Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Zero Trust ist eine Sicherheitsstrategie zum Entwerfen und Implementieren der folgenden Sicherheitsprinzipien:
| Explizit verifizieren | Verwenden Sie den Zugriff mit den geringsten Rechten | Gehe von einem Verstoß aus |
|---|---|---|
| Authentifizieren und autorisieren Sie immer basierend auf allen verfügbaren Datenpunkten. | Beschränken Sie den Benutzerzugriff mit Just-In-Time und Just-Enough-Access (JIT/JEA), risikobasierten adaptiven Richtlinien und Datenschutz. | Minimieren Sie Denkradius und Segmentzugriff. Überprüfen Sie die End-to-End-Verschlüsselung, und nutzen Sie Analysen, um einen Überblick zu erhalten, die Erkennung von Bedrohungen voranzutreiben und den Schutz zu verbessern. |
Implementieren Sie Zero Trust Prinzipien in Ihren OT-Netzwerken (Operational Technology), um Sie bei Herausforderungen zu unterstützen, z. B.:
Steuern von Remoteverbindungen mit Ihren OT-Systemen, Schützen Ihrer Netzwerk-Sprungposten und Verhindern von Seitwärtsbewegungen über Ihr Netzwerk
Überprüfen und Reduzieren von Verbindungen zwischen abhängigen Systemen, Vereinfachen von Identitätsprozessen, z. B. für Vertragsnehmer, die sich bei Ihrem Netzwerk anmelden
Ermitteln von Single Points of Failure in Ihrem Netzwerk, Identifizieren von Problemen in bestimmten Netzwerksegmenten und Reduzieren von Verzögerungen und Bandbreitenengpässen
Einzigartige Risiken und Herausforderungen für OT-Netzwerke
OT-Netzwerkarchitekturen unterscheiden sich häufig von der herkömmlichen IT-Infrastruktur. OT-Systeme verwenden einzigartige Technologie mit proprietären Protokollen und haben möglicherweise veraltete Plattformen und eingeschränkte Konnektivität und Leistung. OT-Netzwerke können auch bestimmte Sicherheitsanforderungen und einzigartige Expositionen gegenüber physischen oder lokalen Angriffen aufweisen, z. B. über externe Auftragnehmer, die sich bei Ihrem Netzwerk anmelden.
Da OT-Systeme häufig kritische Netzwerkinfrastrukturen unterstützen, sind sie häufig so konzipiert, dass sie physische Sicherheit oder Verfügbarkeit gegenüber dem sicheren Zugriff und der Überwachung priorisieren. Beispielsweise können Ihre OT-Netzwerke getrennt vom anderen Unternehmensnetzwerkdatenverkehr funktionieren, um Ausfallzeiten für regelmäßige Wartungen zu vermeiden oder bestimmte Sicherheitsprobleme zu beheben.
Wenn mehr OT-Netzwerke zu cloudbasierten Umgebungen migrieren, kann die Anwendung Zero Trust Prinzipien besondere Herausforderungen darstellen. Zum Beispiel:
- OT-Systeme sind möglicherweise nicht für mehrere Benutzer und rollenbasierte Zugriffsrichtlinien konzipiert und verfügen möglicherweise nur über einfache Authentifizierungsprozesse.
- OT-Systemen steht möglicherweise nicht die Verarbeitungsleistung zur Verfügung, um Richtlinien für den sicheren Zugriff vollständig anzuwenden, und vertrauen stattdessen dem gesamten empfangenen Datenverkehr als sicher.
- Die alternde Technologie stellt Herausforderungen bei der Beibehaltung des Organisationswissens, der Anwendung von Updates und der Verwendung standardmäßiger Sicherheitsanalysetools dar, um Sichtbarkeit zu erhalten und die Bedrohungserkennung zu fördern.
Eine Sicherheitskompromittierung in Ihren unternehmenskritischen Systemen kann jedoch zu realen Konsequenzen führen, die über herkömmliche IT-Vorfälle hinausgehen, und Nichtkonformität kann sich auf die Fähigkeit Ihrer organization auswirken, behördlichen und branchenspezifischen Vorschriften zu entsprechen.
Anwenden Zero Trust Prinzipien auf OT-Netzwerke
Wenden Sie weiterhin die gleichen Zero Trust Prinzipien in Ihren OT-Netzwerken an wie in herkömmlichen IT-Netzwerken, aber mit einigen logistischen Änderungen nach Bedarf. Zum Beispiel:
Stellen Sie sicher, dass alle Verbindungen zwischen Netzwerken und Geräten identifiziert und verwaltet werden, um unbekannte Interdependenz zwischen Systemen zu verhindern und unerwartete Ausfallzeiten bei Wartungsvorgängen zu vermeiden.
Da einige OT-Systeme möglicherweise nicht alle erforderlichen Sicherheitspraktiken unterstützen, empfehlen wir, Verbindungen zwischen Netzwerken und Geräten auf eine begrenzte Anzahl von Sprunghosts zu beschränken. Jumphosts können dann verwendet werden, um Remotesitzungen mit anderen Geräten zu starten.
Stellen Sie sicher, dass Ihre Jumphosts über strengere Sicherheitsmaßnahmen und Authentifizierungsmethoden verfügen, z. B. mehrstufige Authentifizierung und Verwaltungssysteme für privilegierten Zugriff.
Segmentieren Sie Ihr Netzwerk, um den Datenzugriff zu beschränken, um sicherzustellen, dass die gesamte Kommunikation zwischen Geräten und Segmenten verschlüsselt und geschützt ist, und verhindern Sie laterale Verschiebungen zwischen Systemen. Stellen Sie beispielsweise sicher, dass alle Geräte, die auf das Netzwerk zugreifen, gemäß den Richtlinien Ihrer organization vorautorisiert und geschützt sind.
Möglicherweise müssen Sie der Kommunikation über Ihre gesamten industriellen Kontroll- und Sicherheitsinformationssysteme (ICS und SIS) vertrauen. Sie können Ihr Netzwerk jedoch häufig weiter in kleinere Bereiche unterteilen, sodass die Überwachung auf Sicherheit und Wartung vereinfacht wird.
Werten Sie Signale wie Standort, Integrität und Verhalten des Geräts aus, und verwenden Sie Integritätsdaten, um den Zugriff zu sperren oder zur Behebung zu kennzeichnen. Fordern Sie, dass Geräte auf dem neuesten Stand für den Zugriff sein müssen, und verwenden Sie Analysen, um Sichtbarkeit zu erhalten und Schutzmaßnahmen mit automatisierten Antworten zu skalieren.
Überwachen Sie weiterhin Sicherheitsmetriken, z. B. autorisierte Geräte und Ihre Baseline für Den Netzwerkdatenverkehr, um sicherzustellen, dass Ihr Sicherheitsperimeter seine Integrität und Änderungen an Ihren organization im Laufe der Zeit beibehalten. Beispielsweise müssen Sie Möglicherweise Ihre Segmente und Zugriffsrichtlinien ändern, wenn sich Personen, Geräte und Systeme ändern.
Zero Trust mit Defender für IoT
Stellen Sie Microsoft Defender für IoT-Netzwerksensoren bereit, um Geräte zu erkennen und den Datenverkehr in Ihren OT-Netzwerken zu überwachen. Defender für IoT bewertet Ihre Geräte auf Sicherheitsrisiken, bietet risikobasierte Schritte zur Entschärfung und überwacht Ihre Geräte kontinuierlich auf anomales oder nicht autorisiertes Verhalten.
Verwenden Sie beim Bereitstellen von OT-NetzwerksensorenStandorte und Zonen , um Ihr Netzwerk zu segmentieren.
- Websites spiegeln viele Geräte wider, die nach einem bestimmten geografischen Standort gruppiert sind, z. B. das Büro an einer bestimmten Adresse.
- Zonen spiegeln ein logisches Segment innerhalb eines Standorts wider, um einen Funktionsbereich zu definieren, z. B. eine bestimmte Produktionslinie.
Weisen Sie jeden OT-Sensor einem bestimmten Standort und einer bestimmten Zone zu, um sicherzustellen, dass jeder OT-Sensor einen bestimmten Bereich des Netzwerks abdeckt. Wenn Sie Ihren Sensor standort- und zonenübergreifend segmentieren, können Sie jeglichen Datenverkehr zwischen Segmenten überwachen und Sicherheitsrichtlinien für jede Zone erzwingen.
Stellen Sie sicher, dass Sie standortbasierte Zugriffsrichtlinien zuweisen, damit Sie zugriff auf Defender für IoT-Daten und -Aktivitäten mit den geringsten Berechtigungen gewähren können.
Wenn Ihr wachsendes Unternehmen beispielsweise über Fabriken und Büros in Paris, Lagos, Dubai und Tianjin verfügt, können Sie Ihr Netzwerk wie folgt segmentieren:
| Website | Zonen |
|---|---|
| Büro in Paris | - Erdgeschoss (Gäste) - Floor 1 (Sales) - Etage 2 (Executive) |
| Lagos Büro | - Erdgeschoss (Büros) - Etagen 1-2 (Fabrik) |
| Dubai-Büro | - Erdgeschoss (Convention Center) - Floor 1 (Sales) - Etage 2 (Büros) |
| Büro in Tianjin | - Erdgeschoss (Büros) - Etagen 1-2 (Fabrik) |
Nächste Schritte
Erstellen Sie Websites und Zonen, während Sie OT-Sensoren im Azure-Portal integrieren, und weisen Sie Ihren Azure Benutzern standortbasierte Zugriffsrichtlinien zu.
Verwenden Sie integrierte Defender für IoT-Arbeitsmappen, und erstellen Sie eigene benutzerdefinierte Arbeitsmappen, um Ihren Sicherheitsperimeter im Laufe der Zeit zu überwachen.
Weitere Informationen finden Sie unter:
- Erstellen von Standorten und Zonen beim Onboarding eines OT-Sensors
- Verwalten der websitebasierten Zugriffssteuerung
- Überwachen Ihres OT-Netzwerks mit Zero Trust Prinzipien
Weitere Informationen finden Sie unter: