Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo illustra come abilitare il lavoro remoto sicuro usando i principi di Zero Trust, come parte del Microsoft [modello di adozione della sicurezza]((security-adoption-model.md).
Questo scenario aziendale consente di ottenere il risultato seguente:
Consentire alle persone di svolgere il proprio lavoro in modo sicuro da qualsiasi luogo.
In qualità di leader aziendale, è necessario assicurarsi che i dipendenti possano accedere in modo sicuro ai sistemi, ai dati e alle applicazioni necessari per lavorare da qualsiasi posizione. Il lavoro remoto espande la superficie di attacco operando all'esterno dei limiti di rete tradizionali, aumentando l'esposizione agli attacchi basati sull'identità, ai dispositivi compromessi e all'accesso non autorizzato.
Un risultato chiave dell'abilitazione del lavoro remoto sicuro consiste nel garantire che i dipendenti possano accedere in modo sicuro alle risorse dell'organizzazione senza aumentare il rischio di accessi non autorizzati o interruzioni. Ciò richiede una verifica coerente di utenti, dispositivi e condizioni di accesso per garantire che sia consentito solo l'accesso attendibile.
Questo scenario è incentrato sulla creazione di un accesso sicuro e coerente alle applicazioni e ai dati in ambienti remoti e ibridi, assicurando che i dipendenti possano lavorare in modo produttivo mentre le risorse aziendali rimangono protette e regolamentate.
Ciò consente ai dipendenti di lavorare ovunque, riducendo al contempo il rischio di esposizione dei dati, interruzioni operative e accesso non autorizzato.
Funzionamento di queste linee guida
Questo articolo fa parte di un modello di adozione strutturato che connette la strategia di sicurezza all'implementazione:
Iniziare con uno scenario aziendale come questo per definire il risultato che si vuole ottenere.
Identità delle discipline di sicurezza applicabili a questo scenario.
Usare queste discipline per definire la strategia, l'architettura, i processi e i controlli necessari per lo scenario. Esaminare ogni disciplina per comprendere cosa deve essere pianificato, progettato e implementato nell'organizzazione.
Usare soluzioni tecniche per implementare tali requisiti usando tecnologie di Microsoft, applicando controlli tra i pilastri technology come identità, endpoint e dati.
Questo approccio garantisce che gli utenti possano lavorare ovunque mentre l'accesso alle risorse dell'organizzazione venga verificato e protetto continuamente, riducendo i rischi senza limitare la produttività.
Perché il lavoro remoto ibrido richiede un nuovo approccio
Il lavoro remoto è un potente abilitatore aziendale, ma introduce anche rischi per la sicurezza nuovi ed espansi. Per gestire questi rischi durante lo sblocco del valore aziendale, le organizzazioni devono adottare un approccio moderno incentrato sulle identità sulla sicurezza che protegge utenti, dispositivi, applicazioni e dati ovunque si verifichi l'accesso. Per avere successo nelle organizzazioni, è necessario:
- Modernizzare la sicurezza tradizionale: La sicurezza basata su perimetro tradizionale blocca la produttività ed è inefficace per gli ambienti di lavoro remoti e ibridi. Le organizzazioni devono assicurarsi che gli utenti, i dispositivi, le applicazioni e i dati siano protetti indipendentemente dalla posizione o dalla modalità di accesso.
- Proteggere l'accesso utente: Usare l'autenticazione a più fattori (MFA), i criteri di accesso condizionale e i controlli di conformità dei dispositivi per garantire che solo gli utenti autorizzati e i dispositivi integri possano accedere alle risorse aziendali.
- Potenziare la forza lavoro: Offrire ai dipendenti la flessibilità necessaria per lavorare in modo produttivo da casa, ufficio o in viaggio senza compromettere la sicurezza, migliorare la soddisfazione e la conservazione.
Questo scenario è fondamentale per le organizzazioni moderne che cercano di supportare il lavoro distribuito mantenendo al tempo reale la sicurezza e la resilienza operativa.
Valore aziendale
Il valore del lavoro remoto sicuro varia in base al ruolo, ma offre vantaggi all'intera organizzazione.
| Roles | Valore |
|---|---|
| Leadership aziendale | Il lavoro remoto sicuro consente la continuità aziendale e la resilienza consentendo ai dipendenti di lavorare in modo produttivo da qualsiasi posizione senza aumentare i rischi di sicurezza o conformità. Passando dalla sicurezza basata sul perimetro a un modello di Zero Trust incentrato sui dati e sulle identità, le organizzazioni riducono la probabilità di violazioni dei dati e violazioni normative mantenendo al tempo stesso l'agilità durante le interruzioni. Questo approccio supporta la flessibilità della forza lavoro, protegge la reputazione dell'organizzazione e consente l'espansione senza vincoli geografici. |
| Ruoli della tecnologia | Il lavoro remoto sicuro offre un framework scalabile e centralizzato per gestire e proteggere un ambiente distribuito. I controlli basati su identità, dispositivo e applicazione migliorano la visibilità tra utenti ed endpoint, mentre l'imposizione automatica dei criteri riduce il sovraccarico operativo. La gestione centralizzata e l'automazione semplificano il controllo degli accessi, accelerano la risposta e il ripristino degli eventi imprevisti e consentono ai team IT di supportare in modo affidabile il lavoro remoto senza aumentare la complessità o il rischio operativo. |
| Ruoli di sicurezza | Il lavoro remoto sicuro consente ai team di sicurezza di modernizzare l'architettura e le operazioni usando Zero Trust principi, consentendo agilità aziendale migliorando al contempo la visibilità dei rischi e delle minacce. I dati di telemetria completi di identità, dispositivi e applicazioni offrono informazioni utili oltre ai dati di rete tradizionali. I controlli incentrati sugli asset e sui dati proteggono le informazioni sensibili in tutte le posizioni, riducendo la probabilità di violazioni e violazioni normative tramite la verifica avanzata dell'identità, la convalida dell'integrità dei dispositivi e l'applicazione dell'accesso contestuale. |
Allineare le discipline di sicurezza
Le discipline di sicurezza rappresentano le aree strutturate di responsabilità necessarie per offrire questo scenario aziendale.
- Le discipline di pianificazione e supervisione definiscono la strategia, la governance e il coordinamento tra organizzazioni necessarie.
- Le discipline della strategia tecnica definiscono le funzionalità architetturali, operative e di controllo necessarie.
- Le discipline operative assicurano che i controlli di sicurezza rimangano efficaci nel tempo tramite monitoraggio, risposta e miglioramento continuo. Rilevano un uso improprio, rispondono alle minacce e migliorano il comportamento di sicurezza in corso.
Discipline di pianificazione e controllo
| Discipline | Action |
|---|---|
| Strategia, integrazione e governance | Definire obiettivi aziendali e di sicurezza chiari per il lavoro remoto sicuro, allineati alle priorità dell'organizzazione e alla tolleranza ai rischi. Garantire l'allineamento interfunzionale tra IT, sicurezza, risorse umane e business unit. Definire congiuntamente obiettivi misurabili, criteri di successo e processi tra team per guidare l'implementazione e la maturità. Stabilire strutture di governance per supervisionare l'applicazione dei criteri, la conformità e il processo decisionale per tutto il ciclo di vita del lavoro remoto. |
| Architettura di sicurezza | Assicurarsi che l'organizzazione disponga di un'architettura end-to-end che consente e protegge il lavoro remoto (accesso e identità). Assicurarsi che le funzionalità di risposta e ripristino siano aggiornate (operazioni di sicurezza). Assicurarsi che i dati siano protetti in modo appropriato (sicurezza dei dati) e altro ancora. Assicurarsi che tutti i componenti siano interoperabili, scalabili e adattabili alle minacce e alle esigenze aziendali in continua evoluzione. |
Discipline della strategia tecnica
| Discipline | Action |
|---|---|
| Implementare l'autenticazione avanzata (MFA), la gestione centralizzata delle identità e i criteri di accesso condizionale per verificare utenti e dispositivi prima di concedere l'accesso. Garantire il privilegio minimo e l'accesso just-in-time per i ruoli sensibili. Proteggere l'accesso alle applicazioni tramite l'autenticazione moderna, i controlli sessione e le protezioni di runtime. Assicurarsi che le app vengano caricate nelle piattaforme di gestione delle identità e monitorate per il comportamento anomalo. |
|
| Sicurezza dei dati | Classificare e proteggere i dati sensibili usando la crittografia, l'etichettatura e la prevenzione della perdita dei dati. Assicurarsi che i dati rimangano protetti tra dispositivi, posizioni e applicazioni, con controlli di accesso permanente. |
| Sicurezza dell'infrastruttura | Proteggere l'infrastruttura cloud e locale con segmentazione, crittografia e monitoraggio continuo. Applicare Zero Trust controlli a tutti i percorsi di rete e le interfacce amministrative. |
| Assicurarsi che gli standard di sviluppo richiedano l'uso di protocolli di autenticazione moderni per rimuovere la necessità di riconfigurare la sicurezza su protocolli e meccanismi meno recenti. | |
| Sicurezza OT e IoT | Considerare attentamente le esigenze aziendali per l'accesso remoto a questi sistemi rispetto al potenziale rischio di sicurezza delle attuali soluzioni di accesso remoto e dei potenziali miglioramenti apportati. |
| Sicurezza delle applicazioni | Proteggere l'accesso alle applicazioni tramite l'autenticazione moderna, i controlli sessione e le protezioni di runtime. Assicurarsi che le app vengano caricate nelle piattaforme di gestione delle identità e monitorate per il comportamento anomalo. |
Discipline operative
| Discipline | Action |
|---|---|
| Secop | Monitora continuamente dispositivi remoti, identità e applicazioni senza la tradizionale telemetria di firewall e sistemi di rilevamento o prevenzione delle intrusioni di rete (IDS/IPS). Aggiornare l'automazione, i playbook di risposta agli eventi imprevisti e i processi di ricerca delle minacce per usare funzionalità di rilevamento e risposta estese (XDR). |
| Gestione del comportamento di sicurezza | Monitorare le vulnerabilità del software, le configurazioni di sicurezza e le procedure operative nell'ambiente. Usare strumenti come Microsoft Security Exposure Management e Secure Score per tenere traccia dello stato di avanzamento e della conformità, correggere le lacune e garantire l'allineamento ai principi Zero Trust. |
Pilastri tecnologici necessari
I pilastri della tecnologia rappresentano le principali funzionalità di sicurezza Microsoft che supportano questo scenario aziendale.
| Pilastro della tecnologia | Microsoft Entra | Microsoft Intune |
|---|---|---|
| Pilastro incrociato | Applica decisioni di accesso usando i segnali di identità, autenticazione e rischio in tutti i pilastri della tecnologia. | Fornisce segnali di conformità e sicurezza dei dispositivi usati per applicare decisioni di accesso in tutti i pilastri della tecnologia. |
| Identità | Gestisce identità, autenticazione e protezione delle identità, inclusi il rilevamento dei rischi e la valutazione dei criteri di accesso condizionale. | Si integra con Microsoft Entra per garantire che solo gli utenti autenticati possano registrare e gestire i dispositivi. |
| Endponti | Valuta lo stato del dispositivo tramite l'accesso condizionale e applica i criteri di accesso in base all'attendibilità e al rischio dei dispositivi. | Configura, protegge e monitora i dispositivi tra piattaforme, applicando le baseline di conformità e sicurezza. |
| Networks | Accesso a Internet Microsoft Entra e Accesso privato Microsoft Entra sono tecnologie SSE (Security Service Edge) che convergeno controlli di accesso alla rete, all'identità e agli endpoint, in modo da poter proteggere l'accesso a qualsiasi app o risorsa da qualsiasi posizione. | Abilita il controllo dell'accesso alla rete tramite i criteri di conformità e si integra con Microsoft Entra per le decisioni relative all'accesso condizionale compatibile con la rete. Microsoft Tunnel per dispositivi mobili garantisce l'accesso sicuro e con privilegi minimi alle app interne da qualsiasi posizione. |
| Applicazioni | Accesso condizionale di Microsoft Entra protegge le applicazioni applicando i controlli di accesso e i criteri di protezione delle app. Controllo app per l'accesso condizionale si integra con Microsoft Defender for Cloud Apps per monitorare e controllare le sessioni utente in tempo reale. | Applica la gestione delle applicazioni mobili (MAM) e i criteri di protezione delle app per proteggere l'utilizzo delle applicazioni nei dispositivi. |
| Data | Accesso condizionale di Microsoft Entra funziona con le etichette di riservatezza per applicare i requisiti di accesso in base alla classificazione dei dati, assicurandosi che solo gli utenti autorizzati nei dispositivi conformi possano accedere a contenuti sensibili. | Applica criteri di protezione dei dati, ad esempio crittografia, prevenzione della perdita dei dati e cancellazione selettiva nei dispositivi gestiti. |
| Infrastruttura | ID dei carichi di lavoro di Microsoft Entra consente di proteggere le applicazioni, le entità servizio e le identità gestite usate per accedere alle app e all'infrastruttura. | Estende i criteri di gestione e sicurezza ai PC cloud, ai desktop virtuali e agli endpoint ibridi. |
| Intelligenza artificiale | Microsoft Entra Agent ID estende le funzionalità di sicurezza complete di Microsoft Entra agli agenti, consentendo alle organizzazioni di creare, individuare, gestire e proteggere le identità degli agenti. | Microsoft Intune applica informazioni dettagliate guidate dall'intelligenza artificiale tramite analisi degli endpoint per identificare in modo proattivo i problemi di integrità dei dispositivi, ottimizzare l'esperienza utente e consigliare miglioramenti alla sicurezza. |
Passaggi successivi
Informazioni su come implementare un lavoro remoto sicuro per progettare un'architettura con accesso con privilegi.