RaMP 清单 - 显式验证所有访问请求的信任
此快速现代化计划 (RaMP) 检查列表可帮助你为云应用程序和移动设备建立安全外围,这些外围使用标识作为控制平面,并在允许公共和专用网络访问之前显式验证用户帐户和设备的信任。
要提高工作效率,员工(用户)必须能够使用:
- 用于验证其标识的帐户凭证。
- 其终结点(设备),如电脑、平板电脑或手机。
- 你提供用于完成作业的应用程序。
- 流量在设备和应用程序之间流动的网络,无论它们是在本地还是在云中。
其中的每个元素都是攻击者的目标,必须受到“不要信任,始终验证”零信任的中心原则的保护。
此清单包括使用零信任显式验证所有访问请求的信任:
完成这项工作后,你就将构建出零信任体系结构的这一部分。
标识
使用 Microsoft Entra ID 验证和保护整个数字资产中具有强身份验证的每个标识,Microsoft Entra ID 是一个完整的标识和访问管理解决方案,每月可将数亿人连接到其应用、设备和数据。
计划和项目成员责任
下表描述了用户帐户在倡导-计划管理-项目管理层次结构方面的整体防护情况,以帮助确定和推动取得更佳成果。
| 潜在顾客 | 所有者 | 问责 |
|---|---|---|
| CISO、CIO 或标识安全主管 | 执行支持 | |
| 身份安全项目负责人或身份架构师 | 推动取得更佳成果并促进跨团队协作 | |
| 安全架构师 | 有关配置和标准的建议 | |
| 身份安全或身份架构师 | 实施配置更改 | |
| 标识管理员 | 更新标准和策略文档 | |
| 安全治理或身份管理员 | 进行监视,确保合规性 | |
| 用户培训团队 | 确保用户指南反映策略更新 |
部署目标
满足这些部署目标,以通过零信任保护特权标识。
| 已完成 | 部署目标 | 所有者 | 文档 |
|---|---|---|---|
| 1. 部署安全特权访问权限,以保护管理用户帐户。 | IT 实施者 | 确保 Microsoft Entra ID 中混合部署和云部署的特权访问安全性 | |
| 2. 部署 Microsoft Entra Privileged Identity Management (PIM),为特权用户帐户的使用提供有时限的、即时批准流程。 | IT 实施者 | 规划 Privileged Identity Management 部署 |
满足这些部署目标,以通过零信任保护用户标识。
| 已完成 | 部署目标 | 所有者 | 文档 |
|---|---|---|---|
| 1 .启用自助式密码重置 (SSPR),以提供凭证重置功能 | IT 实施者 | 规划 Microsoft Entra 自助式密码重置部署 | |
| 2. 启用多重身份验证 (MFA),并为 MFA 选择适当的方法 | IT 实施者 | 规划 Microsoft Entra 多重身份验证部署 | |
| 3. 为目录启用组合用户注册,以允许用户在一个步骤中注册 SSPR 和 MFA | IT 实施者 | 在 Microsoft Entra ID 中启用组合安全信息注册 | |
| 4. 配置条件访问策略以要求进行 MFA 注册。 | IT 实施者 | 如何:配置 Microsoft Entra 多重身份验证注册策略 | |
| 5 .启用基于用户和登录风险的策略,以保护用户对资源的访问。 | IT 实施者 | 操作说明:配置和启用风险策略 | |
| 6. 检测并阻止已知的弱密码及其变种,并阻止特定于你的组织的其他弱术语。 | IT 实施者 | 使用 Microsoft Entra 密码保护来消除错误密码 | |
| 7. 部署 Microsoft Defender for Identity 并查看和缓解任何打开的警报(与安全运营并行)。 | 安全运营团队 | Microsoft Defender for Identity | |
| 8. 部署无密码凭证。 | IT 实施者 | 规划 Microsoft Entra ID 中的无密码身份验证部署 |
现已构建零信任体系结构的“标识”部分。
终结点
在授予对终结点(设备)的访问权限之前先确保合规性和运行状况状态,并了解设备访问网络的方式。
计划和项目成员责任
下表描述了终结点在倡导/计划管理/项目管理层次结构方面的整体防护情况,帮助确定和推动取得更佳成果。
| Lead | 所有者 | 问责 |
|---|---|---|
| CISO、CIO 或标识安全主管 | 执行支持 | |
| 身份安全项目负责人或身份架构师 | 推动取得更佳成果并促进跨团队协作 | |
| 安全架构师 | 有关配置和标准的建议 | |
| 身份安全或基础结构安全架构师 | 实施配置更改 | |
| 移动设备管理 (MDM) 管理员 | 更新标准和策略文档 | |
| 安全治理或 MDM 管理员 | 进行监视,确保合规性 | |
| 用户培训团队 | 确保用户指南反映策略更新 |
部署目标
满足这些部署目标,以通过零信任保护终结点(设备)。
| 已完成 | 部署目标 | 所有者 | 文档 |
|---|---|---|---|
| 1. 使用 Microsoft Entra ID 注册设备。 | MDM 管理员 | 设备标识 | |
| 2. 注册设备并创建配置文件。 | MDM 管理员 | 设备管理概述 | |
| 3. 连接 Defender for Endpoint to Intune(与安全运营并行)。 | 标识安全性管理员 | 在 Intune 中配置 Microsoft Defender for Endpoint | |
| 4. 监视条件访问和设备合规性和风险。 | 标识安全性管理员 | 通过符合性策略为使用 Intune 管理的设备设置规则 | |
| 5.实现 Microsoft Purview 信息保护解决方案并与条件访问策略集成。 | 标识安全性管理员 | 使用敏感度标签来保护内容 |
现已构建零信任体系结构的“终结点”部分。
应用
由于恶意用户使用应用渗透组织,你需要确保你的应用正在使用提供零信任保护或经过强化以抵御攻击的服务(如 Microsoft Entra ID 和 Intune)。
计划和项目成员责任
下表描述了应用在倡导/计划管理/项目管理层次结构方面的零信任实施,帮助确定和推动取得更佳成果。
| Lead | 所有者 | 问责 |
|---|---|---|
| CISO、CIO 或应用程序安全总监 | 执行支持 | |
| 应用管理项目主管 | 推动取得更佳成果并促进跨团队协作 | |
| 标识架构师 | 有关应用的 Microsoft Entra 配置的建议 更新本地应用的身份验证标准 |
|
| 开发人员架构师 | 就内部的本地应用和云应用的配置和标准提供建议 | |
| 网络架构师 | 实施 VPN 配置更改 | |
| 云网络架构师 | 部署 Microsoft Entra 应用程序代理 | |
| 安全治理 | 进行监视,确保合规性 |
部署目标
满足这些部署目标,确保为 Microsoft 云应用、第三方 SaaS 应用程序、自定义 PaaS 应用和本地应用零信任保护。
| 已完成 | 应用或应用使用情况的类型 | 部署目标 | 所有者 | 文档 |
|---|---|---|---|---|
| 使用 Microsoft Entra ID 注册的第三方 SaaS 应用程序和自定义 PaaS 应用 | Microsoft Entra 应用注册会使用 Microsoft Entra 身份验证、认证和应用同意策略。 使用 Microsoft Entra 条件访问策略和 Intune MAM 和应用程序保护策略 (APP) 策略允许应用使用。 |
标识架构师 | Microsoft Entra ID 中的应用程序管理 | |
| 在 Microsoft Entra ID、Google 和 Salesforce 中启用和注册 OAuth 的云应用 | 在 Microsoft Defender for Cloud Apps 中使用应用治理来实现应用行为可见性、通过策略强制措施进行治理,以及检测和修正基于应用的攻击。 | 安全工程师 | 概述 | |
| 未使用 Microsoft Entra ID 注册的第三方 SaaS 应用程序和自定义 PaaS 应用 | 使用 Microsoft Entra ID 进行注册,以进行身份验证、认证和应用同意策略。 使用 Microsoft Entra 条件访问策略和 Intune MAM 和应用程序。 |
应用架构师 | 将所有应用与 Microsoft Entra ID 集成 | |
| 访问本地应用程序(包括在本地和基于 IaaS 的服务器上运行的应用程序)的本地用户 | 确保应用支持新式验证协议,例如 OAuth/OIDC 和 SAML。 请联系应用程序供应商获取更新,以保护用户登录。 | 标识架构师 | 查看供应商文档 | |
| 通过 VPN 连接访问本地应用程序的远程用户 | 配置 VPN 设备,使其使用 Microsoft Entra ID 作为标识提供者 | 网络架构师 | 查看供应商文档 | |
| 通过 VPN 连接访问本地 Web 应用程序的远程用户 | 通过 Microsoft Entra 应用程序代理发布应用程序。 远程用户只需访问单个已发布的应用程序,该应用程序通过应用程序代理连接器,路由到本地 Web 服务器。 连接利用强大的 Microsoft Entra 身份验证,并限制用户及其设备一次只能访问一个应用程序。 相比之下,典型远程访问 VPN 的范围是整个本地网络的所有位置、协议和端口。 |
云网络架构师 | 通过 Microsoft Entra 应用程序代理远程访问本地应用程序 |
完成这些部署目标后,你就将构建出零信任体系结构的“应用”部分。
网络
零信任模型假设出现了信息泄露,并将请求视为源自不受控制的网络,验证每个请求。 尽管这是公用网络的常见做法,但它也适用于组织的内部网络,这些网络通常与公共 Internet 隔离。
为了遵守零信任,组织必须解决公共和专用网络上的安全漏洞(无论是在本地还是云中),并确保显式验证、使用最低权限访问,并假定违规。 设备、用户和应用本质上不受信任,因为它们位于专用网络上。
计划和项目成员责任
下表描述了公共和专用网络在倡导/计划管理/项目管理层次结构方面的零信任实施,帮助确定和推动取得更佳成果。
| Lead | 所有者 | 问责 |
|---|---|---|
| CISO、CIO 或网络安全总监 | 执行支持 | |
| 网络领导项目主管 | 推动取得更佳成果并促进跨团队协作 | |
| 安全架构师 | 建议加密和访问策略配置和标准 | |
| 网络架构师 | 有关流量筛选和网络体系结构更改的建议 | |
| 网络工程师 | 设计分段配置更改 | |
| 网络实施人员 | 更改网络设备配置和更新配置文档 | |
| 网络治理 | 进行监视,确保合规性 |
部署目标
满足这些部署目标,以确保为本地和基于云的流量保护公共和专用网络零信任保护。 这些目标可以并行完成。
| 已完成 | 部署目标 | 所有者 | 文档 |
|---|---|---|---|
| 要求对所有流量连接进行加密,其中包括 IaaS 组件与本地用户和应用之间的加密。 | 安全架构师 | Azure IaaS 组件 面向本地 Windows 设备的 IPsec |
|
| 通过策略(用户或设备标识)或流量筛选来限制对关键数据和应用程序的访问权限。 | 安全架构师或网络架构师 | Defender for Cloud Apps 条件访问应用控制的访问策略 适用于 Windows 设备的 Windows 防火墙 |
|
| 部署本地网络分段,并通过微边界和微分段进行入口和出口流量控制。 | 网络架构师或网络工程师 | 参阅本地网络和边缘设备文档。 | |
| 对本地流量使用实时威胁检测。 | SecOps 分析师 | Windows 威胁防护 Microsoft Defender for Endpoint |
|
| 部署云网络分段,并通过微边界和微分段进行入口和出口流量控制。 | 网络架构师或网络工程师 | 有关网络和连接的建议 | |
| 对云流量使用实时威胁检测。 | 网络架构师或网络工程师 | 基于 Azure 防火墙威胁智能的筛选 Azure 防火墙高级网络入侵检测和防护系统 (IDPS) |
完成这些部署目标后,你就将构建出零信任体系结构的“网络”部分。
下一步
通过数据、合规性和治理继续执行用户访问和生产力计划。