将适用于零信任 的 SaaS 应用程序与 Microsoft 365 集成
云技术的广泛应用正在转变组织实现业务成果的方式。 这种转变突出了对基于云的应用的依赖,从而形成了对软件即服务 (SaaS)、平台即服务 (PaaS)、基础结构即服务 (IaaS) 和基于云的应用开发平台等服务的更高需求。 SaaS 应用程序在确保应用程序和资源的可用性方面发挥着关键作用,任何设备只要有互联网连接就可以访问这些应用程序和资源。
虽然多云环境可以帮助降低运营成本并提高可伸缩性,但大量的敏感数据及其提供的灵活性可能会给组织带来安全风险。 必须采取审慎措施来确保云中托管的应用及其数据受到保护。
为了确保访问和生产力处于安全状态,SaaS 应用的实现需要与基于以下指导原则的零信任安全模型保持一致。
| 零信任原则 | 定义 | 满足要求的方式... |
|---|---|---|
| 显式验证 | 始终根据所有可用的数据点进行身份验证和授权。 | 注册 SaaS 应用并使用 Microsoft Entra 条件访问策略。 |
| 使用最低权限访问 | 使用实时和恰好足够的访问权限 (JIT/JEA)、基于风险的自适应策略和数据保护,来限制用户访问。 | 使用 Microsoft Purview 信息保护。 |
| 假定数据泄露 | 最大限度地减少影响范围,并对访问进行分段。 验证端对端加密并使用分析来获取可见性、驱动威胁检测并改善防御。 | 使用 Microsoft Defender for Cloud Apps。 |
本文档解决方案会帮助你通过使用 Microsoft 365 来应用零信任原则,以帮助管理云应用的数字资产,重点介绍 SaaS 应用。
下图显示了第三方云应用、Microsoft Entra ID、Defender for Cloud Apps 和 Microsoft Purview 信息保护之间的关系,以应用这些原则。
该示意图显示:
- 包含 SaaS 应用和自定义 PaaS 应用的第三方云应用示例。
- Microsoft Entra ID 的作用在于将这些应用包含在强身份验证和其他条件访问策略的范围内。 有关详细信息,请参阅将所有应用与 Microsoft Entra ID 集成。
- Microsoft Defender for Cloud Apps 在发现组织使用的云应用时的作用。 可以批准应用、应用会话控制措施和发现敏感数据。 对于支持联合身份验证的新发现的企业云应用,可以将它们添加到 Microsoft Entra ID,以强制实施强身份验证和其他策略。
- Microsoft Purview 信息保护的作用在于结合 Microsoft Defender for Cloud Apps,一起保护云应用数据,并防止数据丢失。
为 SaaS 应用程序实施保护层
此图显示了在 Microsoft 365 租户中部署零信任功能的工作单位,其中突出显示了集成和保护 SaaS 应用的具体步骤。
| 步骤 | 说明 |
|---|---|
| 1.将 SaaS 应用添加到 Microsoft Entra ID | 将应用程序添加到 Microsoft Entra ID,以便授权用户可以安全地访问。 可以用 Microsoft Entra ID 注册多种类型的应用程序。 |
| 2.创建 Microsoft Defender for Cloud Apps 策略 | 确保策略已到位,以便用户只有在获得授权并满足特定条件后才能访问资源。 |
| 3.为 SaaS 应用部署信息保护 | 确保 SaaS 应用的专有和敏感业务数据受到保护。 |
有关许可的指导,请参阅 Microsoft 365 安全性与合规性指导。
有关跨 Microsoft 365 应用零信任保护的详细信息,请参阅 Microsoft 365 零信任部署计划。
后续步骤
使用以下步骤通过 Microsoft 365 将零信任原则应用于 SaaS 应用:
建议训练
| 培训 | 指定保护 SaaS、PaaS 和 IaaS 服务的要求 |
|---|---|
|
了解如何分析对于不同云产品/服务(SaaS、PaaS 和 IaaS)、IoT 工作负载、Web 工作负载和容器的安全要求。 |