Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek vysvětluje, jak umožnit bezpečnou práci na dálku pomocí principů nulová důvěra (Zero Trust) v rámci [modelu zavádění zabezpečení společnosti Microsoft](security-adoption-model.md).
Tento obchodní scénář vám pomůže dosáhnout následujícího výsledku:
Umožňuje uživatelům bezpečně pracovat odkudkoli.
Jako vedoucí firmy musíte zajistit, aby zaměstnanci měli zabezpečený přístup k systémům, datům a aplikacím, které potřebují pro práci z libovolného místa. Vzdálená práce rozšiřuje prostor pro útoky tím, že pracuje mimo tradiční hranice sítě, zvyšuje vystavení útokům založeným na identitě, ohroženým zařízením a neoprávněnému přístupu.
Klíčovým výsledkem povolení zabezpečené práce na dálku je zajistit, aby zaměstnanci mohli bezpečně přistupovat k prostředkům organizace bez zvýšeného rizika neoprávněného přístupu nebo přerušení. To vyžaduje konzistentní ověřování uživatelů, zařízení a podmínek přístupu, aby se zajistilo, že je povolený jenom důvěryhodný přístup.
Tento scénář se zaměřuje na vytvoření zabezpečeného a konzistentního přístupu k aplikacím a datům napříč vzdálenými a hybridními prostředími a zajišťuje produktivitu práce zaměstnanců, zatímco prostředky organizace zůstanou chráněné a řízené.
To umožňuje zaměstnancům pracovat odkudkoli a zároveň snížit riziko vystavení dat, přerušení provozu a neoprávněného přístupu.
Jak tyto pokyny fungují
Tento článek je součástí modelu strukturovaného přijetí , který spojuje strategii zabezpečení s implementací:
Začněte s obchodními scénáři , jako je tento, abyste definovali výsledek, který chcete dosáhnout.
Určete bezpečnostní disciplíny, které se vztahují na tento scénář.
Pomocí těchto disciplín můžete definovat požadovanou strategii, architekturu, procesy a ovládací prvky pro scénář. Projděte si jednotlivé disciplíny a seznamte se s tím, co je potřeba naplánovat, navrhnout a implementovat v celé organizaci.
Pomocí technických řešení implementujte tyto požadavky pomocí technologií Microsoft, použití ovládacích prvků napříč pilíři technologie jako jsou identity, koncové body a data.
Tento přístup zajišťuje, aby uživatelé mohli pracovat odkudkoli, zatímco přístup k prostředkům organizace je nepřetržitě ověřený a chráněný, což snižuje riziko bez omezení produktivity.
Proč hybridní práce na dálku vyžaduje nový přístup
Práce na dálku je významným přínosem pro podnikání, ale zároveň přináší nová a zvýšená bezpečnostní rizika. Aby organizace mohli tato rizika spravovat při odemčení obchodní hodnoty, musí mít moderní přístup zaměřený na identitu k zabezpečení, který chrání uživatele, zařízení, aplikace a data všude, kde dojde k přístupu. Aby organizace uspěly, musí:
- Modernizace tradičního zabezpečení: Tradiční zabezpečení založené na hraniční síti blokuje produktivitu a je neefektivní pro prostředí vzdálené a hybridní práce. Organizace musí zajistit, aby uživatelé, zařízení, aplikace a data byli chráněni bez ohledu na to, kde nebo jak se k nim přistupuje.
- Zabezpečený uživatelský přístup: Pomocí vícefaktorového ověřování (MFA), zásad podmíněného přístupu a kontrol dodržování předpisů zařízením zajistěte, aby k podnikovým prostředkům měli přístup jenom autorizovaní uživatelé a zařízení, která jsou v pořádku.
- Podpora pracovníků: Zajistit zaměstnancům flexibilitu při produktivní práci z domova, kanceláře nebo na cestách bez ohrožení zabezpečení, zlepšení spokojenosti a uchování.
Tento scénář je základním předpokladem pro moderní organizace, které chtějí podporovat distribuovanou práci při zachování vysoké úrovně zabezpečení a provozní odolnosti.
Obchodní hodnota
Hodnota zabezpečené práce na dálku se liší podle role, ale přináší výhody celé organizace.
| Role | Value |
|---|---|
| Vedení firmy | Zabezpečená vzdálená práce umožňuje provozní kontinuitu a odolnost tím, že zaměstnancům umožní pracovat produktivně z libovolného místa, aniž by se zvýšilo riziko zabezpečení nebo dodržování předpisů. Přechodem z hraničního zabezpečení na model založených na identitách a datech nulová důvěra (Zero Trust) organizace snižují pravděpodobnost porušení zabezpečení dat a porušení právních předpisů při zachování flexibility během přerušení. Tento přístup podporuje flexibilitu pracovníků, chrání reputaci organizace a umožňuje rozšíření bez geografických omezení. |
| Technické role | Zabezpečená vzdálená práce poskytuje škálovatelnou centralizovanou architekturu pro správu a ochranu distribuovaného prostředí. Řízení na základě identit, zařízení a aplikací zlepšuje viditelnost uživatelů a koncových bodů, zatímco automatické vynucování zásad snižuje provozní režii. Centralizovaná správa a automatizace zjednodušují řízení přístupu, urychlují reakce na incidenty a obnovení a umožňují IT týmům spolehlivě podporovat práci na dálku bez zvýšené složitosti nebo provozního rizika. |
| Role zabezpečení | Zabezpečená práce na dálku umožňuje týmům zabezpečení modernizovat architekturu a provoz pomocí principů nulová důvěra (Zero Trust), což umožňuje obchodní flexibilitu a zároveň zlepšit viditelnost rizik a hrozeb. Komplexní telemetrie identit, zařízení a aplikací poskytují užitečné přehledy nad rámec tradičních síťových dat. Kontroly zaměřené na aktiva a data chrání citlivé informace napříč všemi prostředími a snižují pravděpodobnost bezpečnostních incidentů a porušení regulatorních požadavků prostřednictvím důkladného ověřování identity, ověřování stavu zařízení a kontextového vynucování přístupu. |
Sladění disciplín zabezpečení
Disciplíny zabezpečení představují strukturované oblasti odpovědnosti potřebné k zajištění tohoto obchodního scénáře.
- Disciplíny plánování a dohledu definují požadovanou strategii, zásady správného řízení a koordinaci napříč organizacemi.
- Disciplíny technické strategie definují požadované možnosti architektury, provozu a řízení.
- Provozní disciplíny zajišťují, aby kontrolní mechanismy zabezpečení zůstaly v průběhu času efektivní prostřednictvím monitorování, reakce a průběžného vylepšování. Detekuje zneužití, reaguje na hrozby a neustále vylepšuje stav zabezpečení.
Disciplíny plánování a dohledu
| Discipline | Action |
|---|---|
| Strategie, integrace a zásady správného řízení | Definujte jasné obchodní a bezpečnostní cíle pro zabezpečenou práci na dálku v souladu s prioritami organizace a odolností vůči rizikům. Zajistěte sladění mezi různými funkcemi napříč IT, zabezpečením, personálním oddělením a obchodními jednotkami. Společně definujte měřitelné cíle, kritéria úspěchu a procesy napříč týmy, které řídí implementaci a vyspělost. Vytvořte struktury zásad správného řízení pro dohled nad vynucováním zásad, dodržováním předpisů a rozhodováním v průběhu životního cyklu práce na dálku. |
| Architektura zabezpečení | Ujistěte se, že má organizace komplexní architekturu, která umožňuje a zabezpečuje práci na dálku (přístup a identity). Ujistěte se, že jsou aktualizované možnosti odezvy a obnovení (operace zabezpečení). Ujistěte se, že jsou data správně chráněná (Data Security) a další. Zajistěte, aby všechny komponenty byly interoperabilní, škálovatelné a přizpůsobitelné pro vyvíjející se hrozby a obchodní potřeby. |
Disciplíny technické strategie
| Discipline | Action |
|---|---|
| Implementujte silné ověřování (MFA), centralizovanou správu identit a zásady podmíněného přístupu, abyste před udělením přístupu ověřili uživatele a zařízení. Zajistěte princip minimálních oprávnění a přístup právě včas pro citlivé role. Zabezpečený přístup k aplikacím prostřednictvím moderního ověřování, řízení relací a ochrany za běhu. Zajistěte, aby byly aplikace integrovány do platforem identit a monitorovány z hlediska anomálního chování. |
|
| Zabezpečení dat | Klasifikovat a chránit citlivá data pomocí šifrování, označování popisků a ochrany před únikem informací. Zajistěte, aby data zůstala zabezpečená napříč zařízeními, umístěními a aplikacemi, a to pomocí trvalých řízení přístupu. |
| Zabezpečení infrastruktury | Zabezpečení cloudové a místní infrastruktury s využitím segmentace, šifrování a průběžného monitorování Použití ovládacích prvků nulová důvěra (Zero Trust) u všech síťových cest a rozhraní pro správu |
| Ujistěte se, že vývojové standardy vyžadují použití moderních ověřovacích protokolů k odstranění potřeby opětovného nasazení zabezpečení na starší protokoly a mechanismy. | |
| Zabezpečení OT a IoT | Pečlivě zvažte obchodní potřeby pro vzdálený přístup k těmto systémům a potenciálnímu ohrožení zabezpečení stávajících řešení vzdáleného přístupu a potenciálních vylepšení. |
| Zabezpečení aplikací | Zabezpečený přístup k aplikacím prostřednictvím moderního ověřování, řízení relací a ochrany za běhu. Zajistěte, aby byly aplikace začleněny do platforem identit a sledovány z hlediska anomálního chování. |
Provozní disciplíny
| Discipline | Action |
|---|---|
| SekOps | Nepřetržitě monitorujte vzdálená zařízení, identity a aplikace bez tradiční telemetrie z firewallů a systémů detekce nebo prevence narušení sítě (IDS/IPS). Aktualizace automatizace, playbooků reakcí na incidenty a procesů proaktivního vyhledávání hrozeb za účelem použití rozšířených možností detekce a reakce (XDR). |
| Správa stavu zabezpečení | Monitorujte ohrožení zabezpečení softwaru, konfigurace zabezpečení a provozní postupy v celém prostředí. Používejte nástroje, jako jsou zabezpečení od Microsoftu Exposure Management a Secure Score, ke sledování pokroku a dodržování předpisů, odstraňování nedostatků a zajištění souladu s principy nulová důvěra (Zero Trust). |
Požadované technologické pilíře
Technologické pilíře představují základní možnosti zabezpečení Microsoft, které podporují tento obchodní scénář.
| Technologický pilíř | Microsoft Entra | Microsoft Intune |
|---|---|---|
| Křížový pilíř | Vynucuje rozhodnutí o přístupu pomocí signálů identity, ověřování a rizik napříč všemi technologickými pilíři. | Poskytuje signály dodržování předpisů zařízením a zabezpečení, které se používají k vynucení rozhodnutí o přístupu napříč všemi pilíři technologií. |
| Identita | Spravuje identity, ověřování a ochranu identit, včetně detekce rizik a vyhodnocení zásad podmíněného přístupu. | Integruje se s Microsoft Entra, aby se zajistilo, že zařízení můžou registrovat a spravovat jenom ověření uživatelé. |
| Koncové body | Vyhodnotí stav zařízení prostřednictvím podmíněného přístupu a vynucuje zásady přístupu na základě vztahu důvěryhodnosti a rizika zařízení. | Konfiguruje, zabezpečuje a monitoruje zařízení napříč platformami, vynucuje dodržování předpisů a standardní hodnoty zabezpečení. |
| Networks | Microsoft Entra Přístup k Internetu a Microsoft Entra Soukromý přístup jsou technologie SSE (Security Service Edge), které konvergují řízení přístupu k síti, identitě a koncovému bodu, abyste mohli zabezpečit přístup k libovolné aplikaci nebo prostředku odkudkoli. | Umožňuje řízení přístupu k síti prostřednictvím zásad kompatibility a integruje se s Microsoft Entra pro rozhodování o podmíněném přístupu s ohledem na síť. Microsoft Tunel pro mobilní zařízení zajišťuje zabezpečený přístup s nejnižšími oprávněními k interním aplikacím odkudkoli. |
| Apps | Microsoft Entra Podmíněný přístup chrání aplikace vynucením řízení přístupu a zásad ochrany aplikací. Podmíněné řízení přístupu k aplikacím se integruje s Microsoft Defender for Cloud Apps pro monitorování a řízení uživatelských relací v reálném čase. | Vynucuje správu mobilních aplikací (MAM) a zásady ochrany aplikací pro zabezpečení používání aplikací na zařízeních. |
| Data | Microsoft Entra Podmíněný přístup pracuje s popisky citlivosti a vynucuje požadavky na přístup na základě klasifikace dat a pomáhá zajistit, aby k citlivému obsahu měli přístup jenom autorizovaní uživatelé na kompatibilních zařízeních. | Použije zásady ochrany dat, jako je šifrování, ochrana před únikem informací a selektivní vymazání na spravovaných zařízeních. |
| Infrastruktura | ID úloh Microsoft Entra pomáhá zabezpečit aplikace, instanční objekty a spravované identity používané pro přístup k vašim aplikacím a infrastruktuře. | Rozšiřuje zásady správy a zabezpečení na cloudové počítače, virtuální počítače a hybridní koncové body. |
| Umělá inteligence | ID agenta Microsoft Entra rozšiřuje komplexní možnosti zabezpečení microsoft Entra na agenty, což organizacím umožňuje vytvářet, zjišťovat, řídit a chránit identity agentů. | Microsoft Intune používá přehledy řízené AI prostřednictvím analýz koncových bodů k proaktivní identifikaci problémů se stavem zařízení, optimalizaci uživatelského prostředí a doporučování vylepšení zabezpečení. |
Další kroky
Naučte se implementovat zabezpečenou vzdálenou práci pro návrh architektury privilegovaného přístupu.