共用方式為

使用零信任保護身分識別

  • 發行項

在大多數組織開始 零信任 旅程之前,其身分識別方法可能會分散到各種身分識別提供者、雲端與內部部署應用程式之間缺乏單一登錄(SSO),以及對身分識別風險的有限可見度

雲端應用程式和行動工作者在安全性方面需要一種新的思維方式。 許多員工都會攜帶自己的裝置,並以混合方式工作。 數據會在傳統公司網路周邊外部定期存取,並與合作夥伴和廠商等外部共同作業者共用。 傳統的公司應用程式和數據會從內部部署移至混合式和雲端環境。

傳統的安全性網路控制已不夠。

身分識別代表跨 網路端點應用程式的人員、服務或裝置。 在 零信任 安全性模型中,其功能強大、靈活且細微,可用來控制資源的存取。

在身分識別嘗試存取資源之前,組織必須:

  • 使用增強式驗證來驗證身分識別。
  • 確定存取符合規範且適合該身分。
  • 且遵循最低權限存取權原則。

驗證身分識別之後,我們可以根據組織原則、進行中的風險分析和其他工具來控制對資源的存取。

身分識別零信任部署目標

實作身分識別的端對端零信任架構時,建議先專注於這些初始部署目標:

解決上述區域之後,請專注於這些部署目標:

一. 雲端身分識別與內部部署身分識別系統結合

Microsoft Entra ID 可啟用強化驗證,提供端點安全性的一個整合點,並作為以使用者為中心的政策核心,以確保最小許可權的存取。 Microsoft Entra 條件式存取是原則引擎,用來根據使用者身分識別、環境、裝置健康情況和存取時明確驗證的風險,做出存取資源的決策。 您可以使用 Microsoft Entra 識別碼來實作 零信任 身分識別策略。

初始部署目標階段 1 內步驟的圖表。

將所有用戶連線到 Microsoft Entra ID,並與內部部署身分識別系統進行聯合

維護員工身份識別的健全流程,以及必要的安全元素,包括用於授權和存取政策控制端點的群組,可讓您在雲端中使用一致的身份識別和控管。

執行下列步驟:

  1. 選擇驗證選項。 Microsoft Entra ID 提供您最佳的暴力密碼破解、DDoS 和密碼噴灑保護,但做出適合您組織和合規性需求的決策。
  2. 只帶來您絕對需要的身分識別。 利用遷移到雲端作為一個機會,拋棄只能在內部部署環境中發揮作用的服務帳戶。 將本地的高權限角色保留在內部部署。
  3. 請確定您符合 Microsoft Entra Connect Sync 的硬體需求,以根據您的組織大小。

建立您的 Microsoft Entra ID 身分識別基礎

零信任 策略需要明確驗證、使用最低許可權的存取原則,並假設有缺口。 Microsoft Entra ID 可做為原則決策點,根據使用者、端點、目標資源和環境的深入解析來強制執行存取原則。

將Microsoft Entra識別元放在每個存取要求的路徑中。 此程式會透過一般身分識別控制平面連接每個使用者、應用程式和資源,並提供Microsoft Entra ID 與訊號,以做出關於驗證/授權風險的最佳決策。 此外,單一登錄 (SSO) 和一致的原則護欄可提供更佳的用戶體驗,並有助於提高生產力。

將所有應用程式與 Microsoft Entra 識別元整合

單一登錄可防止使用者在不同應用程式中留下認證資訊的副本,並協助避免因過多提示而造成的網路釣魚攻擊或多重身份驗證疲勞。

請確定您的環境中沒有多個身分識別和存取管理 (IAM) 解決方案。 此重複會減少 Microsoft Entra ID 識別的訊號,使惡意攻擊者能暗中活動於兩個身分及存取管理引擎之間,並導致用戶體驗不佳。 這種複雜性可能會導致您的商務夥伴成為您 零信任 策略的懷疑者。

執行下列步驟:

  1. 整合支援 OAuth2.0 或 SAML 的新式企業應用程式
  2. 針對 Kerberos 和表單型驗證應用程式, 請使用 Microsoft Entra 應用程式 Proxy 加以整合。
  3. 如果您使用應用程式傳遞網路/控制器發佈舊版應用程式,請使用 Microsoft Entra 識別碼來 與大部分主要應用程式整合 (例如 Citrix、Akamai 和 F5)。
  4. 若要協助探索並將您的應用程式從 ADFS 和現有/較舊的 IAM 引擎移轉,請檢閱 將應用程式遷移至 Microsoft Entra ID 的資源。
  5. 自動化使用者配置

提示

深入瞭解如何實作應用程式的端對端 零信任 策略。

明確使用強身份驗證進行驗證

執行下列步驟:

  1. 部署 Microsoft Entra 多重要素驗證。 這項工作是降低用戶會話風險的基礎部分。 當使用者透過新裝置和新位置出現時,能夠回應多重身份驗證(MFA)挑戰,是使用者能讓我們知道這些是他們熟悉的裝置或位置的最直接方法之一,這樣就無需系統管理員剖析每個信號,從而在全球範圍內移動。
  2. 封鎖舊版驗證。 惡意攻擊者常見的其中一種攻擊途徑是利用遭竊或重播的憑證來針對無法應對現代安全挑戰的舊版協定,例如 SMTP。

二. 條件式存取原則管制存取並提供補救活動

Microsoft Entra 條件式存取會分析使用者、裝置和位置等訊號,以自動化決策,並強制執行資源的組織存取原則。 您可以使用條件式存取原則套用存取控制,例如多重要素驗證 (MFA)。 條件式存取原則可讓您在需要時提示使用者輸入 MFA,並在不需要時不干擾使用者。

零信任 中的條件式存取原則圖表。

Microsoft提供稱為 安全性預設值 的標準條件式原則,以確保基本層級的安全性。 不過,您的組織可能需要比安全性預設設定提供的更多彈性。 您可以使用條件式存取,以更細微的方式自訂安全性預設值,以及設定符合您需求的新原則。

事先規劃條件式存取原則,並備妥一組作用中和遞補原則,是在零信任部署中強制執行存取原則的基本要素。 花時間在您的 環境中設定已知的網路位置 。 即使您未在條件式存取原則中使用這些網路位置,設定這些IP也會通知Microsoft Entra ID Protection 的風險。

請採取此步驟:

使用 Microsoft Entra 識別子註冊裝置,以限制來自易受攻擊和遭入侵裝置的存取

執行下列步驟:

  1. 啟用 Microsoft Entra 混合式聯結Microsoft Entra 聯結。 如果您要管理使用者的筆記型電腦/電腦,請將這些資訊帶入 Microsoft Entra ID,並用它來協助做出更好的決策。 例如,如果知道使用者來自組織所控制和管理的計算機,則允許具有離線複本的豐富用戶端存取數據。
  2. 在 Microsoft 端點管理員 (EMS) 內啟用 Intune 服務,以管理使用者的行動裝置和註冊裝置。 與筆記型電腦一樣,使用者的行動裝置也可用同樣的方式描述:您越了解這些裝置(例如修補程式版本、是否越獄、是否已破解等),就越能提供封鎖或允許存取的理由。

提示

瞭解如何實作端點的端對端 零信任 策略。

三。 分析改善可見度

當您使用驗證、授權和布建在 Microsoft Entra ID 中建置資產時,請務必深入瞭解目錄中發生的情況。

設定記錄和報告以改善可見度

請採取此步驟:

IV. 使用身分識別治理來管理身分識別和存取權限

完成初始目標之後,請專注於其他目標,例如更健全的身分識別治理。

其他部署目標階段 4 內步驟的圖表。

使用 Privileged Identity Management 保護特殊許可權存取

控制使用者用來存取特殊許可權作業/角色的端點、條件和認證。

執行下列步驟:

  1. 掌控您的高權限身分。 特殊許可權存取不僅是系統管理存取,也是應用程式或開發人員存取權,可以變更任務關鍵性應用程式執行及處理數據的方式。
  2. 使用 Privileged Identity Management 來保護特殊許可權身分識別

使用者同意應用程式是新式應用程式取得組織資源存取權的常見方式,但有一些最佳做法要牢記在心。

執行下列步驟:

  1. 限制使用者同意及管理同意要求 ,以確保組織的數據不會對應用程式造成不必要的暴露。
  2. 檢查您組織中的 先前/現有的同意,查看是否有任何過度或惡意的同意。

如需有關使用工具以防範存取敏感資訊的手段的更多資訊,請參閱我們的 實作身分識別零信任策略指南 中的「加強對抗網路威脅和惡意應用程式的保護」。

管理權利

透過使用Microsoft Entra ID進行集中驗證和驅動,您可以簡化存取要求、核准和重新認證的過程,以確保正確的人員具有正確的存取權,而且您可以追溯為什麼組織中的使用者擁有他們所擁有的存取權。

執行下列步驟:

  1. 使用權利管理建立 存取套件,用戶可以在加入不同的小組/專案時要求這些存取套件 ,並將其存取權指派給相關聯的資源(例如應用程式、SharePoint 網站、群組成員資格)。
  2. 如果目前無法為您的組織部署權利管理,請透過部署自助群組管理自助應用程式存取,至少在您的組織中啟用自助式範例。

使用無密碼驗證來降低網路釣魚和密碼攻擊的風險

透過支援 FIDO 2.0 和無密碼的電話登入的 Microsoft Entra ID,您可以改變使用者(尤其是敏感性/特殊許可權使用者)每天採用的認證指標。 這些認證是可降低風險的強式驗證因素。

請採取此步驟:

V. 即時分析使用者、裝置、位置和行為,以判斷風險並持續提供保護

即時分析攸關如何判斷風險和保護。

其他部署目標階段 5 內步驟的圖表。

部署 Microsoft Entra 密碼保護

啟用其他方法來明確驗證使用者時,請勿忽略弱式密碼、密碼噴洒和缺口重新執行攻擊。 傳統 複雜密碼原則不會防止最普遍的密碼攻擊

請採取此步驟:

  • 為雲端內部部署中的用戶啟用Microsoft Entra Password Protection。

啟用 Microsoft Entra ID 保護

使用 Microsoft Entra ID Protection 取得更細微的會話/用戶風險訊號。 您可以根據您的組織不斷演進的安全性需求,啟用風險調查和補救選項。

請採取此步驟:

啟用適用於雲端的 Microsoft Defender 應用程式與 Microsoft Entra ID Protection 的整合。

適用於雲端的 Microsoft Defender 應用程式會監視 SaaS 和新式應用程式內的使用者行為。 此訊號會通知 Microsoft Entra ID 關於用戶驗證並收到令牌後所發生的情況。 如果使用者模式開始看起來可疑,則訊號可以饋送至Microsoft Entra ID Protection 和條件式存取,通知使用者似乎遭到入侵或高風險。 下一次此使用者提出存取要求時,Microsoft Entra ID 可以正確地採取動作來驗證使用者或將其封鎖。

請採取此步驟:

啟用 Microsoft Defender for Cloud Apps 與條件式存取的整合功能

使用驗證後發出的訊號,並透過 Cloud Apps Defender 代理應用程式的請求,您可以監控 SaaS 應用程式的會話並執行限制。

執行下列步驟:

  1. 啟用條件式存取整合

  2. 將條件式存取延伸至內部部署應用程式

啟用受限制的會話以用於存取決策

當用戶的風險很低,但是他們正從未知的端點登入時,您可能會想要允許存取資源,但不允許他們執行讓組織面臨風險動作的事情。 您可以將 Exchange Online 和 SharePoint Online 設定為允許使用者讀取電子郵件或檢視檔案的受限會話,但無法下載電子郵件,並將其儲存在不受信任的裝置上。

請採取此步驟:

VI. 整合來自其他安全性解決方案的威脅訊號,以改善偵測、保護和反應

最後,可以整合其他安全性解決方案,以提高成效。

將 Microsoft Defender for Identity 與 Microsoft Defender for Cloud Apps 整合

與 適用於身分識別的 Microsoft Defender 整合可讓Microsoft Entra ID 知道使用者在存取內部部署、非現代資源(例如檔案共用)時沉溺於有風險的行為。 此訊號可納入整體風險,可能會封鎖雲端中的進一步存取。

執行下列步驟:

  1. 啟用 Microsoft Defender for Identity 及 Microsoft Defender for Cloud Apps,以將內部部署訊號納入我們已知的用戶風險訊號之中。
  2. 檢查每位有風險的使用者合併調查優先順序分數,以全面檢視SOC應該關注哪些使用者。

啟用 Microsoft Defender 端點防護

適用於端點的 Microsoft Defender 可讓您證明 Windows 機器的健康情況,並判斷它們是否正在進行入侵。 然後,您可以將該資訊饋送至執行過程中以減少風險。 雖然 Domain Join 給您一種掌控的感受,Microsoft Defender for Endpoint 可以通過偵測多個使用者裝置訪問不受信任網站的模式,讓您幾乎即時地回應惡意程式攻擊,並在運行時提高其裝置/使用者風險來做出反應。

請採取此步驟:

根據有關網路安全的行政命令 14028 和 OMB 備忘錄 22-09 保障身份

14028 號行政命令旨在改善本國網路安全,& OMB 備忘錄 22-09 中包含關於零信任架構的具體行動。 身分識別動作包括採用集中式身分識別管理系統、使用強式網路釣魚防護 MFA,以及在授權決策中納入至少一個裝置層級訊號。 如需使用 Microsoft Entra ID 實作這些動作的詳細指引,請參閱 使用 Microsoft Entra ID 滿足備忘錄 22-09 的身分識別需求

本指南涵蓋的產品

結論

身分識別是成功 零信任 策略的核心。 如需實作的進一步資訊或協助,請連絡您的客戶成功小組,或繼續閱讀本指南的其他章節,其涵蓋所有 零信任 要素。



零信任 部署指南系列

簡介的圖示

身分識別的圖示

端點的圖示

應用程式的圖示

數據的圖示

基礎結構圖示

網路圖示

可見度、自動化、協調流程的圖示