Zero Trust-Technologiepfeiler Teil 2
In dieser Lerneinheit werden die verbleibenden Zero Trust-Bereitstellungsziele fortgesetzt und diskutiert.
Sichern von Daten mit Zero Trust
Die drei Kernelemente einer Datenschutzstrategie sind:
- Verstehen Ihrer Daten: Wenn Sie nicht wissen, welche vertraulichen Daten Sie lokal und in Clouddiensten haben, können Sie sie nicht angemessen schützen. Sie müssen Daten in Ihrer gesamten Organisation ermitteln und alle Daten nach Vertraulichkeitsstufe klassifizieren.
- Schützen Ihrer Daten und Verhindern von Datenverlust: Vertrauliche Daten müssen durch Datenschutzrichtlinien geschützt werden, die Daten kennzeichnen und verschlüsseln oder die übermäßige Freigabe blockieren. Dadurch wird sichergestellt, dass nur autorisierte Benutzer auf die Daten zugreifen können, auch wenn Daten außerhalb Ihrer Unternehmensumgebung reisen.
- Überwachen und Beheben: Sie sollten vertrauliche Daten kontinuierlich überwachen, um Richtlinienverstöße und riskantes Benutzerverhalten zu erkennen. Auf diese Weise können Sie geeignete Maßnahmen ergreifen, z. B. den Zugriff widerrufen, Benutzer blockieren und Ihre Schutzrichtlinien verfeinern.
Ziele der Data Zero Trust-Bereitstellung
Eine Strategie zum Schutz von Informationen muss die gesamten digitalen Inhalte Ihrer Organisation umfassen. Als Basisplan müssen Sie Bezeichnungen definieren, vertrauliche Daten ermitteln und die Verwendung von Bezeichnungen und Aktionen in Ihrer gesamten Umgebung überwachen. Die Verwendung von Vertraulichkeitsbezeichnungen wird am Ende dieses Leitfadens erläutert.
Bei der Implementierung eines End-to-End Zero Trust Frameworks für Daten empfehlen wir, sich zuerst auf diese anfänglichen Bereitstellungszielezu konzentrieren:
Ich. Zugriffsentscheidungen werden durch Verschlüsselung gesteuert.
II. Daten werden automatisch klassifiziert und bezeichnet.
Konzentrieren Sie sich nach Abschluss dieser Schritte auf die folgenden zusätzlichen Bereitstellungsziele:
III. Die Klassifizierung wird durch intelligente Machine Learning-Modelle erweitert.
IV. Zugriffsentscheidungen werden von einer Cloudsicherheitsrichtlinien-Maschine gesteuert.
V. Verhindern von Datenlecks durch DLP-Richtlinien basierend auf einer Vertraulichkeitskennzeichnung und Inhaltsprüfung.
Sichern von Endpunkten mit Zero Trust
Zero Trust hält sich an das Prinzip „Nie vertrauen, immer überprüfen“. In Bezug auf Endpunkte bedeutet dies, dass immer alle Endpunkte überprüft werden. Dazu gehören nicht nur Auftragnehmer, Partner und Gastgeräte, sondern auch Apps und Geräte, die von Mitarbeitern für den Zugriff auf Arbeitsdaten verwendet werden, unabhängig vom Gerätebesitz.
Bei einem Zero Trust-Ansatz werden dieselben Sicherheitsrichtlinien angewendet, unabhängig davon, ob das Gerät unternehmenseigenes oder persönliches Gerät ist, indem Sie Ihr eigenes Gerät (BYOD) mitbringen; unabhängig davon, ob das Gerät vollständig von der IT verwaltet wird oder nur die Apps und Daten gesichert sind. Die Richtlinien gelten für alle Endpunkte, unabhängig davon, ob PC, Mac, Smartphone, Tablet, Wearable oder IoT-Gerät, unabhängig davon, wo sie verbunden sind, sei es das sichere Unternehmensnetzwerk , Heim-Breitbandoder öffentliches Internet.
Endpunkt Zero Trust-Bereitstellungsziele
Bei der Implementierung eines End-to-End Zero Trust-Frameworks zum Sichern von Endpunkten empfehlen wir, sich zuerst auf diese anfänglichen Bereitstellungszielezu konzentrieren:
Ich. Endpunkte werden bei Cloudidentitätsanbietern registriert. Um die Sicherheit und Risiken über mehrere Endpunkte hinweg zu überwachen, die von einer beliebigen Person verwendet werden, müssen alle Geräte und Zugriffspunkte, über die möglicherweise auf Ihre Ressourcen zugegriffen wird, sichtbar sein.
II. Der Zugriff wird nur für Cloud-verwaltete und konforme Endpunkte und Apps gewährt. Legen Sie Konformitätsregeln fest, um sicherzustellen, dass Geräte die Mindestsicherheitsanforderungen erfüllen, bevor der Zugriff gewährt wird. Legen Sie außerdem Korrekturregeln für nicht kompatible Geräte fest, damit die Benutzer wissen, wie das Problem behoben werden kann.
III. Bei Unternehmensgeräten und BYOD werden Richtlinien zur Verhinderung von Datenverlust (DLP) durchgesetzt. Steuern Sie, was der Benutzer mit den Daten tun kann, nachdem er Zugriff hat. Beschränken Sie z. B. das Speichern von Dateien auf nicht vertrauenswürdige Speicherorte (z. B. lokale Festplatte), oder beschränken Sie die Freigabe von Kopieren und Einfügen mit einer Verbraucherkommunikations-App oder Chat-App, um Daten zu schützen.
Konzentrieren Sie sich nach Abschluss dieser Schritte auf die folgenden zusätzlichen Bereitstellungsziele:
IV. Die Bedrohungserkennung an den Endpunkten wird zur Überwachung des Geräterisikos eingesetzt. Verwenden Sie eine zentrale Benutzeroberfläche, um alle Endpunkte konsistent zu verwalten, und verwenden Sie ein SIEM, um Endpunktprotokolle und -transaktionen so weiterzuleiten, dass Sie insgesamt zwar weniger, aber dafür handlungsrelevante Benachrichtigungen erhalten.
V. Die Zugriffssteuerung ist sowohl für Unternehmensgeräte als auch für BYOD-Geräte auf das Endpunktrisiko ausgerichtet. Integrieren Sie Daten aus Microsoft Defender für Endpunkt oder anderen MTD-Anbietern (Mobile Threat Defense) als Informationsquelle für Gerätekonformitätsrichtlinien und Regeln für bedingten Zugriff für Geräte. Das Geräterisiko beeinflusst dann direkt, auf welche Ressourcen der Benutzer dieses Geräts zugreifen kann.
Sichere Infrastruktur mit Zero Trust
Azure Blueprints, Azure Policies, Microsoft Defender for Cloud, Microsoft Sentinel und Azure Sphere können erheblich zur Verbesserung der Sicherheit Ihrer bereitgestellten Infrastruktur beitragen und einen anderen Ansatz zum Definieren, Entwerfen, Bereitstellen, Einsetzen und Überwachen Ihrer Infrastruktur ermöglichen.
Ziele der Zero Trust-Bereitstellung der Infrastruktur
Bei der Implementierung eines End-to-End Zero Trust-Frameworks für die Verwaltung und Überwachung Ihrer Infrastruktur empfehlen wir Ihnen, sich zuerst auf diese anfänglichen Bereitstellungszielezu konzentrieren:
Ich. Workloads werden überwacht und bei ungewöhnlichem Verhalten wird eine Benachrichtigung versendet.
II. Jedem Workload wird eine App-Identität zugewiesen und konsistent konfiguriert und bereitgestellt.
III. Der menschliche Zugriff auf Ressourcen erfordert Just-In-Time.
Konzentrieren Sie sich nach Abschluss dieser Schritte auf die folgenden zusätzlichen Bereitstellungsziele:
IV. Nicht autorisierte Bereitstellungen werden blockiert, und es wird eine Warnung ausgelöst.
V. Präzise Sichtbarkeit und Zugriffssteuerung sind workloadübergreifend verfügbar.
VI. Segmentierter Benutzer- und Ressourcenzugriff für jeden Workload.
Sichere Netzwerke mit Zero Trust
Anstatt zu glauben, dass alles hinter der Unternehmensfirewall sicher ist, wird eine End-to-End Zero Trust-Strategie davon ausgegangen, dass Verstöße unvermeidlich sind. Dies bedeutet, dass Sie jede Anforderung überprüfen müssen, als ob sie aus einem nicht kontrollierten Netzwerk stammt –die Identitätsverwaltung spielt dabei eine entscheidende Rolle.
Ziele der Zero Trust-Bereitstellung von Network Zero Trust
Bei der Implementierung eines End-to-End Zero Trust-Frameworks zum Sichern von Netzwerken empfehlen wir, sich zuerst auf diese anfänglichen Bereitstellungszielezu konzentrieren:
Ich. Netzwerksegmentierung: Viele Eingangs- bzw. Ausgangscloud-Mikroperimeter mit etwas Mikrosegmentierung.
II. Bedrohungsschutz: Cloudnativ filtern und vor bekannten Bedrohungen schützen.
III. Verschlüsselung: Interner Benutzer-zu-App-Datenverkehr wird verschlüsselt.
Konzentrieren Sie sich nach Abschluss dieser Schritte auf die folgenden zusätzlichen Bereitstellungsziele:
IV. Netzwerksegmentierung: Vollständig verteilte Eingangs- bzw. Ausgangscloud-Mikroperimeter und tiefere Mikrosegmentierung.
V. Bedrohungsschutz: Machine Learning-basierter Bedrohungsschutz und Filtern mit kontextbasierten Signalen.
VI. Verschlüsselung: Der gesamte Datenverkehr wird verschlüsselt.