10 mei 2023
Luc Frijters
In de afgelopen tijd hebben wij je kennis laten maken met het Zero Trust Framework van Microsoft. Door de massale adoptie van clouddiensten en de ver-XaaS’ing (Anything as a Service) van het IT-landschap, verschuift de focus op het gebied van beveiliging voornamelijk naar identiteiten en apparaten. Deze apparaten worden ook wel endpoints genoemd. Luc Frijters, IT Consultant bij Motion10, legt uit hoe je als organisatie om kunt gaan met het beveiligen en beheren van endpoints, gebaseerd op de principes van Zero Trust.
Onder endpoint wordt verstaan: een (doorgaans) fysiek apparaat dat verbinding maakt en informatie uitwisselt met een computernetwerk. In de Microsoft Cloud wordt een endpoint vaak gezien als het punt waarvandaan een gebruiker de diensten in de Microsoft (Public) Cloud benadert. Denk bijvoorbeeld aan het versturen van een e-mail via Outlook op een laptop, het delen van een bestand via de OneDrive app op een Android smartphone, deelnemen aan een Teams-meeting vanaf een iPad of het invullen van de tijdregistratie op Dynamics 365 vanaf een desktop. Kortom, laptops, desktops, tablets, smartphones en tegenwoordig ook webbrowsers of volledige virtuele (cloud) werkplekken zoals Windows 365, kunnen allemaal endpoints zijn.
Het Zero Trust Framework van Microsoft is gebaseerd op drie principes:
Voor de Zero Trust manier van beveiligen is het van ondergeschikt belang wat voor verschillende typen apparaten gebruikt worden en waar deze zich bevinden. Op ieder apparaat en op elke locatie moet continu exact hetzelfde beveiligingsbeleid toegepast worden.
Hoe beveilig je een endpoint volgens de Zero Trust principes (met Microsoft technologie)?
Er zijn een aantal hoekstenen te benoemen vanuit de Microsoft Cloud:
In een ideaal en modern scenario zijn endpoints in Azure Active Directory toegevoegd of geregistreerd, afhankelijk van of het zakelijke of privé endpoints zijn. Met name de zakelijke endpoints worden met Microsoft Intune beheerd, waarbij Conditional Access de toegang tot applicaties en data valideert, bepaalt en beveiligt en Microsoft Defender for Endpoint zorgt voor preventie en detectie van malware en andere bedreigingen. Dit alles terwijl Windows Hello for Business de authenticatie op (beheerde) endpoints regelt, op basis van biometrie, in combinatie met lokale hardware-matige beveiligingsmechanismes zoals Secure Boot en TPM-chip.
Het gebruik van deze hoekstenen vanuit de Microsoft Cloud stelt je in staat de Zero Trust principes toe te passen op beveiliging van endpoints. Lees in ‘Hoe beveilig je een apparaat volgens de Zero Trust principes? (Deel 2)’ hoe je dit praktisch aanpakt en waarom bepaalde keuzes worden gemaakt.
Natuurlijk is er over Azure Active Directory, Microsoft Intune, het beveiligen van endpoints en het Zero Trust Framework veel meer te ontdekken. Wil je meer te weten komen over hoe jouw organisatie een actieve houding aanneemt omtrent IT-beveiliging? De ‘Secure Identities and Access Workshop’ en ‘Protect and Govern Sensitive Data Activator Workshop’ geven inzichten die jouw organisatie nodig heeft om vervolgstappen te nemen.
Meer weten