01
微軟為何要做零信任
微軟一直致力于給用戶帶來更好的產(chǎn)品體驗(yàn),在業(yè)務(wù)敏捷性上為用戶增加價(jià)值。在安全能力上,,微軟也一直在不斷迭代發(fā)展,不過整體而言,,其安全能力主要還是作為Azure云平臺、Windows操作系統(tǒng),、Office等產(chǎn)品的補(bǔ)充和完善,,用于提升產(chǎn)品的附加值,,暫時并未提供獨(dú)立的安全產(chǎn)品或從服務(wù)的視角或思維切入安全領(lǐng)域。比如微軟近期發(fā)布的Windows 365,,Cloud PC云端操作系統(tǒng),,在安全防護(hù)上,微軟基于“零信任”原則,,憑借自身云端的能力,,從初始設(shè)計(jì)上就確保了產(chǎn)品的安全性,當(dāng)然其目的仍然是讓用戶對Windows 365產(chǎn)品感到安心,。微軟認(rèn)為,,零信任安全戰(zhàn)略應(yīng)該貫穿于組織的架構(gòu)、技術(shù)選型,、運(yùn)營流程以及組織的整體文化和員工的思維方式,。
在數(shù)字化轉(zhuǎn)型時代,云服務(wù),,移動計(jì)算,,物聯(lián)網(wǎng)的應(yīng)用越來越多,微軟意識到一個企業(yè)如果仍然依賴于本地防火墻和VPN,,僅從組織的物理位置決定安全策略,,會缺乏對內(nèi)部安全風(fēng)險(xiǎn)的可見性,無法及時提供端到端的安全覆蓋,,也就會對其產(chǎn)品的安全性帶來風(fēng)險(xiǎn)和挑戰(zhàn),。同時,攻擊者開始利用釣魚攻擊,、身份憑證竊取等一系列針對身份的攻擊方式,,突破傳統(tǒng)網(wǎng)絡(luò)安全邊界,讓安全工程師疲于奔命,。因此,,微軟認(rèn)為需要新的安全模型,該模型可以有效地適應(yīng)現(xiàn)代IT環(huán)境的復(fù)雜性,。在假定出現(xiàn)了信息泄露的情況下,,只要有請求發(fā)起就需要進(jìn)行驗(yàn)證,無論該請求出自何處,,需要訪問什么資源,。這樣可保護(hù)位于任何位置的用戶、設(shè)備,、應(yīng)用程序和數(shù)據(jù)等資產(chǎn),這就是微軟使用零信任的初衷,。零信任并非不信任一切事物,,而是采用一種更加智慧,、聰明的信任方式。因?yàn)?,一切商業(yè)的邏輯——信息流轉(zhuǎn)都不能否認(rèn)信任的存在,。沒有信任,一切都無從談起,。
02
微軟網(wǎng)絡(luò)安全
參考架構(gòu)MCRA
除了微軟各產(chǎn)品中對安全的描述,,微軟的網(wǎng)絡(luò)安全能力主要集中在微軟網(wǎng)絡(luò)安全參考架構(gòu) (Microsoft Cybersecurity Reference Architectures,MCRA) 中進(jìn)行了介紹,。在MCRA中描述了微軟的網(wǎng)絡(luò)安全能力是如何利用微軟各類安全服務(wù),、安全產(chǎn)品與微軟各平臺(例如 Microsoft 365 和 Microsoft Azure)、第三方應(yīng)用(例如 ServiceNow 和 Salesforce)和第三方平臺(例如 Amazon Web Services (AWS) 以及 Google Cloud Platform (GCP))集成的,。值得一提的是,,整個MCRA都是以零信任原則進(jìn)行設(shè)計(jì)。如下圖所示:
從圖中我們可以看出微軟多年來一直在網(wǎng)絡(luò)安全研究與開發(fā)方面進(jìn)行了大量投資,,以確保產(chǎn)品和服務(wù)的安全,,并為其客戶提供保護(hù)資產(chǎn)所需的能力。
整個微軟網(wǎng)絡(luò)安全能力架構(gòu)采用了零信任原則進(jìn)行設(shè)計(jì),,分別在身份與訪問,、安全運(yùn)營、設(shè)備合規(guī)性管控,、多云和跨云平臺管理,、軟件即服務(wù)(SaaS)的云原生安全控制、物聯(lián)網(wǎng)與運(yùn)營管理,,信息保護(hù)等功能上進(jìn)行細(xì)化和落地,。
此外,在MCRA中微軟還對零信任基本概念,,零信任快速現(xiàn)代化計(jì)劃 (Rapid Modernization Plan, RaMP),,安全運(yùn)營和關(guān)鍵計(jì)劃(例如,防御人為操作的勒索軟件,、保護(hù)特權(quán)訪問和超越VPN 形態(tài)的用戶訪問等)的其他關(guān)鍵信息進(jìn)行了介紹,。
03
微軟零信任的
二十年發(fā)展歷史
我們已經(jīng)能從MCRA中看出微軟在安全領(lǐng)域的持續(xù)投入,如果追尋零信任在微軟的發(fā)展歷程,,可以看到近20年的歷史,。一路走來,雖然零信任理念已經(jīng)發(fā)展了許久,,但直到最近才被主流逐漸認(rèn)可和采用,。
在這個過程中,微軟理解零信任戰(zhàn)略形成了兩個主要的思想流派:網(wǎng)絡(luò)派和身份派,。
網(wǎng)絡(luò)派——通過劃分更小的網(wǎng)段,,并在允許訪問資源之前測量設(shè)備的信任度,,來增強(qiáng)網(wǎng)絡(luò)訪問控制能力。雖然該方法富有吸引力,,但復(fù)雜性較高,。
身份派——Jericho論壇倡導(dǎo)的另一種方法,通過建立身份邊界來實(shí)現(xiàn)資源訪問,,從網(wǎng)絡(luò)為中心轉(zhuǎn)移到了數(shù)據(jù)資產(chǎn)為中心,。
微軟在云轉(zhuǎn)型過程中,融合了網(wǎng)絡(luò)和身份模型兩種技術(shù)方法實(shí)踐零信任,。
在這個過程中,,微軟將零信任安全模型應(yīng)用于自身實(shí)踐,微軟員工訪問企業(yè)技術(shù)資源和服務(wù)也需要零信任安全模型來進(jìn)行隔離和限制,。微軟也是在幾年前就開展了零信任的建設(shè),,涉及多方面的技術(shù)和多個部門,并將在未來幾年持續(xù)投入,,旨在未來兩到三年內(nèi)完全實(shí)現(xiàn)的零信任目標(biāo),。
由于篇幅的原因,本文對微軟零信任的分析解讀主要針對身份和零信任用戶訪問(Identity and Zero Trust User Access)這一范圍,,并不包含MCRA中其它應(yīng)用零信任原則所涉及的內(nèi)容,。
04
微軟零信任安全架構(gòu)的
基本概念
4.1 零信任的指導(dǎo)原則
作為零信任起源Jericho論壇主辦機(jī)構(gòu)The Open Group所發(fā)布白皮書《零信任核心原則》(Zero Trust Core Principles)的參與方,微軟認(rèn)可Jericho論壇的零信任理念“從不信任,,始終驗(yàn)證”,。據(jù)此,微軟提出了自己零信任原則:
1. 進(jìn)行顯式驗(yàn)證(Verify Explicitly)
所有可用的數(shù)據(jù)訪問點(diǎn)都必須進(jìn)行身份驗(yàn)證和授權(quán),,包括用戶身份識別,,位置、設(shè)備的健康情況判斷,,服務(wù)或工作負(fù)載,,數(shù)據(jù)分類分級標(biāo)簽和異常行為檢測。
2. 使用最小權(quán)限訪問(Use Least Privileged Access)
通過及時(Just-in-time, JIT)和足夠(Just-enough-access, JEA)的訪問權(quán)限,、基于風(fēng)險(xiǎn)的自適性策略以及數(shù)據(jù)保護(hù)來有效限制用戶的訪問,,以幫助保護(hù)數(shù)據(jù)并且保障生產(chǎn)力。
3. 假定數(shù)據(jù)泄露(Assume Breach)
需持續(xù)監(jiān)測與感知網(wǎng)絡(luò),、用戶,、設(shè)備和應(yīng)用程序,來切分其訪問控制權(quán)限,,縮小數(shù)據(jù)泄露的波及范圍并防止橫向移動,。同時還需驗(yàn)證所有會話,均為端對端加密,通過安全可視化的分析手段,,進(jìn)而驅(qū)動威脅探測和加強(qiáng)安全防護(hù),。
每個訪問請求在授予訪問之前都應(yīng)進(jìn)行完全身份驗(yàn)證、授權(quán)和加密,。應(yīng)用微分段和最小特權(quán)訪問原則最大限度地減少了橫向遷移。利用豐富的智能和分析進(jìn)行檢測并及時響應(yīng)異常情況,。
4.2 零信任訪問控制機(jī)制
零信任訪問機(jī)制的關(guān)鍵組成部分有三個:信息源,、決策引擎、策略執(zhí)行,。
? 信息源:收集用戶,、設(shè)備的安全狀態(tài)信息、風(fēng)險(xiǎn)信息,、行為信息等,。
? 決策引擎:基于信號源的信息對信任持續(xù)評估,做出訪問策略的調(diào)整,。
? 策略執(zhí)行:對訪問請求做出最終的操作決定,。
4.3 零信任架構(gòu)組成要素
微軟認(rèn)為無論何種用戶或應(yīng)用程序環(huán)境,都必須提供對其資源的安全訪問能力,。在允許訪問前,,都要評估用戶的位置、角色定義,、設(shè)備的運(yùn)行狀態(tài),、服務(wù)類型以及請求訪問的數(shù)據(jù)類別等。并且,,最終使用策略消息傳遞和策略自動實(shí)施的方法,,在安全性與最佳用戶體驗(yàn)之間找到平衡點(diǎn)。
零信任理念應(yīng)擴(kuò)展到整個數(shù)字資產(chǎn),,作為集成安全性理念和端到端策略,,是對6個基本元素的安全防護(hù):身份,設(shè)備,,應(yīng)用程序,,數(shù)據(jù),網(wǎng)絡(luò)和基礎(chǔ)設(shè)施,,來實(shí)現(xiàn)零信任,。這6個要素本身既是策略評估所需的信息源,也是實(shí)施控制的抓手,,并且還是需要被保護(hù)的關(guān)鍵資源,。每一項(xiàng)在零信任架構(gòu)中所起到的作用如下:
? 身份
身份(無論是人員、設(shè)備,、應(yīng)用還是進(jìn)程)是資源訪問的入口,,是零信任的基礎(chǔ),。當(dāng)身份嘗試訪問資源時,系統(tǒng)需要對其進(jìn)行強(qiáng)身份驗(yàn)證,,確保該身份是合理且合規(guī)的,,同時保證遵循最小權(quán)限訪問原則。
? 設(shè)備
身份獲得對資源的訪問權(quán)限,,各類設(shè)備即會產(chǎn)生通信的數(shù)據(jù)流,,無形中暴露了一個巨大的攻擊面。為了降低設(shè)備風(fēng)險(xiǎn),,系統(tǒng)需要持續(xù)對其運(yùn)行狀況監(jiān)控,,維護(hù)其合規(guī)性。
? 應(yīng)用
應(yīng)用程序和API提供了數(shù)據(jù)訪問接口,。為了確保不同的身份在不同的應(yīng)用中具備適當(dāng)?shù)脑L問權(quán)限,,需要實(shí)現(xiàn)基于跨應(yīng)用的實(shí)時分析,完成訪問控制,、異常行為監(jiān)視,、用戶操作審核以及安全配置選項(xiàng)驗(yàn)證等。
? 數(shù)據(jù)
數(shù)據(jù)是安全的核心,,應(yīng)被分類,、標(biāo)記和加密,并基于這些屬性有條件的訪問,。
? 網(wǎng)絡(luò)
建立可信,、可靠的網(wǎng)絡(luò)鏈路是數(shù)據(jù)訪問的重要環(huán)節(jié)。網(wǎng)絡(luò)代理可以提供“可信通道”,、端到端的數(shù)據(jù)加密,、實(shí)時監(jiān)控、分析,,威脅防護(hù),,防止攻擊者在網(wǎng)絡(luò)中橫向移動。
? 基礎(chǔ)設(shè)施
建立安全的基礎(chǔ)設(shè)施(無論是本地服務(wù)器,、云端的虛擬機(jī),、容器還是微服務(wù))是減少風(fēng)險(xiǎn)的有效措施??梢酝ㄟ^對基礎(chǔ)設(shè)施的版本評估,、實(shí)時訪問權(quán)限配置,攻擊/異常行為持續(xù)監(jiān)測,,惡意行為自動阻斷與危險(xiǎn)行為標(biāo)記等方式,,采取防護(hù)措施。
05
微軟零信任安全架構(gòu)
模型及相關(guān)組件
5.1 抽象架構(gòu)模型
零信任架構(gòu)(Zero Trust Architecture,ZTA)是微軟基于“零信任指導(dǎo)原則”的企業(yè)安全戰(zhàn)略架構(gòu),,核心是保護(hù)資源的安全性,,通過細(xì)分資源訪問控制防止非法訪問和橫向移動。簡化的微軟零信任架構(gòu)如下圖所示,。
圖中的訪問主體是身份(Identities)和設(shè)備(Devices),。
訪問資源是數(shù)據(jù)(Data)、應(yīng)用(Apps),、基礎(chǔ)架構(gòu)(Infrastructure)——容器,、微服務(wù)以及底層操作系統(tǒng)和固件等、網(wǎng)絡(luò)(Network),。
架構(gòu)的核心是安全策略執(zhí)行點(diǎn)(Security Policy Enforcement),在其它微軟零信任的架構(gòu)圖中也稱為安全策略引擎(Security Policy Engine(s)),,可提供實(shí)時策略評估,。該引擎通過分析信號并應(yīng)用組織策略和威脅情報(bào)來提供保護(hù)。在授予對數(shù)據(jù),、應(yīng)用程序,、基礎(chǔ)設(shè)施和網(wǎng)絡(luò)的訪問權(quán)限之前,它可確保身份得到驗(yàn)證和驗(yàn)證,,并且設(shè)備是安全的,。此外,它提供持續(xù)地全面地應(yīng)用可見性與分析以及自動化,。
訪問主體和訪問資源這6個對象也是微軟零信任安全架構(gòu)的6個基本元素,。如果再參考上述微軟MCRA中功能組件與零信任架構(gòu)組成的關(guān)系,可以發(fā)現(xiàn)架構(gòu)中的每個組成都有相應(yīng)的產(chǎn)品/服務(wù)/解決方案與之對應(yīng),,分析如下:
? 身份安全組件:Azure Active Directory(Azure AD),、Microsoft Defender for Identity提供身份認(rèn)證(MFA\Passwordless)和保護(hù)。
? 設(shè)備安全組件:Microsoft Endpoint Manager,、Microsoft Defender for Endpoint,。
? 應(yīng)用安全組件:Microsoft Cloud App Security、GitHub Advanced Security,。
? 數(shù)據(jù)安全組件:Microsoft Information Protection完成數(shù)據(jù)治理,,數(shù)據(jù)分級分類。
? 網(wǎng)絡(luò)安全組件:Microsoft Azure提供的Azure AD App Proxy,、Azure ExpressRoute,。
? 基礎(chǔ)設(shè)施安全組件:云安全態(tài)勢管理的Azure Security Center、云原生的SOC(SIEM,、SOAR,、UEBA)Azure Sentinel。
? 核心的安全策略引擎 Security Policy Enforcement對應(yīng)的是:Azure AD Conditional Access,由它來形成統(tǒng)一安全管控評估決策
5.2 零信任用戶訪問場景參考組件
在零信任用戶訪問場景下,,用戶通過Conditional Access來訪問資源的組件概述如下,。我們可以更加清晰地看到微軟是如何通過其已有的產(chǎn)品/服務(wù)搭建起一個完整的零信任用戶訪問架構(gòu)的。
第一步是收集身份,、設(shè)備的安全態(tài)勢信息(風(fēng)險(xiǎn)判定),。
身份信息通過Azure AD Identity Protection,Azure ATP和Cloud App Security結(jié)合微軟自建的威脅情報(bào)庫來監(jiān)控和分析網(wǎng)絡(luò)中的用戶活動和信息,。使用基于非對稱密鑰的用戶身份驗(yàn)證(Passwordless,無密碼方式)Hello for Business和Azure MFA完成多因子的用戶鑒別,。
設(shè)備信息通過Microsoft Defender ATP進(jìn)行基于風(fēng)險(xiǎn)的漏洞管理和評估,判斷是否是受控設(shè)備,,是否滿足設(shè)備合規(guī)性要求,。再通過Intune完成設(shè)備管理。
第二步是內(nèi)置于 Azure Active Directory的Conditional Access在收到初次訪問請求后,,會基于用戶和設(shè)備的風(fēng)險(xiǎn)狀況進(jìn)行策略評估,,調(diào)整已有的訪問策略。當(dāng)用戶暫不滿足信任要求時,,會通知用戶再次進(jìn)行多因子認(rèn)證,。
第三步通過多因子認(rèn)證后,授予用戶相應(yīng)的訪問權(quán)限,。訪問應(yīng)用,、云基礎(chǔ)設(shè)施、數(shù)據(jù)(文檔)等,。為了保護(hù)暫不支持零信任的資產(chǎn),,微軟提供了Azure AD App Proxy來作為支撐。
在整個過程中是暗含持續(xù)地信息監(jiān)測,,但這對于用戶來說,,在訪問過程中是全程無感的。
5.3 用于微軟自身的零信任
在微軟內(nèi)部,,當(dāng)前主要確定了四個核心場景來幫助實(shí)現(xiàn)零信任,。這些場景下的解決方案滿足強(qiáng)身份認(rèn)證、受控設(shè)備管理和設(shè)備健康監(jiān)測,、非受控設(shè)備的替代訪問以及應(yīng)用程序健康監(jiān)測的安全性要求,。核心場景有:
場景1:應(yīng)用程序和服務(wù)可以做多因子身份認(rèn)證和監(jiān)測設(shè)備運(yùn)行狀況。
場景2:員工可以將設(shè)備注冊到設(shè)備管理系統(tǒng)中,,該系統(tǒng)會強(qiáng)制執(zhí)行設(shè)備運(yùn)行狀況監(jiān)測以控制其對公司資源的訪問,。
場景3:公司員工和商務(wù)客戶在使用非受控設(shè)備時可以安全地訪問公司資源。
場景4:對資源的訪問僅限于執(zhí)行指定功能所需的最小權(quán)限,。
微軟最初實(shí)施零信任的側(cè)重點(diǎn)是整個企業(yè)(包括員工,、合作伙伴和供應(yīng)商)中使用的通用企業(yè)服務(wù),。其零信任實(shí)施針對的是微軟員工在iOS、Android,、MacOS和Windows等平臺上日常使用的核心應(yīng)用程序集(例如,,Office應(yīng)用程序、業(yè)務(wù)線的應(yīng)用程序),。隨著發(fā)展,,重點(diǎn)已經(jīng)擴(kuò)展到企業(yè)內(nèi)使用的所有應(yīng)用程序。任何訪問公司資源的所有受控或個人設(shè)備都必須通過設(shè)備管理系統(tǒng)進(jìn)行管理,。
下圖是微軟為實(shí)現(xiàn)零信任的簡化零信任架構(gòu),。包含用于設(shè)備管理和設(shè)備安全策略配置的 Intune、用于設(shè)備健康監(jiān)測的Azure Active Directory (Azure AD) Access Conditions以及用于用戶和設(shè)備清單的 Azure AD,。
該系統(tǒng)通過將設(shè)備配置要求推送到受控設(shè)備,,與Intune 配合使用。然后設(shè)備會生成一份安全程度聲明,,該聲明存儲在Azure AD中,。當(dāng)設(shè)備用戶請求訪問資源時,設(shè)備運(yùn)行狀況將作為與Azure AD進(jìn)行身份鑒別交換的一部分來進(jìn)行認(rèn)證,。
06
微軟零信任安全架構(gòu)
部署與成熟度模型
6.1 確定工作規(guī)劃優(yōu)先級
在具體零信任模型實(shí)踐中,微軟向用戶建議首先確定零信任工作的優(yōu)先級,,以最大限度地提高安全投資回報(bào) (ROI),。
1. 調(diào)整組織戰(zhàn)略和團(tuán)隊(duì)
企業(yè)組織的首要任務(wù)應(yīng)該是讓所有技術(shù)團(tuán)隊(duì)達(dá)成共識,并建立一個符合業(yè)務(wù)需求的單一細(xì)分策略,。
2.與上一步同步開展,,構(gòu)建基于身份的邊界
企業(yè)組織應(yīng)采用多因子身份驗(yàn)證或無密碼身份控制,以更好地保護(hù)身份安全,。并迅速制定分階段計(jì)劃,,以衡量(并強(qiáng)制執(zhí)行)訪問資源的用戶和設(shè)備的信任度,最終鑒別所訪問的每個資源的信任度,。
微軟對于安全邊界的理解是,,邊界需求一直都存在,只是其形式隨著時間而不斷演變,。從一開始的物理邊界保護(hù)資產(chǎn),,到網(wǎng)絡(luò)邊界進(jìn)行資產(chǎn)隔離,再到目前基于身份和訪問管理,,通過身份鑒別和授權(quán)來保護(hù)資產(chǎn)免受威脅,。
3.細(xì)化網(wǎng)絡(luò)邊界(微分段)、網(wǎng)絡(luò)安全策略
6.2 實(shí)施部署(能力要求)
對于企業(yè)組織后續(xù)創(chuàng)建,、部署與微軟產(chǎn)品和服務(wù)集成的零信任解決方案,,以及在開發(fā)應(yīng)用程序時遵循零信任最佳做法的指導(dǎo),。微軟建議從身份安全入手,因?yàn)樯矸菔橇阈湃螒?zhàn)略成功的核心,。微軟圍繞身份,,設(shè)備,應(yīng)用,,數(shù)據(jù),,基礎(chǔ)設(shè)施,網(wǎng)絡(luò),,可見性,、自動化和業(yè)務(wù)流程編排幾個方面(可以理解為微軟的零信任支柱)的安全性目標(biāo)要求,來評估部署采用何種微軟的安全產(chǎn)品來實(shí)現(xiàn)零信任,,這樣才能夠減少或防止數(shù)據(jù)因上述幾方面的缺陷所導(dǎo)致的威脅和侵害,。
6.2.1 身份
整個身份安全都依賴于微軟的Azure Active Directory (AD)套件?;景踩砸笥幸韵氯?xiàng):
1. 統(tǒng)一云端身份與本地身份
同步Azure AD與本地身份系統(tǒng),,維護(hù)統(tǒng)一權(quán)威身份源,并使用強(qiáng)身份認(rèn)證,。
2. 按條件訪問策略,,執(zhí)行受限訪問
分析用戶、設(shè)備和位置等信息,,以自動執(zhí)行決策并強(qiáng)制實(shí)施資源的訪問策略,。
3. 通過分析提高可見性
通過在Azure中或使用所選的SIEM系統(tǒng)存儲和分析來自Azure AD的日志。
改進(jìn)性要求也有3:
1. 身份和訪問權(quán)限通過身份治理進(jìn)行管理,。
2. 實(shí)時分析用戶,、設(shè)備、位置和行為,,以確定風(fēng)險(xiǎn)并提供持續(xù)保護(hù),。
3. 集成來自其他安全解決方案的威脅信號,以改進(jìn)檢測,、保護(hù)和響應(yīng),。
6.2.2 設(shè)備
在實(shí)施端到端零信任框架保護(hù)設(shè)備時,基本安全性要求有:
1.在云身份提供商處完成設(shè)備注冊,。
充分了解訪問資源的所有設(shè)備和接入點(diǎn)的安全性,。
2.訪問權(quán)限僅授予受云管理且合規(guī)的設(shè)備。
設(shè)置合規(guī)性要求以確保設(shè)備在授予訪問權(quán)限之前滿足最低安全要求,。此外,,為不合規(guī)的設(shè)備設(shè)置補(bǔ)丁規(guī)則。
3.對自有或受控設(shè)備實(shí)施數(shù)據(jù)防泄漏 (DLP) 策略
改進(jìn)性要求有:
1.使用設(shè)備威脅檢測監(jiān)控設(shè)備風(fēng)險(xiǎn),。
使用統(tǒng)一的設(shè)備管理平臺達(dá)到管理的一致性,。并使用SIEM管理設(shè)備日志和事件,。
2.基于設(shè)備風(fēng)險(xiǎn)進(jìn)行訪問控制。
通過集成Microsoft Defender for Endpoint 或其它第三方數(shù)據(jù),,作為設(shè)備合規(guī)性策略和設(shè)備條件訪問規(guī)則的信息源,,來檢測設(shè)備風(fēng)險(xiǎn)。
6.2.3 應(yīng)用
在實(shí)施零信任方法來管理和監(jiān)控應(yīng)用程序時,,基本安全性要求有:
1.監(jiān)測應(yīng)用程序的活動,,保持對其可見性。
微軟會利用Microsoft Cloud App Security實(shí)現(xiàn)對應(yīng)用或API的監(jiān)測,。
2.監(jiān)控影子IT系統(tǒng)的使用,。
3.通過實(shí)施策略自動保護(hù)敏感信息和活動。
創(chuàng)建策略檢測云環(huán)境中的風(fēng)險(xiǎn),、違規(guī)行為或可疑數(shù)據(jù)點(diǎn)和活動,。監(jiān)控安全趨勢、查看安全威脅并生成自定義報(bào)告和告警信息,。
改進(jìn)性要求:
1.為所有應(yīng)用部署自適應(yīng)訪問和會話控制,。
確保所有應(yīng)用程序都使用最低權(quán)限訪問并進(jìn)行持續(xù)驗(yàn)證。
2.加強(qiáng)對網(wǎng)絡(luò)威脅和流氓應(yīng)用的防范,。
利用Cloud App Security 的 UEBA 和機(jī)器學(xué)習(xí) (ML) 功能,,檢測威脅并在整個云環(huán)境中運(yùn)行高級威脅檢測。調(diào)整異常檢測的策略,。
3.評估云環(huán)境的安全狀況
6.2.4 數(shù)據(jù)
在為數(shù)據(jù)實(shí)施端到端零信任框架時,,基本性要求有:
1.數(shù)據(jù)需加密
通過加密保護(hù)最敏感的數(shù)據(jù),無論是靜態(tài)或傳輸中,,以限制對敏感的內(nèi)容的訪問。
2.自動對數(shù)據(jù)進(jìn)行打標(biāo),、分級分類,。
改進(jìn)型要求:
1.使用機(jī)器學(xué)習(xí)模型增強(qiáng)數(shù)據(jù)分級分類和打標(biāo)。
2.訪問決策由云安全策略引擎管理,。
3.基于數(shù)據(jù)標(biāo)簽和內(nèi)容檢查的DLP策略防止數(shù)據(jù)泄漏,。
6.2.5 基礎(chǔ)設(shè)施
在實(shí)施端到端零信任框架來管理和監(jiān)控的基礎(chǔ)設(shè)施前,需滿足最低要求,。而在此之上才有基本性要求為:
1.監(jiān)控工作負(fù)載并就異常行為發(fā)出警報(bào),。
建立了用于監(jiān)控和發(fā)出警報(bào)的規(guī)則
2.每個工作負(fù)載都分配了一個應(yīng)用程序標(biāo)識,并做到配置和部署的一致性,。
3.對資源的訪問使用即時JIT管理權(quán)限來加強(qiáng)防御,。
改進(jìn)性要求:
1.阻止未經(jīng)授權(quán)的基礎(chǔ)設(shè)施部署,并發(fā)出告警信息,。
2.實(shí)現(xiàn)可跨基礎(chǔ)設(shè)施的多維度可見性和基礎(chǔ)設(shè)施基于角色的訪問控制,。
3.針對每個基礎(chǔ)設(shè)施實(shí)施分段
6.2.6 網(wǎng)絡(luò)
在實(shí)施端到端零信任框架來保護(hù)網(wǎng)絡(luò)安全時,,需達(dá)到的基本要求為:
1.網(wǎng)絡(luò)分段。
使用軟件定義的微邊界進(jìn)行網(wǎng)絡(luò)分段,。
2.威脅防護(hù),。
針對已知威脅,對HTTP/S流量的端點(diǎn)使用Azure Web 應(yīng)用程序防火墻 (WAF)來進(jìn)行防護(hù),。而對所有端點(diǎn)都在網(wǎng)絡(luò)傳輸層,,使用基于威脅情報(bào)的Azure防火墻進(jìn)行過濾。
3.加密用戶到應(yīng)用程序的內(nèi)部流量,。
改進(jìn)目標(biāo):
1.網(wǎng)絡(luò)分段,。
完全分布式的云微邊界和更深的微分段。
2.威脅防護(hù),。
基于機(jī)器學(xué)習(xí)的威脅防護(hù)和基于上下文的信息過濾,。
3.加密。
對所有流量都進(jìn)行加密,。
6.2.7 可見性,、自動化和編排
在為可見性、自動化和編排實(shí)施端到端零信任框架時,,基礎(chǔ)性要求:
1.啟用Microsoft 威脅防護(hù)(MTP)來實(shí)現(xiàn)安全可見性,。
2.啟用自動化的信息分析。
改進(jìn)性目標(biāo):
1.啟用額外的保護(hù)和檢測控制控件,,提高安全可見性和協(xié)調(diào)響應(yīng)的能力,。
6.3 微軟零信任成熟度模型
首先,微軟認(rèn)為“零信任”是一個持續(xù)進(jìn)化的系統(tǒng)工程,,而不是一蹴而就能達(dá)到某種最終結(jié)果的,。為了實(shí)施完整的零信任模型,作為一個集成的安全理念和端到端戰(zhàn)略貫穿于整個組織業(yè)務(wù),,并將其擴(kuò)展到整個組織的資產(chǎn),。微軟建議從問題開始,首先明確有哪些用戶身份,,需要訪問哪些應(yīng)用,、服務(wù)和數(shù)據(jù),以及如何訪問,;其次需要明確用戶訪問資源所需要滿足的條件,、屬性、狀態(tài),;系統(tǒng)如何通過安全控制策略來實(shí)現(xiàn)上述條件,;最后如何確保能夠執(zhí)行這些策略。
微軟利用幫助客戶保護(hù)其企業(yè)組織以及實(shí)施自身零信任模型方面的經(jīng)驗(yàn),,基于上述提到的6個基本元素,,總結(jié)開發(fā)了以下成熟度模型,,幫助企業(yè)組織評估自身零信任現(xiàn)狀,制定實(shí)施零信任的方案計(jì)劃,,分階段實(shí)施零信任模型,。
同時,微軟也開發(fā)了零信任評估工具來幫助用戶確定在零信任實(shí)施過程中所處的階段,,并針對零信任的關(guān)鍵節(jié)點(diǎn)提供下一步實(shí)施計(jì)劃和部署指南,。
6.3.1 傳統(tǒng)階段
如果企業(yè)組織尚未開展零信任,通常處于以下狀態(tài):
l 具有靜態(tài)規(guī)則和某些 SSO 的本地標(biāo)識,。
l 設(shè)備合規(guī)性,、云環(huán)境和登錄的可見性有限。
l 扁平的網(wǎng)絡(luò)基礎(chǔ)設(shè)施導(dǎo)致較大的風(fēng)險(xiǎn)暴露,。
6.3.2 中期階段
在此階段,,企業(yè)組織已經(jīng)開始實(shí)施零信任,并在以下幾個關(guān)鍵領(lǐng)域取得進(jìn)展:
l 利用混合標(biāo)識和定制化的訪問策略限制對數(shù)據(jù),、應(yīng)用和網(wǎng)絡(luò)的訪問,。
l 設(shè)備已注冊并符合IT安全策略。
l 開始細(xì)分網(wǎng)絡(luò),,針對云威脅的保護(hù)措施已就位,。
l 分析各類信息源用于評估用戶行為并主動識別威脅。
6.3.3 理想階段
處于理想階段的企業(yè)組織在安全性方面做出了很大改進(jìn):
l 已使用通過實(shí)時分析動態(tài)訪問應(yīng)用程序,、工作負(fù)載,、網(wǎng)絡(luò)和數(shù)據(jù)的云端的身份體系。
l 數(shù)據(jù)訪問的決策由云安全策略引擎管理,,數(shù)據(jù)共享過程會被加密及追蹤,。
l 應(yīng)用網(wǎng)絡(luò)微分段和加密技術(shù)。
l 實(shí)施自動威脅檢測和響應(yīng),。
基于以上的模型階段分割,,微軟認(rèn)為一個企業(yè)可以對比自身的情況,規(guī)劃安全路線圖,,平衡企業(yè)短期安全需求與長期安全戰(zhàn)略間的一致性,。
6.3.4 其它關(guān)鍵能力
基于能力成熟度模型,,微軟建議企業(yè)評估自身所處的零信任階段,,仍從身份、設(shè)備,、應(yīng)用程序,、數(shù)據(jù)、基礎(chǔ)結(jié)構(gòu)和網(wǎng)絡(luò)這6個要素進(jìn)行建設(shè),,規(guī)劃實(shí)施來提高企業(yè)的安全能力,,以便更有效地全局部署零信任安全模型,。同時,微軟認(rèn)為以下各項(xiàng)對于彌補(bǔ)重要的企業(yè)能力和資源差距都至關(guān)重要:
1. 強(qiáng)身份認(rèn)證,。確保強(qiáng)大的多重身份認(rèn)證和會話風(fēng)險(xiǎn)檢測作為訪問策略的支柱,,以最大限度地降低身份泄露的風(fēng)險(xiǎn)。
2. 基于策略的自適應(yīng)訪問,。為資源定義可接受的訪問策略,,并借助統(tǒng)一的安全策略引擎實(shí)施這些策略,該引擎需要具備治理和洞察差異的能力,。
3. 網(wǎng)絡(luò)微分段,。使用軟件定義的微邊界,從簡單的集中式網(wǎng)絡(luò)外圍環(huán)境轉(zhuǎn)向全面覆蓋的分布式網(wǎng)絡(luò)分段,。
4. 自動化編排,。使用自動告警和補(bǔ)救方面的工具和技術(shù),以縮短企業(yè)應(yīng)對攻擊的響應(yīng)時間(MTTR),。
5. 情報(bào)和人工智能,。利用云智能和所有可用信息進(jìn)行實(shí)時檢測分析。
6. 數(shù)據(jù)分類和保護(hù),。發(fā)現(xiàn),、分類、保護(hù)和監(jiān)控敏感數(shù)據(jù),,以最大限度地減少惡意或意外泄露的風(fēng)險(xiǎn),。
07
結(jié)語
雖然企業(yè)最終都會部署集成零信任安全模型,在保護(hù)數(shù)字資產(chǎn)上發(fā)揮極大的功效,,但微軟認(rèn)為零信任安全的實(shí)施是一個長期持續(xù)的過程,。實(shí)施的每一個階段都可以幫助企業(yè)降低風(fēng)險(xiǎn),建立整個數(shù)字資產(chǎn)內(nèi)的信任體系,,但這需要分階段,,根據(jù)當(dāng)前的零信任成熟度、可用資源和優(yōu)先級,,有的放矢,,對相應(yīng)領(lǐng)域進(jìn)行投入和變革。同時確保每項(xiàng)短期和長期的投入都與當(dāng)前業(yè)務(wù)需求保持一致,。
