IDENTITY ISKEY MICROSOFTS STRATEGIE ZUR ... · Rechtsberatung durch Juristen, nicht...

30
1 Andreas Schindler Team-Leader Cybersecurity & Enterprise Mobility Executive Cloud Architect, CISSP [email protected] IDENTITY IS KEY MICROSOFTS STRATEGIE ZUR BENUTZERORIENTIERTEN SECURITY!

Transcript of IDENTITY ISKEY MICROSOFTS STRATEGIE ZUR ... · Rechtsberatung durch Juristen, nicht...

Page 1: IDENTITY ISKEY MICROSOFTS STRATEGIE ZUR ... · Rechtsberatung durch Juristen, nicht IT-Dienstleister. 9 „DIGITALE IDENTITÄT“? „Eine Definition von digitaler Identität besagt,

1

Andreas SchindlerTeam-Leader Cybersecurity & Enterprise MobilityExecutive Cloud Architect, [email protected]

IDENTITY IS KEY

MICROSOFTS STRATEGIE ZUR BENUTZERORIENTIERTEN SECURITY!

Page 2: IDENTITY ISKEY MICROSOFTS STRATEGIE ZUR ... · Rechtsberatung durch Juristen, nicht IT-Dienstleister. 9 „DIGITALE IDENTITÄT“? „Eine Definition von digitaler Identität besagt,

2

Die (IT)Welt in der wir Leben ….

Page 3: IDENTITY ISKEY MICROSOFTS STRATEGIE ZUR ... · Rechtsberatung durch Juristen, nicht IT-Dienstleister. 9 „DIGITALE IDENTITÄT“? „Eine Definition von digitaler Identität besagt,

3Software Eats The World

Page 4: IDENTITY ISKEY MICROSOFTS STRATEGIE ZUR ... · Rechtsberatung durch Juristen, nicht IT-Dienstleister. 9 „DIGITALE IDENTITÄT“? „Eine Definition von digitaler Identität besagt,

4

• verändert Geschäftsmodelle und Kundenbeziehungen.

• bringt Veränderungen in der IT:• Agilität wird gefordert.• Daten und Anwendungen verlassen die

Unternehmen bzw. werden in das Internet veröffentlicht.

• Die Grenzen von Netzwerken und Geräten lösen sich auf.

Benutzer sind mobil, externe Benutzer kommen dazu. Der User (und seine Identity) steht im Fokus zum Schutz der Daten.

DIE DIGITALE TRANSFORMATION…

Page 5: IDENTITY ISKEY MICROSOFTS STRATEGIE ZUR ... · Rechtsberatung durch Juristen, nicht IT-Dienstleister. 9 „DIGITALE IDENTITÄT“? „Eine Definition von digitaler Identität besagt,

5

• Benutzer (B2B, B2C) und Zugriffsrollen• Authentifizierungsmethoden

• Administrative-Rollen und Rechte• APP-Management & APP-Security• Datenverarbeitung und –Speicherung• Datenverbindungen• Geräte- und Patch-Management / Härtung

Page 7: IDENTITY ISKEY MICROSOFTS STRATEGIE ZUR ... · Rechtsberatung durch Juristen, nicht IT-Dienstleister. 9 „DIGITALE IDENTITÄT“? „Eine Definition von digitaler Identität besagt,

7

Die EU-Datenschutz-Verordnung erfasst alle Unternehmen und Behörden welche mit personenbezogenen Daten umgehen.

Compliance: Auf der technischen Seite sind die datenverarbeitenden Unternehmen weitreichender als bisher verpflichtet, technische und organisatorische Sicherheitsmaßnahmen zum Schutz der personenbezogenen Daten zu ergreifen und vor allem auch deren Einhaltung nachzuweisen.

Bußgelder für Non-Compliance und Verletzung des Datenschutzes wurden deutlich erhöht.

EU DATENSCHUTZ-GRUNDVERORDNUNG

Die DS-GVO wird nach der Übergangsphase von zwei Jahren am 25. Mai 2018 wirksam.

Page 8: IDENTITY ISKEY MICROSOFTS STRATEGIE ZUR ... · Rechtsberatung durch Juristen, nicht IT-Dienstleister. 9 „DIGITALE IDENTITÄT“? „Eine Definition von digitaler Identität besagt,

8

EU DATENSCHUTZ-GRUNDVERORDNUNG

Quelle: https://www.datenschutz-grundverordnung.eu/Rechtsberatung durch Juristen, nicht IT-Dienstleister.

Page 9: IDENTITY ISKEY MICROSOFTS STRATEGIE ZUR ... · Rechtsberatung durch Juristen, nicht IT-Dienstleister. 9 „DIGITALE IDENTITÄT“? „Eine Definition von digitaler Identität besagt,

9

„DIGITALE IDENTITÄT“?

„Eine Definition von digitaler Identität besagt, dass die digitale Identität einen Ausweis eines Objektes repräsentiert, der verschiedene Attribute beinhaltet.“

"Eine digitale Identität ist eine Identität, die von einem Rechner verstanden und verarbeitet werden kann. Diesen Vorgang nennt man Authentifizierung und Autorisierung. Die digitale Identität entsteht, indem Attribute einer natürlichen Person oder eines Objektes in einem Rechner in elektronischer Form sicher registriert werden.“

Page 10: IDENTITY ISKEY MICROSOFTS STRATEGIE ZUR ... · Rechtsberatung durch Juristen, nicht IT-Dienstleister. 9 „DIGITALE IDENTITÄT“? „Eine Definition von digitaler Identität besagt,

10

Page 11: IDENTITY ISKEY MICROSOFTS STRATEGIE ZUR ... · Rechtsberatung durch Juristen, nicht IT-Dienstleister. 9 „DIGITALE IDENTITÄT“? „Eine Definition von digitaler Identität besagt,

11

MICROSOFT OFFICE 365 EMS

Page 12: IDENTITY ISKEY MICROSOFTS STRATEGIE ZUR ... · Rechtsberatung durch Juristen, nicht IT-Dienstleister. 9 „DIGITALE IDENTITÄT“? „Eine Definition von digitaler Identität besagt,

12

Information protection

Identity-driven security

Managed mobile productivity

Identity and access management

Azure Information Protection

Premium P2

(includes P1 features)

Azure Information Protection

Premium P1

Microsoft Cloud App Security

Microsoft Advanced Threat Analytics

Microsoft Intune

Azure Active Directory Premium P2

(includes P1 features)

Azure Active Directory

Premium P1E3

E5

https://technet.microsoft.com/de-de/library/office-365-platform-service-description.aspx

Page 13: IDENTITY ISKEY MICROSOFTS STRATEGIE ZUR ... · Rechtsberatung durch Juristen, nicht IT-Dienstleister. 9 „DIGITALE IDENTITÄT“? „Eine Definition von digitaler Identität besagt,

13

NEW: SECURE PRODUCTIVE ENTERPRISE

Page 14: IDENTITY ISKEY MICROSOFTS STRATEGIE ZUR ... · Rechtsberatung durch Juristen, nicht IT-Dienstleister. 9 „DIGITALE IDENTITÄT“? „Eine Definition von digitaler Identität besagt,

14

MICROSOFT ENTERPRISE MOBILITY + SECURITY

Microsoft

Intune

Azure Information

Protection

Protect your users, devices, and apps

Detect threats early with visibility and threat analytics

Protect your data, everywhere

Extend enterprise-grade security to

your cloud and SaaS apps

Manage identity with hybrid

integration to protect application

access from identity attacks

Microsoft

Advanced Threat Analytics

Microsoft Cloud App

Security

Azure Active

Directory Premium

Advanced Threat

Protection

Microsoft

Intune

Microsoft Cloud App

Security

Page 15: IDENTITY ISKEY MICROSOFTS STRATEGIE ZUR ... · Rechtsberatung durch Juristen, nicht IT-Dienstleister. 9 „DIGITALE IDENTITÄT“? „Eine Definition von digitaler Identität besagt,

15

THEMENÜBERSICHT

Page 16: IDENTITY ISKEY MICROSOFTS STRATEGIE ZUR ... · Rechtsberatung durch Juristen, nicht IT-Dienstleister. 9 „DIGITALE IDENTITÄT“? „Eine Definition von digitaler Identität besagt,

16

IDENTITY MANAGEMENT

Single sign-onSelf-services

Simple connection

On-Premises

Other directories

Windows ServerActive Directory

2.500+ pre-integratedSaaS-Appliations

Cloud

Hybrid-Clouds

Microsoft Azure Active Directory

Published Apps

Identity/attribute synchronization with

password (hash) sync

or

Federation via ADFS

Azure AD Azure AD& AD Domain Service B2C

Azure

Microsoft Identity Manager (Sync/Portal)

Kerberos / Group Policy

NTLM/LDAP

SAML, WS-FedOAuth2.0OpenID Connect

Page 17: IDENTITY ISKEY MICROSOFTS STRATEGIE ZUR ... · Rechtsberatung durch Juristen, nicht IT-Dienstleister. 9 „DIGITALE IDENTITÄT“? „Eine Definition von digitaler Identität besagt,

17

AZURE AD EDITIONEN / PREMIUM FEATURES

Azure AD Premium provides: Azure Active Directory Premium P1

Azure Active Directory Premium P2

Self-Service Group and app Management/Self-Service application additions/ Dynamic Groups

Yes Yes

Self-service password reset/change/unlock with write-back to on-premises directories

Yes Yes

Multi-Factor Authentication-Server (cloud and on-premises) Yes Yes

MIM CAL + MIM Server Yes Yes

Cloud app discovery Yes Yes

Connect Health Yes Yes

Conditional Access based on group and location Yes Yes

Conditional Access based on device state (allow access from managed devices)

Yes Yes

Identity Protection Yes

Privileged Identity Management Yes

Page 18: IDENTITY ISKEY MICROSOFTS STRATEGIE ZUR ... · Rechtsberatung durch Juristen, nicht IT-Dienstleister. 9 „DIGITALE IDENTITÄT“? „Eine Definition von digitaler Identität besagt,

18

AZURE AD CONDITIONAL ACCESS

Conditions

Allow access

Or

Block access

Actions

Enforce MFA

per user/per

app

Location

Device state

User/Application

MFA

Risk

User

Page 19: IDENTITY ISKEY MICROSOFTS STRATEGIE ZUR ... · Rechtsberatung durch Juristen, nicht IT-Dienstleister. 9 „DIGITALE IDENTITÄT“? „Eine Definition von digitaler Identität besagt,

19

AZURE AD MULTI-FACTOR AUTHENTICATION

Text messagesPhone callsMobile apps

Azure ADPer user consumption-based:$1.40 per monthPer authentication-based:$1.40 per 10 authentications

Page 20: IDENTITY ISKEY MICROSOFTS STRATEGIE ZUR ... · Rechtsberatung durch Juristen, nicht IT-Dienstleister. 9 „DIGITALE IDENTITÄT“? „Eine Definition von digitaler Identität besagt,

20

PRIVILEGED IDENTITY MANAGEMENT

Azure AD Privileged Identity Management bietet ihnen• einen Überblick über die aktuellen Azure AD Administratoren und deren Berechtigungen.• die Aktivierung von administrativen Zugriffen auf Microsoft Online Services bei Bedarf ("just in time“) • Reports über administrative Zugriffe und Veränderungen in administrativen Berechtigungen• Alarmierung beim Zugriff auf privilegierte Konten• Regelmäßige Überprüfung privilegierter Berechtigungen (Identity Governance)• Verwaltung über REST API und PowerShell

Azure AD Privileged Identity Management unterstützt Sie bei der Verwaltung der “built-in” Azure AD Berechtigungsrollen• Global Administrator• Billing Administrator• Service Administrator • User Administrator• Password Administrator• O365 Online Services Administrators (nur Administratoren)

Page 21: IDENTITY ISKEY MICROSOFTS STRATEGIE ZUR ... · Rechtsberatung durch Juristen, nicht IT-Dienstleister. 9 „DIGITALE IDENTITÄT“? „Eine Definition von digitaler Identität besagt,

21

Page 22: IDENTITY ISKEY MICROSOFTS STRATEGIE ZUR ... · Rechtsberatung durch Juristen, nicht IT-Dienstleister. 9 „DIGITALE IDENTITÄT“? „Eine Definition von digitaler Identität besagt,

22

AZURE AD IDENTITY PROTECTION

Problemstellung: So bald ein Angreifer Zugriff auf ein unprivilegiertes Benutzerkonto erhält, istdie Beschaffung von Zugriff auf Unternehmensinformationen relativ einfach.

Azure Active Directory Identity Protection ist eine Funktion von Azure AD Premium P2 mitfolgenden Mehrwerten:

• Konfiguration risikobasierter Richtlinien welche automatisiert auf erkannte Problemereagieren sobald eine definierbarer Risikolevel erreicht ist.

• Diese Richtlinien können Zugriff automatisch blockieren oder zusätzlicheSicherheitsmechanismen wie, Passwortreset oder Multi-Faktor-Authentifizierung für einzelneBenutzer aktivieren.

• Azure AD Identity Protection verwendet adaptive Machine Learning Algorithmen und Heuristiken zur Erkennung von Anomalien und verdächtigem Verhalten welches kompromitierte Identitäten anzeigt.

Page 23: IDENTITY ISKEY MICROSOFTS STRATEGIE ZUR ... · Rechtsberatung durch Juristen, nicht IT-Dienstleister. 9 „DIGITALE IDENTITÄT“? „Eine Definition von digitaler Identität besagt,

23

Brute force attacks

Leaked credentials

Infected devices

Suspicious sign-in activities

Configuration vulnerabilities

Risk-Based policies

Reporting APIs

Page 24: IDENTITY ISKEY MICROSOFTS STRATEGIE ZUR ... · Rechtsberatung durch Juristen, nicht IT-Dienstleister. 9 „DIGITALE IDENTITÄT“? „Eine Definition von digitaler Identität besagt,

24

(AZURE) AD HEALTH

Detection of compromised credentialsbased on machine-learning andbehavioral analytics

Protection of AD Controllers of one Forest

Receive Windows Events or data from Syslog or SIEM-Systems

Microsoft Advanced Threat Analytics (ATA)

Azure AD Connect Health

Monitor your Identity Bridge

AD DS Infrastructure + Azure AD Connect and ADFS Health Insights

Support for IBM QRadar

Implement regular and automated pen-testings!

Page 25: IDENTITY ISKEY MICROSOFTS STRATEGIE ZUR ... · Rechtsberatung durch Juristen, nicht IT-Dienstleister. 9 „DIGITALE IDENTITÄT“? „Eine Definition von digitaler Identität besagt,

25

PEOPLE-CENTRIC DATA PROTECTION

Template-based Classification & Labeling

Document based data Protection on-prem/Cloud

Azure Information Protection

User-/Group-based Access-Management

Microsoft Intune

Malware Protection and Patch Management

Mobile Device & APP Management incl. BYOD

Inventory and PoliciesRisk scoring + Threat protection

Shadow IT App-Discovery

Policies for data control

Cloud App Security(based on Adallom acquisition)

Lookout Mobile Security

Monitor and Alerts

Document use tracking

Secure Collaboration with partners and customers

Supported 3rd Party-Apps for API-Integration

aEZQAR]ibr{qBfrfC;jx+Tg@XL2,Jzu()&(*7812(*:

Use Rights

Page 26: IDENTITY ISKEY MICROSOFTS STRATEGIE ZUR ... · Rechtsberatung durch Juristen, nicht IT-Dienstleister. 9 „DIGITALE IDENTITÄT“? „Eine Definition von digitaler Identität besagt,

26

• Benutzer wählen Apps (Vielfalt, Schatten-IT)

• Zugriff auf Unternehmensressourcen von überall

• Daten warden geteilt in hybriden Architekturen

• Die IT hat neue Herausforderungen

• Limitierte Anwendungen für die Benutzer

• Zugriff auf Unternehmendienste über das interne Netzwerk, von verwalteten Geräten

• IT schützt Anwendungen/Daten durch Firewalls

IT V1

On-premises

Storage, corp data Users

IT V2

Page 27: IDENTITY ISKEY MICROSOFTS STRATEGIE ZUR ... · Rechtsberatung durch Juristen, nicht IT-Dienstleister. 9 „DIGITALE IDENTITÄT“? „Eine Definition von digitaler Identität besagt,

27

IDENTITY & SOFTWARE ASSET MANAGEMENT

• Eindeutige User über die gesamte Organisation und valider Status (aktiv/nicht aktiv).

• Valides und schnelles Mapping von Usern und zugewiesenen Software-Lizenzen und Endgeräte.

• Valide Aussage zu Usern und deren Zugriffe auf Systeme basierend auf RBAC.

• Valide Aussage zu Usern und deren Stammdaten (Land, Kostenstelle, Job-Role).

• Automatisiertes Lizenzmanagement (Zuweisung und Entzug) zur Vermeidung unnötiger Lizenzkosten.

SAM

Uservermessung und

Lizenzbilanz

Identity Management zur Erhöhung der Geschwindigkeit und Qualität bei User-Vermessungen und Lizenz-Management

Page 28: IDENTITY ISKEY MICROSOFTS STRATEGIE ZUR ... · Rechtsberatung durch Juristen, nicht IT-Dienstleister. 9 „DIGITALE IDENTITÄT“? „Eine Definition von digitaler Identität besagt,

28

ZUSAMMENFASSUNG / TASKLIST

Page 29: IDENTITY ISKEY MICROSOFTS STRATEGIE ZUR ... · Rechtsberatung durch Juristen, nicht IT-Dienstleister. 9 „DIGITALE IDENTITÄT“? „Eine Definition von digitaler Identität besagt,

29

WHAT NEXT …

IDENTITY MANAGEMENT ON THE BLOCKCHAIN

Page 30: IDENTITY ISKEY MICROSOFTS STRATEGIE ZUR ... · Rechtsberatung durch Juristen, nicht IT-Dienstleister. 9 „DIGITALE IDENTITÄT“? „Eine Definition von digitaler Identität besagt,

30

AXIANS-SECURITY FACHARTIKEL & REFERENZEN

Krieg im Security-Weltraum: Die dunkle Seite der digitalen Transformation

http://www.silicon.de/41628378/41628378/

Identity und Access Management im Wandel

http://www.it-administrator.de/themen/sicherheit/fachartikel/229360.html

Mobility-Management aus einem Guss

http://www.lanline.de/mobility-management-aus-einem-guss-html/

Datendiebstahl mit privilegierten Konten

http://www.security-insider.de/datendiebstahl-mit-privilegierten-konten-a-572379/

Kuka: Aus vielen eins gemacht

https://www.axians.de/de/references/kuka-ag-aus-vielen-eins-gemacht/

Rheinland Versicherungsgruppe: Wer geht ins Netz? Niemand, der’s nicht darf!

https://www.axians.de/de/references/rheinland-versicherungsgruppe-wer-geht-ins-netz-niemand-ders-nicht-darf/