Wir haben mit Sicherheit ein weiteres intensives Jahr hinter uns. Von der anhaltenden Pandemie über veränderte Prioritäten bei Mitarbeiter*innen bis hin zur wirtschaftlichen Ungewissheit – es hat sich wirklich so angefühlt, als sei der Wandel die einzige Konstante. In der aktuellen Wirtschaftslage sind viele Unternehmen auf der Suche nach Effizienzsteigerungen. Das führt zu einem erhöhten Druck auf alle, dazu zählen auch die Sicherheitsteams in den Unternehmen. Für viele bedeutet dies, dass sie weniger Ressourcen zur Verfügung haben, obwohl die Zahl der Cyberangriffe weiter zunimmt. Was tut man also? Man findet Wege, um mit weniger mehr zu erreichen: Do more with less.
Entgegen der allgemeinen Meinung muss der Ansatz, „mehr mit weniger erreichen“ nicht zwingend bedeuten, dass man etwas entbehren muss. Zumindest nicht, wenn man seine Denkweise, seinen Mindset ändert. Herausforderungen können eine Gelegenheit sein, in die Offensive zu gehen und die Leistung der eigenen Organisation zu verbessern, ohne mehr Ressourcen einzusetzen.
Auf der Microsoft Ignite haben wir unsere neuesten Innovationen vorgestellt, mit denen unsere Kunden und Partner mit weniger Aufwand mehr erreichen können. Im Bereich Identität haben wir drei neue Funktionen vorgestellt – eine vollständige Identitätsmanagementlösung, zertifikatsbasierte Authentifizierung (CBA) und Workload-Identitäten. Alle diese Funktionen sind Teil von Microsoft Entra, der neuen Identity & Access-Produktfamilie die wir Anfang 2022 auf den Markt gebracht haben. Mit den neuesten Ankündigungen umfasst die Microsoft Entra-Produktfamilie nun:
Wir haben auch drei Strategien verfolgt, die mit Microsoft Entra-Lösungen umgesetzt werden können, um dabei zu helfen, die Sicherheit zu erhöhen, die Effizienz zu verbessern und die Gesamtkosten zu senken:
- Konsolidierung von Einzellösungen und Anbietern, um alles Überflüssige zu eliminieren.
- Das Beste daraus machen, was man bereits besitzt, um Investitionsrendite (ROI) zu maximieren.
- Einführung der neuesten Sicherheitsinnovationen zum Schutz vor Bedrohungen, die sich entwickeln.
Konsolidierung von Einzellösungen und Anbietern
Die Konsolidierung erfordert eine Bewertung von den Instrumenten, die verwendet werden, sowie von dem Mehrwert, der daraus gezogen wird. Dazu muss man sich zunächst einige grundlegende Fragen stellen: Schützen die derzeitigen Tools die gesamte Infrastruktur? Können redundante Tools in der eigenen Umgebung ausgemustert werden?
Wir hören oft von Kunden, dass herkömmliche Identity-Governance-Punktlösungen nicht für komplexe Cloud- und Hybrid-Umgebungen geeignet sind und eine Integration mit Zugriffsmanagement-Tools erfordern. Wir wissen, dass eine Identity-Governance-Lösung, die die Anforderungen moderner Umgebungen und hybrider Arbeitsumgebungen erfüllt, entscheidend ist.
Auf der Ignite haben wir angekündigt, dass Microsoft Entra Identity Governance – eine vollständige Identitätsverwaltungslösung – jetzt als Preview verfügbar ist. Dieser in der Cloud bereitgestellte Dienst umfasst Funktionen, die bereits in Azure AD verfügbar waren, sowie erweiterte Tools, die das Identitätsmanagement und die Governance vereinfachen. Zu den neuen Funktionen in Microsoft Entra Identity Governance gehören:
- Lebenszyklus-Workflows, die als Preview verfügbar sind. Mit dieser Funktion kann man Arbeitsabläufe anpassen und sich wiederholende Aufgaben automatisieren, z.B. das Onboarding neuer Mitarbeiter*innen und die Aufräumarbeiten nach dem Mitarbeitende das Unternehmen verlassen haben.
- Aufgabentrennung, die jetzt allgemein als Teil der Entitlement Management Feature verfügbar ist. Diese Funktion automatisiert Prüfungen und andere Kontrollen, um sicherzustellen, dass Identitäten keinen übermäßigen Zugriff erhalten. Wenn zum Beispiel mehr als eine Person an einer Transaktion beteiligt sein muss, verringert sich das Betrugsrisiko.
- Verbindung zurück zu On-Premises. Microsoft Entra Identity Governance unterstützt auch das Provisioning für Ihre lokalen Anwendungen. Man kann problemlos von Microsoft Identity Manager migrieren, indem man seine bestehende Anschlusskonfiguration wiederverwendet.
Das meiste aus dem herauszuholen, was man bereits besitzt
Eine weitere wichtige Strategie zur Kostensenkung und Effizienzsteigerung besteht darin, mehr Wert aus den bereits vorhandenen Lösungen zu ziehen. Dies ist ein einfacher Weg zu schnellen Gewinnen, vor allem, wenn man dabei seinen Legacy-Fußabdruck vor Ort reduziert.
Hunderttausende von Unternehmen weltweit besitzen bereits Azure AD. Wir stellen jedoch häufig fest, dass Kunden das volle Potenzial von Azure AD nicht erkennen und daher eine unnötige Identitätsinfrastruktur vor Ort unterhalten.
Mit der Ankündigung, dass die zertifikatsbasierte Authentifizierung (CBA) in Microsoft Entra allgemein verfügbar ist, erweitern wir die Möglichkeiten von Azure AD. Durch das Hinzufügen von CBA zu Microsoft Entra wird das letzte große Hindernis für diejenigen beseitigt, die die Authentifizierung in die Cloud verlagern möchten.
Zusätzlich zu CBA haben wir mehrere Funktionen angekündigt, die dazu beitragen werden, die phishing-resistente Multifaktor-Authentifizierung (MFA) in der Realität umzusetzen. Mit dem kommenden Preview der Authentifizierungsstärke für bedingten Zugriff können Sie die Verwendung von phishing-resistenter MFA vorschreiben.
So kann eine Richtlinie beispielsweise phishing-resistente MFA vorschreiben und für den Zugriff auf sehr sensible Anwendungen oder Daten eine zusätzliche Authentifizierung mit einem FIPS FIDO2-Sicherheitsschlüssel verlangen. Dies funktioniert für jedes Benutzerkonto, einschließlich Business-to-Business (B2B)-Gästen, in jedem Tenant und in allen Microsoft Clouds. Die bevorstehenden Verbesserungen der Authentifizierungsmethoden-Richtlinien hilft, Phishing-Methoden, wie z. B. Textnachrichten, im eigenen Tempo zu deaktivieren.
Diese neuen Phishing-resistenten MFA-Funktionen sind für alle Kunden von entscheidender Bedeutung, vor allem aber für Kunden in regulierten Branchen. Hier finden Sie weitere Informationen zu diesen und anderen kürzlich veröffentlichten Funktionen für Azure Government.
Man kann seine Lösungen auch optimal nutzen, indem man seine Identitätsinfrastruktur modernisiert und die gesamte Anwendungsauthentifizierung von Active Directory Federation Server (AD FS) zu Azure AD in Microsoft Entra verschiebt. Dadurch erhalten die eigenen Benutzer*innen alle Vorteile von Microsoft Entra, einschließlich Single Sign-On, Conditional Access und Identitätsschutz.
Wir wissen, dass die Ablösung von AD FS nicht per Knopfdruck funktioniert, aber es hat sich zu einem primären Angriffsvektor entwickelt, so dass die Zeit für eine Modernisierung jetzt gekommen ist.
Um die Migration von AD FS zu vereinfachen, haben wir eine Reihe von robusten Bewertungs- und Planungstools zur Selbstbedienung und für unsere Partner entwickelt. Im vergangenen Jahr haben wir außerdem mehr als 20 Funktionen hinzugefügt, um sicherzustellen, dass alles, was mit AD FS gemacht werden kann, auch mit Azure AD umgesetzt werden kann.
Die neuesten Sicherheitsinnovationen umsetzen
Die Konsolidierung von Identitätslösungen und die optimale Nutzung der Tools werden Unternehmen in naher Zukunft sicherlich helfen, mit weniger mehr zu erreichen. Aber Cyberangriffe entwickeln sich ständig weiter, wie bleibt man gewappnet? Ein Sprichwort von Benjamin Franklin besagt: „Eine Unze Prävention ist mehr wert als ein Pfund Heilung“. Im Bereich der Sicherheit bedeutet dies, in Systeme zu investieren, die den sich entwickelnden Angriffsvektoren immer einen Schritt voraus sind.
Ein sich entwickelnder Bereich sind Workload-Identitäten. Identitätssysteme wurden für die Verwaltung menschlicher Identitäten entwickelt, aber auch Workloads müssen authentifiziert und autorisiert werden. Um auf Cloud-Ressourcen zuzugreifen und mit anderen Workloads zu kommunizieren, werden Identitäten benötigt, die gesichert und verwaltet werden müssen.
Eine von CyberArk in diesem Jahr durchgeführte Studie hat ergeben, dass 68 Prozent der Workloads Zugang zu sensiblen Daten und Werten haben.2 Das ist ein großes Problem. In den letzten drei Jahren hat sich die Anzahl der Workload-Identitäten in Microsoft Entra mehr als verdreifacht. Die Zahl der nicht-menschlichen Identitäten übersteigt jetzt die der menschlichen Identitäten um 5 zu 1 und wird in fünf Jahren 20 zu 1 betragen.
Microsoft Entra Workload Identities wird Unternehmen helfen, ihre Workloads zu sichern, indem sie erweiterte Funktionen wie Conditional Access und Identitätsschutz auf nicht-menschliche Identitäten ausweiten.
Diese neue Ergänzung der Microsoft Entra-Familie unterstützt sie bei der Zugriffskontrolle, der Erkennung von Risiken und der Vereinfachung des Zugriffslebenszyklus für Workloads mit weniger vorhersehbaren Verhaltensmustern, wobei dasselbe vertraute System, dieselbe Benutzeroberfläche (UI) und dasselbe Framework verwendet werden.
Jetzt können Organisationen ihre Verteidigung stärken, indem sie die Zero Trust-Prinzipien auf Workloads anwenden.
Jetzt mit weniger mehr erreichen
Obwohl es eine Herausforderung sein kann, mit weniger Mitteln mehr zu erreichen, ist das zu unserer neuen Normalität geworden. Auf jedem Schritt unseres gemeinsamen Weges sind wir bestrebt, Partner und Kunden die Werkzeuge und Ressourcen zur Verfügung zu stellen, die sie für die Sicherheit ihrer Organisationen benötigen.
In der Zwischenzeit möchte ich Sie als Leser*in ermutigen, die in diesem Blog beschriebenen Strategien in Betracht zu ziehen, um die Abwehrkräfte ihrer Unternehmen zu stärken und gleichzeitig die Effizienz zu verbessern.
Selbst in diesem schwierigen Umfeld mit so vielen Herausforderungen bin ich zuversichtlich, dass großartige Ergebnisse erzielt werden können. Meine Hoffnung ist, dass die Neuzugänge in Microsoft Entra dabei unterstützen werden, den Zugang zu allem für alle zu sichern.