Uwzględnij praktyki zero trust w strefie docelowej
Zero Trust to strategia zabezpieczeń, w której uwzględniasz produkty i usługi w projekcie i implementacji, aby przestrzegać następujących zasad zabezpieczeń:
Sprawdź jawnie: zawsze uwierzytelniaj i autoryzuj dostęp na podstawie wszystkich dostępnych punktów danych.
Użyj dostępu z najmniejszymi uprawnieniami: ogranicz użytkowników do wystarczającego dostępu i użyj narzędzi, aby zapewnić dostęp just in time z uwzględnieniem zasad adaptacyjnych opartych na ryzyku.
Przyjmij naruszenie: zminimalizuj promień wybuchu i dostęp segmentu, proaktywnie wyszukuj zagrożenia i stale ulepszaj zabezpieczenia.
Jeśli organizacja jest zgodna ze strategią Zero Trust, należy uwzględnić cele wdrożenia specyficzne dla zera zaufania do obszarów projektowych strefy docelowej. Strefa docelowa jest podstawą obciążeń na platformie Azure, dlatego ważne jest, aby przygotować strefę docelową do wdrożenia rozwiązania Zero Trust.
Ten artykuł zawiera wskazówki dotyczące integrowania praktyk Zero Trust ze strefą docelową i wyjaśnia, gdzie przestrzeganie zasad zero trust wymaga rozwiązań poza strefą docelową.
Filary zero trustu i obszary projektowe strefy docelowej
Podczas implementowania praktyk zero trust we wdrożeniu strefy docelowej platformy Azure należy zacząć od rozważenia wskazówek dotyczących zerowego zaufania dla każdego obszaru projektowania strefy docelowej.
Aby zapoznać się z zagadnieniami dotyczącymi projektowania strefy docelowej i wskazówek dotyczących krytycznych decyzji w każdym obszarze, zobacz Obszary projektowe strefy docelowej platformy Azure.
Model Zero Trust ma filary zorganizowane według pojęć i celów wdrażania. Aby uzyskać więcej informacji, zobacz Wdrażanie rozwiązań Zero Trust.
Te filary zapewniają konkretne cele wdrażania, które pomagają organizacjom dostosować się do zasad zero trust. Te cele wykraczają poza konfiguracje techniczne. Na przykład filar sieci ma cel wdrożenia dla segmentacji sieci. Cel nie zawiera informacji na temat konfigurowania izolowanych sieci na platformie Azure, ale oferuje wskazówki dotyczące tworzenia wzorca architektury. Podczas implementowania celu wdrożenia należy wziąć pod uwagę inne decyzje projektowe.
Na poniższym diagramie przedstawiono obszary projektowe strefy docelowej.
Poniższa tabela koreluje filary Zero Trust z obszarami projektowymi pokazanymi w architekturze.
Legenda | Obszar projektowania strefy docelowej | Filar Zero Trust |
---|---|---|
Rozliczenia platformy Azure i dzierżawa firmy Microsoft Entra | Filar tożsamości | |
Zarządzanie tożsamościami i dostępem | Filar tożsamości, Filar aplikacji, Filar danych |
|
Organizacja zasobów | Filar tożsamości | |
Nadzór | Filar widoczności, automatyzacji i aranżacji | |
Zarządzanie | Filar punktów końcowych, Filar aplikacji, Filar danych, Filar infrastruktury |
|
Topologia sieci i łączność | Filar sieci | |
Bezpieczeństwo | Wszystkie filary zero trustu | |
Automatyzacja platformy i metodyka DevOps | Filar widoczności, automatyzacji i aranżacji |
Nie wszystkie cele wdrożenia zero trust są częścią strefy docelowej. Wiele celów wdrażania zero trust jest przeznaczonych do projektowania i wydawania poszczególnych obciążeń na platformę Azure.
W poniższych sekcjach opisano poszczególne filary i przedstawiono zagadnienia i zalecenia dotyczące wdrażania celów wdrażania.
Bezpieczna tożsamość
Aby uzyskać informacje na temat celów wdrażania na potrzeby zabezpieczania tożsamości, zobacz Zabezpieczanie tożsamości przy użyciu zera zaufania. Aby zaimplementować te cele wdrażania, można zastosować federację tożsamości, dostęp warunkowy, zarządzanie tożsamościami i operacje danych w czasie rzeczywistym.
Zagadnienia dotyczące tożsamości
Implementacje referencyjne strefy docelowej platformy Azure umożliwiają wdrażanie zasobów, które rozszerzają istniejącą platformę tożsamości na platformę Azure i zarządzają platformą tożsamości, wdrażając najlepsze rozwiązania dotyczące platformy Azure.
W dzierżawie firmy Microsoft Entra można skonfigurować wiele kontrolek dla praktyk zero trust. Możesz również kontrolować dostęp do platformy Microsoft 365 i innych usług w chmurze korzystających z identyfikatora Microsoft Entra.
Musisz zaplanować wymagania konfiguracyjne wykraczające poza to, co znajduje się w strefie docelowej platformy Azure.
Zalecenia dotyczące tożsamości
Opracuj plan zarządzania tożsamościami w usłudze Microsoft Entra ID, który wykracza poza zasoby platformy Azure. Można na przykład użyć następujących funkcji:
- Federacja z lokalnymi systemami tożsamości.
- Zasady dostępu warunkowego.
- Informacje o użytkowniku, urządzeniu, lokalizacji lub zachowaniu na potrzeby autoryzacji.
Wdróż strefę docelową platformy Azure z oddzielnymi subskrypcjami dla zasobów tożsamości, takich jak kontrolery domeny, dzięki czemu można lepiej zabezpieczyć dostęp do zasobów.
W miarę możliwości używaj tożsamości zarządzanych firmy Microsoft Entra.
Zabezpieczanie punktów końcowych
Aby uzyskać informacje na temat celów wdrażania na potrzeby zabezpieczania punktów końcowych, zobacz Zabezpieczanie punktów końcowych za pomocą zerowego zaufania. Aby zaimplementować te cele wdrażania, możesz:
Zarejestruj punkty końcowe u dostawców tożsamości w chmurze, aby zapewnić dostęp do zasobów wyłącznie za pośrednictwem zgodnych z chmurą punktów końcowych i aplikacji.
Wymuś zapobieganie utracie danych (DLP) i kontrolę dostępu zarówno dla urządzeń firmowych, jak i urządzeń osobistych zarejestrowanych w programach byOD .
Monitorowanie ryzyka urządzenia pod kątem uwierzytelniania przy użyciu wykrywania zagrożeń punktu końcowego.
Zagadnienia dotyczące punktu końcowego
Cele wdrażania punktu końcowego są przeznaczone dla urządzeń obliczeniowych użytkowników końcowych, takich jak laptopy, komputery stacjonarne i urządzenia przenośne.
W miarę wdrażania rozwiązań zero trust dla punktów końcowych należy zaimplementować rozwiązania na platformie Azure i poza platformą Azure.
Aby zrealizować cele wdrożenia, można użyć narzędzi, takich jak usługa Microsoft Intune i inne rozwiązania do zarządzania urządzeniami.
Jeśli masz punkty końcowe na platformie Azure, takie jak usługa Azure Virtual Desktop, możesz zarejestrować środowisko klienta w usłudze Intune i zastosować zasady i mechanizmy kontroli platformy Azure, aby ograniczyć dostęp do infrastruktury.
Zalecenia dotyczące punktów końcowych
Opracuj plan zarządzania punktami końcowymi przy użyciu rozwiązań Zero Trust, oprócz planów wdrożenia strefy docelowej platformy Azure.
Aby uzyskać inne informacje o urządzeniach i serwerach, zobacz Zabezpieczanie infrastruktury.
Zabezpieczanie aplikacji
Aby uzyskać informacje na temat celów wdrażania na potrzeby zabezpieczania aplikacji, zobacz Zabezpieczanie aplikacji za pomocą rozwiązania Zero Trust. Aby zaimplementować te cele wdrażania, możesz:
Użyj interfejsów API, aby uzyskać wgląd w aplikacje.
Stosowanie zasad w celu ochrony poufnych informacji.
Stosowanie adaptacyjnych kontroli dostępu.
Ogranicz zasięg niezatwierdzonych zasobów IT.
Zagadnienia dotyczące aplikacji
Cele wdrażania aplikacji koncentrują się na zarządzaniu aplikacjami innych firm i aplikacji innych firm w organizacji.
Cele nie dotyczą zabezpieczania infrastruktury aplikacji. Zamiast tego dotyczą one zabezpieczania zużycia aplikacji, zwłaszcza aplikacji w chmurze.
Praktyki strefy docelowej platformy Azure nie udostępniają szczegółowych kontrolek dla celów aplikacji. Te kontrolki są konfigurowane w ramach konfiguracji aplikacji.
Zalecenia dotyczące aplikacji
Użyj usługi Microsoft Defender dla Chmury Apps, aby zarządzać dostępem do aplikacji.
Użyj ustandaryzowanych zasad zawartych w usłudze Defender dla Chmury Apps, aby wymusić praktyki.
Opracuj plan dołączania aplikacji do praktyk dotyczących dostępu do aplikacji. Nie ufaj aplikacjom, które organizacja hostuje więcej niż ufasz aplikacjom innych firm.
Zabezpieczanie danych
Aby uzyskać informacje na temat celów wdrażania na potrzeby zabezpieczania danych, zobacz Zabezpieczanie danych przy użyciu zera zaufania. Aby wdrożyć te cele, możesz:
- Klasyfikowanie i etykietowanie danych.
- Włącz kontrolę dostępu.
- Implementowanie ochrony przed utratą danych.
Aby uzyskać informacje na temat rejestrowania zasobów danych i zarządzania nimi, zobacz Implementacje odwołań strefy docelowej platformy Azure.
Podejście zero trust obejmuje obszerne mechanizmy kontroli danych. Z punktu widzenia implementacji usługa Microsoft Purview udostępnia narzędzia do zarządzania danymi, ochrony i zarządzania ryzykiem. Możesz użyć usługi Microsoft Purview w ramach wdrożenia analizy w skali chmury, aby udostępnić rozwiązanie, które można zaimplementować na dużą skalę.
Zagadnienia dotyczące danych
Zgodnie z zasadą demokratyzacji subskrypcji strefy docelowej można utworzyć dostęp i izolację sieci dla zasobów danych, a także ustanowić praktyki rejestrowania.
Istnieją zasady w implementacjach referencyjnych dotyczących rejestrowania zasobów danych i zarządzania nimi.
Aby spełnić cele wdrożenia, potrzebne są inne mechanizmy kontroli poza zabezpieczaniem zasobów platformy Azure. Zabezpieczenia danych Zero Trust obejmują klasyfikowanie danych, etykietowanie ich pod kątem poufności i kontrolowanie dostępu do danych. Wykracza to również poza systemy baz danych i plików. Należy wziąć pod uwagę sposób ochrony danych w usłudze Microsoft Teams, Grupy Microsoft 365 i programie SharePoint.
Zalecenia dotyczące danych
Usługa Microsoft Purview udostępnia narzędzia do zarządzania danymi, ochrony i zarządzania ryzykiem.
Zaimplementuj usługę Microsoft Purview w ramach wdrożenia analizy w skali chmury, aby zaimplementować obciążenie na dużą skalę.
Bezpieczna infrastruktura
Aby uzyskać informacje na temat celów wdrażania na potrzeby zabezpieczania infrastruktury, zobacz Secure infrastructure with Zero Trust (Zabezpieczanie infrastruktury przy użyciu rozwiązania Zero Trust). Aby wdrożyć te cele, możesz:
- Monitoruj nietypowe zachowanie w obciążeniach.
- Zarządzanie tożsamościami infrastruktury.
- Ogranicz dostęp człowieka.
- Segmentowanie zasobów.
Zagadnienia dotyczące infrastruktury
Cele wdrażania infrastruktury obejmują:
- Zarządzanie zasobami platformy Azure.
- Zarządzanie środowiskami systemu operacyjnego.
- Uzyskiwanie dostępu do systemów.
- Stosowanie kontrolek specyficznych dla obciążenia.
Możesz użyć modelu subskrypcji strefy docelowej, aby utworzyć jasne granice zabezpieczeń do zasobów platformy Azure i przypisać ograniczone uprawnienia zgodnie z potrzebami na poziomie zasobu.
Organizacje muszą organizować obciążenia na potrzeby zarządzania.
Zalecenia dotyczące infrastruktury
Użyj standardowych zasad strefy docelowej platformy Azure, aby zablokować niezgodne wdrożenia i zasoby oraz wymusić wzorce rejestrowania.
Skonfiguruj usługę Privileged Identity Management w usłudze Microsoft Entra ID, aby zapewnić dostęp just in time do wysoce uprzywilejowanych ról.
Skonfiguruj dostęp just in time w Defender dla Chmury dla strefy docelowej, aby ograniczyć dostęp do maszyn wirtualnych.
Utwórz plan monitorowania poszczególnych obciążeń wdrożonych na platformie Azure i zarządzania nimi.
Zabezpieczanie sieci
Aby uzyskać informacje na temat celów wdrażania na potrzeby zabezpieczania sieci, zobacz Secure networks with Zero Trust (Zabezpieczanie sieci za pomocą rozwiązania Zero Trust). Aby wdrożyć te cele, możesz:
- Implementowanie segmentacji sieci.
- Użyj filtrowania natywnego dla chmury.
- Zaimplementuj uprawnienia z najmniejszym dostępem.
Kwestie dotyczące sieci
Aby upewnić się, że zasoby platformy obsługują model zabezpieczeń Zero Trust, należy wdrożyć zapory, które są w stanie przeprowadzić inspekcję ruchu HTTPS i odizolować zasoby sieciowe tożsamości i zarządzania z centrum centralnego.
Oprócz zasobów sieciowych w subskrypcji łączności należy utworzyć plany mikrosegmentowania poszczególnych obciążeń w sieciach wirtualnych szprych. Można na przykład zdefiniować wzorce ruchu i utworzyć szczegółowe sieciowe grupy zabezpieczeń dla każdej sieci obciążenia.
Zalecenia dotyczące sieci
Aby wdrożyć strefę docelową platformy Azure, użyj następujących przewodników wdrażania specyficznych dla zaufania zerowego:
Aby uzyskać informacje o sposobie stosowania zasad Zero Trust do dostarczania aplikacji, zobacz Zero Trust network for web applications (Sieć Zero Trust dla aplikacji internetowych).
Aby uzyskać informacje o sposobie tworzenia planu dla sieci obciążeń, zobacz Plany wdrożenia Zero Trust za pomocą platformy Azure.
Widoczność, automatyzacja i aranżacja
Aby uzyskać informacje o celach wdrażania na potrzeby widoczności, automatyzacji i aranżacji, zobacz Widoczność, automatyzacja i aranżacja z zerowym zaufaniem. Aby wdrożyć te cele, możesz:
- Ustanów widoczność.
- Włącz automatyzację.
- Włącz dodatkowe kontrolki, ćwicząc ciągłe ulepszanie.
Zagadnienia dotyczące widoczności, automatyzacji i aranżacji
Implementacje referencyjne strefy docelowej platformy Azure zawierają wdrożenia usługi Microsoft Sentinel, których można użyć do szybkiego ustanowienia widoczności w środowisku platformy Azure.
Implementacje referencyjne zapewniają zasady rejestrowania platformy Azure, ale wymagana jest dodatkowa integracja w przypadku innych usług.
Aby wysyłać sygnały, należy skonfigurować narzędzia automatyzacji, takie jak Azure DevOps i GitHub.
Zalecenia dotyczące widoczności, automatyzacji i aranżacji
Wdróż usługę Microsoft Sentinel w ramach strefy docelowej platformy Azure.
Utwórz plan integracji sygnałów z witryny Microsoft Entra ID i narzędzi do platformy Microsoft 365 do obszaru roboczego usługi Microsoft Sentinel.
Utwórz plan przeprowadzania ćwiczeń dotyczących zagrożeń i ciągłych ulepszeń zabezpieczeń.