Was ist Zero Trust?
Zero Trust ist eine Sicherheitsstrategie. Es handelt sich nicht um ein Produkt oder einen Dienst, sondern um einen Ansatz beim Entwerfen und Implementieren der folgenden Sicherheitsprinzipien.
| Prinzip | Beschreibung |
|---|---|
| Explizit verifizieren | Authentifizieren und autorisieren Sie immer basierend auf allen verfügbaren Datenpunkten. |
| Verwenden Sie den Zugriff mit den geringsten Rechten | Beschränken Sie den Benutzerzugriff mit Just-In-Time und Just-Enough-Access (JIT/JEA), risikobasierten adaptiven Richtlinien und Datenschutz. |
| Gehe von einem Verstoß aus | Minimieren Sie Auswirkungsgrad und Segmentzugriff. Überprüfen Sie die End-to-End-Verschlüsselung, und verwenden Sie Analysen, um Sichtbarkeit zu erhalten, Bedrohungserkennung zu fördern und Abwehrmaßnahmen zu verbessern. |
Diese Prinzipien sind der Kern von Zero Trust. Anstatt zu glauben, dass alles hinter der Unternehmensfirewall sicher ist, wird beim Zero Trust-Modell standardmäßig von einer Sicherheitsverletzung ausgegangen, und jede Anforderung wird so überprüft, als stamme sie von einem nicht kontrollierten Netzwerk. Unabhängig vom Ursprung der Anforderung oder der Ressource, auf die zugegriffen wird, lehrt uns das Zero Trust-Modell: nie vertrauen, immer prüfen.
Zero Trust wurde entwickelt, um sich an die Komplexitäten der modernen Umgebung anzupassen, die die mobilen Mitarbeiter einbezieht. Zero Trust schützt Benutzerkonten, Geräte, Anwendungen und Daten überall dort, wo sie sich befinden.
Ein Zero Trust-Ansatz sollte sich über die gesamte Organisation erstrecken und als integrierte Sicherheitsphilosophie und End-to-End-Strategie dienen.
Unterschiedliche Organisationsanforderungen, vorhandene Technologieimplementierungen und Sicherheitsphasen wirken sich darauf aus, wie eine Zero Trust-Sicherheitsmodellimplementierung geplant und ausgeführt wird. Unsere Anleitung hilft Ihnen bei der Bewertung Ihrer Bereitschaft für Zero Trust und hilft Ihnen, einen Plan für den Einstieg in Zero Trust zu erstellen. Unsere Anleitung basiert auf unserer Erfahrung, die Kunden dabei unterstützt, ihre Organisationen zu schützen, und indem wir unser eigenes Zero Trust-Modell für uns selbst implementieren.
Mit Zero Trust wechseln Sie von einer Vertrauen-durch-Voreinstellung-Perspektive zu einer Vertrauen-durch-Ausnahme-Perspektive. Eine integrierte Funktion zum automatischen Verwalten dieser Ausnahmen und Warnungen ist wichtig. Sie können Bedrohungen einfacher erkennen, auf Bedrohungen reagieren und unerwünschte Ereignisse in Ihrer Organisation verhindern oder blockieren.
Zero Trust und die US Executive Order 14028 zur Cybersicherheit
Die US-Exekutivordnung 14028, Die Verbesserung der Cyber-Sicherheit der Nation, leitet Bundesbehörden über die Förderung von Sicherheitsmaßnahmen, die das Risiko erfolgreicher Cyberangriffe gegen die digitale Infrastruktur der Bundesregierung drastisch reduzieren. Am 26. Januar 2022 veröffentlichte das Office of Management and Budget (OMB) die Zero Trust-Strategie der Bundesregierung in Memorandum 22-09, zur Unterstützung der Durchführungsverordnung 14028. Microsoft bietet Anleitungen, die Organisationen dabei unterstützen, diese Anforderungen zu erfüllen – Die Identitätsanforderungen von Memorandum 22-09 mit Microsoft Entra IDerfüllen.
Zero Trust und Microsoft Secure Future Initiative (SFI)
Die Secure Future Initiative (SFI) von Microsoft, die im November 2023 gestartet wurde, ist ein mehrjähriges Engagement, das die Art und Weise, wie Microsoft entwickelt, erstellt, tests und betreibt unsere Microsoft-Technologie, um sicherzustellen, dass unsere Lösungen den größtmöglichen Sicherheitsstandards entsprechen. Die Secure Future Initiative von Microsoft ist im Großen und Ganzen eine starre Implementierung von Zero Trust für unsere einzigartige Umgebung, um unsere Sicherheitslage zu verbessern.
Weitere Informationen zu SFI finden Sie auf der Website Secure Future Initiative.
Dokumentationspaket
Befolgen Sie diese Tabelle für die besten Zero Trust-Dokumentationssätze für Ihre Anforderungen.
| Dokumentationspaket | Hilft Ihnen... | Rollen |
|---|---|---|
| Adoptionsframework für Phasen- und Schrittanleitungen zu wichtigen Geschäftslösungen und -ergebnissen | Wenden Sie Zero Trust-Schutz von der C-Suite auf die IT-Implementierung an. | Sicherheitsarchitekten, IT-Teams und Projektmanager |
| Bewertungs- und Fortschrittsverfolgungsressource | Bewerten Sie die Bereitschaft Ihrer Infrastruktur, und verfolgen Sie den Fortschritt. | Sicherheitsarchitekten, IT-Teams und Projektmanager |
| Partner Kit „Zero Trust“ | Co-Branded-Tracking-Ressourcen, Workshop und Architekturdarstellungen | Partner und Sicherheitsarchitekten |
| Bereitstellung für Technologiesäulen für konzeptionelle Informations- und Bereitstellungsziele | Wenden Sie Zero Trust-Schutzmaßnahmen an, die an typischen IT-Technologiebereichen ausgerichtet sind. | IT-Teams und Sicherheitsmitarbeiter |
| Zero Trust für kleine Unternehmen | Wenden Sie Zero Trust-Prinzipien auf Kleinkunden an. | Kunden und Partner, die mit Microsoft 365 Business zusammenarbeiten |
| Zero Trust für Microsoft-Copilots für eine schrittweise und detaillierte Design- und Bereitstellungsanleitung | Wenden Sie Zero Trust-Schutz auf Microsoft Copilots an. | IT-Teams und Sicherheitsmitarbeiter |
| Zero Trust-Bereitstellungsplan mit Microsoft 365 für einen schrittweisen und detaillierten Entwurfs- und Bereitstellungsleitfaden | Wenden Sie Zero Trust-Schutz auf Ihre Microsoft 365-Organisation an. | IT-Teams und Sicherheitsmitarbeiter |
| Reaktion auf Vorfälle mit XDR und integrierter SIEM- | Festlegen von XDR-Tools und Integrieren dieser Tools in Microsoft Sentinel | IT-Teams und Sicherheitsmitarbeiter |
| Zero Trust für Azure-Dienste für schrittweises und detailliertes Design und Bereitstellungsleitfaden | Wenden Sie Zero Trust-Schutz auf Azure-Workloads und -Dienste an. | IT-Teams und Sicherheitsmitarbeiter |
| Partnerintegration mit Zero Trust für Designanleitungen für Technologiebereiche und Spezialisierungen | Wenden Sie Zero Trust-Schutz auf Partner-Microsoft-Cloudlösungen an. | Partnerentwickler, IT-Teams und Sicherheitsmitarbeiter |
| Entwickeln Sie nach den Zero Trust-Prinzipien für Leitlinien zur Anwendungsentwicklung und bewährte Verfahren | Wenden Sie Zero Trust-Schutz auf Ihre Anwendung an. | Anwendungsentwickler |
| Leitlinien der US-Regierung für CISA, DoDund das Memorandum zur Zero-Trust-Architektur. | Präskriptive Empfehlungen für Anforderungen der US-Regierung | IT-Architekten und IT-Teams |
Empfohlene Schulung
| Ausbildung | Einführung in Zero Trust |
|---|---|
|
Verwenden Sie dieses Modul, um den Zero Trust-Ansatz zu verstehen und die Sicherheitsinfrastruktur in Ihrer Organisation zu stärken. |
| Ausbildung | Einführung in Zero Trust und Best Practice Frameworks |
|---|---|
|
Verwenden Sie dieses Modul, um mehr über bewährte Methoden zu erfahren, die Cybersicherheitsarchitekten verwenden, und einige wichtige Best Practice Frameworks für Microsoft-Cybersicherheitsfunktionen. Außerdem erfahren Sie mehr über das Konzept von Zero Trust und wie Sie mit Zero Trust in Ihrer Organisation beginnen. |
Nächste Schritte
Erfahren Sie mehr über das Microsoft Zero Trust Adoption Framework.
Verwandte Links:
Zero Trust Overview: Dieses Video enthält Informationen zu:
- Zero Trust-Definition
- Zero Trust-Prinzipien
- Zero Trust-Kernkonzepte
Zero Trust - The Open Group: Dieses Video bietet eine Perspektive auf Zero Trust von einer Standardsorganisation.