Case Study Amt für Informatik des Kanton Zürichs
Wie schützt man die IT-Infrastruktur des Kanton Zürichs? Richtig, mit einer ganzheitlichen Strategie und dem Zero Trust Ansatz von Microsoft. Basis für das Projekt beim Amt für Informatik des Kanton Zürichs war der Schutz der Identitäten. Nachdem die Identitäten in diesem komplexen und regulierten Umfeld bei der AFI ZH gesichert waren, konnten darauf aufbauend weitere Projekte realisiert werden.
Als IT-Dienstleister der Verwaltung des Kanons Zürich ist das Amt für Informatik das zentrale Kompetenzzentrum für Informatik. Das Amt wurde im Januar 2018 gegründet, um die IT-Grundversorgung der kantonalen Verwaltung zentral, standardisiert und effizient bereitzustellen und zu betreiben. Dank einer sicheren Basis-Infrastruktur und vertrauenswürdigen Applikationen bringen das AFI den ganzen Kanton voran.
Die Situation vor baseVISION: Herausforderungen für das AFI ZH
- Als öffentlich-rechtliche Verwaltung ist das AFI ZH den kantonalen Datenschutzbestimmungen unterlegen
- Prüfung durch Datenschützer und strenge Vorgaben betreffend Cloudlösungen
- Pflicht, die Daten in der Schweiz zu behalten
- Abhängigkeiten und komplexes Umfeld
- Keine einheitliche Lösung zum Schutz der Identität
- Konventionelle IT-Infrastruktur auf Basis von Windows 10
- Die Zwei-Faktor-Authentifizierung muss zu jeder Zeit gewährleistet sein
Zusammen mit der baseVISION AG wurde eine ganzheitliche und durchgehende Lösung erarbeitet. Basis des Projektes war der Schutz der Identitäten.
Die Vision: Wie die Sicherheit mit dem Schutz von Identitäten erhöht wird
- Die über 100’000 User schützen und ihre Identitäten sicherstellen
- Basis der Vision bildet der Zero Trust Ansatz, um Sicherheit zu erhöhen
- Hybride Entität und Azure AD einführen
- Potenzial der M365 Palette nutzen (E3 und die nötigen Security Produkte der E5 Lizenz einführen)
«Dank dem durchgängigen und langfristigen Ansatz der baseVISION und einer klaren Roadmap konnte die Identität strukturiert geschützt werden, so dass alle rechtlichen Aspekte eingehalten wurden.»
Daniel Bühlmann, Projektleiter und Verwaltungsratspräsident der baseVISION AG
Unsere Lösung: Zero Trust Modell in der Praxis umsetzten
Das Zero Trust Modell von Microsoft basiert auf drei Säulen. Diese drei Säulen waren auch der Grundsatz in der Transformation vom AFI ZH.
Vertify explicity
Use least privilege access
Assume breach
Mit den eingeführten Services können Daten gesammelt und ausgewertet werden. Vor einem Eintritt ins System wird die Identität mehrfach geprüft: Woher kommt dieser User? Besteht ein Risiko? Wer steckt dahinter? Kann dem Gerät vertraut werden?
Dieser Ansatz wurde mit dem Begrenzen der Zugänge erreicht. Just-in-time und just-enough-access (JIT/JEA) und risikobasierte adaptive Messenahmen wurden eingeführt.
Diese Idee stand schon immer im Hintergrund, wenn es um den Schutz von Infrastrukturen ging. Es sollte eine Grundlage geschaffen werden, die eine kontinuierliche Überwachung und automatische Erkennung von Bedrohungen ermöglicht.
- Einführung Azure AD als Basis für die Nutzung von Cloud Services
- Durchgängige Two-Factor-Authentification
- Conditional Access Policies
- Windows Hello for Business
- Konzeption und Aufbau einer 2-Tier Windows Public Key Infrastructure (PKI) Infrastruktur mit HSM Anbindung
- Privilege Identity Management
- Admin-Account-Konzept
- Sicheres Onboarding
- Konzentration auf mögliche Angriffe während der Umsetzung
Vertify explicity
Mit den eingeführten Services können Daten gesammelt und ausgewertet werden. Vor einem Eintritt ins System wird die Identität mehrfach geprüft: Woher kommt dieser User? Besteht ein Risiko? Wer steckt dahinter? Kann dem Gerät vertraut werden?
- Einführung Azure AD als Basis für die Nutzung von Cloud Services
- Durchgängige Two-Factor-Authentification
- Conditional Access Policies
- Windows Hello for Business
- Konzeption und Aufbau einer 2-Tier Windows Public Key Infrastructure (PKI) Infrastruktur mit HSM Anbindung
Use least privilege access
Dieser Ansatz wurde mit dem Begrenzen der Zugänge erreicht. Just-in-time und just-enough-access (JIT/JEA) und risikobasierte adaptive Messenahmen wurden eingeführt.
- Privilege Identity Management
- Admin-Account-Konzept
Assume breach
Diese Idee stand schon immer im Hintergrund, wenn es um den Schutz von Infrastrukturen ging. Es sollte eine Grundlage geschaffen werden, die eine kontinuierliche Überwachung und automatische Erkennung von Bedrohungen ermöglicht.
- Sicheres Onboarding
- Konzentration auf mögliche Angriffe während der Umsetzung
«Die langfristige Zusammenarbeit mit ihren Kunden zeigt auf, dass die baseVISION die Philosophie von Microsoft verstanden hat und ihre Services optimal mit den Microsoft Technologien abstimmt. Die Services können so angepasst und langfristig sinnvoll bei Kunden eingesetzt werden können.»
Daniel von Büren, Technical Specialist for Security & Compliance, Microsoft
Die meistgenutzten Microsoft Technologien
- Azure AD
- Conditional Access
- Windows Hello for Business
- Azure Application Proxy
- Privileged Identity Management
- Microsoft Security Baselines