Workplace
Microsoft 365-Power für smarte, sichere und flexible Arbeitswelten, die modernste Technologien und Identity Lösungen verbinden.
Kontakt
Azure
Mit Azure Wachstum beflügeln: Cloud-Kosten senken, Effizienz steigern und Innovationen durch IaaS und PaaS vorantreiben.
Kontakt
Security
Wachsamkeit in der Cloud mit einem preisgekrönten 24/7 Managed Service, Incident Response und modernstem Schutz für Ihre Infrastruktur.
Unternehmen
Pionier in der Cloud: Ihr Top-Microsoft-Partner für umfassende Cloud-Lösungen mit einem Blueprint-basierten Ansatz und Infrastructure-as-Code-Expertise.
Kontakt

Cut Off Lateral Movement Paths

Managed Red Tenant

Administrative User und ihre Endgeräte sind ein bevorzugtes Ziel für Angreifer. Cyberkriminelle nutzen "Lateral Movement", um Schwachstellen in der Infrastruktur aufzuspüren und administrative Endpunkte zu kompromittieren. Mit Managed Red Tenant entsteht eine robuste, skalierbare Umgebung, die privilegierte Identitäten und Zugriffe zuverlässig schützt.

Abstract security map with route lines and blue “X” markers on an orange background

Schutz vor Lateral Movement und Privilege Escalation

Ransomware-Angreifer zielen darauf ab, hochprivilegierte Benutzer und Endpunkte zu kompromittieren, um maximalen Schaden anzurichten und Lösegeld zu fordern. Sie nutzen Schwachstellen in der Infrastruktur und infiltrieren administrative Endpunkte, um sich durch das Unternehmen zu bewegen (Lateral Movement). In vielen Unternehmen arbeiten Benutzer mit weitreichenden Privilegien auf ungesicherten Endgeräten und öffnen so Angreifern Tür und Tor. Durch den Einsatz getrennter administrativer Endgeräte und einer separaten Admin-Infrastruktur ("Red Tenant") lässt sich das Risiko von Ransomware-Angriffen signifikant reduzieren.

Jan Geisbauer and Thomas Naunheim discussing Managed Red Tenant cybersecurity strategy
Illustration of a blue key entering a yellow keyhole, symbolizing security or access control

Maximale Absicherung für administrative Zugriffe

Der Managed Red Tenant vereint unsere umfassenden Erfahrungen aus Managed Services mit bewährten Blueprints in den Bereichen Workplace, Azure und Security.

Das Ergebnis: Eine isolierte, vollständig cloudbasierte Umgebung, die administrative Benutzer und Endpoints effektiv schützt – selbst bei Zielumgebungen mit mehreren Microsoft Entra Tenants und Active Directory Domains.

Unsere Lösung setzt auf native, cloudbasierte Identitäts- und Sicherheitsfunktionen von Microsoft und folgt strikt den Zero Trust-Prinzipien.

Illustration of three yellow figures behind a blue cloud, symbolizing cloud-based collaboration or cloud services for teams

Managed PAW für kritische Rollen und skalierbare Cloud-Lösung für alle Admins

Die Absicherung administrativer Clients ist essenziell für ein wirksames Sicherheitskonzept bei privilegierten Zugriffen. Reguläre Endgeräte sollten dafür nicht genutzt werden. Wir setzen auf strikte Richtlinien, um die Sicherheit und Compliance der Endgeräte zu gewährleisten. Basierend auf dem Microsoft Enterprise Access Model (EAM) trennen und bewerten wir privilegierte Berechtigungen nach definierten administrativen Ebenen – die Grundlage für die Nutzung einer Admin Workstation.

Illustration of three yellow figures behind a blue cloud, symbolizing cloud-based collaboration or cloud services for teams
  • Für hochkritische Rollen mit Control Plane-Zugriff, wie z.B. den Global Administrator, verfolgen wir den „Clean Keyboard“-Ansatz durch den Einsatz einer Privileged Admin Workstation (PAW) mit dedizierter Hardware.
  • Für weitere administrative Rollen, wie etwa die Verwaltung von Workloads in Microsoft Azure, bieten wir eine skalierbare Lösung durch Virtual Access Workstations (VAW) an. Diese basieren auf einer geschützten und angepassten Azure Virtual Desktop (AVD)-Infrastruktur im Red Tenant.

Bausteine des Managed Red Tenants

Illustration eines Computerbildschirms mit binärem Code und einem gelben sechseckigen Logo darüber
Die Verwaltung der gehärteten Konfigurationen und Richtlinien erfolgt „as Code“. Dadurch gewährleisten wir lückenlose Transparenz und Nachvollziehbarkeit bei allen Änderungen. Unser Sicherheitskonzept wird kontinuierlich weiterentwickelt, um neue Features und Detections nahtlos zu integrieren. Der „DevOps“-Ansatz ermöglicht es uns, zeitnah kontinuierliche Verbesserungen bereitzustellen.
Illustration eines Computerbildschirms mit einem gelben Schloss in der unteren rechten Ecke
Basierend auf Microsoft Entra Identity Governance haben wir eine native, standardisierte Lösung zur Bereitstellung und Verwaltung administrativer Konten entwickelt. Diese Lösung ermöglicht ein reibungsloses Onboarding neuer administrativer Benutzerkonten und bietet eine granulare Zugriffskontrolle auf Unternehmens-Tenants und -Domains, die im Rahmen eines Freigabeprozesses sowie durch Self Services delegiert werden kann.
Illustration eines blauen Auges mit einem gelben Augapfel
Der Managed Red Tenant wird rund um die Uhr durch unser cloudbasiertes Security Operations Center (CSOC) überwacht. Dabei setzen wir auf Microsoft Security Lösungen, um eine umfassende Überwachung des Tenants sicherzustellen. Ergänzt wird das Monitoring durch eigens entwickelte Detections und die Anreicherung von Daten zu administrativen Berechtigungen und Zugriffen.
Visualisierung von Global Secure Access mit einem Globus und einem Vorhängeschloss, das sichere und kontrollierte Konnektivität über Netzwerke symbolisiert
Wir haben die neuesten Innovationen von Global Secure Access in verschiedene Komponenten des Managed Red Tenant integriert, um die Sicherheit beim Zugriff auf Virtual Access Workstations (VAWs) zu erhöhen und privilegierten ausgehenden Zugriff zu schützen und einzuschränken.

Microsoft Entra Internet Access fungiert als identitätszentriertes Secure Web Gateway (SWG) und wurde implementiert, um den öffentlichen Internetzugang zu blockieren und die Konnektivität nur auf privilegierte Schnittstellen und autorisierte Unternehmens-Tenant-Umgebungen zu beschränken. Zusätzliche Features wie die Universal Conditional Access Evaluation (CAE) ermöglichen nahezu in Echtzeit den Zugriff zu blockieren.

Microsoft Entra Private Access dient als identitätszentriertes Zero Trust Network Access (ZTNA)-Lösung und ist das Herzstück unseres Ansatzes, um sicheren und privaten Zugriff auf VAWs bereitzustellen. Die Integration in unsere Lösung fügt eine zusätzliche Schutzschicht für privilegierte Sitzungen auf AVD-basierten Endpunkten hinzu, indem Conditional Access auf dem zugreifenden Client vor der Herstellung der Verbindung zum VAW durchgesetzt wird. Der Schutz des Zugriffs und die Anwendung des Zero Trust-Prinzips zur Verwaltung privater oder lokaler Ressourcen sind weitere Anwendungsfälle, bei denen wir von Private Access profitieren.

Architektur Managed Red Tenant

Jetzt Kontakt aufnehmen

Jan Geisbauer
Bei den meisten unserer Emergency-Einsätze stellen wir immer wieder fest, dass die IT nicht gut genug auf Angriffe vorbereitet war. Ein pro-aktiver Security Check ist deshalb eine effiziente Investition in mehr Sicherheit zur Reduzierung der Ausfallzeiten.
Jan GeisbauerCyber Security Lead

Wir freuen uns darauf, von Ihnen zu hören!