Zero Trust-technologiepijlers deel 2
In deze les gaan we verder en bespreken we de resterende Zero Trust-implementatiedoelstellingen.
Gegevens beveiligen met Zero Trust
De drie belangrijkste elementen van een strategie voor gegevensbescherming zijn:
- Ken uw gegevens - Als u niet weet welke gevoelige gegevens u on-premises en in cloudservices hebt, kunt u deze niet adequaat beveiligen. U moet gegevens in uw hele organisatie detecteren en alle gegevens classificeren op vertrouwelijkheidsniveau.
- Bescherm uw gegevens en voorkom gegevensverlies . Gevoelige gegevens moeten worden beveiligd door beleidsregels voor gegevensbescherming die gegevens labelen en versleutelen of het delen van gegevens blokkeren. Dit zorgt ervoor dat alleen geautoriseerde gebruikers toegang hebben tot de gegevens, zelfs wanneer gegevens buiten uw bedrijfsomgeving worden verzonden.
- Bewaken en herstellen : u moet voortdurend gevoelige gegevens bewaken om beleidsschendingen en riskante gebruikersgedrag te detecteren. Hiermee kunt u de juiste actie ondernemen, zoals het intrekken van toegang, het blokkeren van gebruikers en het verfijnen van uw beveiligingsbeleid.
Doelstellingen voor implementatie van Data Zero Trust
Een strategie voor gegevensbeveiliging moet de volledige digitale inhoud van uw organisatie omvatten. Als basislijn moet u labels definiëren, gevoelige gegevens detecteren en het gebruik van labels en acties in uw omgeving bewaken. Het gebruik van vertrouwelijkheidslabels wordt aan het einde van deze handleiding besproken.
Wanneer u een end-to-end Zero Trust-framework voor gegevens implementeert, raden we u aan om u eerst te richten op deze eerste implementatiedoelstellingen:
i. Toegangsbeslissingen worden beheerd door versleuteling.
II. Gegevens worden automatisch geclassificeerd en gelabeld.
Nadat deze zijn voltooid, richt u zich op deze aanvullende implementatiedoelstellingen:
III. Classificatie wordt uitgebreid door slimme machine learning-modellen.
IV. Toegangsbeslissingen worden beheerd door een engine voor cloudbeveiligingsbeleid.
V. Voorkom gegevenslekken via DLP-beleid op basis van een vertrouwelijkheidslabel en inhoudsinspectie.
Eindpunten beveiligen met Zero Trust
Zero Trust voldoet aan het principe 'Nooit vertrouwen, altijd verifiëren'. Wat eindpunten betreft, betekent dit altijd alle eindpunten verifiëren. Dit omvat niet alleen aannemers, partner- en gastapparaten, maar ook apps en apparaten die door werknemers worden gebruikt voor toegang tot werkgegevens, ongeacht het eigendom van het apparaat.
In een Zero Trust-benadering worden hetzelfde beveiligingsbeleid toegepast, ongeacht of het apparaat bedrijfseigendom of persoonlijk eigendom is via BYOD (Bring Your Own Device); of het apparaat volledig wordt beheerd door IT of alleen de apps en gegevens zijn beveiligd. Het beleid is van toepassing op alle eindpunten, of het nu pc, Mac, smartphone, tablet, draagbare of IoT-apparaat is, ongeacht of ze zijn verbonden, of het nu gaat om het beveiligde bedrijfsnetwerk, thuisbreedband of openbaar internet.
Eindpunt Zero Trust-implementatiedoelstellingen
Bij het implementeren van een end-to-end Zero Trust-framework voor het beveiligen van eindpunten raden we u aan om u eerst te richten op deze eerste implementatiedoelstellingen:
i. Eindpunten worden geregistreerd bij cloud-id-providers. Als u de beveiliging en het risico wilt bewaken voor meerdere eindpunten die door één persoon worden gebruikt, hebt u zichtbaarheid nodig op alle apparaten en toegangspunten die mogelijk toegang hebben tot uw resources.
II. Toegang wordt alleen verleend aan in de cloud beheerde en compatibele eindpunten en apps. Stel nalevingsregels in om ervoor te zorgen dat apparaten voldoen aan minimale beveiligingsvereisten voordat toegang wordt verleend. Stel ook herstelregels in voor niet-compatibele apparaten, zodat mensen weten hoe ze het probleem moeten oplossen.
III. Beleid voor preventie van gegevensverlies (DLP) wordt afgedwongen voor bedrijfsapparaten en BYOD. Bepalen wat de gebruiker met de gegevens kan doen nadat deze toegang heeft. Beperk bijvoorbeeld het opslaan van bestanden naar niet-vertrouwde locaties (zoals lokale schijf) of beperk het delen van kopiëren en plakken met een communicatie-app voor consumenten of een chat-app om gegevens te beveiligen.
Nadat deze zijn voltooid, richt u zich op deze aanvullende implementatiedoelstellingen:
IV. Detectie van eindpuntrisico's wordt gebruikt om apparaatrisico's te bewaken. Gebruik één glasvenster om alle eindpunten op een consistente manier te beheren en gebruik een SIEM om eindpuntlogboeken en transacties te routeren, zodat u minder, maar bruikbare waarschuwingen krijgt.
V. Toegangsbeheer wordt beveiligd tegen eindpuntrisico's voor zowel bedrijfsapparaten als BYOD. Integreer gegevens van Microsoft Defender voor Eindpunt of andere MTD-leveranciers (Mobile Threat Defense) als informatiebron voor nalevingsbeleid voor apparaten en regels voor voorwaardelijke toegang van apparaten. Het apparaatrisico beïnvloedt vervolgens rechtstreeks welke resources toegankelijk zijn voor de gebruiker van dat apparaat.
Infrastructuur beveiligen met Zero Trust
Azure Blueprints, Azure Policies, Microsoft Defender voor Cloud, Microsoft Sentinel en Azure Sphere kunnen aanzienlijk bijdragen aan het verbeteren van de beveiliging van uw geïmplementeerde infrastructuur en een andere benadering bieden voor het definiëren, ontwerpen, inrichten, implementeren en bewaken van uw infrastructuur.
Implementatiedoelstellingen van Infrastructuur Zero Trust
Wanneer u een end-to-end Zero Trust-framework implementeert voor het beheren en bewaken van uw infrastructuur, raden we u aan om u eerst te richten op deze eerste implementatiedoelstellingen:
i. Workloads worden bewaakt en gewaarschuwd voor abnormaal gedrag.
II. Aan elke workload wordt een app-identiteit toegewezen en consistent geconfigureerd en geïmplementeerd.
III. Voor menselijke toegang tot resources is Just-In-Time vereist.
Nadat deze zijn voltooid, richt u zich op deze aanvullende implementatiedoelstellingen:
IV. Niet-geautoriseerde implementaties worden geblokkeerd en er wordt een waarschuwing geactiveerd.
V. Gedetailleerde zichtbaarheid en toegangsbeheer zijn beschikbaar voor workloads.
VI. Gebruikers- en resourcetoegang gesegmenteerd voor elke workload.
Netwerken beveiligen met Zero Trust
In plaats van te geloven dat alles achter de bedrijfsfirewall veilig is, gaat een end-to-end Zero Trust-strategie ervan uit dat schendingen onvermijdelijk zijn. Dat betekent dat u elke aanvraag moet verifiëren alsof deze afkomstig is van een onbeheerd netwerk. Identiteitsbeheer speelt hierbij een cruciale rol.
Implementatiedoelstellingen van Network Zero Trust
Bij het implementeren van een end-to-end Zero Trust-framework voor het beveiligen van netwerken raden we u aan om u eerst te richten op deze eerste implementatiedoelstellingen:
i. Netwerksegmentatie: veel micro-perimeters voor inkomend/uitgaand verkeer in de cloud met een microsegmentatie.
II. Bedreigingsbeveiliging: cloudeigen filtering en beveiliging voor bekende bedreigingen.
III. Versleuteling: intern verkeer van gebruiker naar app wordt versleuteld.
Nadat deze zijn voltooid, richt u zich op deze aanvullende implementatiedoelstellingen:
IV. Netwerksegmentatie: volledig gedistribueerde micro-perimeters voor inkomend/uitgaand verkeer in de cloud en diepere microsegmentatie.
V. Bedreigingsbeveiliging: bedreigingsbeveiliging op basis van machine learning en filteren met contextsignalen.
VI. Versleuteling: al het verkeer wordt versleuteld.