nulová důvěra (Zero Trust) technologických pilířů, část 2
V této lekci pokračujeme a probereme zbývající cíle nasazení nulová důvěra (Zero Trust).
Zabezpečení dat pomocí nulová důvěra (Zero Trust)
Mezi tři základní prvky strategie ochrany dat patří:
- Znáte svá data – Pokud nevíte, jaká citlivá data máte místně a v cloudových službách, nemůžete je adekvátně chránit. Potřebujete zjišťovat data v celé organizaci a klasifikovat všechna data podle úrovně citlivosti.
- Chraňte svá data a zabraňte ztrátě dat – Citlivá data musí být chráněná zásadami ochrany dat, které označují a šifrují data nebo blokují nadměrné sdílení. Tím se zajistí, že k datům budou mít přístup jenom oprávnění uživatelé, a to i v případě, že data cestují mimo vaše firemní prostředí.
- Monitorování a náprava – Měli byste průběžně monitorovat citlivá data a zjišťovat porušení zásad a rizikové chování uživatelů. To vám umožní provést odpovídající akce, jako je odvolání přístupu, blokování uživatelů a upřesnění zásad ochrany.
Cíle nasazení nulová důvěra (Zero Trust) dat
Strategie ochrany informací musí zahrnovat celý digitální obsah vaší organizace. Jako směrný plán musíte definovat popisky, zjišťovat citlivá data a monitorovat použití popisků a akcí v celém prostředí. Použití popisků citlivosti je popsáno na konci této příručky.
Při implementaci komplexní architektury nulová důvěra (Zero Trust) pro data doporučujeme zaměřit se nejprve na tyto počáteční cíle nasazení:
I. Rozhodnutí o přístupu se řídí šifrováním.
II. Data se automaticky klasifikují a označí.
Po dokončení se zaměřte na tyto další cíle nasazení:
III. Klasifikace se rozšiřuje o modely inteligentního strojového učení.
IV. Rozhodnutí o přístupu se řídí modulem zásad zabezpečení cloudu.
V. Zabránění úniku dat prostřednictvím zásad ochrany před únikem informací na základě popisku citlivosti a kontroly obsahu
Zabezpečení koncových bodů pomocí nulová důvěra (Zero Trust)
nulová důvěra (Zero Trust) se řídí principem "Nikdy nedůvěřujte, vždy ověřte". Z hlediska koncových bodů to znamená vždy ověřit všechny koncové body. To zahrnuje nejen dodavatele, partnery a hostující zařízení, ale také aplikace a zařízení, které zaměstnanci používají pro přístup k pracovním datům bez ohledu na vlastnictví zařízení.
V nulová důvěra (Zero Trust) přístupu se stejné zásady zabezpečení použijí bez ohledu na to, jestli je zařízení vlastněné společností nebo osobně vlastněné prostřednictvím funkce Přineste si vlastní zařízení (BYOD), jestli je zařízení plně spravované IT, nebo jsou zabezpečené jenom aplikace a data. Zásady se vztahují na všechny koncové body, ať už pc, Mac, smartphone, tablet, wearable nebo zařízení IoT, ať už jsou připojené, ať už jde o zabezpečenou podnikovou síť, domácí širokopásmové připojení nebo veřejný internet.
Cíle nasazení nulová důvěra (Zero Trust) koncového bodu
Při implementaci komplexní architektury nulová důvěra (Zero Trust) pro zabezpečení koncových bodů doporučujeme zaměřit se nejprve na tyto počáteční cíle nasazení:
I. Koncové body jsou zaregistrované u zprostředkovatelů cloudových identit. Abyste mohli monitorovat zabezpečení a riziko napříč několika koncovými body používanými libovolnou osobou, potřebujete mít přehled o všech zařízeních a přístupových bodech, které můžou přistupovat k vašim prostředkům.
II. Přístup se uděluje jenom koncovým bodům a aplikacím spravovaným v cloudu a vyhovujícím předpisům. Nastavte pravidla dodržování předpisů, abyste zajistili, že zařízení před udělením přístupu splňují minimální požadavky na zabezpečení. Také nastavte pravidla nápravy pro zařízení nesplňující předpisy, aby lidé věděli, jak problém vyřešit.
III. Zásady ochrany před únikem informací se vynucují pro podniková zařízení a byOD. Určete, co může uživatel s daty dělat, až bude mít přístup. Můžete například omezit ukládání souborů na nedůvěryhodná umístění (například místní disk) nebo omezit sdílení kopírování a vkládání pomocí aplikace pro komunikaci spotřebitele nebo chatovací aplikace, aby chránila data.
Po dokončení se zaměřte na tyto další cíle nasazení:
IV. Detekce hrozeb koncového bodu se používá k monitorování rizika zařízení. Pomocí jediného podokna skla můžete spravovat všechny koncové body konzistentně a pomocí SIEM směrovat protokoly koncových bodů a transakce tak, abyste získali méně upozornění, ale s možností akce.
V. Řízení přístupu se řídí rizikem koncového bodu pro podniková zařízení i zařízení BYOD. Integrujte data z programu Microsoft Defender for Endpoint nebo jiných dodavatelů ochrany před mobilními hrozbami (MTD) jako zdroj informací pro zásady dodržování předpisů zařízením a pravidla podmíněného přístupu zařízení. Riziko zařízení pak přímo ovlivní, k jakým prostředkům bude mít přístup uživatel daného zařízení.
Zabezpečení infrastruktury pomocí nulová důvěra (Zero Trust)
Azure Blueprints, Azure Policies, Microsoft Defender for Cloud, Microsoft Sentinel a Azure Sphere můžou výrazně přispět ke zlepšení zabezpečení nasazené infrastruktury a umožnit jiný přístup k definování, návrhu, zřizování, nasazování a monitorování infrastruktury.
Cíle nasazení nulová důvěra (Zero Trust) infrastruktury
Při implementaci komplexního nulová důvěra (Zero Trust) architektury pro správu a monitorování infrastruktury doporučujeme zaměřit se nejprve na tyto počáteční cíle nasazení:
I. Úlohy se monitorují a upozorňují na neobvyklé chování.
II. Každé úloze se přiřadí identita aplikace a konzistentně nakonfigurovaná a nasazená.
III. Lidský přístup k prostředkům vyžaduje technologii Just-In-Time.
Po dokončení se zaměřte na tyto další cíle nasazení:
IV. Neautorizované nasazení jsou blokovaná a aktivuje se upozornění.
V. Podrobná viditelnost a řízení přístupu jsou k dispozici napříč úlohami.
VI. Přístup uživatelů a prostředků segmentovaný pro každou úlohu
Zabezpečení sítí pomocí nulová důvěra (Zero Trust)
Místo toho, abyste věřili, že všechno za podnikovou bránou firewall je bezpečné, ucelená strategie nulová důvěra (Zero Trust) předpokládá, že porušení zabezpečení je nevyhnutelné. To znamená, že musíte ověřit každý požadavek, jako by pochází z nekontrolovatelné sítě – správa identit hraje v této oblasti zásadní roli.
Cíle nasazení nulová důvěra (Zero Trust) sítě
Při implementaci komplexní architektury nulová důvěra (Zero Trust) pro zabezpečení sítí doporučujeme zaměřit se nejprve na tyto počáteční cíle nasazení:
I. Segmentace sítě: Mnoho příchozích a výchozích cloudových mikrometrů s některými mikrose segmentacemi.
II. Ochrana před hrozbami: Nativní cloudové filtrování a ochrana známých hrozeb.
III. Šifrování: Interní provoz uživatele-aplikace je šifrovaný.
Po dokončení se zaměřte na tyto další cíle nasazení:
IV. Segmentace sítě: Plně distribuovaný příchozí/výchozí cloudový mikrometr a hlubší mikrose segmentace.
V. Ochrana před hrozbami: Ochrana před hrozbami založená na strojovém učení a filtrování pomocí kontextových signálů.
VI. Šifrování: Veškerý provoz je šifrovaný.