IDENTITY ISKEY MICROSOFTS STRATEGIE ZUR ... · Rechtsberatung durch Juristen, nicht...
Transcript of IDENTITY ISKEY MICROSOFTS STRATEGIE ZUR ... · Rechtsberatung durch Juristen, nicht...
1
Andreas SchindlerTeam-Leader Cybersecurity & Enterprise MobilityExecutive Cloud Architect, [email protected]
IDENTITY IS KEY
MICROSOFTS STRATEGIE ZUR BENUTZERORIENTIERTEN SECURITY!
2
Die (IT)Welt in der wir Leben ….
3Software Eats The World
4
• verändert Geschäftsmodelle und Kundenbeziehungen.
• bringt Veränderungen in der IT:• Agilität wird gefordert.• Daten und Anwendungen verlassen die
Unternehmen bzw. werden in das Internet veröffentlicht.
• Die Grenzen von Netzwerken und Geräten lösen sich auf.
Benutzer sind mobil, externe Benutzer kommen dazu. Der User (und seine Identity) steht im Fokus zum Schutz der Daten.
DIE DIGITALE TRANSFORMATION…
5
• Benutzer (B2B, B2C) und Zugriffsrollen• Authentifizierungsmethoden
• Administrative-Rollen und Rechte• APP-Management & APP-Security• Datenverarbeitung und –Speicherung• Datenverbindungen• Geräte- und Patch-Management / Härtung
7
Die EU-Datenschutz-Verordnung erfasst alle Unternehmen und Behörden welche mit personenbezogenen Daten umgehen.
Compliance: Auf der technischen Seite sind die datenverarbeitenden Unternehmen weitreichender als bisher verpflichtet, technische und organisatorische Sicherheitsmaßnahmen zum Schutz der personenbezogenen Daten zu ergreifen und vor allem auch deren Einhaltung nachzuweisen.
Bußgelder für Non-Compliance und Verletzung des Datenschutzes wurden deutlich erhöht.
EU DATENSCHUTZ-GRUNDVERORDNUNG
Die DS-GVO wird nach der Übergangsphase von zwei Jahren am 25. Mai 2018 wirksam.
8
EU DATENSCHUTZ-GRUNDVERORDNUNG
Quelle: https://www.datenschutz-grundverordnung.eu/Rechtsberatung durch Juristen, nicht IT-Dienstleister.
9
„DIGITALE IDENTITÄT“?
„Eine Definition von digitaler Identität besagt, dass die digitale Identität einen Ausweis eines Objektes repräsentiert, der verschiedene Attribute beinhaltet.“
"Eine digitale Identität ist eine Identität, die von einem Rechner verstanden und verarbeitet werden kann. Diesen Vorgang nennt man Authentifizierung und Autorisierung. Die digitale Identität entsteht, indem Attribute einer natürlichen Person oder eines Objektes in einem Rechner in elektronischer Form sicher registriert werden.“
10
11
MICROSOFT OFFICE 365 EMS
12
Information protection
Identity-driven security
Managed mobile productivity
Identity and access management
Azure Information Protection
Premium P2
(includes P1 features)
Azure Information Protection
Premium P1
Microsoft Cloud App Security
Microsoft Advanced Threat Analytics
Microsoft Intune
Azure Active Directory Premium P2
(includes P1 features)
Azure Active Directory
Premium P1E3
E5
https://technet.microsoft.com/de-de/library/office-365-platform-service-description.aspx
13
NEW: SECURE PRODUCTIVE ENTERPRISE
14
MICROSOFT ENTERPRISE MOBILITY + SECURITY
Microsoft
Intune
Azure Information
Protection
Protect your users, devices, and apps
Detect threats early with visibility and threat analytics
Protect your data, everywhere
Extend enterprise-grade security to
your cloud and SaaS apps
Manage identity with hybrid
integration to protect application
access from identity attacks
Microsoft
Advanced Threat Analytics
Microsoft Cloud App
Security
Azure Active
Directory Premium
Advanced Threat
Protection
Microsoft
Intune
Microsoft Cloud App
Security
15
THEMENÜBERSICHT
16
IDENTITY MANAGEMENT
Single sign-onSelf-services
Simple connection
On-Premises
Other directories
Windows ServerActive Directory
2.500+ pre-integratedSaaS-Appliations
Cloud
Hybrid-Clouds
Microsoft Azure Active Directory
Published Apps
Identity/attribute synchronization with
password (hash) sync
or
Federation via ADFS
Azure AD Azure AD& AD Domain Service B2C
Azure
Microsoft Identity Manager (Sync/Portal)
Kerberos / Group Policy
NTLM/LDAP
SAML, WS-FedOAuth2.0OpenID Connect
17
AZURE AD EDITIONEN / PREMIUM FEATURES
Azure AD Premium provides: Azure Active Directory Premium P1
Azure Active Directory Premium P2
Self-Service Group and app Management/Self-Service application additions/ Dynamic Groups
Yes Yes
Self-service password reset/change/unlock with write-back to on-premises directories
Yes Yes
Multi-Factor Authentication-Server (cloud and on-premises) Yes Yes
MIM CAL + MIM Server Yes Yes
Cloud app discovery Yes Yes
Connect Health Yes Yes
Conditional Access based on group and location Yes Yes
Conditional Access based on device state (allow access from managed devices)
Yes Yes
Identity Protection Yes
Privileged Identity Management Yes
18
AZURE AD CONDITIONAL ACCESS
Conditions
Allow access
Or
Block access
Actions
Enforce MFA
per user/per
app
Location
Device state
User/Application
MFA
Risk
User
19
AZURE AD MULTI-FACTOR AUTHENTICATION
Text messagesPhone callsMobile apps
Azure ADPer user consumption-based:$1.40 per monthPer authentication-based:$1.40 per 10 authentications
20
PRIVILEGED IDENTITY MANAGEMENT
Azure AD Privileged Identity Management bietet ihnen• einen Überblick über die aktuellen Azure AD Administratoren und deren Berechtigungen.• die Aktivierung von administrativen Zugriffen auf Microsoft Online Services bei Bedarf ("just in time“) • Reports über administrative Zugriffe und Veränderungen in administrativen Berechtigungen• Alarmierung beim Zugriff auf privilegierte Konten• Regelmäßige Überprüfung privilegierter Berechtigungen (Identity Governance)• Verwaltung über REST API und PowerShell
Azure AD Privileged Identity Management unterstützt Sie bei der Verwaltung der “built-in” Azure AD Berechtigungsrollen• Global Administrator• Billing Administrator• Service Administrator • User Administrator• Password Administrator• O365 Online Services Administrators (nur Administratoren)
21
22
AZURE AD IDENTITY PROTECTION
Problemstellung: So bald ein Angreifer Zugriff auf ein unprivilegiertes Benutzerkonto erhält, istdie Beschaffung von Zugriff auf Unternehmensinformationen relativ einfach.
Azure Active Directory Identity Protection ist eine Funktion von Azure AD Premium P2 mitfolgenden Mehrwerten:
• Konfiguration risikobasierter Richtlinien welche automatisiert auf erkannte Problemereagieren sobald eine definierbarer Risikolevel erreicht ist.
• Diese Richtlinien können Zugriff automatisch blockieren oder zusätzlicheSicherheitsmechanismen wie, Passwortreset oder Multi-Faktor-Authentifizierung für einzelneBenutzer aktivieren.
• Azure AD Identity Protection verwendet adaptive Machine Learning Algorithmen und Heuristiken zur Erkennung von Anomalien und verdächtigem Verhalten welches kompromitierte Identitäten anzeigt.
23
Brute force attacks
Leaked credentials
Infected devices
Suspicious sign-in activities
Configuration vulnerabilities
Risk-Based policies
Reporting APIs
24
(AZURE) AD HEALTH
Detection of compromised credentialsbased on machine-learning andbehavioral analytics
Protection of AD Controllers of one Forest
Receive Windows Events or data from Syslog or SIEM-Systems
Microsoft Advanced Threat Analytics (ATA)
Azure AD Connect Health
Monitor your Identity Bridge
AD DS Infrastructure + Azure AD Connect and ADFS Health Insights
Support for IBM QRadar
Implement regular and automated pen-testings!
25
PEOPLE-CENTRIC DATA PROTECTION
Template-based Classification & Labeling
Document based data Protection on-prem/Cloud
Azure Information Protection
User-/Group-based Access-Management
Microsoft Intune
Malware Protection and Patch Management
Mobile Device & APP Management incl. BYOD
Inventory and PoliciesRisk scoring + Threat protection
Shadow IT App-Discovery
Policies for data control
Cloud App Security(based on Adallom acquisition)
Lookout Mobile Security
Monitor and Alerts
Document use tracking
Secure Collaboration with partners and customers
Supported 3rd Party-Apps for API-Integration
aEZQAR]ibr{qBfrfC;jx+Tg@XL2,Jzu()&(*7812(*:
Use Rights
26
• Benutzer wählen Apps (Vielfalt, Schatten-IT)
• Zugriff auf Unternehmensressourcen von überall
• Daten warden geteilt in hybriden Architekturen
• Die IT hat neue Herausforderungen
• Limitierte Anwendungen für die Benutzer
• Zugriff auf Unternehmendienste über das interne Netzwerk, von verwalteten Geräten
• IT schützt Anwendungen/Daten durch Firewalls
IT V1
On-premises
Storage, corp data Users
IT V2
27
IDENTITY & SOFTWARE ASSET MANAGEMENT
• Eindeutige User über die gesamte Organisation und valider Status (aktiv/nicht aktiv).
• Valides und schnelles Mapping von Usern und zugewiesenen Software-Lizenzen und Endgeräte.
• Valide Aussage zu Usern und deren Zugriffe auf Systeme basierend auf RBAC.
• Valide Aussage zu Usern und deren Stammdaten (Land, Kostenstelle, Job-Role).
• Automatisiertes Lizenzmanagement (Zuweisung und Entzug) zur Vermeidung unnötiger Lizenzkosten.
SAM
Uservermessung und
Lizenzbilanz
Identity Management zur Erhöhung der Geschwindigkeit und Qualität bei User-Vermessungen und Lizenz-Management
28
ZUSAMMENFASSUNG / TASKLIST
29
WHAT NEXT …
IDENTITY MANAGEMENT ON THE BLOCKCHAIN
30
AXIANS-SECURITY FACHARTIKEL & REFERENZEN
Krieg im Security-Weltraum: Die dunkle Seite der digitalen Transformation
http://www.silicon.de/41628378/41628378/
Identity und Access Management im Wandel
http://www.it-administrator.de/themen/sicherheit/fachartikel/229360.html
Mobility-Management aus einem Guss
http://www.lanline.de/mobility-management-aus-einem-guss-html/
Datendiebstahl mit privilegierten Konten
http://www.security-insider.de/datendiebstahl-mit-privilegierten-konten-a-572379/
Kuka: Aus vielen eins gemacht
https://www.axians.de/de/references/kuka-ag-aus-vielen-eins-gemacht/
Rheinland Versicherungsgruppe: Wer geht ins Netz? Niemand, der’s nicht darf!
https://www.axians.de/de/references/rheinland-versicherungsgruppe-wer-geht-ins-netz-niemand-ders-nicht-darf/