Veel organisaties maken voor hun productiviteit en onderlinge samenwerking gebruik van Office 365. De beveiliging van de software is in veel gevallen niet optimaal ingericht. Ondanks dat er licenties voor beschikbaar zijn, wordt er geen gebruik gemaakt van de middelen die Microsoft hiervoor aanbiedt.
Voor het beveiligen van de online omgeving maakt Microsoft gebruik van het principe ‘Zero Trust’. De verantwoording van de inrichting ligt bij de klant. Deze blog laat zien hoe Zero Trust eruitziet en hoe dit kan worden ingezet binnen uw organisatie.
Wat is Zero Trust?
Zero Trust is geen product of dienst, maar een strategie voor beveiliging. Het is niet alleen van toepassing op Microsoft-diensten. Zero Trust sluit goed aan op het beveiligen van diverse Cloud-omgevingen.
Zero Trust maakt gebruik van de volgende drie principes:
- Controleer expliciet (verify explicitly);
- Deel niet meer rechten uit dan voor een periode nodig is (use least privilege access);
- Ga ervan uit dat er al is ingebroken in de omgeving (assume breach).
Controleer expliciet
Controleer de toegang op basis van zoveel mogelijk data. Naast een gebruikersnaam en wachtwoord zijn een tweede authenticatie (MFA), de locatie van het apparaat en de status van het apparaat hier voorbeelden van.
Deel niet meer rechten uit dan voor een periode nodig is
Deel alleen de rechten uit die nodig zijn om de taak uit te voeren. Deel deze rechten vervolgens uit voor een zo kort mogelijke periode.
Ga ervan uit dat er al is ingebroken in de omgeving
Om schade te beperken, zorgt dit uitgangpunt ervoor dat er maatregelen moeten worden genomen. Bijvoorbeeld bij encryptie van data en segmentatie. Hiernaast zijn monitoring en analyse relevant om inbraak op te sporen.
Aandachtsgebieden
Microsoft onderscheidt de volgende aandachtsgebieden als het gaat om Zero Trust:
Identiteit
Wanneer er gebruik wordt gemaakt van applicaties die onderling communiceren en waarbij moet worden ingelogd, focust Zero Trust zich op een goede beveiliging van de identiteit van een persoon of dienst. Maak gebruik van sterke authenticatie (MFA) en beperk de toegang tot applicaties.
Apparaten
De apparaten die toegang hebben tot bedrijfsdata, moeten voorzien zijn van goede beveiliging. Maak hierbij gebruik van monitoring en het nalevingsbeleid om de toegang tot apparaten te controleren.
Data
Zorg voor een goede beveiliging van data, ook wanneer de dienst niet meer in gebruik is. Voorzie de data van kenmerken en versleutel deze. Beperk de toegang op basis van de voorziene kenmerken.
Applicaties
Applicaties geven toegang tot data. Beveilig de toegang tot applicaties en monitor de applicaties op inbraak. Beperk de rechten en pas aanbevelingen voor beveiliging toe.
Infrastructuur
Is de infrastructuur binnen de organisatie on-premise of in de cloud? Beide omgevingen lopen het risico om te worden aangevallen. Zorg ervoor dat de infrastructuur up-to-date is en minimaliseer de toegang tot de cloud-omgeving. Hierbij is het van belang om continuïteit te krijgen in monitoring om aanvallen en afwijkingen te detecteren.
Netwerk
Alle gegevens zijn uiteindelijk beschikbaar via het netwerk. Het monitoren van deze gegevens biedt kritische controles, waardoor duidelijk wordt op welke vlakken verbetering nodig is. Met als uiteindelijk doel te voorkomen dat aanvallers zich ongezien verder in het netwerk bewegen. Segmenteer netwerken en voer diepe microsegmentatie in het netwerk uit. Implementeer real-time bescherming tegen bedreigingen.
De Microsoft implementatie van Zero Trust
Voor de beveiliging van Office 365 heeft Microsoft licenties beschikbaar. Daar wordt in de praktijk niet altijd optimaal gebruik van gemaakt. Terwijl Microsoft ook voor het implementeren van Zero Trust diverse oplossingen en programma’s aanbiedt. De meest voorkomende worden in deze blog kort toegelicht.
Conditional Access
Door middel van voorwaardelijke toegang (Conditional Access) is het voor een organisatie mogelijk om toegang te verlenen op basis van gestelde eisen. Dit heeft mooie aansluiting op het basisprincipe ‘Controleer expliciet’ van Zero Trust. Door foutieve inlogpogingen (die niet aan de voorwaarden voldoen) te blokkeren, wordt schade voorkomen. Deze methode verhoogt de beveiliging van de omgeving op een relatief eenvoudige wijze.
Voorbeelden van deze voorwaarden zijn:
- Groepslidmaatschap;
- Locatie: op basis van het IP-adres;
- Apparaat: controles op basis van de status van het apparaat, zoals de status van de virusscanner en firewall, of dat het een persoonlijk of bedrijfsapparaat betreft;
- Applicatie;
- Real-time en berekend risico: ‘Azure AD Defender for Identity’ berekent het risico op basis van bij Microsoft bekende informatie. De inlogpoging kan worden geweigerd of de gebruiker wordt gevraagd het wachtwoord aan te passen.
Veelvoorkomende maatregelen die worden toegepast, zien er als volgt uit:
- Vereis MFA voor toegang;
- Vereis MFA voor beheer;
- Vereis toegang vanaf een beheerd apparaat;
- Vereis dat de beveiliging van het apparaat aan de voorwaarden voldoet;
- Blokkeer verouderde inlog-methodes;
- Blokkeer inlogpogingen die een verhoogd risico hebben.
Intune
Intune, ook wel Endpoint Management genoemd, is de oplossing van Microsoft om apparaten te beheren. Om de beveiliging te verhogen, biedt Intune de mogelijkheid om configuraties uit te voeren. Voorbeelden hiervan zijn:
- Maatregelen om risico te beperken (hardening);
- Encryptie van de harde schijf afdwingen via Bitlocker;
- USB-apparaten blokkeren;
- Software installeren en bijwerken.
Naast het configureren met Intune kunnen de statussen van apparaten worden gecontroleerd en gerapporteerd. De statussen (compliance) kunnen vervolgens weer worden gebruikt in de voorwaardelijke toegang (Conditional Access).
Microsoft 365 Defender
Microsoft 365 Defender bestaat uit een aantal beveiligingsproducten. Die hebben elk een eigen focus. Ze komen samen in de Microsoft 365-beheeromgeving.
Onderstaand de Microsoft 365 Defender-producten op een rijtje:
- Microsoft Defender for Endpoint – beveiligt apparaten;
- Microsoft Defender Vulnerability Management – monitort kwetsbaarheden en geeft aan hoe deze verholpen kunnen worden;
- Microsoft Defender for Office 365 – beveiligt de Office 365-omgeving tegen Malware, phishing en andere risico’s;
- Microsoft Defender for Identity – identificeert risico’s voor identiteiten, zoals aanvalspogingen, gelekte inloggegevens en pogingen om verder in het netwerk te komen (Lateral movement);
- Microsoft Defender for Cloudapps – identificeert en controleert risico’s binnen gebruikte cloudapplicaties.
Microsoft Sentinel
Door data uit verschillende bronnen te verzamelen, geeft Microsoft Sentinel inzicht in de veiligheid van de omgeving.
Hoe nu verder?
De Zero Trust-methodiek kan helpen bij het ontwikkelen van een goede beveiligingsstrategie. Onze gecertificeerde collega’s helpen u graag bij een juiste implementatie. Het implementeren van voorwaardelijke toegang kan namelijk een goede eerste stap zijn voor het verbeteren van de beveiliging binnen uw organisatie.
Na de implementatie geeft Microsoft Secure Score inzichten over de staat van de beveiliging. Hier komen aanbevelingen voor verbeteringen uit voort, waardoor u consequent het beveiligingsniveau binnen uw organisatie kunt verhogen en kunt zien wat de impact hiervan is.
Meer informatie
Fondo | PQR is als partner van Microsoft continu op de hoogte van de nieuwste ontwikkelingen. Onze collega’s bieden organisaties alle benodigde expertise voor implementatie- en beheerwensen. Wilt u hier meer over weten? Neem contact op.