Transcription
1Cyber security - why and howIdentitäts- und Datenschutz in der Azure-CloudAzure Security– ein ÜberblickMatthias PartlCloud Solution ArchitectIdentity & Security
„Microsoft investiert Jahr für Jahr rund eine Milliarde US-Dollar in Cyber-Security.Datensicherheit, Datenschutz, Transparenz und Compliance haben für uns oberstePriorität. Als globaler Cloud-Anbieter investieren wir gemeinsam mit unseren Partnernkonsequent in die neuesten Sicherheitstechnologien, um unsere Kunden ganzheitlich beiihrer Sicherheitsstrategie zu unterstützen – von der Vorbeugung bis hin zur Bekämpfungerfolgter Angriffe“Milad Aslaner, Senior Product Manager für Cyber Security, Microsoft DeutschlandIT-SA Nürnberg, Oktober 2017
IdentitätenDevicesApps & DataCloud a breachIdentity breachÜbergang zuCloud & MobilityOn-premises appsNeueAngriffsformen“Identitäten sind derneue Perimeter”
Bedrohungslage (nach Type) – 1.Halbjahr 2017
63%58%286 Tage80 Tage80%
Microsoft Security im Überblick
Global ISO 27001:2013 ISO 27017:2015 ISO 27018:2014 ISO 22301:2012 ISO 9001:2015 ISO 20000-1:2011US Gov FedRAMP High FedRAMP Moderate EAR DoD DISA SRG Level 5DoD DISA SRG Level 4DoD DISA SRG Level 2DFARS Industry PCI DSS Level 1GLBAFFIECShared AssessmentsFISC (Japan) FCA (UK)MAS ABS (Singapore)23 NYCRR 500HIPAA BAAHITRUSTRegional SOC 1 Type 2 SOC 2 Type 2 SOC 3 CSA STAR CertificationCSA STAR AttestationCSA STAR Self-AssessmentWCAG 2.0DoE 10 CFR Part 810NIST SP 800-171NIST CSFSection 508 VPATs FIPS 140-2ITARCJISIRS 1075 21 CFR Part 11 (GxP)MARS-ENHS IG Toolkit (UK)NEN 7510:2011 (Netherlands)FERPA CDSAMPAAFACT (UK)DPP (UK) Argentina PDPAAustralia CCSL / IRAPCanada Privacy LawsChina GB 18030:2005China DJCP (MLPS) Level 3 China TRUCS / CCCPPFEN 301 549EU ENISA IAFEU Model ClausesEU – US Privacy ShieldGermany IT-Grundschutzworkbook Germany C5India MeitYJapan CS Mark GoldJapan My Number ActNetherlands BIR 2012New Zealand Gov CIO Fwk Singapore MTCS Level 3Spain ENSSpain DPAUK Cyber Essentials PlusUK G-CloudUK PASFhttps://aka.ms/AzureCompliance
https://servicetrust.microsoft.com/
https://securescore.office.com/
Azure Active Directory Premium (AADP) Single Sign On (SSO) für SaaS- und “On-Prem” ApplikationenConditional AccessApplication Proxy (z.B. für Pass Through Authentication)User Self-Service Password ManagementMultifaktor Authentifizierung (MFA/OTP)
Azure AD Seamless SSO (Azure AD Password Hash Synchronization)
Security & Compliance Richtlinien erlauben dieSynchronisation von Benutzer Passwörtern zwischenMicrosoft AD (on-prem) und Azure AD nicht immerLösungsansatz: Pass-through Authentication (PTA)
Azure Pass Through Authentication (PTA)
Azure AD Premium - Conditional AccessConditionsUserActionsLocation (IP range)Device stateUser groupRiskAllow accessOrEnforce MFAper user/per nalysis, remediation,risk-based policiesCloud appdiscoveryPrivileged identitymanagement
Multifaktor Authentifizierung (MFA)MobileappsPhonecallsTextmessages
Azure Active Directory Identity Protection analyses your configuration and detects vulnerabilities that canhave an impact on your user's identities. Benutzer mit kompromittierten AnmeldeinformationenAnmeldungen von anonymen IP-AdressenUnmöglicher Ortswechsel zu atypischen OrtenAnmeldungen von infizierten GerätenAnmeldungen von IP-Adressen mit verdächtigenAktivitäten Anmeldungen von unbekannten Standorten
“when we detect a user’s password is compromised, Azure ADadmins can have the account automatically locked down andprotected before the bad guy can ever use the credentials”
CLASSIFICATIONLABELINGClassification& EMENTDOCUMENTTRACKINGDOCUMENTREVOCATIONMonitor &respond
Wie funktioniert Azure Information comsubmit label policiesRequest labelsAuthor automatically receives ADRMS credentials the first time theyrights-protect information.encryption key pairin example forconfidential contentuse licenseUse Rights encryption key pairin example for secretcontentuse licenseauthorUse Rights Use Rights The application workswith the RMS enlightedclient to create a“publishing license”,encrypts the file, andappends the publishinglicense to it.Application renders file andenforces rights.aEZQAR]ibr{qU@M]BXNoHp9nMDAtnBfrfC;jx Tg@XL2,Jzu()&(*7812(*:The Authordistributes theprotected file.consumerRecipient clicks file toopen. The applicationsends the recipient’scredentials and thepublish license to theAAD RMS service,which validates theuser and issues a “uselicense.”
Security DashboardsDeliver Rapid Insights intoSecurity State Across AllWorkloads
DETECTPROTECT Nicht gepatchte VM’s Schwachstellen (CVE) Fehlende FW Regeln(NSG) Bruteforce Angriffe Kompromittierte VM’s Zugriffsregeln Dataschutz durchVerschlüsselung vonSQL Datenbanken undStorage Umgebungen NSG FW Regeln Endpoint SchutzRESPOND FehlendeSicherheitsrichtlinien Gegenmaßnahmen beiSicherheitsvorfall
1. SchrittDefintion einSicherheitsrichtlinie
Erkennung von RisikenAnpassung g
PräventionÜberwachung derUnternehmensrichtliniedurch Microsoft Intelligence
Prävention – Integration vonPartner Lösungen Handlungsempfehlungen zur Provisionierung von Partnerlösungen Integriertes zentrales Alerting (Security Incident & Event Management) Aktiviert Monitoring & Management der Partnerlösung Verfügbar über Azure Marketplace
EinfachesDeployment vonPartnerlösungenund automatischeIntegration vonLog Informationen
Angriffserkennung &Gegenmaßnahmen24x7 Databreach Reporting durch EmailNotifications
ecurity/azuresecurity
Gov al l y ISO 27001:2013 ISO 27017:2015 ISO 27018:2014 ISO 22301:2012 ISO 9001:2015 ISO 20000-1:2011 SOC 1 Type 2 SOC 2 Type 2 SOC 3 CSA STAR Certification CSA STAR Attestation CSA STAR Self-Assessment
