Zero Trust-procedures opnemen in uw landingszone

Zero Trust is een beveiligingsstrategie waarin u producten en services in uw ontwerp en implementatie opneemt om te voldoen aan de volgende beveiligingsprincipes:

• Controleer expliciet: verifieer en autoriseren van toegang op basis van alle beschikbare gegevenspunten.

• Gebruik toegang met minimale bevoegdheden: beperk gebruikers tot precies genoeg toegang en gebruik hulpprogramma's om Just-In-Time-toegang te bieden met overwegingen voor adaptief beleid op basis van risico's.

• Stel dat er sprake is van inbreuk: minimaliseer de straalstraal- en segmenttoegang, zoek proactief naar bedreigingen en verbeter voortdurend de beveiliging.

Als uw organisatie voldoet aan de Zero Trust-strategie, moet u zero Trust-specifieke implementatiedoelstellingen opnemen in uw ontwerpgebieden voor landingszones. Uw landingszone is de basis van uw workloads in Azure, dus het is belangrijk dat u uw landingszone voorbereidt op zero Trust-acceptatie.

Dit artikel bevat richtlijnen voor het integreren van Zero Trust-procedures in uw landingszone en legt uit waar naleving van Zero Trust-principes oplossingen vereist buiten uw landingszone.

Zero Trust-pijlers en ontwerpgebieden voor landingszones

Wanneer u Zero Trust-procedures implementeert in de implementatie van uw Azure-landingszone, moet u eerst rekening houden met de Zero Trust-richtlijnen voor elk ontwerpgebied voor landingszones.

Zie ontwerpgebieden voor Azure-landingszones voor overwegingen over het ontwerpen van een landingszone en richtlijnen voor kritieke beslissingen in elk gebied.

Het Zero Trust-model heeft pijlers die zijn georganiseerd op basis van concepten en implementatiedoelstellingen. Zie Zero Trust-oplossingen implementeren voor meer informatie.

Deze pijlers bieden specifieke implementatiedoelstellingen die organisaties helpen bij het afstemmen van Zero Trust-principes. Deze doelstellingen gaan verder dan technische configuraties. De netwerkpijler heeft bijvoorbeeld een implementatiedoelstelling voor netwerksegmentatie. Het doel biedt geen informatie over het configureren van geïsoleerde netwerken in Azure, maar biedt in plaats daarvan richtlijnen voor het maken van het architectuurpatroon. Er zijn andere ontwerpbeslissingen waarmee u rekening moet houden wanneer u een implementatiedoelstelling implementeert.

In het volgende diagram ziet u de ontwerpgebieden van de landingszone.

In de volgende tabel worden de Zero Trust-pijlers gecorreleerd aan de ontwerpgebieden die in de architectuur worden weergegeven.

Legenda	Ontwerpgebied landingszone	Zero Trust-pijler
	Azure-facturering en Microsoft Entra-tenant	Identiteitspijler
	Identiteits- en toegangsbeheer	Identiteitspijler, Toepassingenpijler, Gegevenspijler
	Resourceorganisatie	Identiteitspijler
	Governance	Zichtbaarheid, automatisering en indelingspijler
	Beheer	Eindpuntenpijler, Toepassingenpijler, Gegevenspijler, Infrastructuurpijler
	Netwerktopologie en -connectiviteit	Netwerkenpijler
	Beveiliging	Alle Zero Trust-pijlers
	Platformautomatisering en DevOps	Zichtbaarheid, automatisering en indelingspijler

Niet alle Zero Trust-implementatiedoelstellingen maken deel uit van een landingszone. Veel Zero Trust-implementatiedoelstellingen zijn bedoeld voor het ontwerpen en vrijgeven van afzonderlijke workloads in Azure.

De volgende secties bekijken elke pijler en bieden overwegingen en aanbevelingen voor het implementeren van implementatiedoelstellingen.

Beveiligde identiteit

Zie Identiteit beveiligen met Zero Trust voor informatie over implementatiedoelstellingen voor het beveiligen van identiteiten. Als u deze implementatiedoelstellingen wilt implementeren, kunt u identiteitsfederatie, voorwaardelijke toegang, identiteitsbeheer en realtime gegevensbewerkingen toepassen.

Identiteitsoverwegingen

• U kunt referentie-implementaties van Azure-landingszones gebruiken om resources te implementeren die uw bestaande identiteitsplatform uitbreiden naar Azure en het identiteitsplatform te beheren door best practices voor Azure te implementeren.

• U kunt veel van de besturingselementen configureren voor Zero Trust-procedures in uw Microsoft Entra-tenant. U kunt ook de toegang tot Microsoft 365 en andere cloudservices beheren die gebruikmaken van De Microsoft Entra-id.

• U moet configuratievereisten plannen buiten wat zich in uw Azure-landingszone bevindt.

Aanbevelingen voor identiteiten

• Ontwikkel een plan voor het beheren van identiteiten in Microsoft Entra ID die verder gaan dan Azure-resources. U kunt bijvoorbeeld het volgende gebruiken:

  • Federatie met on-premises identiteitssystemen.
  • Beleid voor voorwaardelijke toegang.
  • Gebruikers-, apparaat-, locatie- of gedragsgegevens voor autorisatie.

• Implementeer uw Azure-landingszone met afzonderlijke abonnementen voor identiteitsbronnen, zoals domeincontrollers, zodat u de toegang tot resources beter kunt beveiligen.

• Gebruik waar mogelijk door Microsoft Entra beheerde identiteiten.

Beveiligde eindpunten

Zie Eindpunten beveiligen met Zero Trust voor informatie over implementatiedoelstellingen voor het beveiligen van eindpunten. Als u deze implementatiedoelstellingen wilt implementeren, kunt u het volgende doen:

• Registreer eindpunten bij cloud-id-providers om alleen toegang te bieden tot resources via eindpunten en apps die compatibel zijn met de cloud.

• Preventie van gegevensverlies (DLP) en toegangsbeheer afdwingen voor zowel zakelijke apparaten als persoonlijke apparaten die zijn ingeschreven in BYOD-programma's (Bring Your Own Device ).

• Bewaak het apparaatrisico voor verificatie met eindpuntrisicodetectie.

Overwegingen voor eindpunten

• Eindpuntimplementatiedoelstellingen zijn bedoeld voor rekenapparaten van eindgebruikers, zoals laptops, desktopcomputers en mobiele apparaten.

• Wanneer u Zero Trust-procedures voor eindpunten toepast, moet u oplossingen implementeren in Azure en buiten Azure.

• U kunt hulpprogramma's, zoals Microsoft Intune en andere oplossingen voor apparaatbeheer, gebruiken om implementatiedoelstellingen te realiseren.

• Als u eindpunten in Azure hebt, zoals in Azure Virtual Desktop, kunt u de clientervaring registreren bij Intune en Azure-beleid en besturingselementen toepassen om de toegang tot de infrastructuur te beperken.

Aanbevelingen voor eindpunten

• Ontwikkel een plan voor het beheren van eindpunten met Zero Trust-procedures, naast uw plannen voor het implementeren van een Azure-landingszone.

• Zie Beveiligde infrastructuur voor andere informatie over apparaten en servers.

Toepassingen beveiligen

Zie Veilige toepassingen met Zero Trust voor informatie over implementatiedoelstellingen voor het beveiligen van toepassingen. Als u deze implementatiedoelstellingen wilt implementeren, kunt u het volgende doen:

• Api's gebruiken om inzicht te krijgen in toepassingen.

• Beleid toepassen om gevoelige informatie te beveiligen.

• Adaptieve toegangsbeheer toepassen.

• Beperk het bereik van schaduw-IT.

Overwegingen voor toepassingen

• De implementatiedoelstellingen voor toepassingen zijn gericht op het beheren van toepassingen van zowel derden als toepassingen van derden in uw organisatie.

• De doelstellingen hebben geen betrekking op het beveiligen van de toepassingsinfrastructuur. In plaats daarvan hebben ze betrekking op het beveiligen van het verbruik van toepassingen, met name cloudtoepassingen.

• De procedures voor azure-landingszones bieden geen gedetailleerde besturingselementen voor toepassingsdoelstellingen. Deze besturingselementen worden geconfigureerd als onderdeel van de toepassingsconfiguratie.

Aanbevelingen voor toepassingen

• Gebruik Microsoft Defender voor Cloud Apps om de toegang tot toepassingen te beheren.

• Gebruik het gestandaardiseerde beleid dat is opgenomen in Defender voor Cloud Apps om uw procedures af te dwingen.

• Ontwikkel een plan om uw toepassingen te onboarden naar uw procedures voor toegang tot toepassingen. Vertrouw toepassingen die door uw organisatie worden gehost niet meer dan u toepassingen van derden vertrouwt.

Beveiligde gegevens

Zie Veilige gegevens met Zero Trust voor informatie over implementatiedoelstellingen voor het beveiligen van gegevens. Als u deze doelstellingen wilt implementeren, kunt u het volgende doen:

• Gegevens classificeren en labelen.
• Schakel toegangsbeheer in.
• Beveiliging tegen gegevensverlies implementeren.

Zie Referentie-implementaties voor Azure-landingszones voor informatie over logboekregistratie en het beheren van gegevensresources.

Een Zero Trust-benadering omvat uitgebreide besturingselementen voor gegevens. Vanuit een implementatiestandpunt biedt Microsoft Purview hulpprogramma's voor gegevensbeheer, beveiliging en risicobeheer. U kunt Microsoft Purview gebruiken als onderdeel van een cloudanalyse-implementatie om een oplossing te bieden die u op schaal kunt implementeren.

Overwegingen bij gegevens

• In overeenstemming met het democratiseringsprincipe van het landingszoneabonnement kunt u toegang en netwerkisolatie maken voor gegevensbronnen en ook procedures voor logboekregistratie instellen.

  Er zijn beleidsregels in de referentie-implementaties voor logboekregistratie en het beheren van gegevensresources.

• U hebt andere besturingselementen nodig dan het beveiligen van Azure-resources om te voldoen aan de implementatiedoelstellingen. Zero Trust-gegevensbeveiliging omvat het classificeren van gegevens, het labelen ervan voor vertrouwelijkheid en het beheren van gegevenstoegang. Het omvat ook meer dan database- en bestandssystemen. U moet rekening houden met het beveiligen van gegevens in Microsoft Teams, Microsoft 365 Groepen en SharePoint.

Aanbevelingen voor gegevens

• Microsoft Purview biedt hulpprogramma's voor gegevensbeheer, beveiliging en risicobeheer.

• Implementeer Microsoft Purview als onderdeel van een analyse-implementatie op cloudschaal om uw workload op schaal te implementeren.

Beveiligde infrastructuur

Zie Veilige infrastructuur met Zero Trust voor informatie over implementatiedoelstellingen voor het beveiligen van de infrastructuur. Als u deze doelstellingen wilt implementeren, kunt u het volgende doen:

• Bewaak abnormaal gedrag in workloads.
• Infrastructuuridentiteiten beheren.
• Beperk menselijke toegang.
• Segmenteer resources.

Overwegingen voor infrastructuur

• Doelstellingen voor infrastructuurimplementatie zijn onder andere:

  • Azure-resources beheren.
  • Besturingssysteemomgevingen beheren.
  • Toegang tot systemen.
  • Workloadspecifieke besturingselementen toepassen.

• U kunt het abonnementsmodel voor de landingszone gebruiken om duidelijke beveiligingsgrenzen voor Azure-resources te maken en zo nodig beperkte machtigingen toe te wijzen op resourceniveau.

• Organisaties moeten hun workloads organiseren voor beheer.

Aanbevelingen voor infrastructuur

• Gebruik het standaardbeleid voor azure-landingszones om niet-compatibele implementaties en resources te blokkeren en logboekregistratiepatronen af te dwingen.

• Configureer Privileged Identity Management in Microsoft Entra ID om Just-In-Time-toegang te bieden tot zeer bevoorrechte rollen.

• Configureer Just-In-Time-toegang in Defender voor Cloud voor uw landingszone om de toegang tot virtuele machines te beperken.

• Maak een plan voor het bewaken en beheren van afzonderlijke workloads die zijn geïmplementeerd in Azure.

Beveiligde netwerken

Zie Veilige netwerken met Zero Trust voor informatie over implementatiedoelstellingen voor het beveiligen van netwerken. Als u deze doelstellingen wilt implementeren, kunt u het volgende doen:

• Netwerksegmentatie implementeren.
• Gebruik cloudeigen filtering.
• Minimale toegangsrechten implementeren.

Overwegingen voor het netwerk

• Om ervoor te zorgen dat uw platformbronnen het Zero Trust-beveiligingsmodel ondersteunen, moet u firewalls implementeren die geschikt zijn voor HTTPS-verkeersinspectie en identiteits- en beheernetwerkbronnen van de centrale hub isoleren.

• Naast de netwerkresources in het connectiviteitsabonnement moet u plannen maken voor het microsegmenteren van afzonderlijke workloads in hun virtuele spoke-netwerken. U kunt bijvoorbeeld verkeerspatronen definiëren en fijnmazige netwerkbeveiligingsgroepen maken voor elk workloadnetwerk.

Netwerkaanbevelingen

• Gebruik de volgende zero Trust-specifieke implementatiehandleidingen om uw Azure-landingszone te implementeren:

  • Implementatie van azure-landingszone portalversneller met Zero Trust-netwerkprincipes
  • Netwerken implementeren met Zero Trust-netwerkprincipes
  • Terraform-implementatie van Azure-landingszone met Zero Trust-netwerkprincipes

• Zie Zero Trust-netwerk voor webtoepassingen voor informatie over het toepassen van Zero Trust-principes op de levering van toepassingen.

• Zie Zero Trust-implementatieplannen met Azure voor meer informatie over het maken van een plan voor workloadnetwerken.

Zichtbaarheid, automatisering en indeling

Zie Zichtbaarheid, automatisering en indeling met Zero Trust voor informatie over implementatiedoelstellingen voor zichtbaarheid, automatisering en indeling. Als u deze doelstellingen wilt implementeren, kunt u het volgende doen:

• Zichtbaarheid tot stand brengen.
• Schakel automatisering in.
• Schakel aanvullende besturingselementen in door continu verbetering te oefenen.

Overwegingen voor zichtbaarheid, automatisering en indeling

• De referentieimplementaties van de Azure-landingszone bevatten implementaties van Microsoft Sentinel die u kunt gebruiken om snel inzicht te krijgen in uw Azure-omgeving.

• De referentie-implementaties bieden beleidsregels voor Azure-logboekregistratie, maar er is extra integratie nodig voor andere services.

• U moet automatiseringshulpprogramma's, zoals Azure DevOps en GitHub, configureren om signalen te verzenden.

Aanbevelingen voor zichtbaarheid, automatisering en indeling

• Implementeer Microsoft Sentinel als onderdeel van uw Azure-landingszone.

• Maak een plan voor het integreren van signalen van Microsoft Entra ID en hulpprogramma's in Microsoft 365 in uw Microsoft Sentinel-werkruimte.

• Maak een plan voor het uitvoeren van oefeningen voor het opsporen van bedreigingen en continue beveiligingsverbeteringen.

Volgende stappen

• Beveiliging in het Microsoft Cloud Adoption Framework voor Azure
• Zero Trust-principes toepassen op Azure-services
• Uw Zero Trust-beveiligingspostuur evalueren