Integrieren von Zero Trust-Praktiken in Ihre Zielzone

Zero Trust ist eine Sicherheitsstrategie, bei der Sie Produkte und Dienste in Ihren Entwurf und Ihre Implementierung integrieren, um die folgenden Sicherheitsgrundsätze einzuhalten:

• Führen Sie eine explizite Verifizierung durch: Ziehen Sie zur Authentifizierung und Autorisierung von Zugriff immer alle verfügbaren Datenpunkte heran.

• Verwenden Sie den Zugriff mit den geringsten Rechten: Beschränken Sie Benutzer auf Just-In-Time--Access mit Überlegungen zu risikobasierten adaptiven Richtlinien.

• Gehen Sie von Sicherheitsverletzungen aus: Minimieren Sie den Explosionsradius und den Segmentzugriff, suchen Sie proaktiv nach Bedrohungen, und verbessern Sie die Verteidigung kontinuierlich.

Wenn Ihre Organisation sich nach der Zero Trust-Strategie richtet, sollten Sie Zero Trust-spezifische Bereitstellungsziele in Ihre Entwurfsbereiche für die Zielzone integrieren. Ihre Zielzone ist die Grundlage Ihrer Workloads in Azure, daher ist es wichtig, Ihre Zielzone für die Einführung von Zero Trust vorzubereiten.

Dieser Artikel enthält Anleitungen für die Integration von Zero Trust-Praktiken in Ihre Zielzone und erläutert, wo die Einhaltung von Zero Trust-Prinzipien Lösungen außerhalb Ihrer Zielzone erfordert.

Zero Trust-Säulen und Entwurfsbereiche für die Zielzone

Wenn Sie Zero Trust-Methoden in Ihrer Azure-Bereitstellung in der Zielzone implementieren, sollten Sie zunächst die Zero Trust-Anleitung für jeden Entwurfsbereich der Zielzone in Betracht ziehen.

Überlegungen zum Entwerfen einer Zielzone und Anleitungen für wichtige Entscheidungen in den einzelnen Bereichen finden Sie in denEntwurfsbereichen der Azure-Zielzone.

Das Zero Trust-Modell verfügt über Säulen, die nach Konzepten und Bereitstellungszielen organisiert sind. Weitere Informationen finden Sie unter Bereitstellen von Zero Trust-Lösungen.

Diese Säulen stellen spezifische Bereitstellungsziele bereit, die Organisationen bei der Ausrichtung an Zero Trust-Prinzipien unterstützen. Diese Ziele gehen über technische Konfigurationen hinaus. Beispielsweise hat die Netzwerksäule ein Bereitstellungsziel für die Netzwerksegmentierung. Das Ziel enthält keine Informationen zum Konfigurieren isolierter Netzwerke in Azure, sondern bietet stattdessen Anleitungen zum Erstellen des Architekturmusters. Es gibt andere Entwurfsentscheidungen, die Sie berücksichtigen sollten, wenn Sie ein Bereitstellungsziel implementieren.

Das folgende Diagramm zeigt die Entwurfsbereiche der Zielzone.

Die folgende Tabelle korreliert die Zero Trust-Säulen mit den Entwurfsbereichen, die in der Architektur gezeigt werden.

Legende	Entwurfsbereich der Zielzone	Zero-Trust-Säule
	Azure-Abrechnung und Microsoft Entra-Mandanten	Identitätssäule
	Identitäts- und Zugriffsverwaltung	Identitätssäule, Anwendungssäule, Datensäule
	Ressourcenorganisation	Identitätssäule
	Governance	Transparenz-, Automatisierungs- und Orchestrierungssäule
	Verwaltung	Endpunktsäule, Anwendungssäule, Datensäule, Infrastruktursäule
	Netzwerktopologie und -konnektivität	Säule „Netzwerke“
	Security	Alle „Zero Trust“-Säulen
	Plattformautomatisierung und DevOps	Transparenz-, Automatisierungs- und Orchestrierungssäule

Nicht alle Zero Trust-Bereitstellungsziele sind Teil einer Zielzone. Viele Zero Trust-Bereitstellungsziele dienen zum Entwerfen und Freigeben einzelner Workloads für Azure.

In den folgenden Abschnitten werden die einzelnen Säulen überprüft und Überlegungen und Empfehlungen für die Implementierung von Bereitstellungszielen bereitgestellt.

Schützen der Identität

Informationen zu Bereitstellungszielen zum Sichern der Identität finden Sie unter Sichern der Identität mit Zero Trust. Um diese Bereitstellungsziele zu implementieren, können Sie einen Identitätsverbund, bedingten Zugriff, Identitätsgovernance und Echtzeitdatenvorgänge anwenden.

Überlegungen zur Identität

• Sie können Azure-Referenzimplementierungen für die Zielzone verwenden, um Ressourcen bereitzustellen, die Ihre vorhandene Identitätsplattform in Azure erweitern und die Identitätsplattform verwalten, indem Sie bewährte Methoden für Azure implementieren.

• Sie können viele der Steuerelemente für Zero Trust-Praktiken in Ihrem Microsoft Entra-Mandanten konfigurieren. Sie können auch den Zugriff auf Microsoft 365 und andere Clouddienste steuern, die Microsoft Entra ID verwenden.

• Sie müssen Konfigurationsanforderungen planen, die über das hinausgehen, was sich in Ihrer Azure-Zielzone befindet.

Empfehlungen zu Identitäten

• Entwickeln Sie einen Plan für die Verwaltung von Identitäten in Microsoft Entra ID, die über Azure-Ressourcen hinausgehen. Verwenden Sie zum Beispiel:

  • Verbund mit lokalen Identitätssystemen.
  • Bedingte Zugriffsrichtlinien
  • Benutzer-, Geräte-, Standort- oder Verhaltensinformationen für die Autorisierung.

• Stellen Sie Ihre Azure-Zielzone mit separaten Abonnements für Identitätsressourcen bereit, z. B. für Controller Standard, damit Sie den Zugriff auf Ressourcen verbessern können.

• Verwenden Sie wo möglich verwaltete Microsoft Entra-Identitäten.

Schützen von Endpunkten

Informationen zu Bereitstellungszielen zum Sichern von Endpunkten finden Sie unter Sichere Endpunkte mit Zero Trust. Um diese Bereitstellungsziele zu implementieren, können Sie:

• Registrieren Sie Endpunkte bei Cloudidentitätsanbietern, um den Zugriff auf Ressourcen ausschließlich über in der Cloud verwaltete kompatible Endpunkte und Apps zu ermöglichen.

• Erzwingen Sie die Verhinderung von Datenverlust (Data Loss Prevention, DLP) und die Zugriffssteuerung sowohl für Unternehmensgeräte als auch für persönliche Geräte, die bei Bring Your Own Device-Programmen (BYOD) registriert sind.

• Überwachen Sie das Geräterisiko für die Authentifizierung mit der Endpunkt-Bedrohungserkennung.

Überlegungen zu Endpunkten

• Endpunktbereitstellungsziele sind für Endbenutzer-Computergeräte wie Laptops, Desktop-Computer und mobile Geräte.

• Während Sie Zero Trust-Methoden für Endpunkte einführen, müssen Sie Lösungen in Azure und außerhalb von Azure implementieren.

• Sie können Tools wie Microsoft Intune und andere Geräteverwaltungslösungen verwenden, um Bereitstellungsziele zu erreichen.

• Wenn Sie über Endpunkte in Azure verfügen, z. B. in Azure Virtual Desktop, können Sie die Client-Umgebung in Intune registrieren und Azure-Richtlinien und -Steuerelemente anwenden, um den Zugriff auf die Infrastruktur einzuschränken.

Empfehlungen zu Endpunkten

• Entwickeln Sie zusätzlich zu Ihren Plänen zur Implementierung einer Azure-Zielzone einen Plan für die Verwaltung von Endpunkten mit Zero Trust-Praktiken.

• Weitere Informationen zu Geräten und Servern finden Sie unter Sichere Infrastruktur.

Sichere Anwendungen

Informationen zu Bereitstellungszielen zum Sichern von Anwendungen finden Sie unter Sichere Anwendungen mit Zero Trust. Um diese Bereitstellungsziele zu implementieren, können Sie:

• Verwenden Sie APIs, um Einblicke in Anwendungen zu erhalten.

• Anwenden von Richtlinien zum Schutz vertraulicher Informationen.

• Wenden Sie adaptive Zugriffssteuerungen an.

• Beschränken Sie die Reichweite der Schatten-IT.

Überlegungen zu Anwendungen

• Die Bereitstellungsziele für Anwendungen konzentrieren sich auf die Verwaltung von Drittanbieter- und Erstanbieteranwendungen in Ihrer Organisation.

• Die Ziele richten sich nicht an die Sicherung der Anwendungsinfrastruktur. Stattdessen adressieren sie die Sicherung des Verbrauchs von Anwendungen, insbesondere Cloudanwendungen.

• Die Azure-Zielzonenpraktiken bieten keine detaillierten Steuerelemente für Anwendungsziele. Diese Steuerelemente werden als Teil der Anwendungskonfiguration konfiguriert.

Anwendungsempfehlungen

• Verwenden Sie Microsoft Defender for Cloud Apps zum Verwalten des Anwendungszugriffs.

• Verwenden Sie die standardisierten Richtlinien, die in Defender für Cloud-Apps enthalten sind, um Ihre Praktiken zu erzwingen.

• Entwickeln Sie einen Plan, um Ihre Anwendungen in Ihre Praktiken für den Anwendungszugriff zu integrieren. Vertrauen Sie Anwendungen, die Ihre Organisation nicht mehr hostet, nicht mehr als Sie Anwendungen von Drittanbietern vertrauen.

Schützen von Daten

Informationen zu Bereitstellungszielen zum Sichern von Daten finden Sie unter Sichere Daten mit Zero Trust. Um diese Ziele zu implementieren, können Sie:

• Klassifizieren und Bezeichnen von Daten.
• Aktivieren der Zugriffssteuerung.
• Implementieren von DLP-Richtlinien.

Informationen zum Protokollieren und Verwalten von Datenressourcen finden Sie unter Referenzimplementierungen der Azure-Zielzone.

Ein Zero Trust-Ansatz umfasst umfangreiche Kontrollen für Daten. Aus Implementierungsgründen bietet Microsoft Purview Tools für Datengovernance, Schutz und Risikomanagement. Sie können Microsoft Purview als Teil der Bereitstellung einer Cloud-Skalierungsanalyse verwenden, um eine Lösung bereitzustellen, die Sie im großen Maßstab implementieren können.

Überlegungen zu Daten

• Im Einklang mit dem Prinzip der Demokratisierung des Zielzonenabonnements können Sie Zugriff und Netzwerkisolation für Datenressourcen erstellen und auch Protokollierungsmethoden einrichten.

  Es gibt Richtlinien in den Referenzimplementierungen zum Protokollieren und Verwalten von Datenressourcen.

• Sie benötigen weitere Steuerelemente, die über das Sichern von Azure-Ressourcen hinausgehen, um die Bereitstellungsziele zu erfüllen. Zero Trust-Datensicherheit umfasst das Klassifizieren von Daten, die Kennzeichnung als Vertraulich und das Steuern des Datenzugriffs. Sie erstreckt sich auch über Datenbank- und Dateisysteme hinaus. Sie müssen überlegen, wie Sie Daten in Microsoft Teams, Microsoft 365-Gruppen und SharePoint schützen.

Datenempfehlungen

• Microsoft Purview bietet Tools für Datengovernance, Schutz und Risikomanagement.

• Implementieren Sie Microsoft Purview als Teil der Bereitstellung einer Cloud-Skalierungsanalyse, um Ihre Workloads im großen Maßstab zu implementieren.

Schützen der Infrastruktur

Informationen zu Bereitstellungszielen zum Sichern der Infrastruktur finden Sie unter Sichere Infrastruktur mit Zero Trust. Um diese Ziele zu implementieren, können Sie:

• Überwachen sie ungewöhnliches Verhalten bei Workloads.
• Verwalten von Infrastrukturidentitäten.
• Einschränken des menschlichen Zugriffs.
• Segmentressourcen.

Überlegungen zur Infrastruktur

• Zu den Zielen der Infrastrukturbereitstellung gehören:

  • Verwalten von Azure-Ressourcen.
  • Verwalten von Betriebssystemumgebungen.
  • Zugreifen auf Systeme.
  • Anwenden von Workload-spezifischen Steuerelementen.

• Sie können das Abonnementmodell für die Zielzone verwenden, um klare Sicherheitsgrenzen für Azure-Ressourcen zu erstellen und eingeschränkte Berechtigungen nach Bedarf auf Ressourcenebene zuzuweisen.

• Organisationen müssen ihre Workloads für die Verwaltung organisieren.

Infrastrukturempfehlungen

• Verwenden Sie die standardmäßigen Azure-Zielzonenrichtlinien, um nicht kompatible Bereitstellungen und Ressourcen zu blockieren und Protokollierungsmuster zu erzwingen.

• Konfigurieren Sie Privileged Identity Management in Microsoft Entra ID, um Just-in-Time-Zugriff auf hoch privilegierte Rollen bereitzustellen.

• Konfigurieren Sie Just-In-Time-Zugriff in Defender für Cloud für Ihre Zielzone, um den Zugriff auf virtuelle Computer einzuschränken.

• Erstellen Sie einen Plan zum Überwachen und Verwalten einzelner Workloads, die in Azure bereitgestellt werden.

Schützen von Netzwerken

Informationen zu Bereitstellungszielen zum Sichern von Netzwerken finden Sie unter Sichere Netzwerke mit Zero Trust. Um diese Ziele zu implementieren, können Sie:

• Implementieren der Netzwerksegmentierung.
• Verwenden Sie cloud-native Filterung.
• Implementieren Sie die Berechtigung für die geringsten Zugriffsrechte.

Überlegungen zu Netzwerken

• Um sicherzustellen, dass Ihre Plattformressourcen das Zero Trust-Sicherheitsmodell unterstützen, müssen Sie Firewalls bereitstellen, die HTTPS-Datenverkehrsüberprüfungen durchführen und Identitäts- und Verwaltungsnetzwerkressourcen vom zentralen Hub isolieren können.

• Zusätzlich zu den Netzwerkressourcen im Konnektivitätsabonnement müssen Sie Pläne für einzelne Workloads in ihren virtuellen Speichennetzwerken erstellen. Sie können z. B. Datenverkehrsmuster definieren und fein abgestimmte Netzwerksicherheitsgruppen für jedes Workload-Netzwerk erstellen.

Netzwerkempfehlungen

• Verwenden Sie die folgenden Zero Trust-spezifischen Bereitstellungshandbücher, um Ihre Azure-Zielzone bereitzustellen:

  • Beschleuniger-Bereitstellung für das Azure-Zielzonenportal mit Zero Trust-Netzwerkprinzipien
  • Bereitstellen von Netzwerken mit Zero Trust-Netzwerkprinzipien
  • Terraform-Bereitstellung der Azure-Zielzone mit Zero Trust-Netzwerkprinzipien

• Informationen zum Anwenden von Zero Trust-Prinzipien auf die Anwendungsbereitstellung finden Sie unter Zero Trust-Netzwerk für Webanwendungen.

• Informationen zum Erstellen eines Plans für das Workload-Netzwerk finden Sie unter Zero Trust-Bereitstellungspläne mit Azure.

Transparenz, Automatisierung und Orchestrierung

Informationen zu Bereitstellungszielen für Sichtbarkeit, Automatisierung und Orchestrierung finden Sie unter Sichtbarkeit, Automatisierung und Orchestrierung mit Zero Trust. Um diese Ziele zu implementieren, können Sie:

• Transparenz erzielen
• Automatisierung einrichten
• Aktivieren Sie zusätzliche Steuerelemente, indem Sie kontinuierliche Verbesserungen anwenden.

Überlegungen zu Transparenz, Automatisierung und Orchestrierung

• Die Referenzimplementierungen der Azure-Zielzone enthalten Bereitstellungen von Microsoft Sentinel, mit denen Sie schnell Sichtbarkeit in Ihrer Azure-Umgebung herstellen können.

• Die Referenzimplementierungen stellen Richtlinien für die Azure-Protokollierung bereit, für andere Dienste ist jedoch zusätzliche Integration erforderlich.

• Sie sollten Automatisierungstools wie Azure DevOps und GitHub so konfigurieren, dass Signale gesendet werden.

Empfehlungen zu Transparenz, Automatisierung und Orchestrierung

• Stellen Sie Microsoft Sentinel als Teil Ihrer Azure-Zielzone bereit.

• Erstellen Sie einen Plan, um Signale von Microsoft Entra ID und Tools in Microsoft 365 in Ihren Microsoft Sentinel-Arbeitsbereich zu integrieren.

• Erstellen Sie einen Plan für die Durchführung von Übungen zur Bedrohungssuche und kontinuierliche Sicherheitsverbesserungen.

Nächste Schritte

• Sicherheit in Microsoft Cloud Adoption Framework für Azure
• Anwendung der Zero Trust-Prinzipien auf Microsoft Azure-Dienste
• Bewerten Ihres Zero Trust-Sicherheitsstatus