使用零信任保護應用程式

背景

若要取得雲端應用程式和服務的完整優勢，組織必須在提供存取與同時保有控制之間取得適當平衡，以保護透過應用程式和 API 存取的關鍵資料。

零信任模型可協助組織確保應用程式及其包含的資料受到下列保護：

• 套用控制項和技術來探索影子 IT。
• 確保適當的應用程式內權限。
• 根據即時分析限制存取。
• 監視異常行為。
• 控制使用者動作。
• 驗證安全設定選項。

應用程式零信任部署目標

在大部分組織開始零信任旅程之前，其內部部署應用程式會透過實體網路或 VPN 存取，而某些重要的雲端應用程式可供使用者存取。

在實作零信任方法來管理和監控應用程式時，我們建議您先專注於下列初始部署目標：
	I.透過 API 連接應用程式的活動和數據，以深入瞭解這些活動與數據。 II. 探索和控制影子 IT 的使用。 III. 透過實作原則自動保護敏感性資訊和活動。
達成以上目標之後，專注於下列額外的部署目標：
	IV.為所有應用程式部署調適型存取和會話控件。 V. 加強防範網路威脅和流氓應用程式。 VI.評估雲端環境的安全性狀態

應用程式 零信任 部署指南

本指南將逐步引導您完成遵循 零信任 安全性架構原則來保護應用程式和 API 所需的步驟。 我們的方法符合這三個 零信任 原則：

1. 明確驗證。 一律根據所有可用的資料點進行驗證和授權，包括使用者身分識別、位置、裝置健康情況、服務或工作負載、資料分類和異常情況。

2. 使用最低許可權存取。 使用 Just-In-Time 和 Just-Enough-Access 限制使用者存取權（JIT/JEA）、風險型調適型原則和數據保護，以保護數據和生產力。

3. 假設可能遭到入侵。 依網路、使用者、裝置和應用程式意識來劃分存取權，以最小化入侵的爆發範圍，並防止水平擴散。 驗證所有工作階段皆為端對端的加密狀態。 使用分析來取得 可見度、推動威脅偵測，以及改善防禦。

初始部署目標

I. 透過 API 連接活動與應用程式中的數據，以取得可見度

組織中的大部分用戶活動源自雲端應用程式和相關聯的資源。 大部分的主要雲端應用程式都提供 API 來取用租用戶資訊，並接收對應的治理動作。 使用這些整合來監視和警示環境中發生威脅和異常的情況。

執行下列步驟:

1. 採用 適用於雲端的 Microsoft Defender 應用程式，其可與服務搭配使用，以優化可見度、治理動作和使用方式。

2. 檢閱哪些應用程式可以與 適用於雲端的 Defender Apps API 整合連線，以及連接您需要的應用程式。 使用更深入的可見度來調查雲端環境中應用程式的活動、檔案和帳戶。

提示

瞭解如何實作端對端身分識別 零信任 策略。

II. 探索和控制陰影IT的使用

平均而言，組織中會使用1,000個不同的應用程式。 80% 的員工使用未經核准的應用程式，這些應用程式沒有人經過檢閱，且可能不符合您的安全性和合規性政策。 而且，由於您的員工能夠從公司網路外部存取您的資源和應用程式，因此您防火牆上的規則和原則已不再足夠。

專注於識別應用程式使用模式、評估應用程式的風險等級和商務整備程度、防止數據外泄至不符合規範的應用程式，以及限制對受管制數據的存取。

提示

瞭解如何實作數據的端對端 零信任 策略。

執行下列步驟:

1. 設定 Cloud Discovery，以針對超過 16,000 個雲端應用程式的 適用於雲端的 Microsoft Defender Apps 目錄，分析您的流量記錄。 應用程式會根據90多個風險因素進行排名和評分。

2. 探索並識別影子 IT 以找出正在使用的應用程式，並遵循下列三個選項之一：

   1. 與 適用於端點的 Microsoft Defender整合，以立即開始收集跨 Windows 10 裝置的雲端流量、在網路上收集數據。

   2. 在防火牆和其他 Proxy 上部署 適用於雲端的 Defender Apps 記錄收集器，以收集來自端點的數據，並將其傳送至 適用於雲端的 Defender Apps 進行分析。

   3. 將 適用於雲端的 Defender Apps 與您的 Proxy 整合。

3. 識別特定應用程式的風險層級：

   1. 在 [適用於雲端的 Defender 應用程式入口網站] 的 [探索] 下，按兩下 [探索到的應用程式]。 根據您關心的風險因素，篩選組織中探索到的應用程式清單。

   2. 向下切入應用程式以深入瞭解其合規性，方法是按下應用程式名稱，然後按兩下 [資訊 ] 索引標籤以查看應用程式安全性風險因素的詳細數據。

4. 評估合規性並分析使用量：

   1. 在 [適用於雲端的 Defender 應用程式入口網站] 的 [探索] 底下，按兩下 [探索到的應用程式]。 根據您關心的合規性風險因素，篩選在組織中探索到的應用程式清單。 例如，使用建議的查詢來篩選出不符合規範的應用程式。

   2. 向下切入應用程式以深入瞭解其合規性，方法是按下應用程式名稱，然後按兩下 [資訊 ] 索引標籤以查看應用程式合規性風險因素的詳細數據。

   3. 在 [適用於雲端的 Defender 應用程式入口網站的 [探索] 底下，按兩下 [探索到的應用程式]，然後按兩下您想要調查的特定應用程式，向下切入。 [使用] 索引標籤可讓您知道有多少使用中使用者正在使用此應用程式，以及該應用程式產生了多少流量。 如果您想要查看誰，特別是使用應用程式，您可以按兩下 [ 作用中使用者總數] 來進一步向下切入。

   4. 深入瞭解 探索到的應用程式。 檢視子域和資源，以了解雲端服務中的特定活動、數據存取和資源 使用量 。

5. 管理您的應用程式：

   1. 建立新的自定義應用程式標籤，以便根據其商務狀態或理由分類每個應用程式。 然後，這些標籤可用於特定監視用途。

   2. 您可以在 Cloud Discovery 設定下管理應用程式標籤的應用程式標籤。 然後之後可在 Cloud Discovery 頁面中使用這些標籤來篩選，以及用來建立原則。

   3. 使用 Microsoft Entra 資源庫管理探索到的應用程式。 針對已出現在 Microsoft Entra 資源庫中的應用程式，請套用單一登錄，並使用 Microsoft Entra 識別元管理應用程式。 若要這樣做，請在相關應用程式出現的數據列上，選擇數據列結尾的三個點，然後選擇 [使用 Microsoft Entra ID 管理應用程式]。

提示

瞭解如何為您的網路實作端對端 零信任 策略。

III. 藉由實作原則自動保護敏感性信息和活動

適用於雲端的 Defender Apps 可讓您定義您希望使用者在雲端中的行為方式。 這可以藉由建立原則來完成。 有許多類型：存取、活動、異常偵測、應用程式探索、檔案原則、雲端探索異常偵測和會話原則。

原則可讓您偵測雲端環境中有風險的行為、違規或可疑的數據點和活動。 它們可協助您監視趨勢、查看安全性威脅，以及產生自定義的報告和警示。

執行下列步驟:

1. 使用已針對許多活動和檔案進行測試的現 用原則。 套用治理動作，例如撤銷許可權和暫停用戶、隔離檔案，以及套用敏感度標籤。

2. 建置 適用於雲端的 Microsoft Defender Apps 為您建議的新原則。

3. 設定原則以監視影子 IT 應用程式並提供控制權：

   1. 建立 應用程式探索原則 ，讓您知道從您關心的應用程式下載或流量激增時。 在 探索到的用戶原則、雲端記憶體應用程式合規性檢查 和 新的有風險的應用程式中啟用異常行為。

   2. 持續更新原則，並使用 Cloud Discovery 儀錶板，檢查使用者正在使用哪些（新增）應用程式，以及其使用方式和行為模式。

4. 使用這個選項控制獲批准的 項目並封鎖不想要的應用程式：

   1. 透過 API 連接應用程式以進行持續監視。

5. 使用條件式存取應用程控和 適用於雲端的 Microsoft Defender 應用程式來保護應用程式。

其他部署目標

IV. 為所有應用程式部署調適型存取和會話控制件

完成初始三個目標之後，您可以專注於其他目標，例如確保所有應用程式都使用最低許可權存取與持續驗證。 動態調整和限制存取，因為會話風險變更可讓您在員工將數據和組織置於風險之前，即時停止缺口和外洩。

請採取此步驟：

• 根據使用者、位置、裝置和應用程式，啟用即時監視和控制任何 Web 應用程式的存取權。 例如，您可以使用任何非受控裝置，建立原則來保護敏感度標籤的敏感性內容下載。 或者，您可以在上傳時掃描檔案，以偵測潛在的惡意代碼，並封鎖它們進入敏感性雲端環境。

提示

瞭解如何實作端點的端對端 零信任 策略。

V. 加強防範網路威脅和流氓應用程式

不良動作專案已開發專用且獨特的攻擊工具、技術和程式（TTP），以雲端為目標來入侵防禦，並存取敏感性和業務關鍵性資訊。 他們會使用非法 OAuth 同意授與、雲端勒索軟體，以及危害雲端身分識別認證等策略。

組織可以使用 適用於雲端的 Defender Apps 中可用的工具回應這類威脅，例如使用者和實體行為分析 （UEBA） 和異常偵測、惡意代碼保護、OAuth 應用程式保護、事件調查和補救。 適用於雲端的 Defender Apps 以現成可用的許多安全性異常為目標，例如不可能的旅行、可疑的收件匣規則和勒索軟體。

不同的偵測是使用安全性作業小組所開發，旨在將警示聚焦於真正的入侵指標，同時解除鎖定威脅情報驅動的調查和補救。

執行下列步驟:

• 利用自動啟用現用的 適用於雲端的 Defender Apps UEBA 和機器學習服務 （ML） 功能，立即偵測威脅，並在雲端環境中執行進階威脅偵測。

• 調整和設定異常偵測原則的範圍 。

VI. 評估雲端環境的安全性態勢

除了 SaaS 應用程式之外，組織還大量投資於 IaaS 和 PaaS 服務。 適用於雲端的 Defender Apps 可讓您的組織透過瞭解公用雲端平臺的安全性設定和合規性狀態，評估及強化這些服務的安全性狀態和功能。 這可讓您對整個平臺組態狀態進行風險型調查。

執行下列步驟:

1. 使用 適用於雲端的 Defender Apps 來監視雲端環境的資源、訂用帳戶、建議和對應的嚴重性。

2. 藉由保留雲端平臺，例如 Microsoft Azure、 AWS 和 GCP，符合組織設定原則和法規合規性、遵循 CIS 基準檢驗或廠商的安全性設定最佳做法，以限制安全性缺口的風險。

3. 使用 適用於雲端的 Defender Apps，安全性設定儀錶板可用來驅動補救動作，以將風險降到最低。

提示

瞭解如何實作基礎結構的端對端 零信任 策略。

本指南涵蓋的產品

Microsoft Azure

Microsoft Entra ID

Microsoft 365

適用於雲端應用程式的 Microsoft Defender

Cloud Discovery

Microsoft端點管理員 （包括 Microsoft Intune 和 Configuration Manager）

行動應用程式管理

結論

無論雲端資源或應用程式位於何處，零信任 原則都有助於確保您的雲端環境和數據受到保護。 如需這些程式的詳細資訊，或協助進行這些實作，請連絡您的客戶成功小組。

零信任 部署指南系列