微軟認(rèn)為“零信任”是任何組織的安全計(jì)劃的重要組成部分,。我們與云安全聯(lián)盟(一個(gè)推廣云計(jì)算最佳實(shí)踐的非營(yíng)利組織)合作,,將多名高級(jí)首席信息安全官聚集在一起,,討論并分享他們對(duì)零信任歷程的見解,。
在我們的第一次討論中,,我們與來自著名能源,、金融,、保險(xiǎn)和制造企業(yè)的10位首席信息安全官坐在虛擬圓桌會(huì)議上,,了解哪些是他們認(rèn)為行之有效的,,哪些是零信任安全模型仍需要調(diào)整的地方。我們的集體目標(biāo)是相互學(xué)習(xí),,并與其他網(wǎng)絡(luò)安全領(lǐng)域的專業(yè)人士分享,。
“零信任:從不信任,永遠(yuǎn)驗(yàn)證,?!?/p>
零信任假設(shè)所有的訪問都是有風(fēng)險(xiǎn)的,并驗(yàn)證每一個(gè)請(qǐng)求,,就像它始終來自一個(gè)不受控的網(wǎng)絡(luò)一樣,。這意味著無論是防火墻內(nèi)外,、終端上、服務(wù)器上還是云中,,安全防護(hù)機(jī)制永遠(yuǎn)不相信任何人或任何事件,。
“零信任”策略
在您的企業(yè)中引入零信任策略需要在所有基礎(chǔ)要素上實(shí)施管控,例如:身份,、設(shè)備,、應(yīng)用、數(shù)據(jù),、基礎(chǔ)設(shè)施和網(wǎng)絡(luò),。
策略 #1 - 使用身份控制訪問權(quán)限
身份代表用戶、服務(wù)和物聯(lián)網(wǎng)設(shè)備——是網(wǎng)絡(luò),、終端和應(yīng)用的共同點(diǎn),。在零信任安全模型中,它們作為一種強(qiáng)大,、靈活和細(xì)化的方式來控制對(duì)數(shù)據(jù)的訪問,。當(dāng)任何身份試圖訪問任何資源時(shí),安全防護(hù)機(jī)制應(yīng)通過強(qiáng)身份驗(yàn)證來驗(yàn)證身份,,確保訪問請(qǐng)求符合典型的身份行為,,并確認(rèn)該身份遵循最小權(quán)限訪問原則。
策略 #2 - 提升身份認(rèn)證
將多因素認(rèn)證或持續(xù)認(rèn)證納入身份管理策略,,可大幅改善企業(yè)的信息安全狀況,。一位圓桌會(huì)議的與會(huì)者分享說,通過將身份管理擴(kuò)展到持續(xù)認(rèn)證功能,,他們的企業(yè)現(xiàn)在可以在用戶的常用 IP 地址或常規(guī)行為模式發(fā)生變化時(shí)進(jìn)行身份驗(yàn)證。只要能通過其他方法進(jìn)行驗(yàn)證,,并且最終用戶不需要為了驗(yàn)證額外進(jìn)行任何操作,,那么就可以每隔五分鐘甚至每秒鐘進(jìn)行一次持續(xù)驗(yàn)證。比如,,終端可以成為多因素驗(yàn)證的因素之一等,。
策略 #3 - 納入無密碼認(rèn)證
無密碼認(rèn)證用兩個(gè)或兩個(gè)以上的驗(yàn)證因素取代傳統(tǒng)密碼,并以一對(duì)加密密鑰來保證安全性,。注冊(cè)時(shí),,設(shè)備會(huì)創(chuàng)建一個(gè)公鑰和私鑰。私鑰可以借助本地安全硬件來進(jìn)行解鎖,,如常規(guī)的手機(jī)呼叫驗(yàn)證,、PIN 碼登錄、生物識(shí)別認(rèn)證(指紋掃描,、面部識(shí)別或虹膜識(shí)別),,甚至對(duì)于涉及訪問及維護(hù)企業(yè)敏感信息,、應(yīng)用、服務(wù)和設(shè)備的員工,,可以添加需要配合指紋或 PIN 使用的安全密鑰或者獨(dú)立的芯片卡,,確保正確的人在最低權(quán)限下獲取了需要的內(nèi)容。
策略 #4 - 細(xì)分企業(yè)網(wǎng)絡(luò)
網(wǎng)絡(luò)分割可能是企業(yè) IT 的典型痛點(diǎn),,因?yàn)榉阑饓Υ碇缙诘姆指?,這會(huì)讓開發(fā)和測(cè)試工作變得復(fù)雜。最終,,許多 IT 團(tuán)隊(duì)更多依靠安全團(tuán)隊(duì)來解決網(wǎng)絡(luò)連接和訪問的問題,。然而,分割網(wǎng)絡(luò)并進(jìn)行更深層次的網(wǎng)絡(luò)內(nèi)微觀分割對(duì)于零信任來說非常重要,,因?yàn)樵诨旌限k公的世界中,,所有關(guān)鍵業(yè)務(wù)數(shù)據(jù)都是通過網(wǎng)絡(luò)基礎(chǔ)設(shè)施訪問的。對(duì)于網(wǎng)絡(luò)的控制起到了至關(guān)重要的作用,,提高可視性并有助于防止惡意攻擊者在網(wǎng)絡(luò)中橫向移動(dòng),。
策略 #5 - 保護(hù)設(shè)備
在零信任策略中,訪問企業(yè)數(shù)據(jù)和運(yùn)行企業(yè)應(yīng)用的設(shè)備無論是企業(yè)所有的還是個(gè)人所有的手機(jī)或平板電腦,,也就是所謂的“員工自有設(shè)備”(BYOD),,都將采用相同的安全策略。需要連接企業(yè)網(wǎng)絡(luò)的內(nèi)部員工,、供應(yīng)商,、合作伙伴甚至訪客的設(shè)備都是可以由 IT 部門完全管理的。而無論這些 PC,、Mac,、服務(wù)器、物聯(lián)網(wǎng)設(shè)備,、筆記本電腦,、平板電腦、智能手機(jī)或可穿戴設(shè)備位于企業(yè)內(nèi)部網(wǎng)絡(luò),、企業(yè)訪客網(wǎng)絡(luò),、家庭寬帶甚至在咖啡館或者機(jī)場(chǎng)候機(jī)廳接入的公共互聯(lián)網(wǎng),都是如此,。在混合辦公的世界里,,大量且多樣性可訪問企業(yè)信息的設(shè)備是最難以監(jiān)管的部分。如果允許未打補(bǔ)丁或者有安全隱患的設(shè)備接入企業(yè)內(nèi)部網(wǎng)絡(luò),,那無疑會(huì)大大提高企業(yè)的信息安全風(fēng)險(xiǎn),。
策略 #6 - 對(duì)企業(yè)應(yīng)用進(jìn)行細(xì)分
要從云應(yīng)用和服務(wù)中充分受益,需要在提供訪問和維持控制之間找到一個(gè)平衡,,以確保應(yīng)用及其包含的數(shù)據(jù)受到保護(hù),。通過對(duì)應(yīng)用的管控來發(fā)現(xiàn)影子 IT,,確保適當(dāng)?shù)膽?yīng)用內(nèi)的權(quán)限,根據(jù)實(shí)時(shí)分析結(jié)果對(duì)訪問來進(jìn)行把關(guān),,監(jiān)控異常行為,,限制用戶的非常規(guī)操作,并驗(yàn)證安全配置選項(xiàng),。
策略 #7 - 定義角色和訪問控制
隨著遠(yuǎn)程工作的迅速普及,,所有企業(yè)必須考慮尋找現(xiàn)代安全控制的方式。將員工在企業(yè)數(shù)字資產(chǎn)中需要進(jìn)行的操作進(jìn)行角色化的定義,,并與策略聯(lián)系起來,,作為授權(quán)、單點(diǎn)登錄,、無密碼訪問的一部分是非常高效的,。然而,每一個(gè)定義的角色都必須在現(xiàn)在和未來進(jìn)行管理和維護(hù),,所以要有選擇地創(chuàng)建多少種角色,,這樣就不會(huì)給后期的管理和維護(hù)工作帶來繁重的工作。
邁向“零信任”的歷程
在混合辦公的世界中,,信息安全防護(hù)方案應(yīng)該從假設(shè)突破的關(guān)鍵零信任原則開始,。但通常情況下都被復(fù)雜性和分散性阻礙了發(fā)展。我們致力于幫助所有組織解決這個(gè)問題,,因?yàn)槲覀優(yōu)樗腥藰?gòu)建安全的環(huán)境,,并從云端交付。
誠(chéng)然這些都始于集成解決方案,,讓您的組織專注于重要的事情,,并為您的所有平臺(tái)和所有云中數(shù)字資產(chǎn)提供可視性。我們推出了一套整體方案,,將最佳的 SIEM 集成體系結(jié)構(gòu)和響應(yīng)(XDR)工具直接構(gòu)建在云中,,這為您提供了最好的產(chǎn)品和最佳的集成體驗(yàn),因此 IT 部門再也不需要通過每天“奔波”于大量的管理平臺(tái)來保護(hù)企業(yè)信息安全,。
使用 Microsoft Defender for Endpoint 和 Defender for Office 365 的用戶可以從 Microsoft 365 Defender 門戶調(diào)查和處理威脅。它提供了統(tǒng)一的警報(bào),、用戶和調(diào)查頁(yè)面,,以便進(jìn)行深入的自動(dòng)分析和直觀的可視化效果,并提供了一個(gè)新的學(xué)習(xí)中心,,您可以利用具有最佳實(shí)踐和操作方法的指導(dǎo)資源對(duì)企業(yè)信息安全進(jìn)行加固,。
新的威脅分析提供了一組來自 Microsoft 安全研究專家的報(bào)告,可幫助您直接在 Microsoft 365 Defender 中了解,、預(yù)防和緩解威脅,,如近期的 Solorigate 攻擊等,。
我們正在將安全核心引入 Windows Server 和邊緣設(shè)備,以幫助最大限度地降低物聯(lián)網(wǎng)和混合云環(huán)境中的固件漏洞和高級(jí)惡意軟件的風(fēng)險(xiǎn),。
各企業(yè)在開始施行零信任之旅時(shí),,關(guān)注的側(cè)重點(diǎn)各不相同。圓桌會(huì)議參與者所代表的一些企業(yè)從用戶身份和訪問管理開始了他們的零信任之旅,,而其他企業(yè)則從網(wǎng)絡(luò)宏觀和微觀細(xì)分或應(yīng)用方面開始,。這些信息安全官一致認(rèn)為,制定施行零信任策略的整體戰(zhàn)略至關(guān)重要,,在整個(gè)企業(yè)中大面積推廣零信任之前,,應(yīng)該從小處著手,建立信心,。
這通常意味著需要采取分階段的方法,,根據(jù)企業(yè)“零信任”的成熟度、可用資源和優(yōu)先級(jí),,針對(duì)特定領(lǐng)域來進(jìn)行,。例如,您可以從云中的新項(xiàng)目開始,,或在開發(fā)人員和測(cè)試環(huán)境中進(jìn)行前期試驗(yàn),。一旦您建立了信心,我們建議將零信任策略覆蓋到整個(gè)企業(yè)數(shù)字財(cái)產(chǎn),,同時(shí)將其作為一種集成的安全理念和端到端的戰(zhàn)略推進(jìn),。在這個(gè)旅程中,您并不孤單,。成功的企業(yè)已經(jīng)走過了這條道路,,我們很高興與您一起走過每一步。