Zero Trust-Technologiepfeiler Teil 2

Abgeschlossen

In dieser Lerneinheit werden die verbleibenden Zero Trust-Bereitstellungsziele fortgesetzt und diskutiert.

Schützen von Daten mit Zero Trust

Die drei Kernelemente einer Datenschutzstrategie sind:

  1. Verstehen Ihrer Daten: Wenn Sie nicht wissen, welche vertraulichen Daten Sie lokal und in Clouddiensten haben, können Sie sie nicht angemessen schützen. Sie müssen die Daten in Ihrem gesamten Unternehmen eruieren und alle Daten nach Vertraulichkeitsstufe klassifizieren.
  2. Schützen Ihrer Daten und Verhindern von Datenverlust: Vertrauliche Daten müssen durch Datenschutzrichtlinien geschützt werden, die Daten kennzeichnen und verschlüsseln oder die übermäßige Freigabe blockieren. Dadurch wird sichergestellt, dass nur autorisierte Benutzer auf die Daten zugreifen können, auch wenn Daten außerhalb Ihrer Unternehmensumgebung übertragen werden.
  3. Überwachen und Beheben: Sie sollten vertrauliche Daten kontinuierlich überwachen, um Richtlinienverstöße und riskantes Benutzerverhalten zu erkennen. Dadurch können Sie geeignete Maßnahmen ergreifen, z. B. den Zugriff widerrufen, Benutzer blockieren und Ihre Schutzrichtlinien optimieren.

Ziele der Bereitstellung von Zero Trust-Daten

Eine Strategie zum Schutz von Informationen muss den gesamten digitalen Inhalt Ihres Unternehmens umfassen. Als Grundlage müssen Sie Kennzeichnung definieren, vertrauliche Daten erkennen und die Verwendung von Bezeichnungen und Maßnahmen in Ihrer gesamten Umgebung überwachen. Die Verwendung von Vertraulichkeitsbezeichnungen wird am Ende dieses Leitfadens erläutert.

Beim Implementieren eines End-to-End Zero Trust-Frameworks empfehlen wir Ihnen, sich zuerst auf diese anfänglichen Bereitstellungsziele zu konzentrieren:

I. Zugriffsentscheidungen werden durch Verschlüsselung gesteuert.
II. Daten werden automatisch klassifiziert und bezeichnet.

Konzentrieren Sie sich nach Abschluss dieser Schritte auf die folgenden zusätzlichen Bereitstellungsziele:

III. Die Klassifizierung wird durch intelligente Machine Learning-Modelle erweitert.
IV. Zugriffsentscheidungen werden von einer Cloudsicherheitsrichtlinien-Maschine gesteuert.
V. Verhindern von Datenlecks durch DLP-Richtlinien basierend auf einer Vertraulichkeitskennzeichnung und Inhaltsprüfung.

Endpunkte mit dem Zero Trust-Ansatz schützen

Zero Trust hält sich an das Prinzip „Nie vertrauen, immer überprüfen“. In Bezug auf Endpunkte bedeutet dies, dass immer alle Endpunkte überprüft werden. Dazu gehören nicht nur die Geräte von Auftragnehmern, Partnern und Gästen, sondern auch Apps und Geräte, die von Mitarbeitern genutzt werden, um auf Arbeitsdaten zuzugreifen – unabhängig davon, wer der Eigentümer des Geräts ist.

Bei einem Zero Trust-Ansatz werden für jedes Gerät die gleichen Sicherheitsrichtlinien angewendet, unabhängig davon, ob es sich um ein unternehmenseigenes oder ein privates Gerät (z. B. im Rahmen von Bring Your Own Device – BYOD) handelt, ob das gesamte Gerät von der IT-Abteilung verwaltet wird, oder ob nur die Apps und Daten geschützt sind. Die Richtlinien gelten für alle Endpunkte, egal ob PC, Mac, Smartphone, Tablet, Wearable oder IoT-Gerät und unabhängig von dem Ort, an dem sie sich verbinden (wie z. B. das sichere Unternehmensnetzwerk,der Breitbandanschluss zu Hause oder ein öffentlicher Zugang).

Ziele der Bereitstellung eines Zero Trust-Ansatzes für Endpunkte

Bei der End-to-End-Implementierung eines Zero Trust-Frameworks für den Schutz der Netzwerke empfehlen wir Ihnen, sich zunächst auf diese anfänglichen Bereitstellungsziele zu konzentrieren:

I. Endpunkte werden bei Cloud-Identitätsanbietern registriert. Um die Sicherheit und Risiken über mehrere Endpunkte hinweg zu überwachen, die von einer beliebigen Person verwendet werden, müssen alle Geräte und Zugriffspunkte, über die möglicherweise auf Ihre Ressourcen zugegriffen wird, sichtbar sein.

II. Der Zugriff wird nur für Cloud-verwaltete und konforme Endpunkte und Apps gewährt. Legen Sie Konformitätsregeln fest, um sicherzustellen, dass Geräte die Mindestsicherheitsanforderungen erfüllen, bevor der Zugriff gewährt wird. Legen Sie außerdem Korrekturregeln für nicht konforme Geräte fest, damit die Benutzer wissen, wie das Problem behoben werden kann.

III. Bei Unternehmensgeräten und BYOD werden Richtlinien zur Verhinderung von Datenverlust (DLP) durchgesetzt. Kontrollieren Sie den Umgang des Benutzers mit den Daten, nachdem ihm Zugriff darauf gewährt wurde. Beschränken Sie beispielsweise das Speichern von Dateien an nicht vertrauenswürdigen Speicherorten (z. B. lokale Datenträger) oder das Kopieren und Einfügen von Daten in eine Consumer-Kommunikationsanwendung oder Chat-App, um Ihre Daten zu schützen.

Konzentrieren Sie sich nach Abschluss dieser Schritte auf diese zusätzlichen Bereitstellungsziele:

IV. Die Bedrohungserkennung an den Endpunkten wird zur Überwachung des Geräterisikos eingesetzt. Verwenden Sie eine zentralisierte Benutzeroberfläche, um alle Endpunkte konsistent zu verwalten, und verwenden Sie ein SIEM, um Endpunktprotokolle und -transaktionen so weiterzuleiten, dass Sie insgesamt zwar weniger, aber dafür handlungsrelevante Warnungen erhalten.

V. Die Zugriffssteuerung ist sowohl für Unternehmensgeräte als auch für BYOD-Geräte auf das Endpunktrisiko ausgerichtet. Integrieren Sie Daten aus Microsoft Defender für Endpunkt oder anderen MTD-Anbietern (Mobile Threat Defense) als Informationsquelle für Gerätekonformitätsrichtlinien und Regeln für bedingten Zugriff für Geräte. Das Geräterisiko wirkt sich dann direkt darauf aus, auf welche Ressourcen der Benutzer des Geräts zugreifen kann.

Schützen der Infrastruktur mit Zero Trust

Azure Blueprints, Azure Policies, Microsoft Defender for Cloud, Microsoft Sentinel und Azure Sphere können erheblich zur Verbesserung der Sicherheit Ihrer bereitgestellten Infrastruktur beitragen und einen anderen Ansatz zum Definieren, Entwerfen, Bereitstellen, Einsetzen und Überwachen Ihrer Infrastruktur ermöglichen.

Bereitstellungsziele für die Zero Trust-Infrastruktur

Bei der Implementierung eines End-to-End-Zero Trust-Frameworks für die Verwaltung und Überwachung Ihrer Infrastruktur empfehlen wir Ihnen, sich zuerst auf die folgenden anfänglichen Bereitstellungsziele zu konzentrieren:

I. Workloads werden überwacht und bei ungewöhnlichem Verhalten wird eine Benachrichtigung versendet.
II. Jedem Workload wird eine App-Identität zugewiesen und konsistent konfiguriert und bereitgestellt.
III. Für den Benutzerzugriff auf Ressourcen ist Just-In-Time erforderlich.

Konzentrieren Sie sich nach Abschluss dieser Schritte auf die folgenden zusätzlichen Bereitstellungsziele:

IV. Nicht autorisierte Bereitstellungen werden blockiert, und es wird eine Warnung ausgelöst.
V. Präzise Sichtbarkeit und Zugriffssteuerung sind workloadübergreifend verfügbar.
VI. Segmentierter Benutzer- und Ressourcenzugriff für jeden Workload.

Schützen von Netzwerken mit Zero Trust

Anstatt alles hinter der Unternehmensfirewall als sicher anzunehmen, geht eine End-to-End-Zero Trust-Strategie davon aus, dass Sicherheitsverletzungen unvermeidbar sind. Das bedeutet, dass Sie jede Anforderung so überprüfen müssen, als ob sie aus einem nicht kontrollierten Netzwerk stammt. Die Identitätsverwaltung spielt dabei eine entscheidende Rolle.

Ziele für Zero-Trust-Bereitstellung von Anwendungen

Beim Implementieren eines End-to-End-Zero Trust-Frameworks zum Schützen von Netzwerken empfehlen wir Ihnen, sich zuerst auf diese anfänglichen Bereitstellungsziele zu konzentrieren:

I. Netzwerksegmentierung: Viele Eingangs- bzw. Ausgangscloud-Mikroperimeter mit etwas Mikrosegmentierung.
II. Bedrohungsschutz: Cloudnativ filtern und vor bekannten Bedrohungen schützen.
III. Verschlüsselung: Der interne Benutzer-zu-App-Datenverkehr wird verschlüsselt.

Konzentrieren Sie sich nach Abschluss dieser Schritte auf die folgenden zusätzlichen Bereitstellungsziele:

IV. Netzwerksegmentierung: Vollständig verteilte Eingangs- bzw. Ausgangscloud-Mikroperimeter und tiefere Mikrosegmentierung.
V. Bedrohungsschutz: Machine Learning-basierter Bedrohungsschutz und Filtern mit kontextbasierten Signalen.
VI. Verschlüsselung: Der gesamte Datenverkehr wird verschlüsselt.