StartSchützenWie Sie die M365-Zusammenarbeit mit der Zero-Trust-Architektur ihrer Agentur in Einklang bringen

Wie Sie die M365-Zusammenarbeit mit der Zero-Trust-Architektur ihrer Agentur in Einklang bringen

Dieser Beitrag ist Teil der Zero Trust-Serie von AvePoint. In den nächsten Monaten werden wir weitere Beiträge veröffentlichen, die sich mit Strategien und Lösungen zur Implementierung einer Zero Trust-Architektur und zur Beseitigung von Sicherheitslücken befassen. Abonnieren Sie unseren Blog, um keine Updates zu verpassen!


Da hybride Arbeitsformen immer mehr zur Norm werden, müssen sich Cybersicherheits- und IT-Teams innerhalb der US-Regierung mit der Frage auseinandersetzen, wie sie die kürzlich eingeführten flexiblen Arbeitsmodelle mit dem kontinuierlichen Schutz der nationalen Missionen in Einklang bringen können. Angesichts ständiger Bedrohungen wie Cyberkriminalität, Ransomware und übermäßig exponierter Daten müssen die Behörden ihr Sicherheitsmodell überprüfen und sich für eine modernere Lösung wie Zero Trust entscheiden.

Als Auftakt zu unserer Serie Zero Trust und die M365-Zusammenarbeit Ihrer Behörde führt dieser Artikel in die folgenden Themen ein:

Was ist eine Zero-Trust-Architektur?

Die Zero Trust Architektur ist eine Art moderner Sicherheitsarchitektur. Im Gegensatz zu traditionellen Sicherheitsansätzen, die implizites Vertrauen in die Akteure innerhalb Ihres Netzwerks voraussetzen, folgt die Zero Trust Architecture (ZTA) dem Prinzip „never trust, always verify“. Diese Strategie ist zwar nicht neu (sie wurde ursprünglich von einem Forrester-Analysten in den späten 2000er Jahren vorgestellt), aber die jüngste Zunahme der Cloud-Nutzung und der Hybridarbeit hat zu einem starken Anstieg der Zahl der Unternehmen geführt, die Zero Trust-Ansätze für ihre Sicherheit verfolgen. Einem Microsoft-Bericht zufolge haben 76 % der Unternehmen zumindest mit der Umsetzung einer Zero-Trust-Strategie begonnen.

Die US-Bundesregierung ist da keine Ausnahme. Nach der Aufnahme von ZTA in die Executive Order des Präsidenten zur Cybersicherheit im Jahr 2021 veröffentlichte die Bundesregierung M-22-09, mit der eine Bundesstrategie für eine Zero-Trust-Architektur eingeführt wurde, um die immer ausgefeilteren und hartnäckigeren Cyberbedrohungen zu bekämpfen, die die öffentliche Sicherheit und den Datenschutz bedrohen. Alle Bundesbehörden sind verpflichtet, bis zum Ende des Finanzjahres 2024 bestimmte Cybersicherheitsstandards zu erfüllen und bestimmte Zero-Trust-Sicherheitsziele zu erreichen.

zero trust

Es gibt viele wissenschaftliche Artikel über die Definition von Zero Trust, aber in aller Kürze lässt sich dieser moderne Sicherheitsansatz in 5 Hauptteile gliedern:

  • Netzwerk: Dieser traditionelle Sicherheitsansatz konzentriert sich darauf, bösartige Akteure von Ihrer Umgebung fernzuhalten; wenn sie nicht eindringen können, können sie Sie nicht angreifen.
  • Gerät: Aufbauend auf dem Netzwerk sorgt die Gerätesicherheit (oft als Endpunkte bezeichnet) dafür, dass die Hardware, die mit Ihrem Netzwerk verbunden ist, sicher ist. Dies ist besonders wichtig, da immer mehr Unternehmen ein BYOD-Modell (Bring Your Own Device) für Computer und Mobiltelefone einführen.
  • Anwendung: Vom Code bis zur Sichtbarkeit (jederzeit und überall) müssen alle Anwendungen gesichert werden, um sicherzustellen, dass es keine Hintertüren gibt, sei es absichtlich oder aus Nachlässigkeit.
  • Nutzer: Die Nutzerauthentifizierung, neuerdings gepaart mit der Multi-Faktor-Authentifizierung (MFA), ist das beliebteste Anliegen für diese Säule. In den letzten Jahren sind jedoch auch Single-Identity, Audit-Historie und Autorisierung zum Schlüssel für den Erfolg dieser Säule in ZTA geworden.
  • Daten: Um Daten und den Schutz der wichtigsten Informationen unseres Landes geht es bei der ZTA. Ein erfolgreicher Schutz von Daten erfordert Metadaten, Klassifizierung und Segmentierung.

Die Einbeziehung dieser Säulen in Ihren Rahmen kann sich entmutigend anfühlen, insbesondere wenn man weiß, dass eine Zero Trust-Architektur nicht ohne größere Änderungen der Sicherheitspraktiken umgesetzt werden kann. Der Ansatz hat sich jedoch als effektiv erwiesen, und mit den richtigen Lösungen, die bei der Rationalisierung dieser Änderungen helfen, kann Ihre Umgebung bei geringerer Sicherheitskomplexität und geringerem betrieblichen Aufwand sicherer sein.

Sie sind herzlich eingeladen: Zero Trust und Ihre Agentur: Was es braucht, um die Theorie in die Praxis umzusetzen

Warum brauchen Sie eine Zero-Trust-Architektur?

Um besser zu verstehen, wie man eine ZTA implementiert, müssen Sie verstehen, warum es notwendig ist. In der Vergangenheit herrschte ein typisches Sicherheitsmodell vor, das besagte: „Wenn sie nicht auf mein Netzwerk zugreifen können, können sie auch nicht auf unsere Inhalte zugreifen“. Aus diesem Grund bevorzugten die meisten bewährten Sicherheitsverfahren perimeterbasierte Ansätze wie Firewalls oder Browser-Isolationssysteme. Tatsächlich gibt es die Netzwerk- und Gerätesäulen aus genau diesem Grund, da sie auch heute noch als Teil Ihres Sicherheitsansatzes gültig sind.

Diese Strategien waren die erste Verteidigungslinie, die sich auf die Sicherung der Systeme und die Abwehr von Bedrohungen konzentrierte, sobald diese in das Netzwerk eindrangen. Wenn die erste Verteidigungslinie wirksam war, brauchte man keine zweite. Man konnte sich darauf verlassen, dass die Anwendungen, Arbeitsbereiche und Daten mit minimalem Zusatzaufwand sicher waren.

Während diese Methoden damals funktionierten, als die meisten Umgebungen, egal ob physisch oder digital, klar definiert waren, ist dies heute aus zwei wichtigen Gründen nicht mehr der Fall. Das Schöne an modernen Kollaborationstools wie Microsoft 365 ist, dass Ihr Team von jedem Ort und auf jedem Gerät arbeiten kann, aber das ist auch ein Fluch. Diese Flexibilität öffnet die Tür für Remote-Nutzer, „Bring your own device“-Praktiken und mehr Menschen, die in gemeinsam genutzten, nicht-privaten Räumen arbeiten, was eine Vielzahl von Schwachstellen und Risiken mit sich bringt, die mit traditionellen Strategien nicht bekämpft werden können.

zero trust

Darüber hinaus ist die Annahme, dass jeder, der sich innerhalb Ihres Netzwerks befindet, vertrauenswürdig ist und jeder, der sich außerhalb des Netzwerks befindet, nicht mehr zeitgemäß. Nach Angaben von IBM wird fast jede zehnte Datenschutzverletzung durch böswillige Insider verursacht. Bei herkömmlichen Sicherheitspraktiken haben diese Insider-Bedrohungen freien Zugang zu Ihren sensiblen Daten und können diese infiltrieren, da die Sicherheitskontrollen nicht ausreichend granular sind. Wie das Prinzip der geringsten Privilegien empfiehlt, sollten nur diejenigen, die es wissen müssen, Zugang zu Ihren vertraulichen Informationen haben.

Moderne Arbeitsumgebungen erfordern moderne Sicherheitspraktiken. Die Einführung innovativer Sicherheitsansätze wie Zero Trust ist entscheidend für eine sichere Zusammenarbeit.

Warum der Arbeitsbereich die sechste Säule von Zero Trust ist

Nachdem wir nun verstanden haben, warum die Zero-Trust-Architektur für die Sicherheit Ihrer Behörde notwendig ist, lassen Sie uns nun darüber sprechen, wie man sie implementiert. Das National Institute of Standards and Technology (NIST) hat einen Leitfaden für die Einführung von Zero Trust in einer Bundesbehörde herausgegeben und Bereitstellungsmodelle bereitgestellt, die Ihnen dabei helfen, den Zugriff zu sperren und Ihre Informationen zu schützen. In den Empfehlungen wird empfohlen, alle Datenquellen abzudecken, die Kommunikation zu sichern und pauschale Annahmen zu vermeiden.

Dieser letzte Punkt ist von entscheidender Bedeutung: Pauschale Annahmen über die Sicherheit Ihrer Collaboration-Bereiche waren vielleicht der Grundstein für die Perimetersicherheit, könnten aber jetzt Ihr Untergang sein. Wir haben aus erster Hand erfahren, dass die Sicherung Ihres Netzwerks oder Geräts als Sicherheitsmaßnahme versagt; von einem böswilligen Insider, der Geheimnisse stiehlt und verkauft, bis hin zu einem nachlässigen Mitarbeiter, der unbeabsichtigt seine eigenen Anmeldedaten kompromittiert – Insider-Bedrohungen lauern überall. Sie können nicht mehr davon ausgehen, dass Ihre Inhalte sicher sind, nur weil Ihr Netzwerk sicher ist.

Umfassende Ansätze für Zero Trust erweitern den Schutz über das Netzwerk und das Gerät hinaus. Die Cybersecurity & Infrastructure Security Agency (CISA) hat fünf Hauptsäulen identifiziert, die für die effektive Umsetzung von ZTA unerlässlich sind: Identität, Geräte, Netzwerke, Anwendungen und Daten.

Während diese Änderung Ihre Sicherheit verbessert, fehlt immer noch eine Säule, um ein wirklich umfassendes Zero Trust Framework zu erreichen: Arbeitsbereiche. Die Vernachlässigung von Kollaborationsumgebungen wie Microsoft Teams oder Groups bei der Entwicklung Ihrer Datenschutzstrategie ist ein gefährlicher Fallstrick für Ihre Sicherheit. Diese Bereiche sind in den meisten Unternehmen Dreh- und Angelpunkte der Zusammenarbeit und des Informationsaustauschs, doch die Kontrolle darüber, wer auf was zugreifen darf, steht nicht immer im Vordergrund. Unkontrolliert könnten Sie mit überprivilegierten Nutzern, ungesicherten Bereichen für die Zusammenarbeit und einem exponentiellen Anstieg des Risikos enden.

zero trust

Autorisierung und Authentifizierung gehen unter Zero Trust Hand in Hand, und beide müssen in Ihren Arbeitsbereichen strikt durchgesetzt werden. Sie können die Gefahren eines ungesicherten Arbeitsbereichs vermeiden, indem Sie Ihre Teams-Kontrollen richtig dimensionieren und Strategien wie delegierte Administration, Sensitivitätskennzeichnungen, Katalogarbeitsbereiche, Richtliniendurchsetzung, verwertbare Erkenntnisse sowie Gastnutzer und externe Freigaben nutzen.

Null Vertrauen und M365 Ihrer Agentur

Vielleicht fühlen Sie sich jetzt überwältigt, aber es ist wichtig, sich daran zu erinnern, dass ein robusteres Sicherheitsmodell unerlässlich ist, um die Abwehrkräfte der Regierung gegen immer ausgefeiltere und hartnäckigere Bedrohungskampagnen zu verstärken. Die Bemühungen um die Implementierung von Zero Trust haben auch unerwartete Vorteile, wie der Microsoft-Bericht herausfand: Unternehmen, die mit Zero Trust arbeiten, profitieren von erhöhter Agilität (37 %), Geschwindigkeit (35 %) und Schutz der Kundendaten (35 %).

Glücklicherweise können die Experten von AvePoint Sie dabei unterstützen, Ihre Zusammenarbeit mit dem Zero Trust-Mandat der Regierung in Einklang zu bringen. In unserer Blogserie Zero Trust and Your Agency’s M365 Collaboration stellen wir Ihnen verschiedene Strategien vor, die Ihnen dabei helfen, eine umfassende Zero Trust-Architektur in Ihren Arbeitsbereichen zu implementieren, sowie Lösungen, mit denen Sie die Zero Trust-Prinzipien nahtlos auf Ihre Zusammenarbeit anwenden können.


Abonnieren Sie unseren Microsoft 365 Government Community Call für weitere Tipps und Tricks zur Nutzung von M365.

Jay Leask
Jay Leaskhttp://jay.leask.com/
I sell software, but my passion is to help translate the needs of the business into the capabilities of available technology. Over two decades in tech I have helped customers analyze collaboration solutions against actual mission needs in helping them select the best path based on their personal critical success factors. Per my training I’m a project manager (PMP), an engineer, an architect, and a designer; but ultimately, I’m a problem solver.

More Stories