Case Study Amt für Informatik des Kantons Zürich

Als IT-Dienstleister der Verwaltung des Kanons Zürich ist das Amt für Informatik das zentrale Kompetenzzentrum für Informatik. Das Amt wurde im Januar 2018 gegründet, um die IT Grundversorgung der kantonalen Verwaltung zentral, standardisiert und effizient bereitzustellen und zu betreiben. 

Dank einer sicheren Basis-Infrastruktur und vertrauenswürdigen Applikationen bringen sie den grössten Schweizer Kanton auf eine sichere Weise in die Zukunft.

Die Situation vor baseVISION: Herausforderungen des AFI ZH

  • Als öffentlich rechtliche Verwaltung ist das AFI ZH den kantonalen Datenschutzbestimmungen unterlegen
  • Prüfung durch Datenschützer und strenge Vorgaben betreffend Cloudlösungen
  • Keine einheitliche Lösung zum Schutz der Identität
  • Konventionelle IT-Infrastruktur auf Basis von Windows 10
  • Zweifaktor-Authentifizierung muss stets gewährleistet sein

Zusammen mit baseVISION wurde eine ganzheitliche und durchgehende Lösung erarbeitet. Als erster Schritt lag der Fokus beim Projekt auf Identity.

Die Vision: Wie die Sicherheit mit dem Schutz von Identitäten erhöht wird

  • Die über 100’000 User schützen und ihre Identitäten sicherstellen
  • Basis der Vision bildet der Zero Trust Ansatz, um Sicherheit zu erhöhen
  • Hybride Entität und Azure AD einführen
  • Potenzial der M365 Palette nutzen (E3 und die nötigen Security Produkte
    der E5 Lizenz einführen)

«Dank dem durchgängigen und langfristigen
Ansatz der baseVISION und einer klaren Roadmap konnte die Identität strukturiert geschützt werden, so dass alle rechtlichen Aspekte eingehalten wurden.»

Daniel Bühlmann, Projektleiter und Verwaltungsratspräsident der baseVISION AG

Unsere Lösung: Zero Trust Modell in der Praxis umsetzen

Das Zero Trust Modell von Microsoft basiert auf drei Säulen. Diese drei Säulen waren auch der Grundsatz in der Transformation vom AFI ZH.

Vertify explicity

Use least privilege access

Assume breach

Mit den eingeführten Services können Daten gesammelt und ausgewertet werden. Vor einem Eintritt ins System wird die Identität mehrfach geprüft: Woher kommt dieser User? Besteht
ein Risiko? Wer steckt dahinter? Kann dem Gerät vertraut werden?

Dieser Ansatz wurde mit dem Begrenzen der Zugänge erreicht. Just-in-Time und Just-enough-Access (JIT/JEA) und risikobasierte adaptive Massnahmen wurden eingeführt.

Es soll eine Basis geschaffen werden, damit eine kontinuierliche Überwachung und eine Automatische Erkennung von Bedrohungen möglich ist.

  • Einführung Azure AD als Basis für die Nutzung von Cloud Services
  • Durchgängiger Two Factor Authentification
  • Conditional Access Policies
  • Windows Hello for Business
  • Konzeption und Aufbau einer 2-Tier Windows Public Key Infrastructure (PKI) Infrastruktur mit HSM Anbindung
  • Priviledge Identity Management
  • Admin-Account Konzept
  • Sicheres Onboarding 
  • Fokus auf mögliche Angriffe während der Implementation

Vertify explicity

Mit den eingeführten Services können Daten gesammelt und ausgewertet werden. Vor einem Eintritt ins System wird die Identität mehrfach geprüft: Woher kommt dieser User? Besteht ein Risiko? Wer steckt dahinter? Kann dem Gerät vertraut werden?

  • Einführung Azure AD als Basis für die Nutzung von Cloud Services
  • Durchgängiger Two Factor Authentification
  • Conditional Access Policies
  • Windows Hello for Business
  • Konzeption und Aufbau einer 2-Tier Windows Public Key Infrastructure
    (PKI) Infrastruktur mit HSM Anbindung

Use least privilege access

Dieser Ansatz wurde mit dem Begrenzen der Zugänge erreicht. Just-in-Time und Just-enough-Access (JIT/JEA) und risikobasierte adaptive Massnahmen wurden eingeführt.

  • Priviledge Identity Management
  • Admin-Account Konzept

Asssume breach

Es soll eine Basis geschaffen werden, damit eine kontinuierliche Überwachung und eine automatische Erkennung von Bedrohungen möglich ist.

  •  Sicheres Onboarding
  • Fokus auf mögliche Angriffe während der Implementation

«Die langfristige Zusammenarbeit mit ihren Kunden zeigt auf, dass die baseVISION die Philosophie von MSFT verstanden hat und ihre Services optimal mit den Microsoft Technologien abstimmt. Die Services können so angepasst und langfristig sinnvoll bei Kunden eingesetzt werden können.»

Daniel von Büren, Technical Specialist for Security & Compliance, Microsoft

Die nützlichsten Microsoft-Technologien

  • Azure AD
  • Conditional Access
  • Windows Hello for Business
  • Azure Application Proxy
  • Privileged Identity Management 
  • Microsoft security Baselines 

Zusammenfassung

Wie schützt man die IT Infrastruktur des Kanton Zürichs? Richtig, mit einer ganzheitlichen Strategie und dem Zero Trust Ansatz von Microsoft. Basis für das Projekt beim Amt für Informatik des Kanton Zürichs war der Schutz der Identitäten. Werden diese im komplexen und regulierten Umfeld des AFI ZH gesichert, kann darauf aufgebaut werden.

Haben Sie ähnliche Herausforderungen? Wir helfen gerne weiter.