| Popis: |
Die traditionelle Netzwerksicherheit kann den heutigen Sicherheitsanforderungen nicht mehr gerecht werden, wie die ständig wachsende Zahl von Datenschutzverletzungen zeigt. Zero Trust - ein neues Konzept der Cybersicherheit - soll diesen Herausforderungen begegnen. Microsoft wirbt damit, dass deren Technologien auf den von NIST Special Publication 800-2007 vorgeschlagenen Zero-Trust-Prinzipien und -Leitlinien beruhen. Ziel dieser Arbeit war es, herauszufinden, welche Auswirkungen die Implementierung, Konfiguration und Nutzung von Microsoft-Diensten hat, so dass eine Zero Trust Architectur entsteht, und wie sich dies auf die Sicherheitslage von Organisationen auswirkt. Zunächst wurde eine Literaturstudie durchgeführt, um den aktuellen Stand der Forschung und Praxis darzustellen. Anschließend wurde eine Referenzimplementierung in einer Organisationsinfrastruktur durchgeführt. Microsoft hat die Zero Trust Grundsätze als Kernprinzipien in seine Technologien integriert. Identitäten bilden die Kontrollebene, wobei Azure AD als Zero Trust Controller fungiert. Conditional Access (CA) Richtlinien bilden die dynamischen Zero Trust Richtlinien ab. Azure AD in Kombination mit CA-Richtlinien bilden das Zero Trust Grundgerüst. Intune erweitert einerseits CA-Richtlinien auf Geräteebene und ermöglicht andererseits MDM und MAM. Microsoft 365 Defender ergänzt diesen Framework durch Advanced Threat Protection, wodurch die Sicherheitslage von Organisationen gesteigert werden kann. Data Governance and Compliance kann mittels Purview Information Protection (PIP) realisiert werden. Die Implementierung und Konfiguration konnte mit minimalem Aufwand hinsichtlich der Cloud-Aspekte durchgeführt werden. Der hybride Umfang hingegen erforderte mehr Aufwand und wurde für einige Aspekte als fehleranfällig empfunden. Ein Gleichgewicht zwischen der Durchsetzung von Sicherheitsaspekten wie MFA und der Benutzerfreundlichkeit muss fein abgestimmt werden. Microsoft empfiehlt bewährte Sicherheitspraktiken und Optimierungen, die als Orientierungshilfe dienen. Eine Strategie, die Zustimmung des Managements und die Klärung der rechtlichen Aspekte wurden als Voraussetzungen genannt. Wissen und Erfahrung wurden als Schlüsselfaktoren für eine erfolgreiche Einführung und Nutzung angesehen. Zero Trust kann unter Verwendung der beschriebenen Technologien implementiert werden und die allgemeine Sicherheitslage von Organisationen verbessern, wenn alle Voraussetzungen erfüllt sind, Benutzer und Administratoren geschult werden, ein Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit besteht und der hybride Raum möglicherweise vermieden wird. Die vorgestellte Referenzimplementierung wird dabei für die meisten Organisationen ausreichend sein. Für solche, die hohe Datenschutzanforderungen haben, kann PIP diesen Framework ergänzen. Network perimeter security cannot cope with modern day security demands as the ever growing number of data breaches demonstrates. Zero Trust - a novel concept of cyber security - has been proposed to address these challenges. Microsoft promotes that their technologies reside upon Zero Trust principles and tenets proposed by NIST's Special Publication 800-207. The aim of this thesis was to find out the implications of implementing, configuring and using Microsoft Services so that a Zero Trust Architecture results and how this affects the security posture of organisations. Therefore, initially a literature study was carried out to depict the current state of research and practice. Then a reference implementation in an enterprise infrastructure based on the Microsoft 365 Zero Trust abstract deployment stack has been conducted. Microsoft has integrated Zero Trust principles as core principles in its technologies. Identities form the control plane, with Azure AD acting as the Zero Trust Controller. Conditional Access (CA) policies map to the dynamic Zero Trust policies. Azure AD in combination with CA policies constitute a basic Zero Trust framework. Intune extends CA policies to the device level on the one hand and enables MDM and MAM on the other. Microsoft 365 Defender complements this framework with Advanced Threat Protection, which can increase the security posture of organisations. Data Governance and Compliance can be realized using Purview Information Protection (PIP). Implementation and configuration could be conducted with minimal effort regarding cloud aspects. The hybrid scope in contrast required more effort and was experienced as error-prone for some aspects. A balance between enforcing security aspects like MFA and usability has to be fine-tuned. Security best practices and optimisations are recommended by Microsoft that provide guidance. Having a strategy, consent of the management and settling the legal aspects were identified as prerequisites. Knowledge and experience was experienced as the key factor for successfully deployment and usage. In this sense also proper testing, training and guidance of users as well as administrators is essential. Zero Trust can be implemented by using the described technologies and raise the overall security posture of organisations if properly settling the prerequisites, training users and administrators, balancing security and usability and potentially avoiding the hybrid space. The presented reference implementation will be sufficient for most organisations. For those, that have strict data governance and compliance requirements may incorporate PIP. Gregor Fernbach Masterarbeit FH JOANNEUM 2023 |
