Microsofts SSE-Lösung Global Secure Access wurde letztes Jahr im Juli veröffentlicht. Das Produkt hat großes Interesse geweckt, und das ist kein Wunder, da Zero-Trust-Architektur, SASE- und SSE-Technologien in Organisationen schon seit längerer Zeit auf Interesse stoßen. Auch die sich ständig weiterentwickelnden Sicherheitsbedrohungen haben die IT-Verwaltungen dazu veranlasst, nach Lösungen zur Verbesserung ihrer IT-Sicherheit zu suchen.
Ich habe im letzten Frühjahr zum ersten Mal über Global Secure Access in unserem Blog geschrieben. Es ist
Was ist Global Secure Access?
Global Secure Access ist Microsofts SSE-Lösung (Security Service Edge). Bei diesem Dienst wird der Netzwerkverkehr von Workstations (und/oder Netzwerken) für separat definierte Dienste über den Microsoft Secure Edge-Dienst geleitet, von wo aus der Verkehr wiederum mithilfe der bedingten Zugriffsverwaltung zu den definierten Diensten geleitet und autorisiert wird. Die Vorteile ergeben sich daraus, dass im Dienst beispielsweise der gesamte Verkehr über das von Microsoft bereitgestellte SSE-Edge-Netzwerk geleitet und der Zugriff aus anderen Netzwerken blockiert werden kann. Darüber hinaus kann mit der bedingten Zugriffsverwaltung eine starke Authentifizierung durchgeführt und verschiedene Anforderungen festgelegt werden, damit eine Verbindung vom Endgerät hergestellt werden kann. Dies bietet erheblichen zusätzlichen Schutz für Identitäten und schützt praktisch schon von selbst vor Sicherheitsangriffen, bei denen die Microsoft 365-Anmeldeinformationen des Benutzers durch Phishing erlangt wurden.
Global Secure Access nutzt Zero-Trust-Prinzipien wie die Verwendung minimaler Berechtigungen, explizite Verifizierung und die Annahme einer Kompromittierung. Die Verwaltung und Konfiguration des Dienstes erfolgt im Microsoft Entra Admin Center. Global Secure Access erfordert eine auf dem Endgerät zu installierende Anwendung, um zu funktionieren. Die Funktionen des Dienstes können auch auf Netzwerkebene aktiviert werden, sodass eine zu installierende Anwendung auf den Endgeräten möglicherweise nicht erforderlich ist. Die Client-Software ist für Windows- und Android-Geräte verfügbar. Für macOS- und iOS-Geräte befindet sich die Anwendung zum Zeitpunkt der Blogerstellung noch im Public Preview-Status, sodass offizielle Versionen noch eine Weile auf sich warten lassen.
Microsoft Entra Private & Internet Access
Global Secure Access besteht aus den Funktionen Microsoft Entra Private und Internet Access. Mit Entra Private Access wird die Zugriffsverwaltung für interne Netzwerke gesteuert, und mit Entra Internet Access werden die öffentlich zugänglichen Dienste der Organisation, wie verschiedene SaaS-Dienste, beispielsweise der Microsoft 365-Dienst, verwaltet.
Microsoft Entra Private Access ermöglicht Benutzern die Verbindung zu Anwendungen in den internen Netzwerken der Organisation von Geräten und Netzwerken aus. Der Dienst kann herkömmliche VPN-Lösungen durch bedingte Zugriffsverwaltung, Single Sign-On und das Microsoft SSE-Edge-Netzwerk ersetzen. Die Zugriffsverwaltungsdefinitionen können sehr granular bis auf IP- und Protokollebene implementiert werden.
Microsoft Entra Internet Access ist ein Dienst, der die Zugriffsverwaltung für verschiedene Internet- und SaaS-Anwendungen sowie Ressourcen einer Organisation mithilfe einer Secure Web Gateway (SWG)-Lösung sichert. Der Dienst vereint die bedingte Zugriffsverwaltung, die Web-Inhaltsfilterung, die Abwehr von Sicherheitsbedrohungen und das Management der Netzwerksicherheit in einem zentralen Microsoft Entra Verwaltungsportal. Der Dienst ermöglicht auch eine kontextbasierte Web-Inhaltsfilterung, mit der verhindert wird, dass Benutzer auf ungeeignete, schädliche oder unsichere Websites zugreifen.
Microsoft Entra Internet Access for Microsoft 365 Service kann die Zugriffsverwaltung für den Microsoft 365-Dienst gesichert werden. Microsoft hat diese Funktion ohne zusätzliche Lizenzkäufe verfügbar gemacht. Als Grundlage ist jedoch Entra ID P1 erforderlich, damit der Dienst genutzt werden kann.
Lizenzierung
Die Funktionen von Global Secure Access erfordern Microsoft Entra ID P1 als Grundlage, das beispielsweise in Microsoft Business Premium- und E3-Lizenzen enthalten ist.
Microsoft Entra Suite umfasst alle Global Secure-Funktionen. Der Listenpreis beträgt ca. 11,20 Euro pro Benutzer/Monat. Für Entra ID P2/Microsoft 365 E5-Kunden ist eine Sonderpreisgestaltung verfügbar.
Der Listenpreis für die Microsoft Entra Private Access Lizenz beträgt ca. 5,70 Euro pro Benutzer/Monat.
Der Listenpreis für die Microsoft Entra Internet Access Lizenz beträgt ca. 5,70 Euro pro Benutzer/Monat.
Microsoft Entra Internet Access for Microsoft 365 Services ist ohne zusätzliche Lizenzkäufe verfügbar, vorausgesetzt, die Organisation verwendet Microsoft Entra ID P1.
Zusammenfassung
Die Microsoft Entra Private Access-Funktion von Global Secure Access ist eine ausgezeichnete Wahl für Organisationen, wenn ein Ersatz für bestehende VPN-Lösungen in Betracht gezogen wird. Damit lässt sich die Zugriffsverwaltung für interne Netzwerkdienste sehr präzise segmentieren, was dazu beiträgt, die Angriffsfläche erheblich zu reduzieren. Typischerweise ist bei einer herkömmlichen VPN-Lösung das interne Netzwerk zu weit geöffnet und führt im schlimmsten Fall in Verbindung mit schwachen Authentifizierungseinstellungen zu erheblichen Sicherheitsrisiken.
In unserem Testbetrieb haben die Global Secure Access-Funktionen im Großen und Ganzen einwandfrei funktioniert, und die Konfiguration der Dienste ist nicht sehr komplex. Der Bereich Microsoft Entra Internet Access benötigt meiner Meinung nach noch weitere Funktionen und Verbesserungen bei bestimmten Operationen, aber der Private Access-Dienst ist bereits sehr gut für den Produktionseinsatz geeignet. Ich empfehle Ihnen dringend, es auszuprobieren!
Möchten Sie mehr darüber erfahren, wie Ihre Organisation am besten eine sicherere und funktionale Arbeitsumgebung optimal umsetzen kann? Kontaktieren Sie uns unten, um mehr zu erfahren!