Hoe beveilig je een apparaat volgens de Zero Trust principes? (Deel 1)

10 mei 2023

Luc Frijters

In de afgelopen tijd hebben wij je kennis laten maken met het  Zero Trust Framework van Microsoft. Door de massale adoptie van clouddiensten en de ver-XaaS’ing (Anything as a Service) van het IT-landschap, verschuift de focus op het gebied van beveiliging voornamelijk naar identiteiten en apparaten. Deze apparaten worden ook wel endpoints genoemd. Luc Frijters, IT Consultant bij Motion10, legt uit hoe je als organisatie om kunt gaan met het beveiligen en beheren van endpoints, gebaseerd op de principes van Zero Trust.

 

Onder endpoint wordt verstaan: een (doorgaans) fysiek apparaat dat verbinding maakt en informatie uitwisselt met een computernetwerk. In de Microsoft Cloud wordt een endpoint vaak gezien als het punt waarvandaan een gebruiker de diensten in de Microsoft (Public) Cloud benadert. Denk bijvoorbeeld aan het versturen van een e-mail via Outlook op een laptop, het delen van een bestand via de OneDrive app op een Android smartphone, deelnemen aan een Teams-meeting vanaf een iPad of het invullen van de tijdregistratie op Dynamics 365 vanaf een desktop. Kortom, laptops, desktops, tablets, smartphones en tegenwoordig ook webbrowsers of volledige virtuele (cloud) werkplekken zoals Windows 365, kunnen allemaal endpoints zijn.

Het Zero Trust Framework van Microsoft is gebaseerd op drie principes:

  • verifieer expliciet;
  • verstrek zo weinig mogelijk rechten;
  • ga ervan uit dat er ingebroken is.

Voor de Zero Trust manier van beveiligen is het van ondergeschikt belang wat voor verschillende typen apparaten gebruikt worden en waar deze zich bevinden. Op ieder apparaat en op elke locatie moet continu exact hetzelfde beveiligingsbeleid toegepast worden.

Hoe beveilig je een endpoint volgens de Zero Trust principes (met Microsoft technologie)?
Er zijn een aantal hoekstenen te benoemen vanuit de Microsoft Cloud:

  • Azure Active Directory (AD)
    Dit betreft een identiteits- en toegangsbeheerservice in de (Microsoft) cloud.
  • Microsoft Intune
    Een mobile device/endpoint managementoplossing in de cloud.
  • Conditional Access (geïntegreerd in Azure AD)
    Dit beveiligingsmechanisme biedt de mogelijkheid om veilig toegang te verschaffen tot applicaties, diensten en gegevens, gebaseerd op diverse condities.
  • Microsoft Defender for Endpoint (MDE)
    Dit (cloud) endpoint-beveiligingsplatform is een uitbreiding bovenop de in Windows geïntegreerde antivirussoftware, Microsoft Defender.
  • Windows Hello for Business (WHFB)
    Het meest veilige authenticatie mechanisme op een Windows 10 of 11 apparaat. Dit vervangt wachtwoorden met veiligere two-factor (biometrische) authenticatie opties.

In een ideaal en modern scenario zijn endpoints in Azure Active Directory toegevoegd of geregistreerd, afhankelijk van of het zakelijke of privé endpoints zijn. Met name de zakelijke endpoints worden met Microsoft Intune beheerd, waarbij Conditional Access de toegang tot applicaties en data valideert, bepaalt en beveiligt en Microsoft Defender for Endpoint zorgt voor preventie en detectie van malware en andere bedreigingen. Dit alles terwijl Windows Hello for Business de authenticatie op (beheerde) endpoints regelt, op basis van biometrie, in combinatie met lokale hardware-matige beveiligingsmechanismes zoals Secure Boot en TPM-chip.

Het gebruik van deze hoekstenen vanuit de Microsoft Cloud stelt je in staat de Zero Trust principes toe te passen op beveiliging van endpoints. Lees in ‘Hoe beveilig je een apparaat volgens de Zero Trust principes? (Deel 2)’ hoe je dit praktisch aanpakt en waarom bepaalde keuzes worden gemaakt.

Zelf aan de slag?

Natuurlijk is er over Azure Active Directory, Microsoft Intune, het beveiligen van endpoints en het Zero Trust Framework veel meer te ontdekken. Wil je meer te weten komen over hoe jouw organisatie een actieve houding aanneemt omtrent IT-beveiliging? De Secure Identities and Access Workshop enProtect and Govern Sensitive Data Activator Workshop geven inzichten die jouw organisatie nodig heeft om vervolgstappen te nemen.

Meer weten