共用方式為


在您的登陸區域中納入 零信任 做法

零信任 是一種安全性策略,可讓您將產品和服務納入設計與實作,以遵守下列安全性原則:

  • 明確驗證:一律根據所有可用的數據點來驗證和授權存取。

  • 使用最低許可權存取:將使用者限制為 Just-Enough 存取,並使用工具來提供 Just-In-Time 存取,並考慮調適性風險型原則。

  • 假設缺口:將爆炸半徑和區段存取降至最低、主動尋找威脅,並持續改善防禦。

如果您的組織遵守 零信任 策略,您應該將 零信任 特定部署目標納入登陸區域設計區域。 您的登陸區域是 Azure 中工作負載的基礎,因此請務必準備登陸區域以進行 零信任 採用。

本文提供將 零信任 做法整合到登陸區域的指引,並說明遵循 零信任 原則需要登陸區域以外的解決方案。

零信任 柱子和登陸區設計區域

當您在 Azure 登陸區域部署中實作 零信任 做法時,應該從考慮每個登陸區域設計區域的 零信任 指導方針開始。

如需設計登陸區域的考慮,以及每個區域中重要決策的指引,請參閱 Azure 登陸區域設計區域

零信任 模型具有概念和部署目標所組織的支柱。 如需詳細資訊,請參閱部署 零信任解決方案

這些支柱提供特定的部署目標,可協助組織配合 零信任 原則。 這些目標超越技術設定。 例如,網路要素具有網路分割的部署目標。 目標不提供如何在 Azure 中設定隔離網路的資訊,而是提供建立架構模式的指引。 當您實作部署目標時,還有其他設計決策需要考慮。

下圖顯示登陸區域設計區域。

顯示 Azure 登陸區域架構的圖表。

下表將 零信任 柱子與架構中顯示的設計區域相互關聯。

圖例 登陸區域設計區域 零信任 柱
字母 A Azure 計費和Microsoft Entra 租使用者 身分識別支柱
字母 B 身分識別和存取管理 身分識別要素
應用程式支柱
數據支柱
字母 C 資源組織 身分識別支柱
字母 C 字母 D 治理 可見度、自動化和協調流程要素
字母 D 字母 G 字母 H 管理 端點支柱
應用程式支柱
數據支柱
基礎結構支柱
字母 E 網路拓撲和連線能力 網路支柱
字母 F 安全性 所有 零信任支柱
我所寫的字母 平台自動化和 DevOps 可見度、自動化和協調流程要素

並非所有 零信任 部署目標都是登陸區域的一部分。 許多 零信任 部署目標都是針對將個別工作負載設計及發行至 Azure。

下列各節會檢閱每個要素,並提供實作部署目標的考慮和建議。

保護身分識別

如需保護身分識別之部署目標的資訊,請參閱使用 零信任 保護身分識別。 若要實作這些部署目標,您可以套用身分識別同盟、條件式存取、身分識別治理和實時數據作業。

身分識別考量

  • 您可以使用 Azure 登陸區域參考實作 ,將現有的身分識別平臺擴充至 Azure 的資源,並藉由實作 Azure 最佳做法來管理身分識別平臺。

  • 您可以在 Microsoft Entra 租使用者中設定 零信任 做法的許多控件。 您也可以控制Microsoft 365 和其他使用 Microsoft Entra ID 的雲端服務存取。

  • 您必須規劃超出 Azure 登陸區域中的設定需求。

身分識別建議

  • 開發規劃,以Microsoft超越 Azure 資源的 Entra 標識碼來管理身分識別。 例如,您可以使用:

    • 與內部部署身分識別系統同盟。
    • 條件式存取原則。
    • 授權的使用者、裝置、位置或行為資訊。
  • 使用個別的身分識別資源訂用帳戶來部署 Azure 登陸區域,例如域控制器,以便更安全地存取資源。

  • 盡可能使用 Microsoft Entra 受控識別。

保護端點

如需保護端點之部署目標的相關信息,請參閱使用 零信任 保護端點。 若要實作這些部署目標,您可以:

  • 向雲端身分識別提供者註冊端點,以僅透過雲端管理的相容端點和應用程式來存取資源。

  • 針對在攜帶您自己的裝置 (BYOD) 程式中註冊的公司裝置和個人裝置強制執行數據外泄防護 (DLP) 和訪問控制。

  • 使用端點威脅偵測來監視裝置風險以進行驗證。

端點考慮

  • 端點部署目標適用於終端使用者計算裝置,例如膝上型電腦、桌面電腦和行動裝置。

  • 當您針對端點採用 零信任 做法時,您必須在 Azure 和 Azure 外部實作解決方案。

  • 您可以使用Microsoft Intune 和其他裝置管理解決方案等工具來實現部署目標。

  • 如果您在 Azure 中有端點,例如在 Azure 虛擬桌面中,您可以在 Intune 中註冊客戶端體驗,並套用 Azure 原則和控件來限制對基礎結構的存取。

端點建議

  • 除了實作 Azure 登陸區域的計劃之外,還開發使用 零信任 做法來管理端點的計劃。

  • 如需裝置和伺服器的其他資訊,請參閱 保護基礎結構

保護應用程式

如需保護應用程式之部署目標的相關信息,請參閱使用 零信任 保護應用程式。 若要實作這些部署目標,您可以:

  • 使用 API 來取得應用程式的可見度。

  • 套用原則來保護敏感性資訊。

  • 套用自適性訪問控制。

  • 限制影子IT的觸達範圍。

應用程式考慮

  • 應用程式的部署目標著重於管理組織中的第三方和第一方應用程式。

  • 目標無法解決保護應用程式基礎結構的問題。 相反地,它們可解決保護應用程式耗用量,特別是雲端應用程式的安全。

  • Azure 登陸區域做法不提供應用程式目標的詳細控件。 這些控制項會設定為應用程式組態的一部分。

應用程式建議

  • 使用 適用於雲端的 Microsoft Defender Apps 來管理應用程式的存取權。

  • 使用 適用於雲端的 Defender Apps 中包含的標準化原則來強制執行您的做法。

  • 開發計劃,將應用程式上線至應用程式存取的做法。 不要信任組織所裝載的應用程式,而不是信任第三方應用程式。

保護資料

如需保護數據之部署目標的資訊,請參閱使用 零信任 保護數據。 若要實作這些目標,您可以:

  • 分類和標記數據。
  • 啟用訪問控制。
  • 實作數據外洩保護。

如需記錄和管理數據資源的相關信息,請參閱 Azure 登陸區域參考實作

零信任 方法牽涉到數據的廣泛控制。 從實作的觀點來看, Microsoft Purview 提供數據控管、保護和風險管理的工具。 您可以使用 Microsoft Purview 作為雲端規模分析部署的一部分,以提供可大規模實作的解決方案。

資料考量

  • 根據登陸區域訂用帳戶民主化原則,您可以建立數據資源的存取和網路隔離,並建立記錄做法。

    參考實作中有原則可用來記錄和管理數據資源。

  • 除了保護 Azure 資源之外,您需要其他控制措施,以符合部署目標。 零信任 數據安全性牽涉到分類數據、標記數據以區分敏感度,以及控制數據存取。 它也會延伸到資料庫和文件系統之外。 您必須考慮如何保護 Microsoft Teams、Microsoft 365 群組 和 SharePoint 中的數據。

數據建議

  • Microsoft Purview 提供數據控管、保護和風險管理的工具。

  • 實作 Microsoft Purview 作為雲端規模分析部署的一部分,以大規模實作工作負載。

安全基礎結構

如需保護基礎結構之部署目標的相關信息,請參閱使用 零信任 保護基礎結構。 若要實作這些目標,您可以:

  • 監視工作負載中的異常行為。
  • 管理基礎結構身分識別。
  • 限制人類存取。
  • 區隔資源。

基礎結構考慮

  • 基礎結構部署目標包括:

    • 管理 Azure 資源。
    • 管理作業系統環境。
    • 存取系統。
    • 套用工作負載特定的控制件。
  • 您可以使用登陸區域訂用帳戶模型,為 Azure 資源建立明確的安全性界限,並在資源層級視需要指派有限的許可權。

  • 組織需要組織其工作負載以進行管理。

基礎結構建議

保護網路

如需保護網路之部署目標的資訊,請參閱使用 零信任 保護網路。 若要實作這些目標,您可以:

  • 實作網路分割。
  • 使用雲端原生篩選。
  • 實作最低訪問許可權。

網路考量

  • 為了確保您的平臺資源支援 零信任 安全性模型,您必須部署能夠進行 HTTPS 流量檢查的防火牆,並從中央中樞隔離身分識別和管理網路資源。

  • 除了連線訂用帳戶中的網路資源之外,您還需要在其輪輻虛擬網路中建立微區隔個別工作負載的計劃。 例如,您可以定義流量模式,併為每個工作負載網路建立更細緻的網路安全組。

網路建議

可見度、自動化和協調流程

如需可見度、自動化和協調流程之部署目標的相關信息,請參閱使用 零信任的可見度、自動化和協調流程。 若要實作這些目標,您可以:

  • 建立可見度。
  • 啟用自動化。
  • 藉由練習持續改進來啟用其他控制件。

可見度、自動化和協調流程考慮

  • Azure 登陸區域參考實作包含Microsoft Sentinel部署,可用來快速在 Azure 環境中建立可見度。

  • 參考實作提供 Azure 記錄的原則,但其他服務需要額外的整合。

  • 您應該設定自動化工具,例如 Azure DevOps 和 GitHub,以傳送訊號。

可見度、自動化和協調流程建議

  • 將Microsoft Sentinel 部署為 Azure 登陸區域的一部分。

  • 建立計劃,將來自 Microsoft Entra 識別碼和工具的訊號整合到 Microsoft 365 到您的 Microsoft Sentinel 工作區。

  • 建立執行威脅搜捕練習和持續安全性改進的計劃。

下一步