Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Dit artikel bevat een implementatieplan voor het bouwen van Zero Trust beveiliging met Microsoft 365. Zero Trust is een beveiligingsmodel dat ervan uitgaat dat inbreuk wordt gemaakt en elke aanvraag verifieert alsof deze afkomstig is van een niet-gecontroleerd netwerk. Ongeacht waar de aanvraag vandaan komt of welke resource deze gebruikt, leert het Zero Trust-model ons 'nooit vertrouwen, altijd verifiëren'.
Gebruik dit artikel samen met deze poster.
Zero Trust principes en architectuur
Zero Trust is een beveiligingsstrategie. Het is geen product of een service, maar een benadering bij het ontwerpen en implementeren van de volgende set beveiligingsprincipes.
| Principe | Beschrijving |
|---|---|
| Uitdrukkelijk verifiëren | Altijd verifiëren en autoriseren op basis van alle beschikbare gegevenspunten. |
| Toegang tot minimale bevoegdheden gebruiken | Beperk gebruikerstoegang met Just-In-Time en Just-Enough-Access (JIT/JEA), op risico gebaseerd adaptief beleid en gegevensbeveiliging. |
| Stel dat er sprake is van een schending | Minimaliseer de impactradius en segmenteer de toegang. Controleer end-to-end-versleuteling en gebruik analyse om zichtbaarheid te krijgen, detectie van bedreigingen te stimuleren en verdediging te verbeteren. |
De richtlijnen in dit artikel helpen u bij het toepassen van deze principes door mogelijkheden te implementeren met Microsoft 365.
Een Zero Trust-benadering breidt zich uit over het hele digitale domein en fungeert als een geïntegreerde beveiligings filosofie en end-to-end strategie.
In deze afbeelding ziet u een weergave van de primaire elementen die bijdragen aan Zero Trust.
In de afbeelding:
- Het afdwingen van beveiligingsbeleid bevindt zich in het centrum van een Zero Trust-architectuur. Dit omvat meervoudige verificatie met voorwaardelijke toegang die rekening houdt met het risico van gebruikersaccounts, apparaatstatus en andere criteria en beleidsregels die u instelt.
- Identiteiten, apparaten, gegevens, apps, netwerk en andere infrastructuuronderdelen worden allemaal geconfigureerd met de juiste beveiliging. Beleidsregels die voor elk van deze onderdelen zijn geconfigureerd, worden gecoördineerd met uw algehele Zero Trust-strategie. Apparaatbeleid bepaalt bijvoorbeeld de criteria voor gezonde apparaten en het beleid voor voorwaardelijke toegang vereist dat apparaten in orde zijn voor toegang tot specifieke apps en gegevens.
- Met bedreigingsbeveiliging en intelligentie wordt de omgeving bewaakt, worden de huidige risico's aan het oppervlak gebracht en wordt geautomatiseerde actie ondernomen om aanvallen te verhelpen.
Zie het Zero Trust Guidance Center van Microsoft voor meer informatie over Zero Trust.
Zero Trust voor Microsoft 365 implementeren
Microsoft 365 is opzettelijk gebouwd met veel beveiligings- en informatiebeveiligingsmogelijkheden om u te helpen Zero Trust in uw omgeving in te bouwen. Veel van de mogelijkheden kunnen worden uitgebreid om de toegang tot andere SaaS-apps die uw organisatie gebruikt en de gegevens in deze apps te beveiligen.
In deze afbeelding ziet u het werk van het implementeren van Zero Trust mogelijkheden. Dit werk is afgestemd op Zero Trust bedrijfsscenario's in het Zero Trust-acceptatieframework.
In deze afbeelding is het implementatiewerk gecategoriseerd in vijf zwembanen:
- Veilig extern en hybride werk : dit werk vormt een basis voor identiteits- en apparaatbeveiliging.
- Bedrijfsschade door een inbreuk voorkomen of beperken : bedreigingsbeveiliging biedt realtime bewaking en herstel van beveiligingsrisico's. Defender for Cloud Apps biedt detectie van SaaS-apps, waaronder AI-apps, en stelt u in staat om gegevensbeveiliging uit te breiden naar deze apps.
- Gevoelige zakelijke gegevens identificeren en beveiligen : de mogelijkheden voor gegevensbescherming bieden geavanceerde besturingselementen die zijn gericht op specifieke typen gegevens om uw meest waardevolle informatie te beschermen.
- AI-apps en -gegevens beveiligen : bescherm snel het gebruik van AI-apps in uw organisatie en de gegevens waarmee deze communiceren.
- Voldoen aan wettelijke en nalevingsvereisten : begrijp en houd uw voortgang bij met betrekking tot het voldoen aan regelgeving die van invloed is op uw organisatie.
In dit artikel wordt ervan uitgegaan dat u cloudidentiteit gebruikt. Zie Uw identiteitsinfrastructuur voor Microsoft 365 implementeren als u hulp nodig hebt voor deze doelstelling.
Aanbeveling
Wanneer u de stappen en het end-to-end-implementatieproces begrijpt, kunt u de handleiding Geavanceerde implementatie van uw Microsoft Zero Trust-beveiligingsmodel instellen gebruiken wanneer u bent aangemeld bij de Microsoft 365-beheercentrum. Deze handleiding begeleidt u bij het toepassen van Zero Trust principes voor standaard- en geavanceerde technologiepijlers. Als u de handleiding wilt doorlopen zonder u aan te melden, gaat u naar de Microsoft 365 Setup-portal.
Zwembaan 1 — Veilig extern en hybride werk
Het beveiligen van extern en hybride werk omvat het configureren van identiteits- en apparaattoegangsbeveiliging. Deze beveiligingen dragen bij aan het Zero Trust principe expliciet te verifiëren.
Het beveiligen van extern en hybride werk in drie fasen uitvoeren.
Fase 1: beginpuntidentiteit en toegangsbeleid voor apparaten implementeren
Microsoft raadt in deze handleiding een uitgebreide set beleidsregels voor identiteits- en apparaattoegang aan voor Zero Trust: Zero Trust configuraties voor identiteit en apparaattoegang.
Begin in fase 1 met het implementeren van de beginpuntlaag. Voor deze beleidsregels hoeft u geen apparaten in te schrijven voor beheer.
Ga naar Zero Trust identiteits- en apparaattoegangsbeveiliging voor gedetailleerde richtlijnen. In deze reeks artikelen worden een set configuraties voor identiteits- en apparaattoegang en een set Microsoft Entra voorwaardelijke toegang, Microsoft Intune en andere beleidsregels beschreven om de toegang tot Microsoft 365 te beveiligen voor zakelijke cloud-apps en -services, andere SaaS-services en on-premises toepassingen die zijn gepubliceerd met Microsoft Entra toepassing proxy.
| Inclusief | Vereiste voorwaarden | Bevat niet |
|---|---|---|
Aanbevolen beleidsregels voor identiteit en apparaattoegang voor drie beveiligingsniveaus:
Aanvullende aanbevelingen voor:
|
Microsoft E3 of E5 Microsoft Entra ID in een van deze modi:
|
Apparaatinschrijving voor beleidsregels waarvoor beheerde apparaten zijn vereist. Zie Apparaten beheren met Intune om apparaten in te schrijven. |
Fase 2: apparaten inschrijven voor beheer met Intune
Schrijf vervolgens uw apparaten in voor beheer en begin ze te beveiligen met geavanceerdere besturingselementen.
Zie Apparaten beheren met Intune voor gedetailleerde richtlijnen voor het registreren van apparaten voor beheer.
| Inclusief | Vereiste voorwaarden | Bevat niet |
|---|---|---|
Apparaten inschrijven met Intune:
Beleid configureren:
|
Eindpunten registreren met Microsoft Entra ID | Mogelijkheden voor gegevensbeveiliging configureren, waaronder:
Zie Zwembaan 3 : gevoelige bedrijfsgegevens identificeren en beveiligen (verderop in dit artikel) voor deze mogelijkheden. |
Zie Zero Trust voor Microsoft Intune voor meer informatie.
Fase 3: Zero Trust identiteits- en apparaattoegangsbeveiliging toevoegen: Ondernemingsbeleid
Nu apparaten zijn ingeschreven bij beheer, kunt u nu de volledige set aanbevolen Zero Trust identiteits- en apparaattoegangsbeleid implementeren, waarvoor compatibele apparaten zijn vereist.
Ga terug naar het algemene beleid voor identiteiten en apparaattoegang en voeg het beleid toe in de Enterprise-laag.
Lees meer over het beveiligen van extern en hybride werk in het Zero Trust adoption framework : extern en hybride werk beveiligen.
Zwembaan 2 — Bedrijfsschade door een inbreuk voorkomen of beperken
Microsoft Defender XDR is een XDR-oplossing (Extended Detection and Response) die automatisch signaal-, bedreigings- en waarschuwingsgegevens uit uw Microsoft 365-omgeving verzamelt, correleert en analyseert, waaronder eindpunten, e-mail, toepassingen en identiteiten. Daarnaast helpt Microsoft Defender for Cloud Apps organisaties bij het identificeren en beheren van de toegang tot SaaS-apps, waaronder GenAI-apps.
Voorkom of verminder bedrijfsschade als gevolg van een inbreuk door Microsoft Defender XDR uit te piloten en te implementeren.
Ga naar Pilot en implementeer Microsoft Defender XDR voor een methodische handleiding voor het testen en implementeren van Microsoft Defender XDR onderdelen.
| Inclusief | Vereiste voorwaarden | Bevat niet |
|---|---|---|
| Stel de evaluatie- en testomgeving in voor alle onderdelen: Beveiligen tegen bedreigingen Bedreigingen onderzoeken en erop reageren |
Raadpleeg de richtlijnen voor meer informatie over de architectuurvereisten voor elk onderdeel van Microsoft Defender XDR. | Microsoft Entra Id-beveiliging is niet opgenomen in deze oplossingshandleiding. Het is opgenomen in Zwembaan 1: extern en hybride werk beveiligen. |
Lees meer over het voorkomen of verminderen van bedrijfsschade als gevolg van een inbreuk in het Zero Trust-acceptatieframework : bedrijfsschade door een inbreuk voorkomen of verminderen.
Zwembaan 3 : gevoelige bedrijfsgegevens identificeren en beveiligen
Implementeer Microsoft Purview Informatiebeveiliging waarmee u gevoelige informatie kunt detecteren, classificeren en beveiligen, waar deze zich ook bevindt of reist.
Microsoft Purview Informatiebeveiliging mogelijkheden zijn opgenomen in Microsoft Purview en bieden u de hulpmiddelen om uw gegevens te kennen, uw gegevens te beschermen en gegevensverlies te voorkomen. U kunt dit werk op elk gewenst moment starten.
Microsoft Purview Informatiebeveiliging biedt een framework, proces en mogelijkheden die u kunt gebruiken om uw specifieke bedrijfsdoelstellingen te bereiken.
Zie Een Microsoft Purview Information Protection-oplossing implementeren voor meer informatie over het plannen en implementeren van gegevensbeveiliging.
Lees meer over het identificeren en beveiligen van gevoelige bedrijfsgegevens in het Zero Trust adoption framework : gevoelige bedrijfsgegevens identificeren en beveiligen.
Swim lane 4 - Beveiligde AI-apps en -gegevens
Microsoft 365 bevat mogelijkheden om organisaties te helpen AI-apps en de gegevens die deze gebruiken snel te beveiligen.
Begin met het gebruik van Purview Data Security Posture Management (DSPM) voor AI. Dit hulpprogramma is gericht op hoe AI wordt gebruikt in uw organisatie, met name uw gevoelige gegevens die communiceren met AI-hulpprogramma's. DSPM voor AI biedt meer inzicht in Microsoft Copilots en SaaS-toepassingen van derden, zoals ChatGPT Enterprise en Google Gemini.
In het volgende diagram ziet u een van de geaggregeerde weergaven in de impact van AI-gebruik op uw gegevens: gevoelige interacties per generatieve AI-app.
Gebruik DSPM voor AI om het volgende te doen:
- Krijg inzicht in AI-gebruik, inclusief gevoelige gegevens.
- Bekijk gegevensevaluaties voor meer informatie over hiaten in overschrijding die kunnen worden verzacht met sharePoint-besturingselementen voor overdelen.
- Zoek hiaten in uw beleidsdekking voor vertrouwelijkheidslabels en beleid voor preventie van gegevensverlies (DLP).
Defender for Cloud Apps is een ander krachtig hulpprogramma voor het detecteren en beheren van SaaS GenAI-apps en -gebruik. Defender for Cloud Apps bevat meer dan duizend generatieve AI-gerelateerde apps in de catalogus, waardoor u inzicht krijgt in hoe generatieve AI-apps in uw organisatie worden gebruikt en u deze veilig kunt beheren.
Naast deze hulpprogramma's biedt Microsoft 365 een uitgebreide set mogelijkheden voor het beveiligen en beheren van AI. Zie AI-apps en -gegevens detecteren, beveiligen en beheren voor meer informatie over hoe u aan de slag kunt gaan met deze mogelijkheden.
De volgende tabel bevat de Microsoft 365-mogelijkheden met koppelingen naar meer informatie in de bibliotheek Beveiliging voor AI.
Zwembaan 5 : voldoen aan wettelijke en nalevingsvereisten
Ongeacht de complexiteit van de IT-omgeving van uw organisatie of de grootte van uw organisatie, worden nieuwe wettelijke vereisten die van invloed kunnen zijn op uw bedrijf, steeds groter. Een Zero Trust benadering overschrijdt vaak bepaalde soorten vereisten die worden opgelegd door nalevingsvoorschriften, bijvoorbeeld die welke de toegang tot persoonsgegevens beheren. Organisaties die een Zero Trust-benadering hebben geïmplementeerd, kunnen merken dat ze al aan een aantal nieuwe voorwaarden voldoen of eenvoudig kunnen voortbouwen op hun Zero Trust-architectuur om compatibel te zijn.
Microsoft 365 bevat mogelijkheden om te helpen bij naleving van regelgeving, waaronder:
- Compliancebeheerder
- Inhoudsverkenner
- Bewaarbeleid, vertrouwelijkheidslabels en DLP-beleid
- Communicatiecompatibiliteit
- Levenscyclusbeheer van gegevens
- Priva Privacyrisicobeheer
Gebruik de volgende resources om te voldoen aan wettelijke en nalevingsvereisten.
| Hulpbron | Meer informatie |
|---|---|
| Zero Trust acceptatiekader : voldoen aan wettelijke en nalevingsvereisten | Beschrijft een methodische benadering die uw organisatie kan volgen, waaronder het definiëren van strategie, planning, adopteren en beheren. |
| AI-apps en -gegevens beheren voor naleving van regelgeving | Hiermee wordt voldaan aan regelgeving voor de opkomende AI-gerelateerde regelgeving, met inbegrip van specifieke mogelijkheden die helpen. |
| Gegevensprivacy en gegevensbescherming beheren met Microsoft Priva en Microsoft Purview | Evalueer risico's en neem de juiste actie om persoonsgegevens in de omgeving van uw organisatie te beveiligen met behulp van Microsoft Priva en Microsoft Purview. |
Volgende stappen
Meer informatie over Zero Trust vindt u in het Zero Trust begeleidingscentrum.