Case Study Amt für Informatik des Kanton Zürichs
Als IT-Dienstleister der Verwaltung des Kanons Zürich ist das Amt für Informatik das zentrale Kompetenzzentrum für Informatik. Das Amt wurde im Januar 2018 gegründet, um die IT-Grundversorgung der kantonalen Verwaltung zentral, standardisiert und effizient bereitzustellen und zu betreiben. Dank einer sicheren Basis-Infrastruktur und vertrauenswürdigen Applikationen bringen sie den grössten Schweizer Kanton auf eine sichere Weise in die Zukunft.
Die Situation vor baseVISION: Herausforderung des AFI ZH
- Als öffentlich rechtliche Verwaltung ist das AFI ZH den kantonalen Datenschutzbestimmungen unterlegen
- Prüfung durch Datenschützer und strenge Vorgaben betreffend Cloudlösungen
- Pflicht, die Daten in der Schweiz zu behalten
- Abhängigkeiten und komplexes Umfeld
- Keine einheitliche Lösung zum Schutz der Identität
- Konventionelle IT-Infrastruktur auf Basis von Windows 10
- Zweifaktor-Authentifizierung muss stets gewährleistet sein
Zusammen mit baseVISION wurde eine ganzheitliche und durchgehende Lösung erarbeitet. Als erster Schritt lag der Fokus beim Projekt auf Identity.
Die Vision: Wie die Sicherheit mit dem Schutz von Identitäten erhöht wird
- Die über 100’000 User schützen und ihre Identitäten sicherstellen
- Basis der Vision bildet der Zero Trust Ansatz, um Sicherheit zu erhöhen
- Hybride Entität und Azure AD einführen
- Potenzial der M365 Palette nutzen (E3 und die nötigen Security Produkte der E5 Lizenz einführen)
«Dank dem durchgängigen und langfristigen Ansatz der baseVISION und einer klaren Roadmap konnte die Identität strukturiert geschützt werden, so dass alle rechtlichen Aspekte eingehalten wurden.»
Daniel Bühlmann, Projektleiter und Verwaltungsratspräsident der baseVISION AG
Unsere Lösung: Zero Trust Modell in der Praxis umsetzten
Das Zero Trust Modell von Microsoft basiert auf drei Säulen. Diese drei Säulen waren auch der Grundsatz in der Transformation vom AFI ZH.
Vertify explicity
Use least privilege access
Assume breach
Mit den eingeführten Services können Daten gesammelt und ausgewertet werden. Vor einem Eintritt ins System wird die Identität mehrfach geprüft: Woher kommt dieser User? Besteht ein Risiko? Wer steckt dahinter? Kann dem Gerät vertraut werden?
Dieser Ansatz wurde mit dem Begrenzen der Zugänge erreicht. Just-in-time und just-enough-access (JIT/JEA) und risikobasierte adaptive Messenahmen wurden eingeführt.
Diese Idee stand schon immer im Hintergrund, wenn es um den Schutz von Infrastrukturen ging. Es sollte eine Grundlage geschaffen werden, die eine kontinuierliche Überwachung und automatische Erkennung von Bedrohungen ermöglicht.
- Einführung Azure AD als Basis für die Nutzung von Cloud Services
- Durchgängige Two-Factor-Authentification
- Conditional Access Policies
- Windows Hello for Business
- Konzeption und Aufbau einer 2-Tier Windows Public Key Infrastructure (PKI) Infrastruktur mit HSM Anbindung
- Privilege Identity Management
- Admin-Account-Konzept
- Sicheres Onboarding
- Konzentration auf mögliche Angriffe während der Umsetzung
Vertify explicity
Mit den eingeführten Services können Daten gesammelt und ausgewertet werden. Vor einem Eintritt ins System wird die Identität mehrfach geprüft: Woher kommt dieser User? Besteht ein Risiko? Wer steckt dahinter? Kann dem Gerät vertraut werden?
- Einführung Azure AD als Basis für die Nutzung von Cloud Services
- Durchgängige Two-Factor-Authentification
- Conditional Access Policies
- Windows Hello for Business
- Konzeption und Aufbau einer 2-Tier Windows Public Key Infrastructure (PKI) Infrastruktur mit HSM Anbindung
Use least privilege access
Dieser Ansatz wurde mit dem Begrenzen der Zugänge erreicht. Just-in-time und just-enough-access (JIT/JEA) und risikobasierte adaptive Messenahmen wurden eingeführt.
- Privilege Identity Management
- Admin-Account-Konzept
Asssume breach
Diese Idee stand schon immer im Hintergrund, wenn es um den Schutz von Infrastrukturen ging. Es sollte eine Grundlage geschaffen werden, die eine kontinuierliche Überwachung und automatische Erkennung von Bedrohungen ermöglicht.
- Sicheres Onboarding
- Konzentration auf mögliche Angriffe während der Umsetzung
«Die langfristige Zusammenarbeit mit ihren Kunden zeigt auf, dass die baseVISION die Philosophie von Microsoft verstanden hat und ihre Services optimal mit den Microsoft Technologien abstimmt. Die Services können so angepasst und langfristig sinnvoll bei Kunden eingesetzt werden können.»
Daniel von Büren, Technical Specialist for Security & Compliance, Microsoft
Verwendete Microsoft Technologien
- Azure AD
- Conditional Access
- Windows Hello for Business
- Azure Application Proxy
- Privileged Identity Management
- Microsoft Security Baselines
Zusammenfassung
Wie schützt man die IT-Infrastruktur des Kanton Zürichs? Richtig, mit einer ganzheitlichen Strategie und dem Zero Trust Ansatz von Microsoft. Basis für das Projekt beim Amt für Informatik des Kanton Zürichs war der Schutz der Identitäten. Werden diese im komplexen und regulierten Umfeld des AFI
ZH gesichert, kann darauf aufgebaut werden.