Absichern von Anwendungen mit Zero Trust
Hintergrund
Um die Vorteile von Cloud-Apps und -diensten voll ausschöpfen zu können, müssen Organisationen die richtige Balance bei der Bereitstellung des Zugriffs und gleichzeitigen Beibehaltung der Kontrolle zum Schutz kritischer Daten finden, auf die über Anwendungen und APIs zugegriffen wird.
Das Modell Zero Trust hilft Organisationen sicherzustellen, dass Anwendungen und die darin enthaltenen Daten durch Folgendes geschützt sind:
- Einsetzen von Kontrollinstrumenten und Technologien zum Entdecken von Schatten-IT
- Sicherstellen geeigneter anwendungsinterner Berechtigungen
- Einschränken des Zugriffs basierend auf Echtzeitanalysen
- Überwachen auf ungewöhnliches Verhalten
- Kontrollieren von Benutzeraktionen
- Überprüfen sicherer Konfigurationsoptionen
Ziele für Zero-Trust-Bereitstellung von Anwendungen
Bevor sich die meisten Organisationen auf den Weg in Richtung Zero Trust begeben, erfolgt der Zugriff auf ihre lokalen Anwendungen über physische Netzwerke oder VPN, wobei einige kritische Cloudanwendungen für Benutzer zugänglich sind.
Bei der Umsetzung eines Zero-Trust-Ansatzes zur Verwaltung und Überwachung von Anwendungen sollten Sie sich zunächst auf die folgenden anfänglichen Bereitstellungsziele konzentrieren: |
|
II. Ermitteln und Kontrollieren der Nutzung von Schatten-IT III. Automatisches Schützen sensibler Informationen und Aktivitäten durch Umsetzung von Richtlinien |
|
Konzentrieren Sie sich nach Abschluss dieser Schritte auf die folgenden zusätzlichen Bereitstellungsziele: |
|
IV. Bereitstellen adaptiver Zugriffs- und Sitzungskontrollen für alle Apps V. Stärken des Schutzes vor Cyberbedrohungen und nicht autorisierten Apps |
Leitfaden für die Zero-Trust-Bereitstellung von Anwendungen
Dieser Leitfaden führt Sie durch die Schritte, die erforderlich sind, um Anwendungen und APIs nach den Prinzipien eines Zero-Trust-Sicherheitsframeworks abzusichern. Unser Ansatz orientiert sich an diesen drei Zero-Trust-Prinzipien:
Explizit überprüfen. Authentifizieren und autorisieren Sie immer anhand aller verfügbaren Datenpunkte, einschließlich der Benutzeridentität, des Standorts, des Gerätestatus, des Diensts oder der Arbeitslast, der Datenklassifizierung und der Anomalien.
Verwenden des Zugriffs mit geringsten Berechtigungen. Beschränken Sie den Benutzerzugriff mittels Just-In-Time und Just-Enough Access (JIT/JEA), risikobasierter adaptiver Richtlinien und Schutz von Daten, um sowohl Daten als auch Produktivität abzusichern.
Von Sicherheitsverletzungen ausgehen. Minimieren Sie den Auswirkungsgrad von Sicherheitsverletzungen und verhindern Sie Lateral Movement-Aktionen, indem Sie den Zugriff nach Netzwerk, Benutzern, Geräten und Anwendungserkennung segmentieren. Stellen Sie sicher, dass alle Sitzungen mit einer Ende-zu-Ende-Verschlüsselung abgehalten werden. Nutzen Sie Analysen, um Transparenz zu erlangen, die Erkennung von Bedrohungen voranzutreiben und Abwehrmaßnahmen zu verbessern.
|
Anfängliche Bereitstellungsziele |
I. Verschaffen von Einblick in die Aktivitäten und Daten in Ihren Anwendungen, indem Sie diese über APIs verbinden
Der Großteil der Benutzeraktivitäten in einer Organisation hat seinen Ursprung in Cloudanwendungen und zugehörigen Ressourcen. Die meisten wichtigen Cloudanwendungen bieten eine API für die Nutzung von Mandanteninformationen und den Empfang entsprechender Governanceaktionen. Mithilfe dieser Integrationen können Sie Ihre Umgebung überwachen und warnen, sobald Bedrohungen und Anomalien auftreten.
Führen Sie folgende Schritte aus:
Einführen der Lösung Microsoft Defender for Cloud Apps, die mit Diensten zusammenarbeitet, um Transparenz, Governance-Aktionen und Nutzung zu optimieren.
Überprüfen Sie, welche Apps mit der Defender for Cloud Apps-API-Integration verbunden werden können, und verbinden Sie die Apps, die Sie benötigen. Nutzen Sie die so gewonnene umfassendere Transparenz, um Aktivitäten, Dateien und Konten für die Anwendungen in Ihrer Cloudumgebung zu untersuchen.
Tipp
Erfahren Sie mehr über die Implementierung einer durchgängigen Zero Trust-Strategie für Identität.
II. Ermitteln und Kontrollieren der Nutzung von Schatten-IT
Im Durchschnitt werden in Ihrer Organisation 1.000 eigenständige Anwendungen eingesetzt. 80 % der Mitarbeiter verwenden nicht sanktionierte Apps, die von niemandem überprüft wurden und möglicherweise nicht Ihren Sicherheits- und Compliancerichtlinien entsprechen. Da Ihre Mitarbeiter jedoch von außerhalb Ihres Unternehmensnetzwerks auf Ihre Ressourcen und Apps zugreifen können, reichen Firewallregeln und -richtlinien nicht mehr aus.
Konzentrieren Sie sich auf die Ermittlung von App-Nutzungsmustern, die Bewertung der Risikoebenen und der Geschäftstauglichkeit von Apps, die Verhinderung von Datenlecks bei nicht konformen Apps und die Begrenzung des Zugriffs auf regulierte Daten.
Tipp
Mehr Informationen über die Implementierung einer durchgängigen Zero-Trust-Strategie für Ihre Daten.
Führen Sie folgende Schritte aus:
Richten Sie Cloud Discovery ein, das Ihre Datenverkehrsprotokolle anhand des Microsoft Defender for Cloud Apps-Katalogs analysiert und mit mehr als 16.000 Cloud-Apps abgleicht. Die Anwendungen werden auf der Grundlage von mehr als 90 Risikofaktoren eingestuft und bewertet.
Entdecken und identifizieren Sie Schatten-IT, um herauszufinden, welche Apps eingesetzt werden. Wählen Sie dazu eine von drei Optionen:
Integration mit Microsoft Defender für Endpunkt, um sofort mit dem Sammeln von Daten zum Clouddatenverkehr auf Ihren Windows 10-Geräten inner- und außerhalb Ihres Netzwerks zu beginnen
Bereitstellen des Defender for Cloud Apps-Protokollsammlers für Ihre Firewalls und andere Proxys, um Daten von Ihren Endpunkten zu erfassen und zur Analyse an Defender for Cloud Apps zu senden.
Integrieren von Defender for Cloud Apps in Ihren Proxy.
Ermitteln Sie die Risikostufe bestimmter Apps:
Klicken Sie im Defender for Cloud Apps-Portal unter „Ermitteln“ auf Ermittelte Apps. Filtern Sie in der Liste der Apps, die in Ihrer Organisation ermittelt wurden, nach den Risikofaktoren, die Ihnen bedenklich scheinen.
Sie können einen Drilldown für die App ausführen, um mehr über deren Konformität zu erfahren, indem Sie erst auf den Namen der App und anschließend auf die Registerkarte Info klicken, um Details zu den Sicherheitsrisikofaktoren der App abzurufen.
Bewerten Sie die Konformität, und analysieren Sie die Nutzung:
Klicken Sie im Defender for Cloud Apps-Portal unter „Ermitteln“ auf Ermittelte Apps. Filtern Sie in der Liste der ermittelten Apps in Ihrer Organisation nach den Konformitätsrisikofaktoren, die Ihnen bedenklich scheinen. Mithilfe der vorgeschlagenen Abfrage können Sie zum Beispiel nicht konforme Anwendungen herausfiltern.
Sie können einen Drilldown für die App ausführen, um mehr über deren Konformität zu erfahren, indem Sie auf den Namen der App und anschließend auf die Registerkarte Info klicken, um Details zu den Risikofaktoren für die Konformität der App anzuzeigen.
Klicken Sie im Defender for Cloud Apps-Portal unter „Ermitteln“ auf Ermittelte Apps, und führen Sie dann einen Drilldown aus, indem Sie auf die App klicken, die Sie untersuchen möchten. Über die Registerkarte Verwendung erfahren Sie, wie viele aktive Benutzer die App verwenden und wie viel Datenverkehr sie generiert. Wenn Sie anschließend erfahren möchten, welche Benutzer die App nutzen, können Sie einen weiteren Drilldown ausführen, indem Sie auf Aktive Benutzer gesamt klicken.
Untersuchen Sie entdeckte Apps eingehender. Zeigen Sie Unterdomänen und Ressourcen an, um mehr über bestimmte Aktivitäten, den Datenzugriff und die Ressourcennutzung in Ihren Clouddiensten zu erfahren.
-
Erstellen Sie neue benutzerdefinierte App-Markierungen, um jede Anwendung gemäß ihrem geschäftlichen Status oder ihrer Zweckbestimmung zu klassifizieren. Diese Markierungen können dann für bestimmte Überwachungszwecke genutzt werden.
Sie können diese App-Markierungen unter „Cloud Discovery-Einstellungen“ -> „App-Markierungen“ verwalten. Diese Markierungen können dann später zum Filtern auf den Cloud Discovery-Seiten sowie zum Erstellen von Richtlinien verwendet werden.
Verwalten Sie die ermittelten Apps mithilfe des Microsoft Entra-Katalogs. Für Apps, die bereits im Microsoft Entra-Katalog vorhanden sind, können Sie die Funktion „Einmaliges Anmelden“ anwenden und die App über Microsoft Entra ID verwalten. Wählen Sie dazu in der Zeile, in der die relevante App angezeigt wird, die drei Punkte am Ende der Zeile aus, und wählen Sie dann „App mit Microsoft Entra ID verwalten“ aus.
Tipp
Erfahren Sie mehr über die Implementierung einer durchgängigen Zero-Trust-Strategie für Ihr Netzwerk.
III. Automatisches Schützen sensibler Informationen und Aktivitäten durch Umsetzung von Richtlinien
Mit Defender for Cloud Apps können Sie festlegen, wie sich Benutzer in der Cloud verhalten sollen. Dies kann durch Erstellen von Richtlinien erfolgen. Es gibt zahlreiche Typen: Zugriff, Aktivität, Anomalieerkennung, App-Erkennung, Dateirichtlinie, Cloud Discovery-Anomalieerkennung und Sitzungsrichtlinien.
Richtlinien ermöglichen Ihnen, riskantes Verhalten, Verstöße oder verdächtige Datenpunkte und Aktivitäten in Ihrer Cloudumgebung zu erkennen. Mit ihrer Hilfe können Sie Trends überwachen, Sicherheitsbedrohungen einsehen und benutzerdefinierte Berichte und Warnungen generieren.
Führen Sie folgende Schritte aus:
Verwenden Sie Standardrichtlinien, die bereits für viele Aktivitäten und Dateien getestet wurden. Wenden Sie Governanceaktionen an, z B. Entzug von Berechtigungen und Sperrung von Benutzern, Quarantäne von Dateien und Zuweisung von Vertraulichkeitsbezeichnungen.
Erstellen Sie neue Richtlinien, die Ihnen von Microsoft Defender for Cloud Apps vorgeschlagen werden.
Konfigurieren Sie Richtlinien, um Schatten-IT-Apps zu überwachen und Kontrolle zu ermöglichen:
Erstellen Sie eine App-Ermittlungsrichtlinie, die Sie darüber informiert, wenn die Anzahl der Downloads oder der Datenverkehr einer App ansteigt, die Ihnen wichtig ist. Aktivieren Sie die Richtlinien Anormales Verhalten bei ermittelten Benutzern, Complianceprüfung für Cloudspeicher-Apps und Neue riskante App.
Aktualisieren Sie die Richtlinien laufend, und überprüfen Sie mithilfe des Cloud Discovery-Dashboards die von Ihren Benutzern verwendeten (neuen) Anwendungen sowie deren Nutzungs- und Verhaltensmuster.
Bestimmen Sie, was sanktioniert ist, und blockieren Sie unerwünschte Apps:
- Verbinden Sie Apps über die API für ständige Überwachung.
Schützen von Apps, die Conditional Access App Control und Microsoft Defender for Cloud Apps verwenden.
|
Zusätzliche Bereitstellungsziele |
IV. Bereitstellen adaptiver Zugriffs- und Sitzungskontrollen für alle Apps
Sobald Sie die ersten drei Ziele erreicht haben, können Sie sich auf weitere Ziele konzentrieren. So sollten Sie beispielsweise sicherstellen, dass alle Anwendungen bei ständiger Überprüfung den am wenigsten privilegierten Zugriff verwenden. Durch die dynamische Anpassung und Einschränkung des Zugriffs bei Änderungen des Sitzungsrisikos können Sie Datenschutzverletzungen und Datenlecks in Echtzeit unterbinden, bevor Mitarbeiter Ihre Daten und Ihre Organisation in Gefahr bringen.
Führen Sie diesen Schritt aus:
- Aktivieren Sie die Echtzeitüberwachung und -kontrolle des Zugriffs auf jede Web-App, und zwar basierend auf Benutzer, Standort, Gerät und Anwendung. So können Sie beispielsweise Richtlinien erstellen, um Downloads sensibler Inhalte mit Vertraulichkeitsbezeichnungen zu schützen, wenn ein beliebiges nicht verwaltetes Gerät genutzt wird. Alternativ können Dateien beim Hochladen gescannt werden, um potenzielle Schadsoftware zu erkennen und zu verhindern, dass sie in die sensible Cloudumgebung gelangen.
Tipp
Erfahren Sie mehr über die Implementierung einer durchgängigen Zero-Trust-Strategie für Endpunkte.
V. Stärken des Schutzes vor Cyberbedrohungen und nicht autorisierten Apps
Böswillige Akteure haben spezielle und individuelle Tools, Techniken und Verfahren für Angriffe entwickelt, die auf die Cloud abzielen, um Verteidigungsmaßnahmen zu unterwandern und auf sensible und geschäftskritische Informationen zuzugreifen. Sie nutzen Taktiken wie unzulässige OAuth-Zustimmungen, Cloudransomware und die Kompromittierung von Anmeldeinformationen für Cloudidentitäten.
Organisationen können auf derartige Bedrohungen mit Tools reagieren, die in Defender for Cloud Apps verfügbar sind, wie z. B. UEBA (User and Entity Behavioral Analytics) und Anomalieerkennung, Schutz vor Schadsoftware, OAuth-App-Schutz, Untersuchung von Vorfällen und Abhilfemaßnahmen. Defender for Cloud Apps bekämpft standardmäßig zahlreiche Sicherheitsanomalien, wie z. B. unmöglicher Ortswechsel, verdächtige Posteingangsregeln und Ransomware.
Die verschiedenen Erkennungsfunktionen wurden mit Blick auf Sicherheitsteams entwickelt und zielen darauf ab, die Warnungen auf tatsächliche Indikatoren von Sicherheitsrisiken zu fokussieren und gleichzeitig eine auf Bedrohungsdaten basierende Untersuchung und Problemlösung zu ermöglichen.
Führen Sie folgende Schritte aus:
Nutzen Sie die UEBA- und ML-Funktionen (maschinelles Lernen) von Defender for Cloud Apps, die standardmäßig automatisch aktiviert sind, um Bedrohungen sofort zu erkennen und eine erweiterte Bedrohungserkennung in Ihrer Cloudumgebung auszuführen.
Optimieren und begrenzen Sie Richtlinien zur Anomalieerkennung.
VI. Bewerten des Sicherheitsstatus Ihrer Cloudumgebungen
Über SaaS-Anwendungen hinaus investieren Organisationen umfassend in IaaS- und PaaS-Dienste. Defender for Cloud Apps ermöglicht Ihrer Organisation, den Sicherheitsstatus und die Sicherheitsfunktionalität für diese Dienste zu bewerten und zu stärken, indem Sie Einblick in die Sicherheitskonfiguration und den Konformitätsstatus auf Ihren öffentlichen Cloudplattformen erhalten. Dies ermöglicht eine risikobasierte Untersuchung des gesamten Status der Plattformkonfiguration.
Führen Sie folgende Schritte aus:
Verwenden Sie Defender for Cloud Apps, um Ihre Ressourcen, Abonnements, Empfehlungen und entsprechende Schweregrade in Ihren Cloudumgebungen zu überwachen.
Begrenzen Sie das Risiko einer Sicherheitsverletzung, indem Sie Cloudplattformen wie Microsoft Azure, AWS und GCP mit den Konfigurationsrichtlinien Ihres Unternehmens konform halten und gesetzliche Vorschriften einhalten, indem Sie die CIS-Richtwerte oder die bewährten Methoden des Anbieters für die Sicherheitskonfiguration befolgen.
Bei der Verwendung von Defender for Cloud Apps kann das Dashboard für die Sicherheitskonfiguration verwendet werden, um Abhilfemaßnahmen zum Minimieren der Risiken einzuleiten.
In diesem Leitfaden behandelte Produkte
Microsoft Azure
Microsoft 365
Microsoft Defender für Cloud-Apps
Microsoft Endpoint Manager (enthält Microsoft Intune und Configuration Manager)
Verwaltung mobiler Anwendungen
Zusammenfassung
Unabhängig davon, wo sich die Cloudressource oder -anwendung befindet, tragen Zero-Trust-Prinzipien zum Schutz Ihrer Cloudumgebungen und -daten bei. Wenn Sie weitere Informationen zu diesen Prozessen oder Hilfe bei diesen Implementierungen benötigen, wenden Sie sich an Ihr Customer Success-Team.
Die Leitfadenreihe für die Zero Trust-Bereitstellung