nulová důvěra (Zero Trust) plánu nasazení s Microsoftem 365
Tento článek obsahuje plán nasazení pro vytváření nulová důvěra (Zero Trust) zabezpečení v Microsoftu 365. nulová důvěra (Zero Trust) je nový model zabezpečení, který předpokládá porušení zabezpečení a ověřuje každý požadavek, jako by pocházel z nekontrolované sítě. Bez ohledu na to, odkud žádost pochází nebo k jakému prostředku přistupuje, nás model nulová důvěra (Zero Trust) učí" nikdy nedůvěřovat, vždy ověřovat.
Tento článek použijte společně s tímto plakátem.
architektura zabezpečení nulová důvěra (Zero Trust)
Přístup nulová důvěra (Zero Trust) se vztahuje na celou digitální aktiva a slouží jako integrovaná filozofie zabezpečení a ucelená strategie.
Tento obrázek znázorňuje primární prvky, které přispívají k nulová důvěra (Zero Trust).
Na obrázku:
- Vynucování zásad zabezpečení je v centru architektury nulová důvěra (Zero Trust). To zahrnuje vícefaktorové ověřování pomocí podmíněného přístupu, které bere v úvahu riziko uživatelského účtu, stav zařízení a další kritéria a zásady, které nastavíte.
- Identity, zařízení, data, aplikace, síť a další součásti infrastruktury jsou nakonfigurované s odpovídajícím zabezpečením. Zásady nakonfigurované pro každou z těchto komponent jsou koordinovány s vaší celkovou strategií nulová důvěra (Zero Trust). Například zásady zařízení určují kritéria pro zařízení, která jsou v pořádku, a zásady podmíněného přístupu vyžadují pro přístup ke konkrétním aplikacím a datům zařízení, která jsou v pořádku.
- Ochrana před hrozbami a inteligentní funkce monitorují prostředí, zmišují aktuální rizika a provádějí automatizované akce k nápravě útoků.
Další informace o nulová důvěra (Zero Trust) najdete v centru microsoftu s pokyny pro nulová důvěra (Zero Trust).
Nasazení nulová důvěra (Zero Trust) pro Microsoft 365
Microsoft 365 je záměrně vytvořený s mnoha funkcemi zabezpečení a ochrany informací, které vám pomůžou začlenit nulová důvěra (Zero Trust) do vašeho prostředí. Mnohé z těchto možností je možné rozšířit tak, aby chránily přístup k dalším aplikacím SaaS, které vaše organizace používá, a datům v těchto aplikacích.
Tento obrázek znázorňuje práci s nasazením funkcí nulová důvěra (Zero Trust). Tato práce je rozdělená do jednotek práce, které je možné nakonfigurovat společně, odspodu až po shora, aby se zajistilo dokončení požadované práce.
Na tomto obrázku:
- nulová důvěra (Zero Trust) začíná základem ochrany identit a zařízení.
- Na tomto základu jsou postaveny možnosti ochrany před hrozbami, které poskytují monitorování a nápravu bezpečnostních hrozeb v reálném čase.
- Ochrana informací a zásady správného řízení poskytují sofistikované kontroly zaměřené na konkrétní typy dat, které chrání vaše nejcennější informace a pomáhají vám dodržovat standardy dodržování předpisů, včetně ochrany osobních údajů.
Tento článek předpokládá, že používáte cloudovou identitu. Pokud potřebujete poradit s tímto cílem, přečtěte si téma Nasazení infrastruktury identit pro Microsoft 365.
Tip
Pokud rozumíte krokům a procesu kompletního nasazení, můžete při přihlášení k Centrum pro správu Microsoftu 365 použít průvodce nastavením pokročilého nasazení modelu zabezpečení Microsoft nulová důvěra (Zero Trust). Tento průvodce vás provede uplatněním nulová důvěra (Zero Trust) principů standardních a pokročilých technologických pilířů. Pokud chcete průvodce procházet bez přihlášení, přejděte na portál Pro nastavení Microsoftu 365.
Krok 1: Konfigurace identity nulová důvěra (Zero Trust) a ochrany přístupu zařízení: Zásady výchozího bodu
Prvním krokem je vytvoření základu nulová důvěra (Zero Trust) konfigurací identity a ochrany přístupu zařízení.
Podrobné pokyny najdete v tématu nulová důvěra (Zero Trust) identita a ochrana přístupu zařízení. Tato série článků popisuje sadu požadovaných konfigurací identit a přístupu k zařízením a sadu Microsoft Entra podmíněného přístupu, Microsoft Intune a dalších zásad pro zabezpečení přístupu k Microsoftu 365 pro podnikové cloudové aplikace a služby, další služby SaaS a místní aplikace publikované pomocí aplikace Microsoft Entra. plná moc.
| Zahrnuje | Požadavky | Nezahrnuje |
|---|---|---|
Doporučené zásady přístupu k identitám a zařízením pro tři úrovně ochrany:
Další doporučení pro:
|
Microsoft E3 nebo E5 Microsoft Entra ID v některém z těchto režimů:
|
Registrace zařízení pro zásady, které vyžadují spravovaná zařízení. Viz krok 2. Správa koncových bodů pomocí Intune pro registraci zařízení |
Začněte implementací úrovně počátečního bodu. Tyto zásady nevyžadují registraci zařízení ve správě.
Krok 2: Správa koncových bodů pomocí Intune
V dalším kroku zaregistrujte svá zařízení do systému správy a začněte je chránit sofistikovanějšími ovládacími prvky.
Podrobné pokyny najdete v tématu Správa zařízení pomocí Intune.
| Zahrnuje | Požadavky | Nezahrnuje |
|---|---|---|
Registrace zařízení pomocí Intune:
Konfigurace zásad:
|
Registrace koncových bodů pomocí Microsoft Entra ID | Konfigurace možností ochrany informací, včetně:
Informace o těchto možnostech najdete v kroku 5. Ochrana a řízení citlivých dat (dále v tomto článku) |
Další informace najdete v tématu nulová důvěra (Zero Trust) pro Microsoft Intune.
Krok 3: Přidání identity nulová důvěra (Zero Trust) a ochrany přístupu zařízení: Podnikové zásady
Se zařízeními zaregistrovanými do správy teď můžete implementovat úplnou sadu doporučených zásad nulová důvěra (Zero Trust) identit a přístupu k zařízením, které vyžadují zařízení vyhovující předpisům.
Vraťte se do části Běžné zásady přístupu k identitám a zařízením a přidejte zásady na úrovni Enterprise.
Krok 4: Vyhodnocení, nasazení a nasazení Microsoft Defender XDR
Microsoft Defender XDR je řešení rozšířené detekce a reakce (XDR), které automaticky shromažďuje, koreluje a analyzuje data o signálech, hrozbách a výstrahách z prostředí Microsoftu 365, včetně koncových bodů, e-mailu, aplikací a identit.
V části Vyhodnocení a pilotní Microsoft Defender XDR najdete metodickou příručku k pilotnímu nasazení a nasazení komponent Microsoft Defender XDR.
| Zahrnuje | Požadavky | Nezahrnuje |
|---|---|---|
Nastavte prostředí pro vyhodnocení a pilotní nasazení pro všechny komponenty:
Ochrana před hrozbami Prošetřování hrozeb a reakce na ně |
Informace o požadavcích na architekturu pro jednotlivé komponenty Microsoft Defender XDR najdete v doprovodných materiálech. | Microsoft Entra ID Protection není součástí tohoto průvodce řešením. Je součástí kroku 1. Nakonfigurujte identitu nulová důvěra (Zero Trust) a ochranu přístupu zařízení. |
Další informace najdete v těchto dalších článcích nulová důvěra (Zero Trust):
Krok 5: Ochrana a řízení citlivých dat
Implementujte Microsoft Purview Information Protection, které vám pomůžou zjišťovat, klasifikovat a chránit citlivé informace bez ohledu na to, kde žijí nebo cestují.
Microsoft Purview Information Protection funkce jsou součástí Microsoft Purview a poskytují vám nástroje, které vám umožní znát vaše data, chránit data a zabránit jejich ztrátě.
I když je tato práce reprezentována v horní části zásobníku nasazení, jak je znázorněno výše v tomto článku, můžete ji kdykoli zahájit.
Microsoft Purview Information Protection poskytuje architekturu, proces a možnosti, které můžete použít k dosažení konkrétních obchodních cílů.
Další informace o plánování a nasazení ochrany informací najdete v tématu Nasazení řešení Microsoft Purview Information Protection.
Pokud nasazujete ochranu informací pro předpisy o ochraně osobních údajů dat, tento průvodce řešením poskytuje doporučený rámec pro celý proces: Nasazení ochrany informací pro předpisy o ochraně osobních údajů dat s Microsoftem 365.