Cut Off Lateral Movement Paths
Managed Red Tenant
Administrative User und ihre Endgeräte sind ein bevorzugtes Ziel für Angreifer. Cyberkriminelle nutzen "Lateral Movement", um Schwachstellen in der Infrastruktur aufzuspüren und administrative Endpunkte zu kompromittieren. Mit Managed Red Tenant entsteht eine robuste, skalierbare Umgebung, die privilegierte Identitäten und Zugriffe zuverlässig schützt.
Schutz vor Lateral Movement und Privilege Escalation
Ransomware-Angreifer zielen darauf ab, hochprivilegierte Benutzer und Endpunkte zu kompromittieren, um maximalen Schaden anzurichten und Lösegeld zu fordern. Sie nutzen Schwachstellen in der Infrastruktur und infiltrieren administrative Endpunkte, um sich durch das Unternehmen zu bewegen (Lateral Movement). In vielen Unternehmen arbeiten Benutzer mit weitreichenden Privilegien auf ungesicherten Endgeräten und öffnen so Angreifern Tür und Tor. Durch den Einsatz getrennter administrativer Endgeräte und einer separaten Admin-Infrastruktur ("Red Tenant") lässt sich das Risiko von Ransomware-Angriffen signifikant reduzieren.

Maximale Absicherung für administrative Zugriffe
Der Managed Red Tenant vereint unsere umfassenden Erfahrungen aus Managed Services mit bewährten Blueprints in den Bereichen Workplace, Azure und Security.
Das Ergebnis: Eine isolierte, vollständig cloudbasierte Umgebung, die administrative Benutzer und Endpoints effektiv schützt – selbst bei Zielumgebungen mit mehreren Microsoft Entra Tenants und Active Directory Domains.
Unsere Lösung setzt auf native, cloudbasierte Identitäts- und Sicherheitsfunktionen von Microsoft und folgt strikt den Zero Trust-Prinzipien.
Managed PAW für kritische Rollen und skalierbare Cloud-Lösung für alle Admins
Die Absicherung administrativer Clients ist essenziell für ein wirksames Sicherheitskonzept bei privilegierten Zugriffen. Reguläre Endgeräte sollten dafür nicht genutzt werden. Wir setzen auf strikte Richtlinien, um die Sicherheit und Compliance der Endgeräte zu gewährleisten. Basierend auf dem Microsoft Enterprise Access Model (EAM) trennen und bewerten wir privilegierte Berechtigungen nach definierten administrativen Ebenen – die Grundlage für die Nutzung einer Admin Workstation.
- Für hochkritische Rollen mit Control Plane-Zugriff, wie z.B. den Global Administrator, verfolgen wir den „Clean Keyboard“-Ansatz durch den Einsatz einer Privileged Admin Workstation (PAW) mit dedizierter Hardware.
- Für weitere administrative Rollen, wie etwa die Verwaltung von Workloads in Microsoft Azure, bieten wir eine skalierbare Lösung durch Virtual Access Workstations (VAW) an. Diese basieren auf einer geschützten und angepassten Azure Virtual Desktop (AVD)-Infrastruktur im Red Tenant.
Bausteine des Managed Red Tenants
Microsoft Entra Internet Access fungiert als identitätszentriertes Secure Web Gateway (SWG) und wurde implementiert, um den öffentlichen Internetzugang zu blockieren und die Konnektivität nur auf privilegierte Schnittstellen und autorisierte Unternehmens-Tenant-Umgebungen zu beschränken. Zusätzliche Features wie die Universal Conditional Access Evaluation (CAE) ermöglichen nahezu in Echtzeit den Zugriff zu blockieren.
Microsoft Entra Private Access dient als identitätszentriertes Zero Trust Network Access (ZTNA)-Lösung und ist das Herzstück unseres Ansatzes, um sicheren und privaten Zugriff auf VAWs bereitzustellen. Die Integration in unsere Lösung fügt eine zusätzliche Schutzschicht für privilegierte Sitzungen auf AVD-basierten Endpunkten hinzu, indem Conditional Access auf dem zugreifenden Client vor der Herstellung der Verbindung zum VAW durchgesetzt wird. Der Schutz des Zugriffs und die Anwendung des Zero Trust-Prinzips zur Verwaltung privater oder lokaler Ressourcen sind weitere Anwendungsfälle, bei denen wir von Private Access profitieren.