Hoe u het Zero Trust-model toepast met Entra ID en Intune

Hoe u het Zero Trust-model toepast met Entra ID en Intune

02/08/2024

Dit technische en educatieve artikel is bedoeld om beveiligingsanalisten, IT-beheerders en systeemingenieurs te begeleiden bij het implementeren van het Zero Trust-beveiligingsmodel met behulp van de mogelijkheden van Microsoft Entra ID (voorheen Azure Active Directory) en Microsoft Intune. Het Zero Trust-model, gebaseerd op het ‘nooit vertrouwen, altijd verifiëren’-principe, is een moderne beveiligingsbenadering die ervan uitgaat dat geen enkel toegangsverzoek automatisch mag worden vertrouwd, ongeacht waar het vandaan komt of tot welke bron het probeert toegang te krijgen [1].

Introductie

Met de uitbreiding van het werken op afstand, de proliferatie van persoonlijke apparaten en de migratie naar de cloud is de traditionele beveiligingsperimeter van bedrijfsnetwerken achterhaald. Het Zero Trust-model ontstaat als reactie op dit nieuwe scenario, waarbij expliciete verificatie vereist is voor elke toegangspoging, toegang wordt verleend met de minste rechten en er altijd wordt uitgegaan van een overtreding. Microsoft Entra ID en Microsoft Intune zijn cruciale componenten voor het bouwen van een robuuste Zero Trust-architectuur, die respectievelijk identiteiten en eindpunten beschermt [2].

Deze praktische gids behandelt de principes van Zero Trust en demonstreert hoe u Microsoft Entra ID en Microsoft Intune kunt configureren en integreren om deze principes toe te passen. Er worden stapsgewijze instructies, configuratievoorbeelden en validatiemethoden gegeven, zodat de lezer de beveiligingshouding van zijn organisatie kan implementeren en versterken met een Zero Trust-aanpak.

Zero Trust-principes

Het Zero Trust-model is gebaseerd op drie fundamentele principes [3]:

  1. Expliciet verifiëren: Authenticeer en autoriseer altijd op basis van alle beschikbare gegevenspunten, inclusief gebruikersidentiteit, locatie, apparaatstatus, gevoeligheid van bronnen en afwijkingen.
  2. Gebruik toegang met de minste privileges: Beperk de gebruikerstoegang tot alleen wat nodig is. Gebruik Just-In-Time (JIT) en Just-Enough Access (JEA), op risico gebaseerd adaptief beleid en gegevensbescherming om gegevens en productiviteit te beschermen.
  3. Ga ervan uit dat er sprake is van een inbreuk: Minimaliseer de explosieradius en segmenttoegang. Verifieer end-to-end-encryptie en gebruik analyses om zichtbaarheid te krijgen, bedreigingen te detecteren en de verdediging te verbeteren.

Vereisten

Om het Zero Trust-model te implementeren met Microsoft Entra ID en Intune heeft u de volgende artikelen nodig:

  1. Licenties: licenties geschikt voor Microsoft Entra ID Premium P1 of P2 (voor voorwaardelijke toegang) en Microsoft Intune (meestal onderdeel van Microsoft 365 E3/E5- of EMS E3/E5-pakketten) [4].
  2. Beheerderstoegang: Accounts met de machtigingen Global Administrator, Security Administrator of Intune Administrator op de portals Microsoft Entra-beheercentrum (entra.microsoft.com) en Microsoft Endpoint Manager-beheercentrum (endpoint.microsoft.com).
  3. Intune-geregistreerde apparaten: Windows 10/11-apparaten die al zijn ingeschreven en beheerd door Microsoft Intune.
  4. Identiteiten in Microsoft Entra ID: gebruikers en groepen gesynchroniseerd of aangemaakt in Microsoft Entra ID.

Stap voor stap: het Zero Trust-model toepassen

We zullen ons concentreren op de manier waarop Microsoft Entra ID en Intune samenwerken om de Zero Trust-principes af te dwingen, met name 'Expliciet verifiëren' en 'Gebruik de minste privileges'.

1. Identiteit versterken met Microsoft Entra ID

Microsoft Entra ID vormt de ruggengraat van Zero Trust voor identiteiten en zorgt ervoor dat alleen geverifieerde gebruikers toegang hebben.

1.1. Implementeer Multi-Factor Authenticatie (MFA)

MFB is een fundamenteel onderdeel van het principe van "expliciete controle".

  1. Configureer MFA via voorwaardelijke toegang: zoals beschreven in artikel 3, maakt u een beleid voor voorwaardelijke toegang om MFA te vereisen voor alle gebruikers, of voor specifieke groepen, of voor toegang van buiten het bedrijfsnetwerk.
    • Ga in het Microsoft Login-beheercentrum naar Bescherming > Voorwaardelijke toegang.
    • Maak een nieuw beleid met de volgende instellingen:
      • Opdrachten > Identiteitsgebruikers of werklasten: Selecteer Alle gebruikers (exclusief noodaccounts).
      • Cloudbronnen of acties: Alle cloudapplicaties.
      • Verlenen: Vink Meervoudige authenticatie vereisen aan.
      • Beleid inschakelen: Ingeschakeld.

1.2. Schakel Azure AD Identity Protection in

Identiteitsbescherming detecteert kwetsbaarheden die de identiteit van uw organisatie beïnvloeden, configureert geautomatiseerd, op risico's gebaseerd beleid om die identiteiten te beschermen, en onderzoekt risicovolle activiteiten [5].

  1. Ga in het Microsoft Login-beheercentrum naar Bescherming > Identiteitsbescherming.
  2. Gebruikersrisicobeleid: configureer dit beleid zo dat MFA of het opnieuw instellen van het wachtwoord vereist voor gebruikers met een gemiddeld of hoog risico.
    • Rollen > Gebruikers: Selecteer Alle gebruikers.
    • Voorwaarden > Gebruikersrisico: Selecteer Gemiddeld en hoger.
    • Besturingselementen > Toegang: Toegang verlenen en Wachtwoordreset vereisen of Meervoudige authenticatie vereisen.
    • Beleid inschakelen: Ingeschakeld.
  3. Invoerrisicobeleid: configureer dit beleid om MFA te blokkeren of te vereisen voor risicovolle invoer.
    • Rollen > Gebruikers: Selecteer Alle gebruikers.
    • Voorwaarden > Instaprisico: Selecteer Gemiddeld en hoger.
    • Besturingselementen > Toegang: Toegang verlenen en Meervoudige authenticatie vereisen (of Toegang blokkeren voor hoog risico).
    • Beleid inschakelen: Ingeschakeld.

2. Eindpuntintegriteit garanderen met Microsoft Intune

Intune zorgt ervoor dat apparaten die toegang hebben tot bedrijfsbronnen gezond en compatibel zijn door het principe van 'expliciete controle' op het apparaat toe te passen.

2.1. Maak beleid voor apparaatnaleving

Nalevingsbeleid definieert de beveiligingsvereisten waaraan een apparaat moet voldoen om als conform te worden beschouwd. Voor niet-conforme apparaten kan de toegang worden geblokkeerd of beperkt via voorwaardelijke toegang.

  1. Ga in het Microsoft Endpoint Manager-beheercentrum (https://endpoint.microsoft.com) naar Endpoint Security > Apparaatnaleving > Beleid.
  2. Klik op Beleid maken.
  3. Platform: Windows 10 en hoger.
  4. Compliance-instellingen:
    • Apparaatintegriteit: Vereist BitLocker, Secure Boot, enz.
    • Apparaatbeveiliging: vereist antivirus (bijv. Microsoft Defender Antivirus), firewall, complexe wachtwoorden, enz.
    • Apparaateigenschappen: Vereist een minimale besturingssysteemversie.
  5. Acties bij niet-naleving: Configureer acties zoals het onmiddellijk of na een respijtperiode markeren van het apparaat als niet-conform.
  6. Toewijzingen: wijs het beleid toe aan de relevante Windows-apparaatgroepen.

2.2. Apparaatconfiguratieprofielen maken

Met configuratieprofielen kunt u specifieke beveiligingsinstellingen implementeren, zoals firewallinstellingen, Microsoft Defender-beveiligingsinstellingen en apparaatbeperkingen.

  1. Ga in het Microsoft Endpoint Manager-beheercentrum naar Apparaten > Windows > Configuratieprofielen.
  2. Klik op Profiel maken.
  3. Platform: Windows 10 en hoger.
  4. Profieltype: Selecteer sjablonen zoals 'Eindpuntbescherming' om Microsoft Defender Antivirus en Firewall te configureren, of 'Apparaatbeperkingen' om specifieke functies uit te schakelen.
  5. Configureer beveiligingsinstellingen volgens de best practices van uw organisatie.
  6. Toewijzingen: wijs het profiel toe aan de relevante Windows-apparaatgroepen.

3. Integratie van Entra ID en Intune met voorwaardelijke toegang

Voorwaardelijke toegang is de engine die identiteits- (Entra ID) en apparaatbeleid (Intune) samenbrengt om Zero Trust af te dwingen.

3.1. Maak een beleid voor voorwaardelijke toegang om een compatibel apparaat te vereisen

Dit beleid zorgt ervoor dat alleen apparaten die voldoen aan de nalevingsnormen van Intune toegang hebben tot cloud-apps.

  1. Ga in het Microsoft Login-beheercentrum naar Bescherming > Voorwaardelijke toegang.
  2. Klik op Nieuw beleid > Nieuw beleid maken.
  3. Naam: Vereist een compatibel apparaat voor toegang.
  4. Opdrachten > Identiteitsgebruikers of werkbelastingen: Selecteer Alle gebruikers (exclusief noodaccounts).
  5. Cloudbronnen of -acties: Alle cloudapplicaties.
  6. Voorwaarden (optioneel): u kunt voorwaarden toevoegen zoals 'Apparaatplatforms' voor Windows.
  7. Toekenning:
    • Selecteer Toegang verlenen.
    • Vink Vereisen dat apparaat als ondersteund wordt gemarkeerd. Klik op Selenz*.
  8. Beleid inschakelen: Ingeschakeld.
  9. Klik op Maken.

Validatie en testen

Het valideren van de Zero Trust-implementatie is van cruciaal belang om ervoor te zorgen dat het beleid werkt zoals verwacht.

1. Test de toegang vanaf een compatibel apparaat

  1. Probeer op een door Intune beheerd, compatibel Windows-apparaat toegang te krijgen tot een cloudtoepassing (bijvoorbeeld: portal.office.com).
  2. Toegang moet worden verleend na gebruikersauthenticatie (en MFA, indien geconfigureerd).

2. Test de toegang vanaf een niet-compatibel apparaat

  1. Op een Windows-apparaat dat niet compatibel is (schakel bijvoorbeeld de firewall uit, wijzig de versie van het besturingssysteem in een versie die niet is toegestaan door het Intune-nalevingsbeleid, of gebruik een onbeheerd apparaat).
  2. Probeer een cloudapplicatie te openen (bijvoorbeeld portal.office.com).
  3. De toegang moet worden geblokkeerd en de gebruiker moet een bericht ontvangen waarin wordt aangegeven dat het apparaat niet compatibel is en geen toegang heeft tot de bron.

3. Rapporten over voorwaardelijke toegang bewaken

  1. Ga in het Microsoft Login-beheercentrum naar Bescherming > Voorwaardelijke toegang > Rapporten.
  2. Bekijk de invoerlogboeken om te zien welk beleid voor voorwaardelijke toegang is toegepast en wat het resultaat is (succes, mislukking, alleen rapport).

Beveiligingstips en best practices

  • Begin klein, breid geleidelijk uit: Implementeer Zero Trust-beleid in testgroepen voordat u het organisatiebreed uitbreidt om verstoringen tot een minimum te beperken.
  • Educatie en communicatie: Communiceer wijzigingen duidelijk aan gebruikers en geef training over hoe u hun apparaten compatibel kunt houden en hoe u MFA kunt gebruiken.
  • Continu toezicht: controleer regelmatig de nalevingsrapporten van Intune en de logboeken voor voorwaardelijke toegang en identiteitsbescherming om eventuele hiaten of afwijkingen te identificeren.
  • Least Privilege Access: Combineer beleid voor voorwaardelijke toegang met PIM (Privileged Identity Management) om ervoor te zorgen dat bevoorrechte toegang Just-In-Time en Just-Enough is.
  • Ga uit van een inbreuk: Configureer Microsoft Defender voor Endpoint voor geavanceerde detectie van eindpuntbedreigingen en Microsoft Sentinel voor beveiligingsorkestratie en geautomatiseerde respons.
  • Periodieke evaluatie: Controleer en pas uw Zero Trust-beleid regelmatig aan om u aan te passen aan veranderingen in de dreigingsomgeving en zakelijke vereisten.

Algemene probleemoplossing

  • Toegang onverwacht geblokkeerd: controleer de aanmeldingslogboeken voor voorwaardelijke toegang om te identificeren welk beleid de toegang blokkeert. Controleer het Intune-nalevingsbeleid voor het betreffende apparaat.
  • Apparaat niet compatibel: controleer de nalevingsstatus van uw apparaat in Intune. Het kan zijn dat het apparaat het beleid niet heeft ontvangen, of dat een configuratie de naleving verhindert (bijvoorbeeld een uitgeschakeld antivirusprogramma, een oude versie van het besturingssysteem).
  • Beleidsconflicten: Controleer al het beleid voor voorwaardelijke toegang en naleving om ervoor te zorgen dat er geen conflicterende uitsluitingen of insluitingen zijn die tot onverwacht gedrag kunnen leiden.
  • Synchronisatieproblemen: zorg ervoor dat apparaten en gebruikers correct synchroniseren met respectievelijk Intune en Azure AD.

Conclusie

Het toepassen van het Zero Trust-model is een essentiële beveiligingsstrategie om organisaties in het huidige digitale landschap te beschermen. Door gebruik te maken van Microsoft Entra ID om identiteiten te beheren en Microsoft Intune om de integriteit van eindpunten te garanderen, kunnen bedrijven een robuuste beveiligingsaanpak implementeren die elk toegangsverzoek expliciet controleert en werkt op basis van het principe van de minste privileges. Door deze tools te integreren via voorwaardelijke toegang ontstaat een krachtige, adaptieve verdediging, die ervoor zorgt dat alleen vertrouwde gebruikers en apparaten toegang hebben tot bedrijfsbronnen, ongeacht hun locatie. De reis naar Zero Trust is aan de gang en vereist constante monitoring en verfijning, maar de voordelen in termen van het verminderen van risico's en het versterken van de veiligheid zijn van onschatbare waarde.

Referenties:

[1] Microsoft Leer. Wat is Zero Trust?. Beschikbaar op: https://learn.microsoft.com/pt-br/security/zero-trust/zero-trust-overview [2] Microsoft Leer. Zero Trust met Microsoft Intune. Beschikbaar op: https://learn.microsoft.com/en-us/intune/intune-service/fundamentals/zero-trust-with-microsoft-intune [3] Microsoft Leer. Nul vertrouwensprincipes. Beschikbaar op: https://learn.microsoft.com/pt-br/security/zero-trust/guidance-principles [4] Microsoft Leer. Licentie voor Microsoft Voer ID in. Beschikbaar op: https://azure.microsoft.com/pt-br/pricing/details/active-directory/ [5] Microsoft Leer. Wat is identiteitsbescherming?. Beschikbaar op: https://learn.microsoft.com/pt-br/entra/identity/identity-protection/overview-identity-protection