RaMP 檢查清單 - 明確驗證所有存取要求的信任
此快速現代化計劃 (RaMP) 檢查清單可協助您建立雲端應用程式和行動裝置的安全性周邊,以使用身分識別作為控制平面,並在允許公用和專用網存取之前明確驗證使用者帳戶和裝置的信任。
若要提高生產力,您的員工(用戶)必須能夠使用:
- 其帳戶認證可驗證其身分識別。
- 其端點(裝置),例如電腦、平板電腦或手機。
- 您提供的應用程式來執行其工作。
- 裝置與應用程式之間流動流量的網路,無論是內部部署還是雲端。
每個元素都是攻擊者的目標,必須受到「永不信任、永遠驗證」零信任 的核心原則保護。
此檢查清單包含使用 零信任 來明確驗證所有存取要求的信任:
完成這項工作之後,您將建置 零信任 架構的這個部分。
身分識別
使用 Microsoft Entra ID,驗證並保護整個數位資產中具有強式驗證的每個身分識別,這是一個完整的身分識別和存取管理解決方案,每個月都會將數億人連線到其應用程式、裝置和數據。
計畫和專案成員責任
下表說明在贊助計劃管理-專案管理階層中,對用戶帳戶的整體保護,以判斷並驅動結果。
| 潛在客戶 | 擁有者 | 當責 |
|---|---|---|
| CISO、CIO 或身分識別安全性主管 | 高階主管贊助 | |
| 身分識別安全性或身分識別架構師的程序負責人 | 推動結果和跨小組共同作業 | |
| 安全性架構師 | 建議設定和標準 | |
| 身分識別安全性或身分識別架構師 | 實作設定變更 | |
| 身分識別管理員 | 更新標準和原則文件 | |
| 安全性治理或身分識別管理員 | 監視以確保合規性 | |
| 使用者教育小組 | 確保使用者指引反映原則更新 |
部署目標
符合這些部署目標,以使用 零信任 保護您的特殊許可權身分識別。
| 完成 | 部署目標 | 擁有者 | 文件集 |
|---|---|---|---|
| 1.部署受保護的特殊許可權存取,以保護系統管理用戶帳戶。 | IT 實作者 | 在 Microsoft Entra ID 中保護混合式部署和雲端部署的特殊權限存取 | |
| 2.針對使用特殊許可權用戶帳戶的限時 Just-In-Time 核准程式,部署Microsoft Entra Privileged Identity Management (PIM)。 | IT 實作者 | 規劃 Privileged Identity Management 部署 |
符合這些部署目標,以使用 零信任 保護您的使用者身分識別。
| 完成 | 部署目標 | 擁有者 | 文件集 |
|---|---|---|---|
| 1.啟用自助式密碼重設 (SSPR),以提供認證重設功能 | IT 實作者 | 規劃 Microsoft Entra 自助式密碼重設部署 | |
| 2.啟用多重要素驗證 (MFA),並針對 MFA 選取適當的方法 | IT 實作者 | 規劃 Microsoft Entra 多重要素驗證部署 | |
| 3.啟用目錄的合併用戶註冊,讓使用者在一個步驟中註冊 SSPR 和 MFA | IT 實作者 | 在 Microsoft Entra ID 中啟用合併的安全性資訊註冊 | |
| 4.設定條件式存取原則以要求 MFA 註冊。 | IT 實作者 | 如何:設定Microsoft Entra 多重要素驗證註冊原則 | |
| 5.啟用使用者和登入風險型原則,以保護使用者對資源的存取。 | IT 實作者 | 如何:設定及啟用風險原則 | |
| 6.偵測並封鎖已知的弱式密碼及其變體,並封鎖貴組織特定的其他弱式字詞。 | IT 實作者 | 使用 Microsoft Entra 密碼保護來消除錯誤的密碼 | |
| 7.部署 適用於身分識別的 Microsoft Defender 並檢閱並減輕任何開啟的警示(與您的安全性作業平行)。 | 安全性作業小組 | 適用於身分識別的 Microsoft Defender | |
| 8.部署無密碼認證。 | IT 實作者 | 規劃使用 Microsoft Entra ID 進行無密碼驗證部署 |
您現在已建置 零信任 架構的 [身分識別] 區段。
![醒目提示 零信任 架構 [身分識別] 區段的圖表。](media/user-access-productivity-overview/user-access-productivity-validate-trust-identities.png#lightbox)
端點
在授與端點(裝置)存取權之前,請確定合規性和健康狀態,並深入瞭解其存取網路的方式。
計畫和專案成員責任
下表說明在贊助/計劃管理/專案管理階層來判斷和驅動結果方面,端點的整體保護。
| 潛在客戶 | 擁有者 | 當責 |
|---|---|---|
| CISO、CIO 或身分識別安全性主管 | 高階主管贊助 | |
| 身分識別安全性或身分識別架構師的程序負責人 | 推動結果和跨小組共同作業 | |
| 安全性架構師 | 建議設定和標準 | |
| 身分識別安全性或基礎結構安全性架構師 | 實作設定變更 | |
| 行動裝置管理 (MDM) 系統管理員 | 更新標準和原則文件 | |
| 安全性治理或 MDM 系統管理員 | 監視以確保合規性 | |
| 使用者教育小組 | 確保使用者指引反映原則更新 |
部署目標
符合這些部署目標,以使用 零信任 保護您的端點(裝置)。
| 完成 | 部署目標 | 擁有者 | 文件集 |
|---|---|---|---|
| 1.使用Microsoft Entra ID 註冊裝置。 | MDM 系統管理員 | 裝置身分識別 | |
| 2.註冊裝置並建立組態配置檔。 | MDM 系統管理員 | 裝置管理概觀 | |
| 3.將適用於端點的Defender連線到 Intune(與您的安全性作業平行)。 | 身分識別安全性系統管理員 | 在 Intune 中設定 適用於端點的 Microsoft Defender | |
| 4.監視條件式存取的裝置合規性和風險。 | 身分識別安全性系統管理員 | 使用合規性原則為使用 Intune 管理的裝置設定規則 | |
| 5.實作Microsoft Purview 資訊保護解決方案,並與條件式存取原則整合。 | 身分識別安全性系統管理員 | 使用敏感度標籤來保護內容 |
您現在已建置 零信任 架構的 [端點] 區段。
![此圖表醒目提示 零信任 架構的 [端點] 區段。](media/user-access-productivity-overview/user-access-productivity-validate-trust-endpoints.png#lightbox)
應用程式
由於惡意使用者會使用應用程式來滲透組織,因此您必須確定您的應用程式正在使用服務,例如Microsoft Entra ID 和 Intune,以提供 零信任 保護或強化攻擊。
計畫和專案成員責任
下表說明在贊助/計劃管理/專案管理階層中,應用程式的 零信任 實作,以判斷並驅動結果。
| 潛在客戶 | 擁有者 | 當責 |
|---|---|---|
| CISO、CIO 或應用程式安全性主管 | 高階主管贊助 | |
| 應用程式管理的程式潛在客戶 | 推動結果和跨小組共同作業 | |
| 身分識別架構師 | 建議應用程式Microsoft Entra 設定 更新內部部署應用程式的驗證標準 |
|
| 開發人員架構師 | 建議內部部署和雲端應用程式的設定和標準 | |
| 網路架構師 | 實作 VPN 組態變更 | |
| 雲端網路架構師 | 部署 Microsoft Entra 應用程式 Proxy | |
| 安全性治理 | 監視以確保合規性 |
部署目標
符合這些部署目標,以確保 零信任 保護Microsoft雲端應用程式、第三方 SaaS 應用程式、自定義 PaaS 應用程式和內部部署應用程式。
| 完成 | 應用程式或應用程式使用量的類型 | 部署目標 | 擁有者 | 文件集 |
|---|---|---|---|---|
| 向 entra 識別碼 Microsoft註冊的第三方 SaaS 應用程式和自定義 PaaS 應用程式 | Microsoft Entra 應用程式註冊會使用Microsoft Entra 驗證、認證和應用程式同意原則。 使用Microsoft Entra 條件式存取原則和 Intune MAM 和應用程式保護原則 (APP) 原則來允許應用程式使用。 |
身分識別架構師 | Microsoft Entra ID 中的應用程式管理 | |
| 已啟用 OAuth 並註冊於 Microsoft Entra ID、Google 和 Salesforce 中的雲端應用程式 | 在 適用於雲端的 Microsoft Defender Apps 中使用應用程式控管,以取得應用程式行為可見度、使用原則強制執行治理,以及偵測和補救以應用程式為基礎的攻擊。 | 安全性工程師 | 概觀 | |
| 未 Microsoft向 entra 識別元註冊的第三方 SaaS 應用程式和自定義 PaaS 應用程式 | 使用 Microsoft Entra 識別元註冊它們,以進行驗證、認證和應用程式同意原則。 使用Microsoft Entra 條件式存取原則和 Intune MAM 和 APP 原則。 |
應用程式架構師 | 整合所有應用程式與 Microsoft Entra 識別碼 | |
| 存取內部部署應用程式的內部部署使用者,其中包括在內部部署和 IaaS 型伺服器上執行的應用程式 | 請確定您的應用程式支援新式驗證通訊協定,例如 OAuth/OIDC 和 SAML。 請連絡應用程式廠商以取得更新以保護使用者登入。 | 身分識別架構師 | 查看廠商檔案 | |
| 透過 VPN 連線存取內部部署應用程式的遠端使用者 | 設定 VPN 設備,使其使用 Microsoft Entra ID 作為其識別提供者 | 網路架構師 | 查看廠商檔案 | |
| 透過 VPN 連線存取內部部署 Web 應用程式的遠端使用者 | 透過 Microsoft Entra 應用程式 Proxy 發佈應用程式。 遠端使用者只需要存取個別已發佈的應用程式,此應用程式會透過應用程式 Proxy 連接器路由傳送至內部部署 Web 伺服器。 聯機會利用強式Microsoft Entra驗證,並限制使用者及其裝置一次存取單一應用程式。 相反地,一般遠端訪問 VPN 的範圍是整個內部部署網路的所有位置、通訊協定和埠。 |
雲端網路架構師 | 透過 Microsoft Entra 應用程式 Proxy 遠端存取內部部署應用程式 (機器翻譯) |
完成這些部署目標之後,您將建置 零信任 架構的 [應用程式] 區段。
![此圖表醒目提示 零信任 架構的 [應用程式] 區段。](media/user-access-productivity-overview/user-access-productivity-validate-trust-apps.png#lightbox)
網路
零信任 模型假設有缺口,並驗證每個要求,就像它源自不受控制的網路一樣。 雖然這是公用網路的常見作法,但它也適用於通常從公用因特網防火牆的組織內部網路。
若要遵守 零信任,貴組織必須解決公用和專用網、內部部署或雲端的安全性弱點,並確保您明確驗證、使用最低許可權存取權,並假設有缺口。 裝置、用戶和應用程式本身不會受到信任,因為它們位於您的專用網上。
計畫和專案成員責任
下表說明公用和專用網的 零信任 實作,以贊助/程式管理/專案管理階層來判斷和驅動結果。
| 潛在客戶 | 擁有者 | 當責 |
|---|---|---|
| CISO、CIO 或網路安全性主管 | 高階主管贊助 | |
| 來自網路領導階層的計劃負責人 | 推動結果和跨小組共同作業 | |
| 安全性架構師 | 建議加密和存取原則設定和標準 | |
| 網路架構師 | 建議流量篩選和網路架構變更 | |
| 網路工程師 | 設計分割組態變更 | |
| 網路實作者 | 變更網路設備組態和更新組態檔 | |
| 網路治理 | 監視以確保合規性 |
部署目標
符合這些部署目標,以確保內部部署和雲端式流量 零信任 公用和專用網的保護。 這些目標可以平行完成。
| 完成 | 部署目標 | 擁有者 | 文件集 |
|---|---|---|---|
| 所有流量連線都需要加密,包括 IaaS 元件與內部部署使用者與應用程式之間的加密。 | 安全性架構師 | Azure IaaS 元件 內部部署 Windows 裝置的 IPsec |
|
| 依原則(使用者或裝置身分識別)或流量篩選來限制對重要數據和應用程式的存取。 | 安全性架構師或網路架構師 | 適用於雲端的 Defender Apps 條件式存取應用程控的存取原則 適用於 Windows 裝置的 Windows 防火牆 |
|
| 使用微周邊和微分割的輸入和輸出流量控制來部署內部部署網路分割。 | 網路架構師或網路工程師 | 請參閱您的內部部署網路和邊緣裝置檔。 | |
| 針對內部部署流量使用即時威脅偵測。 | SecOps 分析師 | Windows 威脅防護 適用於端點的 Microsoft Defender |
|
| 使用微周邊和微分割的輸入和輸出流量控制來部署雲端網路分割。 | 網路架構師或網路工程師 | 網路和連線能力的建議 | |
| 針對雲端流量使用即時威脅偵測。 | 網路架構師或網路工程師 | 以 Azure 防火牆威脅情報為主的篩選 Azure 防火牆 進階網路入侵檢測與預防系統 (IDPS) |
完成這些部署目標之後,您將建置 零信任 架構的 [網络] 區段。
![醒目提示 零信任 架構 [網络] 區段的圖表。](media/user-access-productivity-overview/user-access-productivity-validate-trust-network.png#lightbox)
後續步驟
使用 數據、合規性和控管繼續使用者存取和生產力計劃。