Die Einführung an Zero-Trust-Frameworks ausrichten

Dieser Artikel bietet eine Übersicht über bekannte Zero Trust Frameworks und zeigt, wie Microsoft Zero Trust Adoptionsmodell Ihnen hilft, vom Frameworkverständnis bis zur Einführung im großen Maßstab zu wechseln.

Zero Trust ist kein einzelnes Framework. Es ist ein Sicherheitsmodell, das sich an mehrere Branchen- und Regierungsstandards richtet. Diese Standards sind keine konkurrierenden Lösungen. Jeder behandelt einen anderen Aspekt der Zero Trust, z. B. das Definieren von Kernkonzepten, die Bewertung des Fortschritts oder die Koordination der Einführung in einer Organisation.

Während Branchenframeworks dabei helfen, zu definieren, was Zero Trust erreichen sollten, benötigen Organisationen dennoch eine Möglichkeit, diese Anleitung in eine bestimmte Strategie und Architektur für die Lösungsplanung, das Design und die Bereitstellung zu übersetzen.

Das Zero-Trust-Einführungsmodell von Microsoft leistet genau das. Sie bietet eine Referenzstrategie und -architektur, die auf Branchenframeworks ausgerichtet und aufbaut, um Zero Trust Einführung und Implementierung zu beschleunigen.

Tip

Microsoft bietet eine Vielzahl von Workshops zur Einführung von Sicherheit – die Workshops Security Adoption Framework (SAF). Unsere Leitlinien zu unserem strukturierten Einführungsmodell stehen im Einklang mit den expertengeleiteten Empfehlungen von Microsoft Unified, die in diesen Workshops vermittelt wurden. Erfahren Sie mehr über SAF-Workshops.

NIST-Zero Trust

National institute of Standards and Technology (NIST) Special Publication (SP) 800-207 Zero Trust Architecture stellt eine branchenweit anerkannte Definition der Zero Trust Architektur her. Es wird erläutert, was Zero Trust ist und wie Vertrauensentscheidungen getroffen werden, unabhängig von bestimmten Anbietern, Produkten oder Bereitstellungsroadmaps.

NIST SP 800-207 ist am nützlichsten, wenn Organisationen eine gemeinsame, autorisierende Definition von Zero Trust Konzepten benötigen, die für Sicherheits-, IT- und Architekturteams freigegeben werden können.

NIST-Funktionen

NIST positioniert Zero Trust explizit als Architektur, in der der Zugriff auf Ressourcen niemals implizit vertrauenswürdig ist.

Zero Trust Prinzipien in NIST umfassen:

  • Von einer Kompromittierung (Sicherheitsverletzung) ausgehen, um einen ganzheitlichen und praxisnahen Sicherheitsansatz zu verfolgen.
  • Explizites Überprüfen der Vertrauensstellung, bevor Der Zugriff auf Ressourcen gewährt wird.
  • Begrenzung des Schadensradius durch Vergabe nur der minimal erforderlichen Berechtigungen.

Wichtige Architekturkonzepte konzentrieren sich auf:

  • Kontinuierliche dynamische Auswertung von Zugriffsanforderungen mithilfe von Kontextsignalen.
  • Zentrale Richtlinienentscheidungslogik, die Signale gegen die Organisationsrichtlinie auswertet.
  • Die Funktion zur Durchsetzung von Richtlinien in der Nähe der geschützten Ressourcen setzt die Entscheidung um.

Die von NIST definierte konzeptionelle Architektur Zero Trust konzentriert sich auf die Bewertung und Durchsetzung von Zugriffsentscheidungen mithilfe von Richtlinienmodulen, Durchsetzungspunkten und Kontextsignalen.

Beachten Sie Folgendes:

  • NIST SP 800-270 definiert keine Technologiepfeiler oder Sicherheitsdomänen wie Identität, Endpunkte oder Datenschutz.
  • Identität, Gerätestatus, Anwendungen und Daten werden als Themen, Ressourcen und Kontextquellen modelliert, die Vertrauensentscheidungen und nicht als separate Architekturdomänen informieren.

Microsoft Security Adoption Model baut auf dieser Architektur auf, indem sie ihre Prinzipien und Komponenten innerhalb eines operationellen Rahmens anwenden.

Während NIST definiert, wie Vertrauensentscheidungen getroffen und durchgesetzt werden, organisiert unser Einführungsmodell diese Funktionen in sicherheitsdisziplinen und technologiebasierten Säulen, um die Geschäftsplanung, den Besitz, das Lösungsdesign, die Implementierung und die Fortschrittsnachverfolgung zu unterstützen.

Implementation

Implementierungsleitfaden werden in NIST SP 1800-35 Implementierung einer Zero Trust-Architektur bereitgestellt.

Für diese Implementierungsanleitung:

  • NIST arbeitete mit 24 Anbietern zusammen, einschließlich Microsoft, an der Entwicklung eines Leitfadens mit praktischen Schritten für Organisationen, die bereit sind, Cybersicherheitsreferenzdesigns für Zero Trust zu implementieren.
  • Microsoft nahmen als einer der Anbieter teil, der Technologie bereitstellt, um Zero Trust Funktionen in folgendem Bereich zu implementieren:
    • Identitäts- und Zugriffsverwaltung.
    • Endpunktverwaltung und -konfiguration.
    • Bedrohungsschutz und -überwachung.
    • Sicherer Zugriff auf verteilte Ressourcen.

Dieses Diagramm ist das Ergebnis der Zusammenarbeit von NIST SP 1800-35. Sie kann von Microsoft Cybersecurity Reference Architecture (MCRA) heruntergeladen werden. Weitere Informationen zu MCRA

Diagramm, das Microsoft-Produkte zeigt, die der NIST Zero Trust Architecture zugeordnet sind.

CISA Zero Trust Reifegradmodell

Das Cybersecurity and Infrastructure Security Agency (CISA) Zero Trust Reifegradmodell ist rund um die Einführung und Bewertung organisiert. Dieses Reifegradmodell hilft Organisationen dabei, ihren aktuellen Status zu organisieren und zu bewerten, Verbesserungen zu priorisieren und den Fortschritt nachzuverfolgen.

CISA-Funktionen

Im Gegensatz zu NIST definiert CISA keine Referenzarchitektur und wertet stattdessen Funktionen unabhängig von bestimmten Entwurfsmustern aus.

  • Das Modell verwendet säulenbasierte Domänen, einschließlich Identität, Geräte, Netzwerke/Umgebung, Anwendungen/Workloads und Daten.
  • Darüber hinaus werden drei querschnittsübergreifende Funktionen definiert: Sichtbarkeit und Analyse, Automatisierung und Orchestrierung sowie Governance.
  • Außerdem werden vier Reifephasen erfasst: Traditionell, Initial, Erweitert und Optimal.
  • Governance wird auch nicht als eigenständige Säule behandelt, sondern als cross-cutting-Funktion, die die Unternehmensausrichtung, klare Eigenverantwortung und messbare Ergebnisse in allen Bereichen gewährleistet.

Implementation

Das Modell steht im Einklang mit dem Microsoft-Sicherheitsadoptionsmodell und dient diesem als Grundlage, während Microsoft es darüber hinaus erweitert, indem Disziplinen wie Architektur eingeführt werden, um die Brücke zwischen konzeptionellen Frameworks wie NIST SP 800‑207 und der praktischen Umsetzung zu schlagen.

CISA Einführungsdisziplin/Säule Details
Identity
Identität umfasst Authentifizierung, Autorisierung, Identitätsrisiko, Lebenszyklus. Apps und Workloads umfassen Steuerelemente für den App-Zugriff, Workloadidentität und sichere App-Interaktion.		 Disziplin: Identität und Zugriff

Technologie: Identität		 Die Zugriffssteuerung in Microsoft umfasst Identitäts- und Anwendungsebenen, während CISA sie trennt.
Governance
Unternehmensweite Richtlinien, Kontrollen und Durchsetzung.		 Disziplin: Strategie, Integration, Governance
Sicherheitsarchitektur

Technologie: Alle.		 Die Richtlinien- und Kontrollfunktionen von CISA sind direkt den SecOps-Ergebnissen zugeordnet. Microsoft bietet zusätzlichen Fokus auf andere Aspekte der Governance (Geschäftsausrichtung, Risikomanagement, Rollen und mehr) und konzentriert sich auf Architekturdisziplin und Referenzarchitekturen.
Geräte
Gerätebestand, Haltung, Compliance; Netzwerksegmentierung, sichere Konnektivität, Umgebungskontrollen. Einschließlich nicht herkömmlicher, eingeschränkter und spezialisierter Geräte.		 Disziplin: Identität und Zugriff, Infrastruktursicherheit, OT/IoT-Sicherheit

Technologie: Endpunkte		 Vertrauen in die Infrastruktur wird durch den Gerätezustand und kontrollierte Verbindungen hergestellt und steht damit im Einklang mit dem Zero-Trust-Ziel, den Schadensradius und laterale Bewegungen zu minimieren.

Microsoft betrachtet OT/IoT-Geräte aufgrund des eindeutigen Eigentums und der Risikomanagement-Gründe als eine unterschiedliche Disziplin.
Apps und Arbeitslasten
Apps und Workloads umfasst Zugriffssteuerungen für Anwendungen, Workload-Identität und die sichere Interaktion zwischen Anwendungen.		 Disziplin: Entwicklungssicherheit

Technologie: Apps		 Der Workloadfokus von CISA richtet sich an DevSecOps-Ziele, indem sicherheit in Anwendungs- und Dienstlebenszyklen eingebettet wird, anstatt sie als Aktivität nach der Bereitstellung zu behandeln.
Netzwerke
Netzwerksegmentierung, sichere Konnektivität, Umgebungskontrollen.		 Disziplin: Identität und Zugriff

Technologie: Netzwerke		 Microsoft kombiniert den gesamten Zugriff (Identität, Apps und Netzwerke) in einer einzigen Disziplin, um eine klare Strategie, Architektur und richtlinienübergreifende Konsistenz zu fördern.
Daten
Datenklassifizierung, Bestand, Zugriffssteuerung, Verschlüsselung und Schutz unabhängig vom Netzwerkstandort.		 Disziplin: Datensicherheit

Technologie: Daten		 Beide Modelle platzieren Daten als primäres Schutzziel und verstärken die Zero Trust Umstellung von Perimetersicherheit auf datenorientierte Steuerelemente.
Sichtbarkeit & Analysen, Automatisierung & Orchestrierung

Telemetriesammlung, kontinuierliche Überwachung, Erkennung, Reaktionsautomatisierung und Richtlinienerzwingung im großen Maßstab.		 Disziplin: SecOps

Technologie: Alle		 Die cross-cutting-Funktionen von CISA ordnen sich direkt den SecOps-Ergebnissen zu, die das Erkennen von Bedrohungen, die Automatisierung der Reaktion und die kontinuierliche Bewertung der Vertrauensstellung in allen Domänen umfassen.
Reifephasen über alle Säulen hinweg Sicherheitsstatus Die Verwaltung des Sicherheitsstatus ist das Kernziel des CISA-Modells: den aktuellen Zustand bewerten, Lücken identifizieren, Verbesserungen priorisieren und den Zero-Trust-Fortschritt im Zeitverlauf nachverfolgen.

Weitere Informationen finden Sie unter Implementing the CISA Zero Trust Maturity Model with Microsoft Cloud Services.

Das Open Group Zero Trust-Referenzmodell

Das Open Group Zero Trust Reference Model betrachtet Zero Trust aus der Perspektive von Unternehmensfähigkeiten und -integration. Anstatt bestimmte Implementierungsschritte zu definieren, werden die Funktionen und Governancestrukturen beschrieben, die Organisationen zum Definieren, Integrieren und Betreiben von Zero Trust im Großen und Umfang benötigen.

Gruppenfeatures öffnen

Folgende Features sind enthalten:

  • Capabilities + Architecture Building Blocks (ABBs) definieren Sicherheitsfunktionen, die dauerhafte Sicherheitsergebnisse und die Personen, Prozesse und Technologien fördern, um sie zu ermöglichen.
  • Zusammenarbeits- und Integrationsmodelle zeigen, wie Sie Sicherheit in Strategie, Risikomanagement, Betrieb und andere Aspekte der Organisation integrieren.

Die Funktionen bestehen aus Personen-, Prozess- und Technologieelementen, die zusammenarbeiten:

  • Personen: definiert als Rollen im Standard "Open Group Roles" und "Glossary"
  • Process: definiert als Architekturbausteine (ABBs) im selben Zero Trust Referenzmodellstandard
  • Technology: definiert als ABBs im gleichen Zero Trust Referenzmodellstandard

Dieses Diagramm zeigt die folgenden Funktionen:

Diagramm mit den Open Group Security Capabilities aus dem Zero Trust Reference model.

Dieses Diagramm zeigt, wie diese Funktionen an die Funktionen des NIST Cybersecurity Framework (NIST CSF) ausgerichtet sind:

Diagramm, das die Open Group Security Capabilities zeigt, die den Funktionen des NIST Cybersecurity Framework zugeordnet sind.

Implementation

Das Modell ist unserem empfohlenen Einführungsmodell zugeordnet.

Gruppe öffnen Einführungsdisziplin Ausrichtung
Zero Trust Strategie & Governance

Definiert, wie Organisationen Zero Trust als geschäftsorientierte Strategie einrichten, einschließlich Governance, Risikomanagement, Richtlinienbesitz und Ausrichtung von Personen, Prozessen und Technologien.		 Strategie, Integration und Governance Sowohl die Open Group als auch Microsoft positionieren Zero Trust ausdrücklich als Unternehmensstrategie und nicht als Sammlung technischer Kontrollen. Dies unterstützt direkt die Abstimmung, Verantwortungsübernahme und Integration auf Führungsebene in der gesamten Organisation.
Capability-basierte Zero Trust-Architektur

Stellt Architekturbausteine und Funktionsgruppierungen bereit, um Zero Trust Architekturen zu entwerfen, ohne bestimmte Technologien oder Produkte zu beschreiben.		 Sicherheitsarchitektur Dadurch wird der Raum zwischen den abstrakten Architektur- und Implementierungsleitlinien von NIST gefüllt, sodass Architekten Zero Trust Prinzipien in Unternehmensdesigns übersetzen können.
Identitäts-, Authentifizierungs-, Autorisierungs- und Richtlinienerzwingungsfunktionen

Definiert funktionen, die zum Überprüfen der Identität, zur dynamischen Bewertung der Vertrauensstellung und zum konsistenten Erzwingen von Zugriffsentscheidungen in allen Umgebungen erforderlich sind.		 Identität und Zugriff Richtet sich direkt an der Zugriffssicherheit als Einführungsdisziplin: wer auf was zugreifen kann, unter welchen Bedingungen und wie diese Entscheidung durchgesetzt wird.
Datenorientierte Schutzfunktionen

Hebt den Schutz von Informationen unabhängig vom Standort hervor, einschließlich Datenklassifizierung, Schutz und richtliniengesteuerter Zugriff.		 Datensicherheit Spiegelt die Umstellung Zero Trust von Perimetersicherheit zu datenorientierter Sicherheit ab und passt sich natürlich dem Datenschutz als Einführungsdomäne an.
Sichtbarkeit, Überwachung, Analyse und Reaktionsfähigkeit

Umfasst Funktionen zum Sammeln von Telemetrie, zur Überwachung von Vertrauenssignalen und zum Anpassen von Richtlinien basierend auf beobachtetem Risiko.		 SecOps Ermöglicht kontinuierliche Bewertung und Durchsetzung – zentral für Zero-Trust-Abläufe und die Sicherheitsüberwachung in großem Maßstab.
Sicherheitsfunktionen für Anwendungs- und Dienstinteraktion

Behebt, wie Anwendungen und Dienste an Zero Trust teilnehmen, einschließlich sicherer Interaktionen, Dienstidentität und Laufzeiterzwingung.		 Dev-Sicherheit Unterstützt die Integration von Zero Trust in moderne Anwendungslebenszyklus und Dienst-zu-Dienst-Kommunikation.
Plattform- und Umgebungssicherheitsfunktionen

Deckt den sicheren Betrieb von Plattformen, Netzwerken und Umgebungen ab, die Workloads hosten, ohne das Netzwerk als Vertrauensgrenze zu behandeln.		 Sicherheit der Infrastruktur Richtet die Infrastruktursicherheit mit Zero Trust Grundsätzen aus, indem die Infrastruktur als durchsetzbar, aber nicht inhärent vertrauenswürdig behandelt wird.
Erweiterte Umgebung und nicht herkömmliche Ressourcenunterstützung

Erkennt explizit die KONVERGENZ VON IT/OT/IoT und die Notwendigkeit von Zero Trust Funktionen über eingeschränkte und heterogene Umgebungen hinweg.		 Infrastruktur (OT/IoT-Sicherheit) Entspricht der Einführungsrealität, in der OT/IoT getrennte Zuständigkeiten erfordern, aber dennoch auf die unternehmensweite Zero-Trust-Strategie ausgerichtet sein müssen.
Funktionsbasierte Reife und kontinuierliche Verbesserung

Stellt ein Funktionsmodell bereit, das den aktuellen Zustand bewerten, Verbesserungen leiten und sich im Laufe der Zeit anpassen soll, während Bedrohungen und Technologien weiterentwickelt werden.		 Sicherheitsstatus Versteht Zero Trust als fortlaufendes Programm, nicht als einmalige Implementierung – und steht damit in direktem Einklang mit den Zielen des Posture-Managements.

Zuordnen Microsoft Technologien zum Modell

Das Zero Trust Referenzmodell enthält auch eine allgemeine Zusammenfassung der Zero Trust Komponenten. Dieses Diagramm zeigt, wie Microsoft Technologien diesen Komponenten zugeordnet sind:

Diagramm mit Microsoft Technologien, die den Open Group-Zero Trust Referenzmodellkomponenten zugeordnet sind.

DoD Zero Trust-Strategie

Das US-Verteidigungsministerium veröffentlichte eine DoD-Zero Trust Strategie und Roadmap.

Informationen zum Konfigurieren von Microsoft Clouddiensten für die Zero Trust strategie von DoD finden Sie unter Configure Microsoft-Dienste für die Zero Trust-Strategie von DoD.

Nächste Schritte

Wählen Sie ein Geschäftsszenario aus, und erfahren Sie, wie Sicherheitsdisziplinen dem Szenario zugeordnet sind.

  • Last updated on