Die herkömmliche Art und Weise, Identitäten zu sichern, bietet nicht die geschäftliche Flexibilität, die Nutzererfahrungen und den Schutz, die für eine sich schnell entwickelnde digitale Welt erforderlich sind. Viele Unternehmen implementieren Zero Trust, um diese Herausforderungen zu bewältigen und die neue Normalität des Arbeitens von überall, mit jedem und zu jeder Zeit zu ermöglichen.
Das erweiterte Ökosystem von Remote-Nutzern mit mehreren Geräten schafft jedoch mehr Angriffsflächen, die ausgenutzt werden können. Dies führt dazu, dass ein Angreifer Informationen über einen Nutzer oder ein Gerät erlangen kann, um sich Zugang zu verschaffen. Zero Trust-Methoden helfen dabei, diese Bedrohungen zu entschärfen, bevor sie zu aktiven Angriffen werden.
Das neue Modell für Identität und Zugriff erhöht die Flexibilität von Nutzern und Geräten beim Zugriff auf Anwendungen und Daten, wie in Abbildung 1 dargestellt. Darüber hinaus führt die große Bandbreite an Geräten, Anwendungen und Daten, die mit dem Internet verbunden sind, zu einer breiten Streuung der Identitäten und vergrößert die Angriffsfläche für bösartige Akteure.
Heutzutage sind Nutzeridentitäten jedoch stark auf Nutzernamen und Kennwörter für den Zugriff auf Anwendungen angewiesen. Der Einsatz von Multi-Faktor-Authentifizierung (MFA) zusammen mit Richtlinien für den bedingten Zugriff hilft, das Risiko zu mindern. Unternehmen sollten Möglichkeiten zur Optimierung des Identitäts- und Zugriffsmanagements prüfen und planen, um die Notwendigkeit von Passwörtern zu verringern oder zu beseitigen.
Abbildung 1 – Erweiterter Zugriff auf mehrere Quellen, die IAM benötigen.
Der optimale Ansatz für die Identitäts- und Zugriffsverwaltung besteht darin, die folgenden Tipps zu befolgen:
Die passwortlose Authentifizierung wird für alle Geräte und Anwendungen aktiviert.
Geräte, die auf Unternehmensanwendungen und -ressourcen zugreifen, sollten mit MDM- (Mobile Device Management) oder MAM-Richtlinien (Mobile Application Management) registriert werden.
Nutzer, Gerät, Standort und Verhalten werden in Echtzeit analysiert, um Risiken zu ermitteln und einen kontinuierlichen Schutz zu gewährleisten.
Durch die Optimierung des Identitäts- und Zugriffsmanagements wird sichergestellt, dass die Nutzer bei jedem Zugriffsversuch die sind, für die sie sich ausgeben, und dass sie ihre Vertrauenswürdigkeit regelmäßig erneut bestätigen. Dies ist die Grundlage für die Implementierung der Zero Trust-Methode.
Die Durchsetzung von Zero Trust durch passwortlose Lösungen nutzt MFA, um Ihre Anwendungen mit zwei Validierungsquellen zu schützen. Zu diesen Validierungsquellen gehören etwas, das sie sind (ein biometrischer Fingerabdruck oder eine Gesichtserkennung) und etwas, das sie haben (ein Telefon oder ein Token), um die Identität zu überprüfen, bevor der Zugriff gewährt wird. Beachten Sie, dass das, was Sie wissen (Passwörter oder PIN-Nummern) aus dem MFA-Szenario herausgenommen wird. Da mehrere Authentifizierungsmethoden zur Verfügung stehen, können Administratoren diejenige auswählen, die am besten zu den Arbeitsabläufen ihrer Nutzer passt.
Microsoft bietet innerhalb seiner Identitäts- und Zugriffsmanagement-Plattform Lösungen für die kennwortlose Authentifizierung an.
Zu den “kennwortlosen” Microsoft MFA-Anmeldeinformationen gehören:
Microsoft Authenticator: Für größtmögliche Flexibilität, Bequemlichkeit und Kosten empfehlen wir die Verwendung der Microsoft Authenticator Mobile App. Microsoft Authenticator unterstützt Biometrie, Push-Benachrichtigungen und Einmal-Passcodes für jede mit Azure AD verbundene Anwendung. Die App kann kostenlos aus dem Apple- und Android-App-Store heruntergeladen werden.
Windows Hello: Für eine großartige integrierte Erfahrung auf dem PC empfehlen wir die Verwendung von Windows Hello. Es verwendet Ihr Gesicht oder Ihren Fingerabdruck, um sich automatisch anzumelden.
Fast Identity Online (FIDO2) Sicherheitsschlüssel sind jetzt von verschiedenen Anbietern wie Yubico, Feitian Technologies und HID Global in Form eines USB-, NFC-fähigen Ausweises oder biometrischen Schlüssels erhältlich. FIDO2 ist ein offener Standard für die passwortlose Authentifizierung.
Weitere Informationen zu den kennwortlosen Authentifizierungsoptionen von Microsoft finden Sie hier.
Viele Unternehmen sind gezwungen, sich von den traditionellen und modernen Methoden des Identitäts- und Zugriffsmanagements wegzubewegen. Obwohl diese Unternehmen noch nicht in die Kategorie der vollständig optimierten Unternehmen fallen, können sie dennoch damit beginnen, sich in diese Richtung zu bewegen, indem sie MFA für alle Nutzer durchsetzen und zusätzliche Zero Trust-Verifizierungsmethoden mit bedingtem Zugriff und Identitätsschutzrichtlinien planen. Der folgende Abschnitt soll Ihnen ein besseres Verständnis für die Implementierung eines Zero Trust Frameworks vermitteln.
Das Zero Trust Framework
Der Schwerpunkt liegt auf dem Identitäts- und Zugriffsmanagement, da es sich hierbei um zwei grundlegende Steuerungsebenen handelt: die Identitäten selbst und die Governance, die zur Überwachung und Verwaltung des Zugriffs auf Ressourcen verwendet wird. Microsoft hat diese Steuerungsebenen durch die Microsoft Entra-Produktfamilie adressiert.
Schauen wir uns an, wie die Identitätskontrollebene innerhalb des Zero Trust Frameworks genutzt werden kann.
Identität
Identitäten, ob sie nun Menschen, Dienste oder IOT-Geräte repräsentieren, definieren die Zero Trust-Kontrollebene. Wenn eine Identität versucht, auf eine Ressource zuzugreifen, müssen wir diese Identität mit starker Authentifizierung verifizieren, sicherstellen, dass der Zugriff konform und typisch für diese Identität ist und die Prinzipien des privilegierten Zugriffs befolgen.
Azure Active Directory (Azure AD) ist der Dienst von Microsoft zur Bereitstellung von Cloud-Identitäten für Nutzer, Gruppen und Ressourcen. Azure AD wird als Cloud-Anbieter für Cloud-native Nutzer und Ressourcen für den Zugriff auf Cloud-Anwendungen verwendet. Azure AD kann als Identitätsanbieter für SaaS-Anwendungen von Drittanbietern sowie für lokale Anwendungen, die in Azure AD registriert sind, verwendet werden. Azure AD bietet Funktionen zum Schutz von Identitäten vor Passwortangriffen und kann zusätzliche Zero Trust-Funktionen erzwingen. Zu diesen Zero Trust-Funktionen gehören starke Passwörter, Multi-Faktor-Authentifizierung (MFA), passwortlose Authentifizierung und bedingte Zugriffsrichtlinien.
Azure AD Identity Protection kann parallel zu Richtlinien für bedingten Zugriff verwendet werden, um Nutzer- und Anmeldungsrisiken zu erkennen. Innerhalb von Azure AD Identity Protection sind Risiken das Potenzial, dass die Identität eines Nutzers kompromittiert oder gestohlen wurde oder dass eine Anmeldung nicht von dem Nutzer durchgeführt wird, dem die Anmeldeinformationen gehören. Diese Risikostufen basieren auf typischem Nutzer- und Tenantverhalten, wobei die Lösungen für maschinelles Lernen und künstliche Intelligenz von Microsoft Nutzer und Anmeldungen markieren, die nicht dem normalen Verhalten entsprechen. Richtlinien für den bedingten Zugriff können dann zusätzliche Überprüfungsschritte wie MFA erzwingen, eine Kennwortrücksetzung verlangen oder den Zugriff sperren.
Es ist von entscheidender Bedeutung, dass nur die richtigen Personen mit den richtigen Ressourcen auf sicheren Geräten von überall aus auf Ihre Daten zugreifen können. Microsoft Conditional Access ist eine intelligente Richtlinien-Engine, die genau dies gewährleistet. Die robusten Steuerelemente ermöglichen es Ihnen, spezifische Bedingungen für die Authentifizierung von Nutzern und den Zugriff auf Anwendungen und Daten zu definieren. Sie können automatisierte Richtlinien anpassen und verwalten und erhalten Berichte über die Richtlinien, die für jede Anmeldung angewendet werden.
Abschließende Überlegungen
Wie bei jeder Einführung der Cloud-Sicherheit sind Planung und Schulung die Schlüssel zum Erfolg. Die Nutzer müssen geschult werden, um den Wandel zu bewältigen und die Bedeutung dieser Zero-Trust-Methode und den Schutz ihrer Identität zu verstehen. Die Verwaltung von Änderungen, die Planung potenzieller Lücken in den Sicherheitskontrollen und die Bewertung von Risiken ermöglichen es Ihnen, ein hohes Maß an Identitätsschutz für Nutzer, Geräte und Ressourcen in Ihren Cloud- und Hybrid-Umgebungen zu gewährleisten.
Benötigen Sie Hilfe bei der effizienten, sicheren und nachhaltigen Verwaltung Ihrer Daten? AvePoint Cloud Governance stellt sicher, dass Ihre Collaboration-Bereiche in Microsoft 365 sicher und kontrolliert sind, und die Automatisierung bedeutet weniger Belastung für Ihre IT-Abteilung. Starten Sie noch heute eine kostenlose 30-Tage-Testversion!
Um mehr übe rZero Trust von Branchenexperten zu erfahren, sollten Sie unseren Blog abonnieren.
Dwayne is a Global Principal Cloud Security Technical Lead/CTO for Atos across Microsoft, AWS, and GCP. He also provides training and consulting services to Opsgility for their Microsoft training and technical coaching. Beyond that, he serves as a Microsoft Certified Trainer and Regional Lead, speaking at conferences and to user groups globally with talks focused on Cloud Security, Identity security, and Data/AI trends.