Hoe om die Zero Trust-model toe te pas deur Entra ID en Intune te gebruik

Hoe om die Zero Trust-model toe te pas deur Entra ID en Intune te gebruik

02/08/2024

Hierdie tegniese en opvoedkundige artikel het ten doel om sekuriteitsontleders, IT-administrateurs en stelselingenieurs te lei in die implementering van die Zero Trust-sekuriteitsmodel deur gebruik te maak van die vermoëns van Microsoft Entra ID (voorheen Azure Active Directory) en Microsoft Intune. Die Zero Trust-model, gegrond op die "nooit vertrou nie, altyd verifieer"-beginsel, is 'n moderne sekuriteitsbenadering wat aanvaar dat geen toegangsversoek outomaties vertrou moet word nie, ongeag waar dit vandaan kom of watter hulpbron dit probeer verkry [1].

Inleiding

Met die uitbreiding van afgeleë werk, die verspreiding van persoonlike toestelle en migrasie na die wolk, het die tradisionele sekuriteitsomtrek van korporatiewe netwerke uitgedien geraak. Die Zero Trust-model kom na vore as 'n reaksie op hierdie nuwe scenario, wat eksplisiete verifikasie vir elke toegangspoging vereis, toegang verleen met die minste voorregte en altyd 'n oortreding aanvaar. Microsoft Entra ID en Microsoft Intune is deurslaggewende komponente om 'n robuuste Zero Trust-argitektuur te bou, onderskeidelik identiteite en eindpunte te beskerm [2].

Hierdie praktiese gids sal die beginsels van Zero Trust dek en demonstreer hoe om Microsoft Entra ID en Microsoft Intune op te stel en te integreer om hierdie beginsels toe te pas. Stap-vir-stap instruksies, konfigurasievoorbeelde en valideringsmetodes sal verskaf word sodat die leser hul organisasie se sekuriteitsposisie kan implementeer en versterk met 'n Zero Trust-benadering.

Zero Trust Beginsels

Die Zero Trust-model is gebou op drie fundamentele beginsels [3]:

  1. Verifieer eksplisiet: Verifieer en magtig altyd op grond van alle beskikbare datapunte, insluitend gebruikersidentiteit, ligging, toestelgesondheid, hulpbronsensitiwiteit en afwykings.
  2. Gebruik die minste voorreg toegang: Beperk gebruikertoegang tot slegs wat nodig is. Gebruik Just-In-Time (JIT) en Just-Enough Access (JEA), risikogebaseerde aanpasbare beleide en databeskerming om data en produktiwiteit te beskerm.
  3. Aanvaar oortreding: Minimaliseer ontploffingsradius en segmenttoegang. Verifieer end-tot-end-enkripsie en gebruik ontledings om sigbaarheid te verkry, bedreigings op te spoor en verdediging te verbeter.

Voorvereistes

Om die Zero Trust-model met Microsoft Entra ID en Intune te implementeer, sal jy die volgende items benodig:

  1. Lisensiëring: Lisensies toepaslik vir Microsoft Entra ID Premium P1 of P2 (vir voorwaardelike toegang) en Microsoft Intune (gewoonlik deel van Microsoft 365 E3/E5 of EMS E3/E5-pakkette) [4].
  2. Administratiewe toegang: Rekeninge met globale administrateur-, sekuriteitsadministrateur- of Intune-administrateurtoestemmings op die Microsoft Entra-administrasiesentrum (entra.microsoft.com) en Microsoft Endpoint Manager-administrasiesentrum (endpoint.microsoft.com) portale.
  3. Intune-ingeskrewe toestelle: Windows 10/11-toestelle reeds ingeskryf en bestuur deur Microsoft Intune.
  4. Identiteite in Microsoft Entra ID: Gebruikers en groepe gesinchroniseer of geskep in Microsoft Entra ID.

Stap vir stap: Pas die Zero Trust Model toe

Ons sal fokus op hoe Microsoft Entra ID en Intune saamwerk om Zero Trust-beginsels af te dwing, veral "Verifieer eksplisiet" en "Gebruik die minste voorregtoegang."

1. Versterking van identiteit met Microsoft Entra ID

Microsoft Entra ID is die ruggraat van Zero Trust vir identiteite, wat verseker dat slegs geverifieerde gebruikers toegang het.

1.1. Implementeer Multi-Factor Authentication (MFA)

MFA is 'n fundamentele komponent van die "eksplisiet kontroleer"-beginsel.

  1. Konfigureer MFA via Voorwaardelike Toegang: Soos uiteengesit in Artikel 3, skep 'n Voorwaardelike Toegang-beleid om MFA vir alle gebruikers, of vir spesifieke groepe, of vir toegang van buite die korporatiewe netwerk te vereis.
    • In die Microsoft Login-administrasiesentrum, gaan na Beskerming > Voorwaardelike Toegang.
    • Skep 'n nuwe beleid met die volgende instellings:
      • Opdragte > Identiteitsgebruikers of werkladings: Kies Alle gebruikers (uitgesluit noodrekeninge).
      • Wolkhulpbronne of -aksies: Alle wolktoepassings.
      • Toekenning: Merk Vereis multi-faktor-verifikasie.
      • Aktiveer beleid: Aktiveer.

1.2. Aktiveer Azure AD Identity Protection

Identiteitsbeskerming bespeur kwesbaarhede wat jou organisasie se identiteite raak, stel outomatiese risiko-gebaseerde beleide op om daardie identiteite te beskerm, en ondersoek riskante aktiwiteite [5].

  1. Gaan in die Microsoft Login-administrasiesentrum na Beskerming > Identiteitbeskerming.
  2. Gebruikersrisikobeleide: Stel hierdie beleid op om MFA of wagwoordterugstelling vir medium- of hoërisikogebruikers te vereis.
    • Rolle > Gebruikers: Kies Alle gebruikers.
    • Voorwaardes > Gebruikersrisiko: Kies Medium en hoër.
    • Beheer > Toegang: Gee toegang en Vereis wagwoordterugstelling of Vereis multifaktor-verifikasie.
    • Aktiveer beleid: Aktiveer.
  3. Invoerrisikobeleide: Stel hierdie beleid op om MFA te blokkeer of te vereis vir riskante insette.
    • Rolle > Gebruikers: Kies Alle gebruikers.
    • Voorwaardes > Toetgangsrisiko: Kies Medium en hoër.
    • Beheer > Toegang: Gee toegang en Vereis multifaktor-stawing (of Blokkeer toegang vir hoë risiko).
    • Aktiveer beleid: Aktiveer.

2. Verseker eindpuntintegriteit met Microsoft Intune

Intune verseker dat toestelle wat toegang tot korporatiewe hulpbronne verkry, gesond en versoenbaar is deur die "eksplisiet kontroleer"-beginsel op die toestel toe te pas.

2.1. Skep Toestelnakomingsbeleide

Voldoeningsbeleide definieer die sekuriteitsvereistes waaraan 'n toestel moet voldoen om as aan voldoen beskou te word. Toegang wat nie voldoen nie, kan toegang geblokkeer of beperk word via Voorwaardelike Toegang.

  1. In die Microsoft Endpoint Manager-administrasiesentrum (https://endpoint.microsoft.com), gaan na Eindpuntsekuriteit > Toestelnakoming > Beleide.
  2. Klik Skep beleid.
  3. Platform: Windows 10 en later.
  4. Voldoeningsinstellings:
    • ** Toestelintegriteit**: Vereis BitLocker, Secure Boot, ens.
    • Toestelsekuriteit: Vereis antivirus (bv. Microsoft Defender Antivirus), firewall, komplekse wagwoorde, ens.
    • Toesteleienskappe: Vereis 'n minimum bedryfstelselweergawe.
  5. Optrede vir nie-nakoming: Stel handelinge op soos om die toestel onmiddellik of na 'n grasietydperk as nie-voldoenend te merk.
  6. Opdragte: Ken die beleid toe aan die relevante Windows-toestelgroepe.

2.2. Skep toestelkonfigurasieprofiele

Konfigurasieprofiele laat jou toe om spesifieke sekuriteitinstellings te ontplooi, soos firewall-instellings, Microsoft Defender-sekuriteitinstellings en toestelbeperkings.

  1. Gaan in die Microsoft Endpoint Manager-administrasiesentrum na Toestelle > Windows > Konfigurasieprofiele.
  2. Klik Skep profiel.
  3. Platform: Windows 10 en later.
  4. Profieltipe: Kies sjablone soos Eindpuntbeskerming om Microsoft Defender Antivirus en Firewall op te stel, of Toestelbeperkings om spesifieke kenmerke te deaktiveer.
  5. Stel sekuriteitsinstellings op volgens jou organisasie se beste praktyke.
  6. Opdragte: Ken die profiel toe aan die relevante Windows-toestelgroepe.

3. Integreer Entra ID en Intune met voorwaardelike toegang

Voorwaardelike toegang is die enjin wat identiteit (Entra ID) en toestel (Intune) beleide bymekaar bring om Zero Trust af te dwing.

3.1. Skep 'n voorwaardelike toegangsbeleid om versoenbare toestel te vereis

Hierdie beleid sal verseker dat slegs toestelle wat aan Intune se voldoeningstandaarde voldoen, toegang tot wolkprogramme kan kry.

  1. Gaan na Beskerming > Voorwaardelike Toegang in die Microsoft Login-administrasiesentrum.
  2. Klik Nuwe beleid > Skep nuwe beleid.
  3. Naam: Vereis versoenbare toestel vir toegang.
  4. Opdragte > Identiteitsgebruikers of werkladings: Kies Alle gebruikers (uitgesluit noodrekeninge).
  5. Wolkhulpbronne of -aksies: Alle wolktoepassings.
  6. Voorwaardes (Opsioneel): Jy kan voorwaardes soos Device Platforms vir Windows byvoeg.
  7. Toekenning:
    • Kies Gee toegang.
    • Merk Vereis dat toestel as ondersteun gemerk word. Klik op Selens*.
  8. Aktiveer beleid: Aktiveer.
  9. Klik Skep.

Bekragtiging en toetsing

Die validering van Zero Trust-implementering is van kardinale belang om te verseker dat beleide werk soos verwag.

1. Toets toegang vanaf 'n versoenbare toestel

  1. Op 'n Intune-bestuurde, voldoenende Windows-toestel, probeer om toegang tot 'n wolktoepassing te kry (bv.: portal.office.com).
  2. Toegang moet verleen word na gebruikersverifikasie (en MFA, indien gekonfigureer).

2. Toets toegang vanaf 'n nie-voldoende toestel

  1. Op 'n Windows-toestel wat nie voldoen nie (bv. deaktiveer die firewall, verander die bedryfstelselweergawe na een wat nie deur die Intune-nakomingsbeleid toegelaat word nie, of gebruik 'n onbestuurde toestel).
  2. Probeer om toegang tot 'n wolktoepassing te verkry (bv. portal.office.com).
  3. Toegang moet geblokkeer word, en die gebruiker moet 'n boodskap ontvang wat aandui dat die toestel nie voldoen nie en nie toegang tot die hulpbron kan kry nie.

3. Monitor voorwaardelike toegangsverslae

  1. Gaan in die Microsoft Login-administrasiesentrum na Beskerming > Voorwaardelike Toegang > Verslae.
  2. Hersien die invoerlogboeke om te sien watter voorwaardelike toegangsbeleide toegepas is en die resultaat (sukses, mislukking, slegs verslag).

Sekuriteitswenke en beste praktyke

  • Begin klein, brei geleidelik uit: Implementeer Zero Trust-beleide in toetsgroepe voordat organisasie-wyd uitgebrei word om ontwrigtings te minimaliseer.
  • Onderwys en kommunikasie: Kommunikeer veranderinge duidelik aan gebruikers en verskaf opleiding oor hoe om hul toestelle versoenbaar te hou en hoe om MFA te gebruik.
  • Deurlopende monitering: Monitor Intune-nakomingsverslae en logboeke vir voorwaardelike toegang en identiteitsbeskerming gereeld om enige leemtes of onreëlmatighede te identifiseer.
  • Least Privilege Access: Kombineer voorwaardelike toegang-beleide met PIM (Privileged Identity Management) om te verseker dat bevoorregte toegang Net-betyds en net-genoeg is.
  • Assume Breach: Stel Microsoft Defender vir Endpoint op vir gevorderde eindpuntbedreigingopsporing en Microsoft Sentinel vir sekuriteitsorkestrasie en outomatiese reaksie.
  • Periodiese oorsig: Hersien en pas jou Zero Trust-beleide gereeld aan om aan te pas by veranderinge in die bedreigingsomgewing en besigheidsvereistes.

Algemene probleemoplossing

  • Toegang onverwags geblokkeer: Gaan die Voorwaardelike Toegang-aantekenlogboeke na om te identifiseer watter beleid toegang blokkeer. Gaan die Intune-voldoeningsbeleide vir die geaffekteerde toestel na.
  • Toestel voldoen nie aan nie: Gaan jou toestel se voldoeningstatus in Intune na. Dit kan wees dat die toestel nie die beleide ontvang het nie, of dat een of ander opstelling voldoening verhoed (bv. gedeaktiveerde antivirus, ou bedryfstelselweergawe).
  • Beleidskonflikte: Hersien alle voorwaardelike toegang en voldoeningsbeleide om te verseker dat daar geen botsende uitsluitings of insluitings is wat tot onverwagte gedrag kan lei nie.
  • Sinkroniseringskwessies: Maak seker toestelle en gebruikers sinkroniseer korrek met onderskeidelik Intune en Azure AD.

Gevolgtrekking

Die toepassing van die Zero Trust-model is 'n noodsaaklike sekuriteitstrategie om organisasies in die huidige digitale landskap te beskerm. Deur Microsoft Entra ID te gebruik om identiteite te bestuur en Microsoft Intune om eindpuntintegriteit te verseker, kan maatskappye 'n robuuste sekuriteitsbenadering implementeer wat elke toegangsversoek uitdruklik nagaan en op die beginsel van minste voorreg funksioneer. Die integrasie van hierdie nutsgoed deur Voorwaardelike Toegang skep 'n kragtige, aanpasbare verdediging, wat verseker dat slegs betroubare gebruikers en toestelle toegang tot korporatiewe hulpbronne kan kry, ongeag hul ligging. Die reis na Zero Trust is voortdurend en vereis konstante monitering en verfyning, maar die voordele in terme van die vermindering van risiko en die versterking van sekuriteit is van onskatbare waarde.

Verwysings:

[1] Microsoft Learn. Wat is Zero Trust?. Beskikbaar by: https://learn.microsoft.com/pt-br/security/zero-trust/zero-trust-overview [2] Microsoft Learn. Zero Trust met Microsoft Intune. Beskikbaar by: https://learn.microsoft.com/en-us/intune/intune-service/fundamentals/zero-trust-with-microsoft-intune [3] Microsoft Learn. Nul vertroue riglyne. Beskikbaar by: https://learn.microsoft.com/pt-br/security/zero-trust/guidance-principles [4] Microsoft Learn. Lisensiëring vir Microsoft Enter ID. Beskikbaar by: https://azure.microsoft.com/pt-br/pricing/details/active-directory/ [5] Microsoft Learn. Wat is identiteitsbeskerming?. Beskikbaar by: https://learn.microsoft.com/pt-br/entra/identity/identity-protection/overview-identity-protection