.

Microsoft's security adoption model bouwt voort op deze architectuur door de principes en onderdelen binnen een operationeel framework toe te passen.

Hoewel NIST definieert hoe vertrouwensbeslissingen worden genomen en afgedwongen, organiseert ons acceptatiemodel deze mogelijkheden voor beveiligingsdisciplines en technologiepijlers om bedrijfsplanning, eigendom, oplossingsontwerp, implementatie en voortgangstracering te begeleiden.

Implementation

Implementatierichtlijnen vindt u in NIST SP 1800-35 Implementatie van een Zero Trust-architectuur.

Voor deze implementatierichtlijnen:

  • NIST werkte samen met 24 leveranciers, waaronder Microsoft, aan het ontwikkelen van een handleiding met praktische stappen voor organisaties die graag referentieontwerpen voor cyberbeveiliging willen implementeren voor Zero Trust.
  • Microsoft nam deel als een van de leveranciers die technologie leverden om Zero Trust-functionaliteit te implementeren binnen:
    • Identiteits- en toegangsbeheer.
    • Eindpuntbeheer en -configuratie.
    • Bedreigingsbeveiliging en -bewaking.
    • Beveiligde toegang tot gedistribueerde resources.

Dit diagram is het resultaat van de samenwerking NIST SP 1800-35. Het kan worden gedownload van Microsoft Cybersecurity Reference Architecture (MCRA). Meer informatie over MCRA

Diagram met Microsoft producten die zijn toegewezen aan NIST Zero Trust Architecture.

CISA Zero Trust Volwassenheidsmodel

De Cybersecurity and Infrastructure Security Agency (CISA) Zero Trust Maturity Model is georganiseerd rond acceptatie en evaluatie. Met dit volwassen model kunnen organisaties hun huidige houding ordenen en beoordelen, verbeteringen prioriteren en de voortgang bijhouden.

CISA-functies

In tegenstelling tot NIST definieert CISA geen referentiearchitectuur en evalueert in plaats daarvan mogelijkheden onafhankelijk van specifieke ontwerppatronen.

  • Het model maakt gebruik van op pijlers gebaseerde domeinen, waaronder identiteit, apparaten, netwerken/omgeving, toepassingen/workloads en gegevens.
  • Het definieert ook drie geavanceerde mogelijkheden: zichtbaarheid en analyse, automatisering en indeling en governance.
  • En hierin worden vier volwassenheidsfasen vastgelegd: Traditioneel, Initiële, Geavanceerd en Optimaal.
  • Governance wordt ook niet beschouwd als een zelfstandige pijler, maar als een cross-cutting mogelijkheid die zorgt voor bedrijfsuitlijning, duidelijk eigendom en meetbare resultaten voor alle domeinen.

Implementation

Het model is afgestemd op en informeert het Microsoft beveiligingsacceptatiemodel, terwijl Microsoft het verder uitbreidt door disciplines zoals Architectuur te introduceren om conceptuele frameworks zoals NIST SP 800-207 te overbrugmen met praktische implementatie.

CISA Acceptatie-discipline/pijler Bijzonderheden
Identiteit
Identiteit omvat verificatie, autorisatie, identiteitsrisico, levenscyclus. Apps en workloads hebben betrekking op app-toegangsbeheer, workloadidentiteit en beveiligde app-interactie.		 Discipline: Identiteit en toegang

Technologie: Identiteit		 Toegangsbeheer in Microsoft omvat zowel identiteits- als toepassingslagen, terwijl CISA deze scheidt.
Governance
Ondernemingbrede beleidsregels, controles en afdwinging.		 Discipline: Strategie, Integratie, Governance
Beveiligingsarchitectuur

Technologie: Alles.		 De beleids- en beheermogelijkheden van CISA worden rechtstreeks toegewezen aan SecOps-resultaten. Microsoft voegt extra aandacht toe aan andere aspecten van governance (bedrijfsuitlijning, risicobeheer, rollen en meer) en speciale aandacht voor architectuurdiscipline en referentiearchitecturen.
Devices
Apparaatinventaris, houding, naleving; netwerksegmentatie, beveiligde connectiviteit, omgevingscontroles. Inclusief niet-raditionele, beperkte en gespecialiseerde apparaten.		 Discipline: Identiteit en toegang, infrastructuurbeveiliging, OT/IoT-beveiliging

Technologie: Eindpunten		 Vertrouwen in de infrastructuur wordt opgebouwd via de gezondheid van apparaten en gecontroleerde connectiviteit, in lijn met het Zero Trust-doel om de impact van incidenten en laterale verplaatsing te minimaliseren.

Microsoft beschouwt OT/IoT-apparaten als een afzonderlijke discipline vanwege unieke eigendoms- en risicobeheerredenen.
Apps en werkbelastingen
Apps & Workloads omvat toegangsbeheer voor toepassingen, workloadidentiteit en veilige interactie tussen toepassingen.		 Discipline: Ontwikkelingsbeveiliging

Technologie: Apps		 De focus van CISA-werkbelasting is afgestemd op DevSecOps-doelen door beveiliging in te sluiten in de levenscyclus van toepassingen en services, in plaats van deze te behandelen als een activiteit na de implementatie.
Networks
Netwerksegmentatie, beveiligde connectiviteit, omgevingsbeheer.		 Discipline: Identiteit en toegang

Technologie: Netwerken		 Microsoft combineert alle toegang (identiteit, apps en netwerken) in één discipline om een duidelijke strategie, architectuur en beleidsconsistentie tussen technologieën mogelijk te maken.
Gegevens
Gegevensclassificatie, inventaris, toegangsbeheer, versleuteling en beveiliging onafhankelijk van de netwerklocatie.		 Discipline: Gegevensbeveiliging

Technologie: Gegevens		 Beide modellen plaatsen gegevens als primair beveiligingsdoel en versterken de Zero Trust van perimeterbeveiliging naar gegevensgerichte besturingselementen.
Zichtbaarheid en analyse, automatisering en indeling

Telemetrieverzameling, continue bewaking, detectie, reactieautomatisering en beleidsafdwinging op schaal.		 Discipline: SecOps

Technologie: Alle		 De cross-cutting mogelijkheden van CISA zijn rechtstreeks toegewezen aan SecOps-resultaten, waaronder het detecteren van bedreigingen, het automatiseren van reacties en het continu opnieuw beoordelen van vertrouwen in alle domeinen.
Ontwikkelingsfasen voor alle pijlers Beveiligingspostuur Postuurbeheer is het kerndoel van het CISA-model: huidige status beoordelen, hiaten identificeren, verbeteringen prioriteren en Zero Trust voortgang in de loop van de tijd bijhouden.

Zie Implementatie van het CISA Zero Trust Maturity Model met Microsoft cloudservices voor meer informatie.

Het Zero Trust referentiemodel voor de open groep

Het Open Group Zero Trust Reference Model benadert Zero Trust vanuit het perspectief van bedrijfsfuncties en integratie. In plaats van specifieke implementatiestappen te definiëren, worden de mogelijkheden en governancestructuren beschreven die organisaties nodig hebben om Zero Trust op schaal te definiëren, te integreren en te gebruiken.

Groepsfuncties openen

Functies zijn onder andere:

  • Capaciteiten + Architecture Building Blocks (ABB’s) definiëren beveiligingscapaciteiten die duurzame beveiligingsuitkomsten stimuleren, evenals de mensen, het proces en de technologie die deze mogelijk maken.
  • Samenwerkings- en integratiemodellen laten zien hoe u beveiliging integreert met strategie, risicobeheer, bewerkingen en andere aspecten van de organisatie.

De mogelijkheden bestaan uit mensen, processen en technologie-elementen die samenwerken:

  • Personen: gedefinieerd als rollen in de standaard open groepsrollen en woordenlijst
  • Process: gedefinieerd als architecturale bouwstenen (ABBs) in dezelfde Zero Trust Reference Model-standaard
  • Technologie: gedefinieerd als ABB's in dezelfde standaard voor het Zero Trust-referentiemodel

In dit diagram ziet u de volgende mogelijkheden:

Diagram met de beveiligingsmogelijkheden voor open groepen uit het Zero Trust referentiemodel.

In dit diagram ziet u hoe deze mogelijkheden zijn afgestemd op de functies van het NIST Cybersecurity Framework (NIST CSF):

Diagram met de open groepsbeveiligingsmogelijkheden die zijn toegewezen aan de functies NIST Cybersecurity Framework.

Implementation

Het model komt overeen met ons aanbevolen adoptiemodel.

Groep openen Adoptiediscipline Uitlijning
Zero Trust-strategie en governance

Definieert hoe organisaties Zero Trust tot stand brengen als een bedrijfsstrategie, waaronder governance, risicobeheer, beleidseigendom en afstemming van mensen, processen en technologie.		 Strategie, integratie en governance Zowel Open Group als Microsoft expliciet positioneren Zero Trust als bedrijfsstrategie, niet als een technische controleset. Dit ondersteunt direct de afstemming, verantwoordelijkheid en integratie op directieniveau in de gehele organisatie.
Op capabilities gebaseerde Zero Trust-architectuur

Biedt bouwkundige bouwstenen en mogelijkheidsgroeperingen voor het ontwerpen van Zero Trust architecturen, zonder specifieke technologieën of producten te hoeven schrijven.		 Beveiligingsarchitectuur Dit vult de ruimte tussen de abstracte architectuur en implementatierichtlijnen van NIST, zodat architecten Zero Trust principes kunnen vertalen in ontwerpen op ondernemingsniveau.
Mogelijkheden voor identiteits-, verificatie-, autorisatie- en beleidsdwinging

Definieert mogelijkheden die nodig zijn om identiteit te verifiëren, vertrouwen dynamisch te evalueren en toegangsbeslissingen consistent af te dwingen in omgevingen.		 Identiteit en toegang Is rechtstreeks afgestemd op toegangsbeveiliging als een acceptatie-discipline: wie heeft toegang tot wat, onder welke voorwaarden en hoe die beslissing wordt afgedwongen.
Mogelijkheden voor gegevensgerichte beveiliging

Benadrukt de beveiliging van informatie, ongeacht de locatie, waaronder gegevensclassificatie, beveiliging en beleidsgestuurde toegang.		 Gegevensbeveiliging Sluit aan bij Zero Trusts verschuiving van perimeterbeveiliging naar gegevensgerichte beveiliging en sluit daardoor natuurlijk aan bij gegevensbescherming als toepassingsdomein.
Zichtbaarheids-, bewakings-, analyse- en antwoordmogelijkheden

Bevat mogelijkheden voor het verzamelen van telemetrie, het bewaken van vertrouwenssignalen en het aanpassen van beleid op basis van waargenomen risico's.		 SecOps Maakt continue evaluatie en afdwinging mogelijk: kern voor Zero Trust bewerkingen en beveiligingsbewaking op schaal.
Beveiligingsmogelijkheden voor toepassings- en serviceinteractie

Behandelt hoe toepassingen en services deelnemen aan Zero Trust, waaronder veilige interacties, service-identiteit en runtime-handhaving.		 Dev-beveiliging Ondersteunt het integreren van Zero Trust in moderne toepassingslevenscycli en service-naar-service-communicatie.
Platform- en omgevingsbeveiligingsmogelijkheden

Behandelt beveiligde werking van platforms, netwerken en omgevingen die workloads hosten, zonder dat het netwerk wordt behandeld als een vertrouwensgrens.		 Beveiligingsinfrastructuur Hiermee wordt de beveiliging van de infrastructuur afgestemd op Zero Trust principes door infrastructuur als afdwingbaar maar niet inherent vertrouwd te behandelen.
Ondersteuning voor uitgebreide omgevingen en niet-traditionele assets

Herkent IT/OT/IoT-convergentie expliciet en de noodzaak voor Zero Trust mogelijkheden in beperkte en heterogene omgevingen.		 Infrastructuur (OT/IoT-beveiliging) Komt overeen met de praktijk van de invoering, waarbij OT/IoT een eigen verantwoordelijkheid vereisen, maar nog steeds moeten aansluiten op de bedrijfsbrede Zero Trust-strategie.
Op mogelijkheden gebaseerde volwassenheid en continue verbetering

Biedt een mogelijkheidsmodel dat is bedoeld om de huidige status te beoordelen, te verbeteren en zich in de loop van de tijd aan te passen naarmate bedreigingen en technologie zich ontwikkelen.		 Beveiligingspostuur Posities Zero Trust als een doorlopend programma, niet als een eenmalige implementatie, die rechtstreeks is afgestemd op de doelstellingen van het beheer van houdingen.

Microsoft-technologieën koppelen aan het model

Het Zero Trust Referentiemodel bevat ook een algemeen overzicht van Zero Trust onderdelen. Dit diagram laat zien hoe Microsoft-technologieën overeenkomen met deze onderdelen:

Diagram met Microsoft technologieën die zijn toegewezen aan the Open Group Zero Trust Reference Model components.

DoD Zero Trust-strategie

Het Amerikaanse ministerie van Defensie heeft een DoD Zero Trust Strategie en Roadmap uitgebracht.

Zie Configure Microsoft-services for the DoD Zero Trust strategy voor meer informatie over het configureren van Microsoft cloudservices voor de DoD Zero Trust Strategie.

Volgende stappen 

Kies een bedrijfsscenario en leer hoe beveiligingsdisciplines worden toegewezen aan het scenario.

  • Last updated on