Zero Trust megközelítés Microsoft technológiai alapokon

Ez az írás egy több részes sorozat 5. része, az előző és következő részek hivatkozásaival folyamatosan bővítem ezt a bevezetőt.
1. rész:  Zero Trust és ami mögötte van
2. rész: Zero Trust – a hálózatbiztonsági megközelítés [1]
3. rész: Zero Trust – a hálózatbiztonsági megközelítés [2]
4. rész: Zero Trust – a hálózatbiztonsági megközelítés [3]

Néhány évvel ezelőtt, ha azt mondják nekem, hogy Microsoft security megoldásokról fogok írni, csodálkozva néztem volna a beszélgetőpartneremre. Pedig igaz, a Microsoft EMS (Enterprise Mobility + Security) csomagja a 2014-es bevezetése óta évről-évre komolyabb fejlődésen megy át, míg mára egyike lett a komolyabb résztvevőknek. Bár a Forrester jelentésére („The Forrester Wave: Zero Trust eXtended Ecosystem Platform Providers, Q4 2019” ) nem került rá, mégis a cégek számára lényegében megkerülhetetlen a piaci pozíciójából adódóan. Lássuk hát, hogy mit jelent Redmond háza táján a Zero Trust!

A Microsoft megközelítése szerint 3 fronton kell védekeznünk, ha egy Zero Trust stratégiát szeretnénk követni:

  1. Identitás
  2. Végpontok
  3. Adatok/Alkalmazások

Az is hozzátartozik a Microsoft mondandójához, hogy ugyanúgy szükség van a fentiek mellett a klasszikus határvédelemre is, de arra szándékosan nem adnak megoldást – hiszen azt már úgyis megoldották a cégek.

Identitásvédelem

Az identitásvédelmet a Microsoft az Azure Active Directory, Microsoft Azure ATP és Microsoft Cloud App Security termékei révén oldja meg. A technológiák együtt dolgoznak azon, hogy biztonságossá és könnyen használhatóvá tegyék a bejelentkezési folyamatot. Az Azure Active Directory része a Conditional Access, melynek segítségével komplex feltételrendszert állíthatunk egy-egy erőforrás eléréséhez, de az Azure MFA megoldás is, mellyel többfaktoros hitelesítést valósíthatunk meg. Az igazán csábító dolgokat az Identity Protection tudja szállítani, amikor gépi tanulással felépített viselkedési profilok alapján automatikusan tud a rendszer egy-egy feltételes szabályt beállítani, és például ha a felhasználó túl gyorsan jelentkezik be két egymástól nagyon távol lévő helyen, akkor kijelentkezteti a rendszer mindenhonnan és a következő bejelentkezéséhez kétfaktoros hitelesítést kér, majd utána jelszóváltoztatást.

Az Azure ATP a helyszíni Active Directory-nkban történő események feldolgozását és értelmezését csinálja meg a felhőben – segítségével például egy jogosultsággal való visszaélés vagy éppen egy ellopott felhasználói identitás könnyen felismerhető.

Végpontvédelem

A végpontvédelem az Intune és a Defender ATP megoldásokon alapul. Az Intune a Microsoft sokat látott menedzsment megoldása, ami az elmúlt 10 évben átvedlett Windows-menedzsment megoldásból mobileszköz-menedzsmentté. Segítségével meg lehet oldani a mobil eszközökön is azokat az alapvető biztonsági problémákat, melyek az Android/iOS platform működéséből adódóan vállalati környezetben másképp nem megoldhatók.

A Defender ATP lehetővé teszi, hogy a végpontjainkat viselkedés alapú szenzorokkal védjük. A szenzorok felhős forrásokból is táplálkoznak, gépi tanuló algoritmusokkal működnek. Fő feladatuk, hogy a végpontok egészségi állapotát mérik, és ezáltal dinamikus kockázatkezelést valósítanak meg.

Alkalmazás- és adatvédelem

Az alkalmazásvédelmet a Microsoft Cloud App Security, az adatvédelmet pedig az Azure Information Protection hivatott megoldani. A Cloud App Security egy Cloud Access Security Broker megoldás, segítségével a felhős alkalmazásainkhoz való hozzáférést és az azokban tárolt adatokat tudjuk védeni.

Az Azure Information Protection (AIP) az AD RMS nevű szolgáltatás felhős változata. Az AIP valósítja meg azt az elképzelést, hogy nem érdemes védeni a végpontot, a hálózatot vagy az identitást, mert valahol úgyis van gyenge pont – így az eszközök helyett inkább a tartalmat védjük. A megoldás lényege, hogy lehetőséget biztosít a felhasználóink által létrehozott vagy kezelt fájlok titkosítására és aztán szelektív védelmére. Az AIP által konfigurált kontrollok lehetővé teszik, hogy csak bizonyos felhasználók, csak bizonyos módokon (csak olvasás, nyomtatás nélkül, stb.) érhessenek el fájlokat.

Konklúzió

Ahogy a bevezetőben is írtam, a Microsoft biztonsági megoldásai nagyon komolyak és jó eredményeket lehet elérni használatukkal. A valódi erejük azonban a szinergiákban rejlik: minél több megoldását használjuk a szoftveróriásnak, annál teljesebb védelmet nyújtanak a megoldásai. Végezetül példaként álljon itt egy szemléltető ábra, mely azt mutatja be, hogy egy tipikus malware-fertőzés esetén melyik Microsoft megoldás tudná megfogni a támadást, melyik fázisban.

A “Kill chain” és a Microsoft security megoldások

Vélemény, hozzászólás?

Adatok megadása vagy bejelentkezés valamelyik ikonnal:

WordPress.com Logo

Hozzászólhat a WordPress.com felhasználói fiók használatával. Kilépés /  Módosítás )

Google kép

Hozzászólhat a Google felhasználói fiók használatával. Kilépés /  Módosítás )

Twitter kép

Hozzászólhat a Twitter felhasználói fiók használatával. Kilépés /  Módosítás )

Facebook kép

Hozzászólhat a Facebook felhasználói fiók használatával. Kilépés /  Módosítás )

Kapcsolódás: %s