Zabezpečení vzdálené a hybridní práce s nulová důvěra (Zero Trust)

Tento článek popisuje obchodní scénář zabezpečení práce na dálku a hybridní práci v rámci nulová důvěra (Zero Trust). Upozorňujeme, že zabezpečení obchodních dat a infrastruktury jsou témata samostatných obchodních scénářů a nejsou součástí těchto doprovodných materiálů.

Přechod na hybridní pracovní styl vynutí organizace, aby se rychle přizpůsobily. Vzdálení zaměstnanci pracují jakýmkoli způsobem, například pomocí osobních zařízení, spolupráce prostřednictvím cloudových služeb a sdílení dat mimo hraniční síť společnosti. Hybridní zaměstnanci pracují v podnikových i domácích sítích a přecházejí mezi obchodními a osobními zařízeními.

Vzhledem k tomu, že domácí sítě zaměstnanců roztahují obvod podnikové sítě s různými zařízeními připojujícími se k této síti, bezpečnostní hrozby se násobí a stávají se sofistikovanějšími, zatímco se vyvíjejí vektory útoku.

Tradiční ochrana pomocí síťových ovládacích prvků Moderní ochrana s nulová důvěra (Zero Trust)
Tradiční ochrana spoléhá na síťové brány firewall a virtuální privátní sítě (VPN) k izolaci a omezení podnikových prostředků.

Zaměstnanci fyzicky "odznak" do kanceláře a používají svůj uživatelský účet a heslo k přihlášení pomocí svého zařízení. Uživatelský účet i zařízení jsou ve výchozím nastavení důvěryhodné.
Model nulová důvěra (Zero Trust) kombinuje zásady, procesy a technologie za účelem navázání vztahu důvěryhodnosti z cloudu do hraniční sítě bez ohledu na to, kde uživatelé přistupují k síti.

Model nulová důvěra (Zero Trust) nepředpokládá, že je v žádné síti zabezpečená žádná identita uživatele nebo zařízení. Přístup vyžaduje, abyste ověřili identitu uživatele a zařízení, a přitom průběžně monitorujete síť, data a zabezpečení aplikací v kanceláři, doma a na různých zařízeních.

Následující diagram znázorňuje posun od tradiční ochrany pomocí síťových ovládacích prvků na levé straně (z omezených známých umístění) na moderní ochranu s nulová důvěra (Zero Trust) vpravo (na neznámá místa), ve které se ochrana používá bez ohledu na to, kde se nacházejí uživatelé a zařízení.

Diagram znázorňující, jak nulová důvěra (Zero Trust) platí pro známá i neznámá umístění

Pokyny v tomto článku vás seznámí s tím, jak začít a implementovat strategii zabezpečení práce na dálku a hybridní práci.

Jak vedoucí firmy uvažují o zabezpečení práce na dálku a hybridní práci

Před zahájením jakékoli technické práce je důležité pochopit různé motivace pro investice do zabezpečení vzdálené a hybridní práce, protože tyto motivace pomáhají informovat strategii, cíle a opatření pro úspěch.

Následující tabulka obsahuje důvody, proč by vedoucí pracovníci v celé organizaci měli investovat do zabezpečení práce na dálku a hybridní práci.

Role Proč je důležité zabezpečení práce na dálku a hybridní práci
Výkonný ředitel (GENERÁLNÍ ŘEDITEL) Firma musí být zmocněna k dosažení svých strategických cílů a cílů bez ohledu na umístění zaměstnance. Obchodní flexibilita a obchodní spouštění by neměly být omezené. Náklady na úspěšný kybernetický útok mohou být mnohem více než cena implementace bezpečnostních opatření. V mnoha případech se vyžaduje dodržování požadavků na kybernetické pojištění nebo standardů nebo regionálních předpisů.
Hlavní marketingový ředitel (CMO) Jak je firma vnímaná interně i externě, neměla by být omezena zařízeními nebo okolnostmi. Pohoda zaměstnanců je vysoká priorita, kterou umožňuje volba pracovat z domova nebo kanceláře. Úspěšný útok se může stát veřejnými znalostmi a potenciálně poškodit hodnotu značky.
Ředitel informačních technologií (CIO) Aplikace používané mobilními a hybridními pracovníky musí být při zabezpečení firemních dat přístupné. Zabezpečení by mělo být měřitelným výsledkem a v souladu se strategií IT. Uživatelské prostředí a produktivita jsou důležité.
Ředitel pro zabezpečení informací (CISO) Vzdálené nebo hybridní pracovní prostředí vytvoří větší prostor pro narušení zabezpečení. Organizace by stále měla splňovat požadavky na zabezpečení a ochranu dat, standardy a předpisy, jak se prostředí rozšiřuje.
Technický ředitel (CTO) Technologie a procesy používané k podpoře obchodních inovací musí být chráněny. Postupy SecOps a DevSecOps můžou snížit dopad útoku. Je třeba přijmout bezplatné technologie, které usnadňují vzdálenou práci i přijetí cloudových služeb zabezpečeným způsobem.
Provozní ředitel (COO) S tím, jak se pracovní síla stává mobilní a používá pevnou kancelářskou polohu méně často, musí být firemní prostředky zabezpečené a obchodní riziko musí být spravováno. S odpovědností za každodenní obchodní výrobu generálnímu řediteli ovlivní jakákoliv interference s provozem nebo dodavatelským řetězcem z důvodu útoku na spodní linii.
Finanční ředitel (CFO) Priority útraty se mění z pevných na agilní modely. Investice do pevného datacentra a budovy se přesouvají do cloudových aplikací a uživatelů pracujících z domova. Náklady na implementaci funkcí zabezpečení musí být vyváženy s analýzami rizik a nákladů.

Kromě motivací pro vedoucí pracovníky firem mnoho zaměstnanců očekává flexibilitu a chce pracovat odkudkoli, kdykoli a z libovolného zařízení.

Microsoft je jednou z mnoha organizací na podnikové úrovni, které na začátku epidemie COVID-19 přijaly vzdálenou a hybridní práci. Na stránce 87 zprávy Microsoft Digital Defense 2022 microsoft zdůrazňuje, že tato obchodní příležitost představuje riziko a musí být spárována s bezpečnostními opatřeními pro zvýšení odolnosti proti útokům:

  • Kybernetická bezpečnost je klíčovým faktorem technologického úspěchu. Inovace a zvýšená produktivita lze dosáhnout pouze zavedením bezpečnostních opatření, která organizacím zajistí maximální odolnost proti moderním útokům.
  • Tato epidemie nás vyzvala k tomu, abychom se vypracovali v našich bezpečnostních postupech a technologiích, abychom ochránili zaměstnance Microsoftu, ať pracují kdekoli. V minulém roce aktéři hrozeb nadále využívali výhody ohrožení zabezpečení vystavených během epidemie a posunu do hybridního pracovního prostředí.

Tato sestava zdůrazňuje, že velkou většinu úspěšných kybernetických útoků je možné zabránit použitím základní hygieny zabezpečení.

Cyklus přijetí pro zabezpečení práce na dálku a hybridní práci

Zabezpečení práce na dálku a hybridní práci s nulová důvěra (Zero Trust) zahrnuje nasazení ochrany zabezpečení, které jsou základní a zároveň poskytují sofistikovanou ochranu. Technicky vzato tento cíl zahrnuje vynucování zásad a monitorování všech přístupů k prostředkům vaší organizace pomocí kompletního přístupu k životnímu cyklu.

Tento článek vás provede tímto obchodním scénářem pomocí stejných fází životního cyklu jako architektura přechodu na cloud pro Azure (definování strategie, plánu, připravenosti, přijetí a řízení a správy), ale přizpůsobená pro nulová důvěra (Zero Trust).

Diagram procesu přijetí pro cíl nebo sadu cílů

Následující tabulka je přístupná verze obrázku.

Definování strategie Plánování Připraven Přijetí Řízení a správa
Výsledky

Organizační sladění

Strategické cíle
Tým účastníků

Technické plány

Připravenost dovedností
Hodnotit

Test

Pilot
Přírůstkové implementace napříč vašimi digitálními aktivy Sledování a měření

Monitorování a zjišťování

Iterace pro splatnost

Další informace o cyklu přechodu nulová důvěra (Zero Trust) najdete v přehledu architektury přechodu na nulová důvěra (Zero Trust).

Definování fáze strategie

Diagram procesu přijetí pro jeden cíl nebo sadu cílů se zvýrazněnou fází Definovat strategii

Fáze definovat strategii je důležitá k definování a formalizaci našeho úsilí o řešení "Proč?" tohoto scénáře. V této fázi chápeme scénář prostřednictvím obchodních, IT, provozních a strategických perspektiv.

Definujeme výsledky, proti kterým se má měřit úspěch ve scénáři, a chápeme, že zabezpečení je přírůstková a iterativní cesta.

Tento článek navrhuje motivaci a výsledky, které jsou relevantní pro mnoho organizací. Tyto návrhy vám pomůžou vylepšit strategii pro vaši organizaci na základě vašich jedinečných potřeb.

Zabezpečení motivací práce na dálku a hybridní práci

Motivace k zabezpečení práce na dálku a hybridní práci je jednoduchá, ale různé části vaší organizace budou mít různé pobídky pro tuto práci. Následující tabulka shrnuje některé z těchto motivací.

Plocha Motivace
Obchodní potřeby Pokud chcete poskytovat přístup k informacím kdykoli, kdekoli na jakémkoli zařízení, aniž byste snížili standardy zabezpečení a spravovali rizika přístupu k datům.
Potřeby IT Standardizovaná platforma identit, která vyhovuje požadavkům na lidskou a nelidovou identitu, odstraňuje potřeby sítí VPN a poskytuje vzdálenou správu podnikových zařízení a zařízení BYOD vyhovujícím způsobem a poskytuje bezproblémové a pozitivní uživatelské prostředí.
Provozní potřeby Implementujte stávající řešení zabezpečení standardizovaným způsobem. Snižte úsilí správy potřebné k implementaci a údržbě zabezpečených identit. Zásady správného řízení identit znamenají onboarding a offboarding uživatelů, udělení přístupu k prostředkům ve správný čas a zajištění pouze dostatečného přístupu. Znamená to také odvolání přístupu, pokud už ho nepotřebujete.
Strategické potřeby Pokud chcete přírůstkově snížit návratnost investic do kybernetických útoků implementací silných bezpečnostních řešení. Nulová důvěra (Zero Trust) předpokládejme, že princip porušení zabezpečení umožňuje plánování minimalizace poloměru výbuchu, prostoru útoku a zkrácení doby obnovení z porušení zabezpečení.

Zabezpečení výsledků scénářů vzdálené a hybridní práce

Aby byli uživatelé produktivní, musí být schopni používat:

  • Přihlašovací údaje svého uživatelského účtu k ověření identity.
  • Jejich koncový bod (zařízení), například počítač, tablet nebo telefon.
  • Aplikace, které jste jim poskytli.
  • Data potřebná k provedení jejich úlohy.
  • Síť, přes kterou proudí provoz mezi zařízeními a aplikacemi, ať už je uživatel a jeho zařízení místní nebo na internetu.

Každý z těchto prvků je cílem útočníků a musí být chráněný principem "nikdy nedůvěřovat, vždy ověřit" nulová důvěra (Zero Trust).

Následující tabulka obsahuje cíle a jejich výsledky pro zabezpečený scénář práce na dálku a hybridní práci.

Účel Výsledek
Produktivita Organizace chtějí bezpečně rozšířit produktivitu na uživatele a jejich zařízení, aniž by omezovaly možnosti zaměstnanců na základě umístění pracovních sil.
Bezpečný přístup K firemním datům a aplikacím musí mít přístup správní zaměstnanci zabezpečeným způsobem, který chrání duševní vlastnictví společnosti a osobní údaje.
Podpora koncových uživatelů Vzhledem k tomu, že organizace přijmou hybridní pracovní sílu, potřebují zaměstnanci více možností aplikací a platforem pro zabezpečené a mobilní pracovní prostředí.
Zvýšení zabezpečení Je potřeba zvýšit zabezpečení aktuálních nebo navrhovaných pracovních řešení, aby organizace mohli škálovat požadavky na mobilní pracovníky. Možnosti zabezpečení by se měly shodovat s tím, co je možné dosáhnout místním pracovníkům.
Posílení IT IT tým chce zabezpečit pracoviště, což začíná zabezpečením uživatelského prostředí zaměstnanců bez zbytečného zvýšení tření pro uživatele. Kromě toho it tým potřebuje procesy a viditelnost, aby podporoval zásady správného řízení a umožnil detekci a zmírnění kybernetických útoků.

Fáze plánování

Diagram procesu přijetí pro jeden cíl nebo sadu cílů se zvýrazněnou fází plánu

Plány přechodu převádějí cíle nulová důvěra (Zero Trust) strategie na akční plán. Vaše kolektivní týmy můžou plán přechodu využít k vedení technického úsilí a jejich sladění s obchodní strategií vaší organizace.

Motivace a výsledky, které definujete společně s obchodními vedoucími a týmy, podporují "Proč?" pro vaši organizaci. Ty se stanou severní hvězdou nebo směrovacím cílem pro vaši strategii. Dále přichází technické plánování k dosažení motivací a cílů.

Následující cvičení vám pomůžou naplánovat implementaci technologické strategie vaší organizace. Tato cvičení podporují nulová důvěra (Zero Trust) úsilí o přechod zachycením úkolů s prioritou. Na konci tohoto procesu budete mít plán přechodu na cloud, který se mapuje na metriky a motivaci definované ve strategii přechodu na cloud.

Cvičení Popis
Digitální aktiva Inventarizaci digitálních aktiv: identity, zařízení, aplikace. Upřednostněte digitální aktiva na základě předpokladů, které odpovídají motivaci vaší organizace a obchodním výsledkům.
Počáteční stav organizace Sladění organizace s technickou strategií a plánem přijetí Strategie a plán vycházejí z cílů vaší organizace spolu s prioritami, které jste identifikovali v rámci inventáře.
Plán připravenosti technických dovedností Vytvořte plán pro řešení nedostatků připravenosti dovedností v rámci vaší organizace.
Plán přechodu na cloud Vytvořte plán přechodu na cloud pro správu změn napříč dovednostmi, digitálními aktivy a vaší organizací.

Technický přechod na zabezpečení práce na dálku a hybridní práci zahrnuje odstupňovaný přístup k zajištění toho, aby se na identity, zařízení a aplikace použily zásady nulová důvěra (Zero Trust) tím, že vyžadují, aby:

  • Vícefaktorové ověřování (MFA) s podmíněným přístupem se použije u všech identit uživatelů, které přistupují k prostředí.
  • Zařízení jsou zaregistrovaná ve správě zařízení a monitorovaná pro stav.
  • Přístup k aplikacím a jejich datům vyžaduje ověření identit, zařízení, která jsou v pořádku, a odpovídajícího přístupu k datům.

Mnoho organizací může k těmto cílům nasazení přistupovat ve čtyřech fázích, které jsou shrnuté v následujícím grafu.

Fáze 1 Fáze 2 Fáze 3 Fáze 4
Ověření a zabezpečení každé identity pomocí silného ověřování

Integrace aplikací SaaS s Microsoft Entra ID pro jednotné přihlašování

Všechny nové aplikace používají moderní ověřování.
Registrace zařízení pomocí Microsoft Entra ID

Implementace zásad přístupu k výchozímu bodu nulová důvěra (Zero Trust) identitě a zařízení

Použití proxy aplikací Microsoft Entra s místními aplikacemi pro jednotné přihlašování
Registrace zařízení v řešení pro správu zařízení a použití doporučených bezpečnostních ochrany

Povolit přístup k datům jenom kompatibilním a důvěryhodným zařízením
Monitorování odchylek konfigurace zařízení

Implementace ověřování bez hesla

Pokud tento fázovaný přístup funguje pro vaši organizaci, můžete použít:

  • Tato prezentace PowerPointu ke stažení, která vám umožní prezentovat a hlásit průběh prostřednictvím těchto fází a cílů obchodním vedoucím a dalším zúčastněným stranám. Tady je snímek pro tento obchodní scénář.

    Snímek PowerPointu pro fáze zabezpečeného nasazení vzdálené a hybridní práce

  • Tento excelový sešit slouží k přiřazení vlastníků a sledování průběhu těchto fází, cílů a jejich úkolů. Tady je list pro tento obchodní scénář.

    List sledování průběhu zabezpečeného vzdáleného a hybridního nasazení práce

Pokud se vaše organizace přihlásí k odběru konkrétní strategie zásad správného řízení a rizik a dodržování předpisů (GRC) nebo nástroje Security Operations Center (SOC), je důležité, aby technická práce zahrnovala konfigurace, které splňují tyto požadavky.

Vysvětlení vaší organizace

Potřeby a složení jednotlivých organizací se liší. Nadnárodní podnik s mnoha aplikacemi a vysoce standardizované zabezpečení bude implementovat zabezpečení odlišně od agilního spuštění nebo středně velké organizace.

Bez ohledu na velikost a složitost vaší organizace platí následující akce:

  • Inventarizace uživatelů, koncových bodů, aplikací, dat a sítí za účelem pochopení stavu zabezpečení a odhadu úrovně úsilí potřebného k transformaci aktiv
  • Zdokumentujte cíle a naplánujte přírůstkové přijetí na základě priorit. Příkladem je zabezpečení identit a služeb Microsoftu 365 následovaných koncovými body. Dále zabezpečte aplikace a služby SaaS pomocí moderních metod ověřování a schopností segmentace poskytované podmíněným přístupem.
  • Pro princip použití nejméně privilegovaného přístupu inventarizace, kolik účtů má privilegovaný přístup, a snižte je na nejmenší možný počet účtů. Účty, které vyžadují privilegovaný přístup, by měly k omezení trvalých oprávnění pro správu používat přístup za běhu a přístup podle potřeby (JIT/JEA). Pokud dojde k porušení zabezpečení, jsou ohrožené účty omezené, což minimalizuje poloměr výbuchu. S výjimkou účtu "rozbitého skla" by neměl být povolen přístup správce pro vysoce privilegované role, které zahrnují role správy aplikací pro kancelářské služby, jako jsou SharePoint, Exchange a Teams.

Organizační plánování a sladění

Implementace a řízení metodologie zabezpečeného přístupu ovlivňuje několik překrývajících se oblastí a obvykle se implementuje v pořadí:

  1. Identity
  2. Koncové body (zařízení)
  3. Aplikace
  4. Síť

Ochrana dat je důležitá také pro zabezpečení práce na dálku a hybridní práci. Toto téma je podrobněji řešeno v tématu Identifikace a ochrana citlivých obchodních dat.

Tato tabulka shrnuje role, které se doporučují při vytváření programu Sponsorship a hierarchie řízení projektů za účelem určení a řízení výsledků.

Plocha Vedoucí programu Role technického vlastníka
Identity Zabezpečení identit CISO, CIO nebo ředitel identit

Vedoucí programu od architekta zabezpečení identit nebo identity
Architekt zabezpečení

Zabezpečení identit nebo architekt identit

Správce identit

Zásady správného řízení zabezpečení nebo správce identit

Tým pro vzdělávání uživatelů
Koncové body Zabezpečení identit CISO, CIO nebo ředitel identit

Vedoucí programu od zabezpečení identit nebo architekta identity
Architekt zabezpečení

Zabezpečení identit nebo architekt zabezpečení infrastruktury

Správa mobilních zařízení (MDM)

Zásady správného řízení zabezpečení nebo správce MDM

Tým pro vzdělávání uživatelů
Aplikace CISO, CIO nebo ředitel zabezpečení aplikací

Vedoucí programu ze správy aplikací
Architekt identit

Vývojářský architekt

Síťový architekt

Cloud Network Architect

Zásady správného řízení zabezpečení
Síť CISO, CIO nebo ředitel zabezpečení sítě

Vedoucí programu od vedení sítí
Architekt zabezpečení

Síťový architekt

Síťová inženýři

Implementátory sítě

Zásady správného řízení sítí

Prezentace PowerPointu s materiály pro tento obsah osvojení obsahuje následující snímek se zobrazením účastníků, které si můžete přizpůsobit pro vlastní organizaci.

Snímek PowerPointu pro identifikaci klíčových zúčastněných stran pro zabezpečené nasazení práce na dálku a hybridní práci

Připravenost na technické plánování a dovednosti

Microsoft poskytuje zdroje informací, které vám pomůžou určit prioritu této práce, začít a zdokonalit vaše nasazení. V této fázi tyto zdroje používáme jako plánování aktivit, abychom pochopili dopad navrhovaných změn a vytvořili plán implementace.

Mezi tyto prostředky patří preskriptivní pokyny, které můžete použít jako doporučené výchozí body pro vaši vlastní organizaci. Upravte doporučení na základě vašich priorit a požadavků.

Resource Popis
Kontrolní seznam Pro rychlý plán modernizace (RaMP): Explicitně ověřte důvěryhodnost pro všechny žádosti o přístup.

Obrázek plánu rychlé modernizace
Tato série kontrolních seznamů obsahuje seznam technických cílů každé oblasti nasazení zabezpečení v pořadí podle priority a dokumentuje kroky, které budete muset provést k jejich dosažení. Uvádí také členy projektu, kteří musí být zapojeni do každé oblasti.

Použití tohoto prostředku vám pomůže identifikovat rychlé výhry.
konfigurace identit nulová důvěra (Zero Trust) a přístupu zařízení Obrázek zásad přístupu k identitám a zařízením Tento průvodce řešením doporučuje sadu zásad přístupu k identitám a zařízením, které byly testovány společně. Zahrnuje:
  • Zásady na úrovni výchozích bodů , které vám pomůžou začít a nevyžadují správu zařízení.
  • Zásady na úrovni podniku se doporučují pro nulová důvěra (Zero Trust). To vyžaduje registraci zařízení pro správu koncových bodů.
Tato doporučení použijte jako výchozí bod a v případě potřeby upravte zásady pro vaše jedinečné prostředí a cíle.
Správa zařízení pomocí Intune

Obrázek správy zařízení pomocí Intune
Tento průvodce řešením vás provede fázemi správy zařízení– od akcí, které nevyžadují registraci zařízení do správy, až po úplnou správu zařízení. Tato doporučení jsou koordinovaná s výše uvedenými prostředky.
Možnosti registrace v Intune

Obrázek možností registrace Intune

PDF | Visio
Aktualizováno červen 2022
Tato plakátová sada poskytuje snadné porovnání možností registrace zařízení na platformu.
Plán nasazení MFA V tomto průvodci nasazením se dozvíte, jak naplánovat a implementovat zavedení vícefaktorového ověřování Microsoft Entra.

Kromě těchto prostředků následující části zvýrazňují zdroje pro konkrétní úkoly ve čtyřech fázích, které byly dříve definovány.

Fáze 1

Cíl nasazení Zdroje informací
Ověření a zabezpečení každé identity pomocí silného ověřování Jaké metody ověřování jsou k dispozici v Microsoft Entra ID?
Integrace aplikací SaaS s Microsoft Entra ID pro jednotné přihlašování Přidání aplikací SaaS do ID Microsoft Entra a do rozsahu zásad
Nové aplikace používají moderní ověřování Kontrolní seznam – Jak spravujete identitu pro úlohu?

Fáze 2

Cíl nasazení Zdroje informací
Registrace zařízení pomocí Microsoft Entra ID Registrovaná zařízení Microsoft Entra

Plánování implementace připojení k Microsoft Entra
Implementace zásad nulová důvěra (Zero Trust) identity a přístupu zařízení pro úroveň ochrany výchozího bodu Úrovně ochrany pro konfigurace identit nulová důvěra (Zero Trust) a přístupu zařízení
Použití proxy aplikací Microsoft Entra s místními aplikacemi pro jednotné přihlašování Konfigurace jednotného přihlašování k aplikaci Proxy aplikací

Fáze 3

Cíl nasazení Zdroje informací
Registrace zařízení do správy a použití doporučených bezpečnostních ochrany Přehled správy zařízení pomocí Intune

konfigurace identit a zařízení nulová důvěra (Zero Trust)
Povolit přístup k datům jenom kompatibilním a důvěryhodným zařízením Nastavení zásad dodržování předpisů pro zařízení s Intune

Vyžadování zařízení v pořádku a vyhovujících předpisům v Intune

Fáze 4

Plán přechodu na cloud

Plán přijetí je základním požadavkem pro úspěšné přijetí nulová důvěra (Zero Trust). Plán přechodu na nulová důvěra (Zero Trust) je iterativní projektový plán, který pomáhá společnosti přecházet z tradičních přístupů zabezpečení k vyspělejší a sofistikovanější strategii, která zahrnuje správu změn a zásady správného řízení.

Identity, koncové body, aplikace a sítě jsou v rozsahu této fáze plánování. Každý z nich má požadavek na zabezpečení stávajícího majetku a také plánuje rozšířit zabezpečení na nové entity, jakmile přijdou jako součást většího procesu onboardingu.

Plánování řešení zabezpečené práce na dálku a hybridní práci považuje za to, že organizace mají existující identity, které je potřeba zabezpečit, a musí být vytvořeny nové identity, které splňují standardy zabezpečení.

Plán přijetí zahrnuje také školení zaměstnanců, aby mohli pracovat novým způsobem, abyste pochopili, co je potřeba k podpoře vaší organizace, což může zahrnovat:

  • Trénování správců na nových způsobech práce Metody privilegovaného přístupu se liší od stálého přístupu správce a můžou zpočátku třecí plochy zvýšit, dokud nebude dosaženo univerzálního přijetí.
  • Vybavení helpdesku a it pracovníků na všech úrovních se stejnou zprávou o realizaci výhod Zvýšení zabezpečení zvyšuje třecí plochy útočníků, které je vyváženo výhodami bezpečné práce. Zajistěte, aby byla tato zpráva srozumitelná a srozumitelná na všech úrovních.
  • Vytváření materiálů pro přijetí a školení uživatelů Zabezpečení se přijímá jako sdílená odpovědnost a výhody zabezpečení, které jsou v souladu s obchodními cíli, musí být uživatelům oznámeny. Zajistěte, aby se přijetí zabezpečení uživatelů dosáhlo stejné úrovně jako přijetí uživatelů pro novou technologii.

Další informace z architektury přechodu na cloud najdete v plánu přechodu na cloud.

Fáze připravenosti

Diagram procesu přijetí pro jeden cíl nebo sadu cílů se zvýrazněnou fází Připraveno

Tento scénář (zabezpečení vzdálené a hybridní práce) vyhodnocuje a zabezpečuje identity, zařízení a data v sítích, které je používají. Vzhledem k tomu, že technologie mohou být potenciálně rušivé, doporučuje se fázovaný přístup, počínaje malými projekty nabízejícími rychlé výhry, které využívají stávající licencování a mají minimální dopad na uživatele.

Začněte vytvořením plánu a testováním plánu. Pak postupně zaváděte nové konfigurace a možnosti. To poskytuje příležitost ke zlepšení plánu, zatímco se učí lekce. Při rozšiřování rozsahu nasazení nezapomeňte vytvořit komunikační plán a oznámit změny.

Následující diagram znázorňuje doporučení k zahájení projektu s malou skupinou pro vyhodnocení změn. Tato malá skupina může být členy vašeho IT týmu nebo partnerského týmu, který je investován do výsledku. Potom proveďte pilotní nasazení změn s větší skupinou. I když obrázek obsahuje třetí fázi úplného nasazení, často se toho dosahuje postupným zvýšením rozsahu nasazení, dokud nebude pokryta celá organizace.

Diagram fází pilotního nasazení, vyhodnocení a úplného nasazení

Při registraci zařízení se například doporučuje následující doprovodné materiály.

Fáze nasazení Popis
Evaluate Fáze 1: Identifikace 50 koncových bodů pro testování
Pilot Fáze 2: Identifikace dalších 50 až 100 koncových bodů v produkčním prostředí
Úplné nasazení Fáze 3: Registrace zbývajících koncových bodů ve větších přírůstcích

Zabezpečení identit začíná přijetím vícefaktorového ověřování a segmentací přístupu pomocí podmíněného přístupu Microsoft Entra. Tyto funkce podporují princip ověřování explicitně, ale vyžadují proces přírůstkového přijetí. V závislosti na přístupu může být potřeba nasadit a sdělit vícefaktorové ověřování uživatelům před datem zapnutí, zejména pro stávající pracovníky, kteří používají jenom hesla.

Při plánování tohoto scénáře zvažte následující prvky:

  • V závislosti na metodologii vícefaktorového ověřování může být potřeba, aby se uživatel pokusil použít vícefaktorové ověřování založené na mobilních aplikacích a používal fido2 nebo jiný přístup založený na tokenech. To platí také pro Windows Hello pro firmy.
  • Zásady podmíněného přístupu můžou být složité, pokud jde o jejich kritéria hodnocení a rozhodování. To vyžaduje, aby byl podmíněný přístup pilotní a postupně nasazený v aplikaci a na uživatelském prostředí.
  • Podmíněný přístup může brát v úvahu relativní stav a stav opravy koncového bodu a umístění uživatele jako podmíněné parametry. Pokud se ke správě koncových bodů vyžaduje přístup k aplikaci nebo službě jako podmínky přístupu, musí se koncové body zaregistrovat do správy.
  • Moderní aplikace, které podporují moderní metody ověřování, se snadno integrují s vícefaktorovým ověřováním a zásadami podmíněného přístupu. Pochopení počtu aplikací a jejich metod ověřování je důležité.

Při plánování a rozfázování vrstev ochrany k sestavení nulová důvěra (Zero Trust) využijte prostředky poskytované Microsoftem. Pro zabezpečení vzdálené a hybridní práce poskytuje Microsoft sadu běžných zásad identit nulová důvěra (Zero Trust) a přístupu zařízení. Jedná se o sadu zásad, které jsou testovány a známé, že dobře spolupracují.

Tady jsou zásady pro tři úrovně ochrany.

Diagram zásad přístupu k identitě nulová důvěra (Zero Trust) a zařízení zobrazující tři úrovně ochrany

Tato sada zásad zahrnuje úroveň ochrany výchozího bodu s minimálním dopadem na uživatele. Tato sada zásad nevyžaduje registraci zařízení do správy. Až budete připravení a zaregistrujete zařízení, můžete nasadit úroveň Enterprise, která se doporučuje pro nulová důvěra (Zero Trust).

Kromě těchto úrovní ochrany můžete přírůstkově zvýšit rozsah zásad následujícími způsoby:

  • Rozsah zásad použijte u malé skupiny uživatelů, aby mohli začít a pak zvýšit rozsah zahrnutých uživatelů. Segmentaceuživatelůch služeb umožňuje zmírnění rizik proti výpadku služby nebo přerušení uživatelů, protože se to týká jenom cílových uživatelů nebo zařízení.
  • Začněte přidáním aplikací a služeb Microsoftu 365 do rozsahu zásad. Pak pokračujte tak, abyste zahrnuli další aplikace SaaS, které vaše organizace používá. Až budete připraveni, zahrňte do rozsahu zásad aplikace, které jste vytvořili v Azure nebo jiných poskytovatelích cloudu.

Nakonec nezapomeňte na své uživatele. Přijetí a komunikace uživatelů jsou důležité při implementaci zabezpečení identit, podobně jako důležitost počátečního přijetí uživatele při přechodu na Microsoft 365 ze služeb založených na datacentrech. Přístupy s jednou fází jsou zřídka úspěšné při implementaci služeb zabezpečení. Iniciativy zabezpečení často selžou z důvodu zvýšeného tření pro uživatele, pokud jsou změny rušivé a špatně komunikované a testované. To je místo, kde je nejlepší sponzorství iniciativ zabezpečení. Když vedoucí pracovníci předvádějí podporu tím, že v rané fázi nasazení přijmou, je pro uživatele jednodušší sledovat.

Microsoft poskytuje šablony a materiály, které si můžete stáhnout, aby vám pomohl s vzděláváním a osvojením uživatelů. Patří sem pokyny pro to, jak je můžete změnit značkou a doporučení pro jejich sdílení s uživateli. Viz třída https://aka.ms/entratemplates.

Sestavení a testování

Po sestavení týmu si projdete doporučené technické zdroje a vytvoříte plán, který připraví vaše projekty a nasazení, pravděpodobně budete mít dobře zdokumentovaný plán. Před formálním přijetím plánu nezapomeňte sestavit a otestovat konfigurace v testovacím prostředí.

Každou technickou oblast, například sadu zásad podmíněného přístupu, je možné zabezpečit povolením funkcí v rámci tenanta. Nesprávně nakonfigurované zásady ale můžou mít dalekosáhlejší důsledky. Například špatně napsané zásady podmíněného přístupu můžou uzamknout všechny správce z tenanta.

Pokud chcete zmírnit riziko, zvažte nasazení testovacího tenanta nebo tenanta pro kontrolu kvality, abyste každou funkci implementovali, jakmile se s ní seznámíte, nebo ji poprvé zavést. Tenant pro testování nebo kontrolu kvality by měl být přiměřeně reprezentativní pro vaše aktuální uživatelské prostředí a měl by být dostatečně přesný, abyste mohli provádět funkce kontroly kvality, abyste mohli otestovat, že je povolená funkce pochopit a podporovat funkci, kterou zabezpečuje.

Kontrolní seznam RAMP se dá použít ke sledování průběhu. Uvádí jak kroky plánování, tak implementace. Tenant pro kontrolu kvality je testovacím lůžkem akcí implementace, které se provádějí poprvé.

Výstupem této fáze by měla být zdokumentovaná konfigurace, která je sestavená a otestovaná na začátku vůči tenantovi kontroly kvality s plány přechodu na přechod na přijetí v produkčním tenantovi, kde se změny nasadí postupně, zatímco se na plán použijí nové učení.

Při zavádění nových konfigurací v produkčním prostředí udržujte konzistentní zasílání zpráv uživatelů a mějte přehled o tom, jak tyto změny ovlivňují vaše uživatele. Implementace funkcí zabezpečení může mít nízký dopad na technologii, jako je povolení přístupu podle potřeby, ale recipročně má vysoký dopad na proces, například správci, kteří potřebují požádat o přístup ke službám prostřednictvím pracovního postupu schválení, aby mohli plnit své povinnosti.

Podobně registrace zařízení má malý dopad na uživatelské prostředí, zatímco implementace podmíněného přístupu na základě dodržování předpisů a požadavků na stav zařízení může mít výrazný dopad na uživatelskou základnu, protože uživatelé nemají přístup ke službám.

Testování jednotlivých služeb za účelem pochopení dopadu služby a plánované změny je pro úspěch velmi důležité. Mějte na paměti, že některé dopady nemusí být zcela zřejmé, dokud nezačnete pilotní nasazení v produkčním prostředí.

Sledování změn zásad správného řízení a správy

Cílem nulová důvěra (Zero Trust) je přírůstkově zvýšit zabezpečení a implementovat změny v prostředí, které tohoto cíle dosáhnou. Tyto změny vyžadují změny v modelech správy a zásad správného řízení prostředí. Při testování a nasazení nezapomeňte zdokumentovat změny a dopady na model správy a zásad správného řízení.

Fáze přijetí

Diagram procesu přijetí pro jeden cíl nebo sadu cílů se zvýrazněnou fází Přijetí

Ve fázi přechodu postupně implementujete plány strategie a nasazení napříč funkčními oblastmi. Fáze přijetí je větší implementací testování konceptu. Plán nasazení se spustí a zavedení proběhne v po sobě jdoucích vlnách na základě segmentace uživatelů a oblastí, na které cílíte v rámci digitálních aktiv.

Podle doporučení nasaďte každou novou konfiguraci do produkčního tenanta jako omezený důkaz konceptu (v následujícím diagramu je označeno jako Vyhodnocení).

Diagram fází přijetí, které zahrnují pilotní, vyhodnocovací a úplné nasazení

I když jste už otestovali nové konfigurace v prostředí kontroly kvality, ujistěte se, že plány produkčního nasazení také dokumentují, co testujete a vyhodnocujete a přijímáte kritéria pro měření úspěšnosti v každé fázi. V ideálním případě si před rozšířením nasazení vyberte podmnožinu uživatelů, koncových bodů a aplikací s nízkým dopadem na testování. Podle stejné metodologie se naučíte z úspěchu a selhání implementace a aktualizace plánů.

Mějte na paměti, že některé z nasazených funkcí, i když cílí na omezenou cílovou skupinu, můžou mít dopad na celou službu. Tento dopad můžete zmírnit identifikací rizik během testování kvality a zajištěním, že existuje plán vrácení zpět.

Úspěšný plán nasazení zahrnuje následující prvky:

  • Plán přijetí a zavedení, který zahrnuje strategii komunikace uživatelů
  • Výkonný plán přijetí a zavedení, který zajistí výkonné doporučení
  • Plán přijetí a zavedení uživatelů
  • Artefakty řízení projektů a zásad správného řízení
  • Segmentace uživatelů podle obchodní jednotky nebo dopadu na uživatele
  • Segmentace zařízení podle obchodní jednotky nebo dopadu na uživatele
  • Aplikace seřazené podle důležitosti a složitosti implementace
  • Koncept aktualizací změn v každodenní správě a zásadách správného řízení

Fáze řízení a správy

Diagram procesu přijetí pro jeden cíl nebo sadu cílů se zvýrazněnou fází řízení a správy

Zásady správného řízení zabezpečení jsou iterativní proces. Pro organizace se stávajícími zásadami, které řídí zabezpečení v rámci digitálních aktiv, představuje přijetí strategie nulová důvěra (Zero Trust) pobídku k vývoji těchto zásad. S tím, jak strategie zabezpečení a zásady v průběhu času zraly, tak i procesy a zásady zásad správného řízení v cloudu.

Ve fázi plánování byly nové funkce testovány na testovacím tenantovi, ve kterém došlo k aktivitám správy. Je důležité poznamenat, že implementace funkcí, které podporují nulová důvěra (Zero Trust) principy, vyžaduje jiný způsob správy výsledného koncového stavu.

Tady je několik příkladů nových požadavků pro tento scénář:

  • Vytvořte proces schválení přístupu pro správu, pokud je to potřeba, a ne trvalý přístup správce.
  • Aktualizujte správu životního cyklu uživatelů při jejich vstupu, používání a ukončení organizace.
  • Aktualizujte správu životního cyklu zařízení.
  • Aktualizujte kritéria vydávání nových aplikací, abyste měli jistotu, že jsou součástí rozsahu zásad podmíněného přístupu.

S tím, jak plán zavedení postupuje, řízení výsledného prostředí vede ke změnám metodologie správy a zásad správného řízení. Jak se prostředí monitoruje v důsledku nulová důvěra (Zero Trust) změn.

Vzhledem k tomu, že nulová důvěra (Zero Trust) řeší riziko zabezpečení v prostředí, správa životního cyklu objektů identit už není volitelná. Ověření objektu je projevem životního cyklu objektů a řídí odpovědnost v podnikání a od IT je jediným správcem životního cyklu objektu.

nulová důvěra (Zero Trust) vyžaduje zvýšení vyspělosti výsledné správy aktiv, včetně způsobu, jakým uživatelé a správci pracují s zaváděným koncovým stavem. Příklad potenciálních změn najdete v následující tabulce.

Cílová skupina Function Reference
Uživatelé Kontrola ověření identity objektu na základě uživatele Správa přístupu uživatelů a uživatelů typu host pomocí kontrol přístupu
Správci Životní cyklus identit a přístupu zásad správného řízení Microsoft Entra ID Co je zásady správného řízení Microsoft Entra ID?

Mezi další zdroje informací pro každodenní zásady správného řízení a provoz patří:

Další kroky

Sledování průběhu – zdroje

Pro kterýkoli z nulová důvěra (Zero Trust) obchodních scénářů můžete použít následující sledovací prostředky průběhu.

Prostředek sledování průběhu To vám pomůže... Určeno pro...
Soubor Visio nebo PDF s možností stažení scénáře přechodu ve fázi fáze gridu

Příklad plánu a fázové mřížky znázorňující fáze a cíle
Snadno pochopit vylepšení zabezpečení pro každý obchodní scénář a úroveň úsilí pro fáze a cíle fáze plánu. Vedoucí obchodních scénářů, vedoucí pracovníci podniku a další účastníci.
nulová důvěra (Zero Trust) sledování přijetí ke stažení powerpointové prezentace

Příklad powerpointového snímku znázorňující fáze a cíle
Sledujte průběh fázemi a cíli fáze plánu. Vedoucí obchodních scénářů, vedoucí pracovníci podniku a další účastníci.
Cíle obchodního scénáře a úkoly ke stažení excelového sešitu

Příklad excelového listu zobrazující fáze, cíle a úkoly
Přiřaďte vlastnictví a sledujte průběh ve fázích, cílech a úkolech fáze plánu. Vedoucí projektu obchodního scénáře, vedoucí IT a implementátoři IT.

Další zdroje informací najdete v tématu nulová důvěra (Zero Trust) hodnocení a sledování průběhu prostředků.