Beschreiben des globalen sicheren Zugriffs in Microsoft Entra

  • 9 Minuten

Microsoft Entra bietet jetzt eine neue Reihe von Produkten unter der Bezeichnung „Globaler sicherer Zugriff von Microsoft“. Der globale sichere Zugriff ist der vereinheitlichende Begriff, der sowohl für Microsoft Entra-Internetzugriff als auch für Microsoft Entra-Privatzugriff verwendet wird.

Microsoft Entra Internet Access schützt den Zugriff auf SaaS-Anwendungen (Software-as-a-Service), einschließlich Microsoft-Dienste, und öffentliche Internet-Apps und bietet gleichzeitig Schutz vor Internetbedrohungen für Benutzer, Geräte und Daten.

Microsoft Entra Private Access bietet Benutzern sicheren Zugriff auf Ihre privaten Unternehmensressourcen, unabhängig davon, ob die Benutzer im Büro oder remote arbeiten.

Microsoft Entra Internet Access und Microsoft Entra Private Access ergeben zusammen eine Lösung, die Zero Trust-Zugriffssteuerungen für Netzwerke, Identitäten und Endpunkte zusammenführt, sodass Sie sicheren Zugriff auf alle Apps oder Ressourcen von jedem Standort, jedem Gerät oder über jede Identität bereitstellen können. Dieser Lösungstyp stellt eine neue Netzwerksicherheitskategorie namens Security Service Edge (SSE) dar.

SSE hilft bei der Bewältigung etwa von folgenden Sicherheitsproblemen:

  • Notwendigkeit, das Risiko der seitlichen Bewegung durch einen kompromittierten VPN-Tunnel zu verringern
  • Notwendigkeit, einen Perimeter um internetbasierte Ressourcen einzurichten
  • Notwendigkeit, den Dienst an Remotestandorten wie etwa Zweigstellen zu verbessern

Die Security Service Edge-Lösung von Microsoft „Globaler sicherer Zugriff“ bietet erweiterten Schutz für Ihre internetbasierten Ressourcen und für Ressourcen, die in Ihrer privaten Cloud oder lokalen Infrastruktur ausgeführt werden, und unterstützt Sie beim Beheben von Sicherheitsproblemen.

Die Lösung verwendet einen Client für globalen sicheren Zugriff, der Organisationen die Kontrolle über den Netzwerkdatenverkehr auf dem Computinggerät des Endbenutzers ermöglicht. Organisationen erhalten die Möglichkeit, bestimmte Datenverkehrsprofile über Microsoft Entra Internet Access und Microsoft Entra Private Access weiterzuleiten. Das Routing des Datenverkehrs auf diese Weise ermöglicht mehr Kontrolle durch eine tiefgreifende Integration mit Richtlinien für bedingten Zugriff und Risikobewertungen in Echtzeit, über Identitäten, Geräte, Standorte und Anwendungen hinweg, um jede App oder Ressource zu schützen.

Screenshot: Komponenten, die den globalen sicheren Zugriff bilden

Microsoft Entra Private Access

VPN-Lösungen werden häufig als primäre Methode zum Steuern des Unternehmensnetzwerkzugriffs verwendet. Sobald eine Verbindung über ein privates Netzwerk eingerichtet wurde, wird die „Eingangstür“ (Frontdoor) zu Ihrem Netzwerk entsperrt. Darüber hinaus ist es üblich, dass Benutzer und Geräte über zu viele Berechtigungen verfügen. Dies vergrößert die Angriffsfläche Ihrer Organisation erheblich.

Microsoft Entra Private Access kann bereitgestellt werden, um Angriffe durch seitliche Bewegungen zu blockieren, übermäßige Zugriffsrechte zu reduzieren und Legacy-VPNs zu ersetzen. Der Dienst bietet Benutzern sicheren Zugriff auf Ihre privaten Unternehmensressourcen, unabhängig davon, ob die Benutzer im Büro oder remote arbeiten.

Konzeptionell ist die Funktionsweise von Private Access wie folgt: Sie richten für bestimmte private Ressourcen, die Sie schützen möchten, eine neue Unternehmensanwendung ein, die als Container für diese privaten Ressourcen dient. Die neue Anwendung verfügt über einen Netzwerkconnector, der als Broker zwischen dem Private Access-Dienst und der Ressource dient, auf die ein Benutzer zugreifen möchte. Unternehmen haben natürlich unterschiedliche Anforderungen für den Zugriff auf verschiedene private Ressourcen. Daher bietet Microsoft Entra Private Access zwei Möglichkeiten, wie Sie die privaten Ressourcen einrichten können, auf die über den Dienst zugegriffen werden soll.

  • Schnellzugriff: Wie zuvor beschrieben, funktioniert Private Access, indem eine neue Unternehmensanwendung erstellt wird, die als Container für die zu schützenden privaten Ressourcen dient. Mit Schnellzugriff bestimmen Sie, welche privaten Ressourcen dem „Container“ oder der Unternehmensanwendung hinzugefügt werden sollen. Diese wird als Schnellzugriffsanwendung bezeichnet. Die privaten Ressourcen, die Sie der Schnellzugriffsanwendung hinzufügen, werden durch den FQDN, die IP-Adresse, den IP- oder Adressbereich und die Ports definiert, die für den Zugriff auf die Ressource verwendet werden. Diese Informationen werden als Segment für die Schnellzugriffsanwendung bezeichnet. Sie können der Schnellzugriffsanwendung viele Anwendungssegmente hinzufügen. Anschließend können Sie Richtlinien für bedingten Zugriff mit der Schnellzugriffsanwendung verknüpfen.

    Diagramm: Microsoft Entra Private Access mit den Komponenten des Schnellzugriffs

  • App für den globalen sicheren Zugriff: Die App für den globalen sicheren Zugriff, die auch als „Zugriff pro App“ bezeichnet wird, bietet einen differenzierteren Ansatz. Mit der App für globalen sicheren Zugriff können Sie mehrere „Container“ oder Unternehmensanwendungen erstellen. Für jede dieser neuen Unternehmens-Apps definieren Sie die Eigenschaften der privaten Ressource, und Sie weisen Benutzer und Gruppen sowie spezifische Richtlinien für bedingten Zugriff zu. Sie verfügen beispielsweise über eine Gruppe privater Ressourcen, die Sie schützen müssen, für die Sie jedoch unterschiedliche Zugriffsrichtlinien basierend darauf festlegen möchten, wie Benutzer auf die Ressource zugreifen. Oder Sie möchten den Zugriff für einen bestimmten Zeitraum festlegen.

    Diagramm: Microsoft Entra Private Access mit den Komponenten der App für globalen sicheren Zugriff, auch als „Zugriff pro App“ bezeichnet

Microsoft Entra-Internetzugriff

Ein sicheres Webgateway (SWG) ist eine Cybersicherheitslösung, die Benutzer vor webbasierten Bedrohungen schützt, indem Internetdatenverkehr gefiltert und Sicherheitsrichtlinien erzwungen werden.

Microsoft Entra Internet Access bietet eine identitätsorientierte SWG-Lösung für SaaS-Anwendungen (Software-as-a-Service), einschließlich Microsoft-Dienste und anderen Internetdatenverkehr. Es schützt Benutzer, Geräte und Daten mit erstklassigen Sicherheitskontrollen und Sichtbarkeit über Datenverkehrsprotokolle vor der breiten Bedrohungslandschaft des Internets.

Zu den wichtigen Funktionen zählen:

  • Schutz vor Benutzeridentitäts- oder Tokendiebstahl mithilfe von Richtlinien für bedingten Zugriff, um eine konforme Netzwerküberprüfung für den Zugriff auf Ressourcen durchzuführen.
    • Die Erzwingung der Netzwerkkonformität erfolgt auf Authentifizierungsebene und auf Datenebene. Die Erzwingung auf Authentifizierungsebene erfolgt bei der Benutzerauthentifizierung durch Microsoft Entra ID. Die Erzwingung auf Datenebene wird von Diensten durchgeführt, die das Feature „Fortlaufende Zugriffsevaluierung“ (Continuous Access Evaluation, CAE) unterstützen.
    • Die fortlaufende Zugriffsevaluierung (Continuous Access Evaluation, CAE) ist ein Sicherheitsfeature, mit dem Apps und Microsoft Entra ständig kommunizieren, um sicherzustellen, dass der Benutzerzugriff auf dem neuesten Stand und sicher ist. Wenn sich etwas ändert, etwa der Standort eines Benutzers, oder ein Sicherheitsproblem auftritt, kann das System den Zugriff in Quasi-Echtzeit schnell anpassen oder blockieren, um sicherzustellen, dass Richtlinien immer erzwungen werden.
  • Mandanteneinschränkungen zum Verhindern der Datenexfiltration für andere Mandanten oder persönliche Konten, einschließlich anonymer Zugriff.
  • Richtlinien für Internet Access-Datenverkehrsweiterleitungsprofile, um zu steuern, auf welche Internetwebsites zugegriffen werden kann, um sicherzustellen, dass Remotemitarbeiter auf kontrollierte und sichere Weise mit dem Internet verbunden sind.
  • Webinhaltsfilterung, um den Zugriff auf Websites basierend auf ihren Inhaltskategorien und Domänennamen zu regulieren.
  • Und viele weitere...

Dashboard für den globalen sicheren Zugriff

Der globale sichere Zugriff beinhaltet ein Dashboard, auf dem Visualisierungen des Netzwerkdatenverkehrs angezeigt werden, der von den Microsoft Entra Private Access- und Microsoft Entra Internet Access-Diensten abgerufen wurde. Auf dem Dashboard werden die Daten aus Ihren Netzwerkkonfigurationen, einschließlich Geräten, Benutzern und Mandanten, in verschiedenen Widgets kompiliert. Diese Widgets bieten Ihnen wiederum Informationen, mit denen Sie Ihre Netzwerkkonfigurationen überwachen und verbessern können. Zu den verfügbaren Widgets zählen folgende:

  • Momentaufnahme des globalen sicheren Zugriffs
  • Warnungen und Benachrichtigungen (Vorschau)
  • Erstellung von Nutzungsprofilen (Vorschau)
  • Mandantenübergreifender Zugriff
  • Webkategoriefilterung
  • Gerätestatus

Momentaufnahme des globalen sicheren Zugriffs

Das Momentaufnahmewidget für den globalen sicheren Zugriff enthält eine Zusammenfassung dazu, wie viele Benutzer und Geräte den Dienst verwenden und wie viele Anwendungen über den Dienst geschützt werden. Das Widget zeigt standardmäßig alle Arten von Datenverkehr an. Sie können den Filter jedoch so ändern, dass Internet Access-, Private Access- oder Microsoft-Datenverkehr angezeigt wird.

Screenshot: Snapshot-Widget für den globalen sicheren Zugriff.

Erstellung von Nutzungsprofilen (Vorschau)

Das Nutzungsprofil-Widget zeigt Nutzungsmuster für Internet Access, Private Access oder Microsoft 365 für einen ausgewählten Zeitraum und nach Kategorie an.

Screenshot: Widget „Erstellung von Nutzungsprofilen“

Warnungen und Benachrichtigungen (Vorschau)

Das Widget für Warnungen und Benachrichtigungen zeigt, was im Netzwerk passiert, und hilft dabei, verdächtige Aktivitäten oder Trends zu identifizieren, die von den Netzwerkdaten identifiziert werden.

Dieses Widget stellt die folgenden Warnungen bereit:

  • Fehlerhaftes Remotenetzwerk: Bei einem fehlerhaften Remotenetzwerk ist mindestens eine Geräteverbindung getrennt.
  • Erhöhte Aktivität externer Mandanten: Die Anzahl der Benutzer, die auf externe Mandanten zugreifen, hat sich erhöht.
  • Token- und Geräteinkonsistenz: Das ursprüngliche Token wird auf einem anderen Gerät verwendet.
  • Webinhalt blockiert: Der Zugriff auf die Website wurde blockiert.

Screenshot: Dashboard-Widget für Warnungen und Benachrichtigungen

Der mandantenübergreifende Zugriff des globalen sicheren Zugriffs bietet Einblicke in die Anzahl der Benutzer und Geräte, die auf andere Mandanten zugreifen. Dieses Widget zeigt die folgenden Informationen an:

  • Anmeldungen: Die Anzahl der Anmeldungen bei Microsoft-Diensten über Microsoft Entra ID in den letzten 24 Stunden. Dieses Widget enthält Informationen zur Aktivität in Ihrem Mandanten.
  • Unterschiedliche Mandanten insgesamt: Die Anzahl unterschiedlicher Mandanten-IDs, die in den letzten 24 Stunden vorhanden waren.
  • Nicht angezeigte Mandanten: Die Anzahl unterschiedlicher Mandanten-IDs, die in den letzten 24 Stunden, aber nicht in den letzten sieben Tagen vorhanden waren.
  • Benutzer: Die Anzahl unterschiedlicher Benutzeranmeldungen bei anderen Mandanten in den letzten 24 Stunden.
  • Geräte: Die Anzahl unterschiedlicher Geräte, die sich in den letzten 24 Stunden bei anderen Mandanten angemeldet haben.

Screenshot: Widget für mandantenübergreifenden Zugriff

Webkategoriefilterung

Das Widget Webkategoriefilterung zeigt die Hauptkategorien von Webinhalten an, die vom Dienst blockiert oder zugelassen wurden. Mit diesen Kategorien können Sie bestimmen, welche Websites oder Kategorien von Websites blockiert werden sollen.

Gerätestatus: Die Gerätestatus-Widgets zeigen die aktiven und inaktiven Geräte an, die Sie bereitgestellt haben.

Screenshot: Gerätestatus-Widget