Globale beveiligde toegang in Microsoft Entra beschrijven

  • 9 minuten

Microsoft Entra biedt nu een nieuwe set producten onder de kop Microsoft Global Secure Access. Global Secure Access is de eenduidige term die wordt gebruikt voor zowel Microsoft Entra-internettoegang als Microsoft Entra-privétoegang.

Microsoft Entra-internettoegang beveiligt de toegang tot SaaS-toepassingen (Software as a Service), waaronder Microsoft Services en openbare internet-apps, terwijl gebruikers, apparaten en gegevens worden beschermd tegen internetbedreigingen.

Microsoft Entra-privétoegang biedt uw gebruikers, ongeacht of ze op kantoor zijn of op afstand werken, beveiligde toegang tot uw persoonlijke bedrijfsbronnen.

Microsoft Entra-internettoegang en Microsoft Entra-privétoegang samenkomen als een oplossing waarmee zero Trust-netwerk, identiteit en eindpunttoegangsbeheer worden geconvergeerd, zodat u vanaf elke locatie, apparaat of identiteit de toegang tot elke app of resource kunt beveiligen. Dit type oplossing vertegenwoordigt een nieuwe netwerkbeveiligingscategorie met de naam Security Service Edge (SSE).

SSE helpt bij het oplossen van beveiligingsproblemen, zoals:

  • De noodzaak om het risico op laterale verplaatsing te verminderen via een gecompromitteerde VPN-tunnel.
  • De noodzaak om een perimeter rond internetactiva te plaatsen.
  • De noodzaak om de service op externe kantoorlocaties te verbeteren, zoals filialen.

De Security Service Edge-oplossing van Microsoft, Global Secure Access, biedt geavanceerde beveiliging voor uw internetresources en -resources die worden uitgevoerd in uw privécloud of on-premises infrastructuur, om beveiligingsproblemen op te lossen.

De oplossing maakt gebruik van een Global Secure Access-client die organisaties controle geeft over netwerkverkeer op het computerapparaat voor eindgebruikers. Organisaties kunnen specifieke verkeersprofielen routeren via Microsoft Entra-internettoegang en Microsoft Entra-privétoegang. Door verkeer in deze methode te routeren, kunnen er meer besturingselementen worden ingeschakeld door diepgaande integratie met beleid voor voorwaardelijke toegang en risico's die in realtime worden beoordeeld, in identiteit, apparaat, locatie en toepassingen om elke app of resource te beveiligen.

Schermopname van onderdelen waaruit globale beveiligde toegang bestaat.

Microsoft Entra-privétoegang

VPN-oplossingen worden vaak gebruikt als een primaire methode om de toegang tot bedrijfsnetwerk te beheren. Zodra de privénetwerkverbinding tot stand is gebracht, wordt de voordeur van uw netwerk ontgrendeld en bovendien is het gebruikelijk dat gebruikers en apparaten te veel machtigingen krijgen. Dit verhoogt de kwetsbaarheid voor aanvallen van uw organisatie aanzienlijk.

Microsoft Entra-privétoegang kan worden geïmplementeerd om laterale aanvalsbewegingen te blokkeren, overmatige toegang te verminderen en verouderde VPN's te vervangen. De service biedt uw gebruikers , ongeacht of ze op kantoor zijn of op afstand werken - beveiligde toegang tot uw persoonlijke bedrijfsbronnen.

Conceptueel gezien is de manier waarop Private Access werkt dat u voor een bepaalde set privéresources die u wilt beveiligen, een nieuwe bedrijfstoepassing instelt die fungeert als een container voor deze privéresources. De nieuwe toepassing heeft een netwerkconnector die fungeert als broker tussen de Private Access-service en de resource waartoe een gebruiker toegang wil krijgen. Bedrijven hebben nu duidelijk verschillende vereisten voor toegang tot verschillende privébronnen, dus Microsoft Entra-privétoegang biedt twee manieren waarop u de privé-resources kunt instellen waartoe u toegang wilt hebben via de service.

  • Snelle toegang- Zoals eerder beschreven, werkt Private Access door een nieuwe bedrijfstoepassing te maken die fungeert als een container voor de privéresources die u wilt beveiligen. Met Snelle toegang bepaalt u welke privéresources u wilt toevoegen aan de 'container' of bedrijfstoepassing; die we de toepassing Snelle toegang noemen. De privéresources die u toevoegt aan de toepassing Snelle toegang, worden gedefinieerd door de FQDN, het IP-adres, het IP- of adresbereik en de poorten die worden gebruikt voor toegang tot de resource. Deze informatie wordt een toepassingssegment snelle toegang genoemd. U kunt veel toepassingssegmenten toevoegen aan de toepassing Snelle toegang. Vervolgens kunt u beleid voor voorwaardelijke toegang koppelen aan de toepassing Snelle toegang.

    Diagram van Microsoft Entra-privétoegang met de onderdelen van Snelle toegang.

  • Globale Secure Access-app- Global Secure Access-app, ook wel 'Toegang per app' genoemd, biedt een gedetailleerdere benadering. Met de Global Secure Access-app kunt u meerdere 'containers' of een bedrijfstoepassing maken. Voor elk van deze nieuwe bedrijfs-apps definieert u de eigenschappen van de privéresource en wijst u gebruikers en groepen toe en wijst u specifiek beleid voor voorwaardelijke toegang toe. U hebt bijvoorbeeld een groep privéresources die u moet beveiligen, maar waarvoor u verschillende toegangsbeleidsregels wilt instellen op basis van de manier waarop ze toegang hebben tot de resource of voor een bepaald tijdsbestek.

    Diagram van Microsoft Entra-privétoegang met de onderdelen van de Global Secure Access-app, ook wel 'Toegang per app' genoemd.

Microsoft Entra-internettoegang

Een SECURE Web Gateway (SWG) is een cyberbeveiligingsoplossing die gebruikers beschermt tegen webbedreigingen door internetverkeer te filteren en beveiligingsbeleid af te dwingen.

Microsoft Entra-internettoegang biedt een identiteitsgerichte SWG-oplossing (Secure Web Gateway) voor SaaS-toepassingen (Software as a Service), waaronder Microsoft Services en ander internetverkeer. Het beschermt gebruikers, apparaten en gegevens tegen het brede dreigingslandschap van internet met best-in-class beveiligingscontroles en zichtbaarheid via verkeerslogboeken.

Enkele van de belangrijkste functies zijn:

  • Beveiliging tegen identiteits- of tokendiefstal door beleid voor voorwaardelijke toegang te gebruiken om een compatibele netwerkcontrole uit te voeren op toegang tot resources.
    • Naleving van netwerkafdwinging vindt plaats op het verificatievlak en op het gegevensvlak. Afdwinging van het verificatievlak wordt uitgevoerd door Microsoft Entra-id op het moment van gebruikersverificatie. Afdwingen van gegevensvlakken werkt met services die ondersteuning bieden voor Continuous Access Evaluation (CAE)
    • Continuous Access Evaluation (CAE) is een beveiligingsfunctie waarbij apps en Microsoft Entra voortdurend communiceren om ervoor te zorgen dat gebruikerstoegang up-to-date en veilig is. Als er iets verandert, zoals de locatie van een gebruiker of een beveiligingsprobleem, kan het systeem snel de toegang in bijna realtime aanpassen of blokkeren, zodat beleid altijd wordt afgedwongen.
  • Tenantbeperkingen om gegevensexfiltratie naar andere tenants of persoonlijke accounts te voorkomen, inclusief anonieme toegang.
  • Beleid voor het doorsturen van internetverkeer om te bepalen welke internetsites toegankelijk zijn om ervoor te zorgen dat externe werknemers op een gecontroleerde en veilige manier verbinding maken met internet.
  • Filteren van webinhoud om de toegang tot websites te reguleren op basis van hun inhoudscategorieën en domeinnamen.
  • en nog veel meer...

Global Secure Access Dashboard

Global Secure Access bevat een dashboard dat u visualisaties biedt van het netwerkverkeer dat is verkregen door de Microsoft Entra Private- en Microsoft Entra-internettoegang-services. Het dashboard compileert de gegevens van uw netwerkconfiguraties, waaronder apparaten, gebruikers en tenants, in verschillende widgets. Deze widgets bieden u op zijn beurt informatie die u kunt gebruiken om uw netwerkconfiguraties te bewaken en te verbeteren. Enkele van de beschikbare widgets zijn:

  • Momentopname van globale beveiligde toegang
  • Waarschuwingen en meldingen (preview)
  • Gebruiksprofilering (preview)
  • Toegang tussen tenants
  • Filteren van webcategorie
  • Apparaatstatus

Momentopname van globale beveiligde toegang

De widget Global Secure Access-momentopname biedt een overzicht van het aantal gebruikers en apparaten dat gebruikmaakt van de service en hoeveel toepassingen zijn beveiligd via de service. De widget wordt standaard ingesteld op het weergeven van alle soorten verkeer, maar u kunt het filter wijzigen om internettoegang, privétoegang of Microsoft-verkeer weer te geven.

Schermopname van de widget voor momentopnamen van Global Secure Access.

Gebruiksprofilering (preview)

In de widget Gebruiksprofilering worden gebruikspatronen weergegeven voor Internet Access, Private Access of Microsoft 365 gedurende een geselecteerde periode en per categorie.

Schermopname van de widget gebruiksprofilering.

Waarschuwingen en meldingen (preview)

De widget Waarschuwingen en meldingen laat zien wat er in het netwerk gebeurt en helpt bij het identificeren van verdachte activiteiten of trends die worden geïdentificeerd door de netwerkgegevens.

Deze widget biedt de volgende waarschuwingen:

  • Beschadigd extern netwerk: een beschadigd extern netwerk heeft een of meer apparaatkoppelingen verbroken.
  • Toegenomen activiteiten van externe tenants: het aantal gebruikers dat toegang heeft tot externe tenants, is toegenomen.
  • Token en inconsistentie van apparaten: het oorspronkelijke token wordt gebruikt op een ander apparaat.
  • Webinhoud geblokkeerd: de toegang tot de website is geblokkeerd.

Schermopname van de widget meldingen voor dashboardwaarschuwingen.

Globale beveiligde toegang tussen tenants biedt inzicht in het aantal gebruikers en apparaten dat toegang heeft tot andere tenants. Deze widget geeft de volgende informatie weer:

  • Aanmeldingen: het aantal aanmeldingen via Microsoft Entra-id voor Microsoft-services in de afgelopen 24 uur. Deze widget bevat informatie over de activiteit in uw tenant.
  • Totaal aantal afzonderlijke tenants: het aantal afzonderlijke tenant-id's dat in de afgelopen 24 uur is gezien.
  • Ongelezen tenants: het aantal afzonderlijke tenant-id's dat in de afgelopen 24 uur is gezien, maar niet in de afgelopen zeven dagen.
  • Gebruikers: Het aantal afzonderlijke gebruikersaanmelding bij andere tenants in de afgelopen 24 uur.
  • Apparaten: het aantal afzonderlijke apparaten dat zich in de afgelopen 24 uur heeft aangemeld bij andere tenants.

Schermopname van de widget toegang tot meerdere tenants.

Filteren van webcategorie

In de filterwidget voor webcategorieën worden de belangrijkste categorieën webinhoud weergegeven die door de service zijn geblokkeerd of toegestaan. Deze categorieën kunnen worden gebruikt om te bepalen welke sites of categorieën sites u wilt blokkeren.

De apparaatstatuswidgets geven de actieve en inactieve apparaten weer die u hebt geïmplementeerd.

Schermopname van de widget apparaatstatus.