零信任技術要素第 2 部分

  • 7 分鐘

在此單元中,我們會繼續討論其餘零信任部署目標。

使用零信任保護資料

資料保護策略的三個核心元素包括:

  1. 認識您的資料 - 如果您不知道在內部部署和雲端服務中有哪些敏感性資料,就無法充分保護資料。 您必須探索整個組織的資料,並依敏感度層級分類所有資料。
  2. 保護您的資料並防止資料遺失 - 敏感性資料必須受到資料保護原則保護,這些原則會為資料新增標籤、加密資料或阻止過度共用資料。 這樣可確保只有授權使用者能夠存取資料,即使資料傳輸至公司環境之外也是如此。
  3. 監視和補救 - 您應該持續監視敏感性資料,以偵測原則違規和風險性使用者行為。 這可讓您採取適當的動作,例如撤銷存取權、封鎖使用者,以及簡化保護原則。

資料零信任部署目標

資訊保護原則必須涵蓋組織的所有數位內容。 作為基準,您必須定義標籤、探索敏感性資料,以及監視整個環境中標籤和動作的使用情況。 本指南結尾會討論敏感度標籤的使用方式。

實作資料的端對端零信任架構時,建議先專注於這些初始部署目標

I. 存取決策由加密所控管。
II. 資料會自動分類並加上標籤。

達成以上目標之後,專注於下列額外的部署目標

III. 智能機器學習模型會增強分類功能。
IV. 存取決策是由雲端安全性原則引擎所控管。
V. 透過基於敏感度標籤和內容檢查的 DLP 原則,避免資料外洩。

使用零信任保護端點

零信任遵守「永不信任,永遠驗證」原則。就端點而言,這表示一律會驗證所有端點。 不僅包括約聘人員、合作夥伴和來賓裝置,也包括員工用於存取工作資料的應用程式和裝置,無論裝置擁有權為何。

在零信任方法中,無論裝置是公司擁有或是個人透過攜帶您自己的裝置 (BYOD) 擁有;無論裝置是由 IT 完全管理,還是僅保護應用程式和資料,都會套用相同的安全性原則。 這些原則適用於所有端點,無論是電腦、Mac、智慧型手機、平板電腦、穿戴式裝置或 IoT 裝置,無論這些裝置連線至何處,可能是安全的公司網路、家用寬頻網路或公用網際網路。

端點零信任部署目標

實作保護端點的端對端零信任架構時,建議先專注於這些初始部署目標

I. 端點會向雲端識別提供者註冊。 若要監視任何人使用多個端點的安全性和風險,您需要掌握可能存取資源的所有裝置和存取點的可見度

II. 僅向雲端管理且合規的端點和應用程式授與存取權限。 設定合規性規則,確保裝置在授與存取權之前符合最低安全性需求。 此外,設定不相容裝置的補救規則,以便人員知道如何解決問題。

III. 系統會針對公司裝置和 BYOD 強制執行資料外洩防護 (DLP) 原則。 控制使用者取得存取權之後,可以對資料執行哪些動作。 例如,限制將檔案儲存至不受信任的位置 (例如本機磁碟),或限制以複製貼上功能在消費者通訊應用程式或聊天應用程式共用資料,藉此保護資料。

達成以上目標之後,專注於下列額外的部署目標

IV. 端點威脅偵測可用於監視裝置風險。 使用單一管理平台以一致方式管理所有端點,並使用 SIEM 路由傳送端點記錄和交易,以便您獲得數量較少但可採取動作的警示。

V. 存取控制受到公司裝置和 BYOD 端點風險的閘道控制。 整合來自適用於端點的 Microsoft Defender 或其他 Mobile Threat Defense (MTD) 廠商的資料,作為裝置合規性原則和裝置條件式存取規則的資訊來源。 裝置風險會直接影響該裝置使用者可以存取哪些資源。

使用零信任保護基礎結構

Azure 藍圖、Azure 原則、適用於雲端的 Microsoft Defender、Microsoft Sentinel 和 Azure Sphere 可大幅改善已部署基礎結構的安全性,並支援以不同方法定義、設計、佈建、部署及監視基礎結構。

基礎結構零信任部署目標

實作管理及監視基礎結構的端對端零信任架構時,建議您先專注於下列初始部署目標

I. 工作負載受到監視並針對異常行為發出警示。
II. 每個工作負載都會獲指派應用程式身分識別,並採用一致的設定和部署方式。
III. 人為存取資源需要 Just-In-Time。

達成以上目標之後,專注於下列額外的部署目標

IV. 未經授權的部署會遭到封鎖並觸發警示。
V. 您可以在工作負載之間取得細微的可見度和存取控制。
VI. 針對每個工作負載細分的使用者和資源存取權。

使用零信任保護網路

端對端零信任策略不認為企業防火牆背後一切都安全無虞,而是假設安全性缺口必定存在。 這表示您必須驗證每個要求,就好比將要求視為來自非受控網路,身分識別管理在此環節扮演關鍵角色。

網路零信任部署目標

實作保護網路的端對端零信任架構時,建議先專注於這些初始部署目標

I. 網路分割:許多輸入/輸出雲端微型界限具有一些微型分割。
II. 威脅防護:針對已知威脅的雲端原生篩選和保護。
III. 加密:使用者至應用程式內部流量已加密。

達成以上目標之後,專注於下列額外的部署目標

IV. 網路分割:完全分散式輸入/輸出雲端微型界限,以及更深入的微型分割。
V. 威脅防護:機器學習型威脅防護與內容型訊號篩選。
VI. 加密:所有流量都經過加密。