Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten artykuł zawiera plan wdrożenia tworzenia zabezpieczeń Zero Trust przy użyciu platformy Microsoft 365. Zero Trust to model zabezpieczeń, który zakłada naruszenie i weryfikuje każde żądanie tak, jakby pochodziło z niekontrolowanych sieci. Niezależnie od tego, skąd pochodzi żądanie lub do jakiego zasobu uzyskuje dostęp, model Zero Trust uczy nas "nigdy nie ufać, zawsze weryfikować".
Użyj tego artykułu razem z tym plakatem.
zasady i architektura Zero Trust
Zero Trust to strategia zabezpieczeń. Nie jest to produkt ani usługa, ale podejście do projektowania i implementowania następującego zestawu zasad zabezpieczeń.
| Zasada | Opis |
|---|---|
| Zweryfikuj jawnie | Zawsze uwierzytelniaj się i autoryzuj na podstawie wszystkich dostępnych punktów danych. |
| Korzystanie z dostępu z najmniejszymi uprawnieniami | Ogranicz dostęp użytkowników za pomocą zasad Just-In-Time i Just-Enough-Access (JIT/JEA), zasad adaptacyjnych opartych na ryzyku i ochrony danych. |
| Przyjmij naruszenie | Zminimalizuj promień wybuchu i segmentuj dostęp. Zweryfikuj kompleksowe szyfrowanie i korzystaj z analizy, aby uzyskać widoczność, zwiększyć wykrywanie zagrożeń i poprawić ochronę. |
Wskazówki zawarte w tym artykule ułatwiają stosowanie tych zasad przez implementowanie możliwości w usłudze Microsoft 365.
Podejście Zero Trust rozciąga się w całej infrastrukturze cyfrowej i służy jako zintegrowana filozofia zabezpieczeń i kompleksowa strategia.
Ta ilustracja przedstawia reprezentację podstawowych elementów, które współtworzą Zero Trust.
Na ilustracji:
- Wymuszanie zasad zabezpieczeń znajduje się w centrum architektury Zero Trust. Obejmuje to uwierzytelnianie wieloskładnikowe z dostępem warunkowym, które uwzględnia ryzyko konta użytkownika, stan urządzenia oraz inne ustawione kryteria i zasady.
- Tożsamości, urządzenia, dane, aplikacje, sieć i inne składniki infrastruktury są skonfigurowane z odpowiednimi zabezpieczeniami. Zasady skonfigurowane dla każdego z tych składników są koordynowane z ogólną strategią Zero Trust. Na przykład zasady urządzeń określają kryteria dla urządzeń w dobrej kondycji, a zasady dostępu warunkowego wymagają urządzeń w dobrej kondycji w celu uzyskania dostępu do określonych aplikacji i danych.
- Ochrona przed zagrożeniami i analiza monitoruje środowisko, przedstawia bieżące zagrożenia i podejmuje zautomatyzowane działania w celu skorygowania ataków.
Aby uzyskać więcej informacji na temat Zero Trust, zobacz Centrum wskazówek Zero Trust firmy Microsoft.
Wdrażanie Zero Trust dla platformy Microsoft 365
Platforma Microsoft 365 została utworzona celowo z wieloma funkcjami zabezpieczeń i ochrony informacji, które ułatwiają tworzenie Zero Trust w środowisku. Wiele możliwości można rozszerzyć, aby chronić dostęp do innych aplikacji SaaS używanych przez organizację i danych w tych aplikacjach.
Ta ilustracja przedstawia pracę wdrażania Zero Trust możliwości. Ta praca jest dostosowana do Zero Trust scenariuszy biznesowych w strukturze wdrażania Zero Trust.
Na tej ilustracji prace wdrożeniowe są podzielone na pięć torów do pływania:
- Bezpieczna praca zdalna i hybrydowa — ta praca tworzy podstawę tożsamości i ochrony urządzeń.
- Zapobieganie lub zmniejszanie szkód biznesowych spowodowanych naruszeniem — ochrona przed zagrożeniami zapewnia monitorowanie i korygowanie zagrożeń bezpieczeństwa w czasie rzeczywistym. Defender for Cloud Apps zapewnia odnajdywanie aplikacji SaaS, w tym aplikacji sztucznej inteligencji, i umożliwia rozszerzenie ochrony danych na te aplikacje.
- Identyfikowanie i ochrona poufnych danych biznesowych — funkcje ochrony danych zapewniają zaawansowane mechanizmy kontroli ukierunkowane na określone typy danych w celu ochrony najcenniejszych informacji.
- Zabezpieczanie aplikacji i danych sztucznej inteligencji — szybko ochraniaj użycie aplikacji sztucznej inteligencji w organizacji i dane, z których korzystają.
- Spełnianie wymagań prawnych i zgodności — informacje i śledzenie postępów w realizacji przepisów mających wpływ na organizację.
W tym artykule przyjęto założenie, że używasz tożsamości w chmurze. Jeśli potrzebujesz wskazówek dotyczących tego celu, zobacz Wdrażanie infrastruktury tożsamości dla platformy Microsoft 365.
Wskazówka
Po zapoznaniu się z krokami i kompleksowym procesem wdrażania możesz użyć zaawansowanego przewodnika wdrażania konfigurowania modelu zabezpieczeń firmy Microsoft Zero Trust po zalogowaniu się do Centrum administracyjne platformy Microsoft 365. W tym przewodniku opisano sposób stosowania zasad Zero Trust dla standardowych i zaawansowanych filarów technologicznych. Aby przejść przez przewodnik bez logowania, przejdź do portalu konfiguracji platformy Microsoft 365.
Tor pływacki 1 — zabezpieczanie pracy zdalnej i hybrydowej
Zabezpieczanie pracy zdalnej i hybrydowej obejmuje konfigurowanie ochrony tożsamości i dostępu do urządzeń. Te zabezpieczenia przyczyniają się do jawnie weryfikowania zasady Zero Trust.
Wykonaj pracę dotyczącą zabezpieczania pracy zdalnej i hybrydowej w trzech fazach.
Faza 1 — implementowanie zasad tożsamości punktu początkowego i dostępu do urządzeń
Firma Microsoft zaleca kompleksowy zestaw zasad dostępu do tożsamości i urządzeń dla Zero Trust w tym przewodniku — Zero Trust konfiguracji tożsamości i dostępu do urządzeń.
W fazie 1 rozpocznij od zaimplementowania warstwy punktu początkowego. Te zasady nie wymagają rejestrowania urządzeń w zarządzaniu.
Przejdź do obszaru Zero Trust identity and device access protection (Ochrona tożsamości i dostępu do urządzeń), aby uzyskać szczegółowe wskazówki nakazowe. W tej serii artykułów opisano zestaw konfiguracji wymagań wstępnych dotyczących tożsamości i dostępu do urządzeń oraz zestaw Microsoft Entra dostępu warunkowego, Microsoft Intune i innych zasad w celu zabezpieczenia dostępu do usługi Microsoft 365 dla aplikacji i usług w chmurze przedsiębiorstwa, innych usług SaaS i aplikacji lokalnych opublikowanych za pomocą aplikacji Microsoft Entra proxy.
| Zawiera | Wymagania wstępne | Nie obejmuje |
|---|---|---|
Zalecane zasady dostępu do tożsamości i urządzeń dla trzech poziomów ochrony:
Dodatkowe zalecenia dotyczące:
|
Microsoft E3 lub E5 Tożsamość Microsoft Entra w każdym z następujących trybów:
|
Rejestrowanie urządzeń dla zasad, które wymagają urządzeń zarządzanych. Zobacz Zarządzanie urządzeniami przy użyciu Intune, aby zarejestrować urządzenia. |
Faza 2 — rejestrowanie urządzeń w zarządzaniu za pomocą Intune
Następnie zarejestruj urządzenia w systemie zarządzania i rozpocznij ich ochronę za pomocą bardziej zaawansowanych kontrolek.
Zobacz Zarządzanie urządzeniami za pomocą Intune, aby uzyskać szczegółowe wskazówki dotyczące rejestrowania urządzeń w zarządzaniu.
| Zawiera | Wymagania wstępne | Nie obejmuje |
|---|---|---|
Rejestrowanie urządzeń przy użyciu Intune:
Konfigurowanie zasad:
|
Rejestrowanie punktów końcowych przy użyciu Tożsamość Microsoft Entra | Konfigurowanie możliwości ochrony informacji, w tym:
Aby uzyskać te możliwości, zobacz Swim lane 3 — Identyfikowanie i ochrona poufnych danych biznesowych (w dalszej części tego artykułu). |
Aby uzyskać więcej informacji, zobacz Zero Trust dla Microsoft Intune.
Faza 3 — dodawanie tożsamości Zero Trust i ochrony dostępu do urządzeń: zasady przedsiębiorstwa
Dzięki urządzeniom zarejestrowanym w zarządzaniu można teraz zaimplementować pełny zestaw zalecanych Zero Trust zasad dotyczących tożsamości i dostępu do urządzeń, które wymagają zgodnych urządzeń.
Wróć do typowych zasad dostępu do tożsamości i urządzeń , a następnie dodaj zasady w warstwie Enterprise.
Dowiedz się więcej na temat zabezpieczania pracy zdalnej i hybrydowej w strukturze wdrażania Zero Trust — Zabezpieczanie pracy zdalnej i hybrydowej.
Tor do pływania 2 — zapobieganie lub zmniejszanie szkód biznesowych spowodowanych naruszeniem
Microsoft Defender XDR to rozszerzone rozwiązanie do wykrywania i reagowania (XDR), które automatycznie zbiera, koreluje i analizuje dane sygnału, zagrożeń i alertów z całego środowiska platformy Microsoft 365, w tym punkty końcowe, pocztę e-mail, aplikacje i tożsamości. Ponadto Microsoft Defender for Cloud Apps pomaga organizacjom identyfikować i zarządzać dostępem do aplikacji SaaS, w tym aplikacji GenAI.
Zapobieganie lub zmniejszanie szkód biznesowych spowodowanych naruszeniem zabezpieczeń przez pilotaż i wdrażanie Microsoft Defender XDR.
Przejdź do obszaru Pilotaż i wdróż Microsoft Defender XDR, aby zapoznać się z przewodnikiem metodycznym dotyczącym pilotażu i wdrażania składników Microsoft Defender XDR.
| Zawiera | Wymagania wstępne | Nie obejmuje |
|---|---|---|
Skonfiguruj środowisko ewaluacji i pilotażu dla wszystkich składników:
Ochrona przed zagrożeniami Badanie zagrożeń i reagowanie na nie |
Zapoznaj się ze wskazówkami, aby zapoznać się z wymaganiami dotyczącymi architektury dla każdego składnika Microsoft Defender XDR. | Ochrona tożsamości Microsoft Entra nie jest uwzględniona w tym przewodniku po rozwiązaniach. Jest on uwzględniony w swim lane 1 — bezpieczna praca zdalna i hybrydowa. |
Dowiedz się więcej na temat zapobiegania lub zmniejszania szkód biznesowych spowodowanych naruszeniem zasad wdrażania Zero Trust — zapobieganie lub zmniejszanie szkód biznesowych spowodowanych naruszeniem.
Tor 3 — identyfikowanie i ochrona poufnych danych biznesowych
Zaimplementuj Microsoft Purview Information Protection, aby ułatwić odnajdywanie, klasyfikowanie i ochronę poufnych informacji wszędzie tam, gdzie się znajdują lub podróżują.
Microsoft Purview Information Protection możliwości są dołączone do usługi Microsoft Purview i udostępniają narzędzia do poznania danych, ochrony danych i zapobiegania utracie danych. Tę pracę można rozpocząć w dowolnym momencie.
Microsoft Purview Information Protection zapewnia strukturę, proces i możliwości, których można użyć do realizacji określonych celów biznesowych.
Aby uzyskać więcej informacji na temat planowania i wdrażania ochrony informacji, zobacz Wdrażanie rozwiązania Microsoft Purview Information Protection.
Dowiedz się więcej na temat identyfikowania i ochrony poufnych danych biznesowych w strukturze wdrażania Zero Trust — Identyfikowanie i ochrona poufnych danych biznesowych.
Tor pływania 4 — zabezpieczanie aplikacji i danych sztucznej inteligencji
Platforma Microsoft 365 oferuje możliwości ułatwiające organizacjom szybkie zabezpieczanie aplikacji sztucznej inteligencji i danych, których używają.
Rozpocznij od użycia usługi Purview Zarządzanie stanem bezpieczeństwa danych (DSPM) dla sztucznej inteligencji. To narzędzie koncentruje się na sposobie użycia sztucznej inteligencji w organizacji, zwłaszcza na poufnych danych, które współdziałają z narzędziami sztucznej inteligencji. DSPM dla sztucznej inteligencji zapewnia głębszy wgląd dla Microsoft Copilots oraz zewnętrznych aplikacji SaaS, takich jak ChatGPT Enterprise i Google Gemini.
Na poniższym diagramie przedstawiono jeden z zagregowanych widoków wpływu użycia sztucznej inteligencji na dane: wrażliwe interakcje przypadające na generatywną aplikację AI.
Użyj DSPM dla sztucznej inteligencji, aby:
- Uzyskaj wgląd w użycie sztucznej inteligencji, w tym dane poufne.
- Przejrzyj oceny danych, aby dowiedzieć się więcej o lukach w nadmiernym udostępnianiu, które można ograniczyć za pomocą mechanizmów kontroli nadmiernego udostępniania programu SharePoint.
- Znajdź luki w zakresie pokrycia zasad dla etykiet poufności i zasad ochrony przed utratą danych (DLP).
Defender for Cloud Apps to kolejne zaawansowane narzędzie do odnajdywania i zarządzania aplikacjami i użyciem SaaS GenAI. Defender for Cloud Apps zawiera ponad tysiąc generowanych aplikacji związanych ze sztuczną inteligencją w katalogu, zapewniając wgląd w sposób generowania aplikacji sztucznej inteligencji w organizacji i pomagając w bezpiecznym zarządzaniu nimi.
Oprócz tych narzędzi platforma Microsoft 365 oferuje kompleksowy zestaw możliwości zabezpieczania i zarządzania sztuczną inteligencją. Zobacz Odnajdywanie, ochrona i zarządzanie aplikacjami i danymi sztucznej inteligencji , aby dowiedzieć się, jak rozpocząć korzystanie z tych możliwości.
Poniższa tabela zawiera listę możliwości platformy Microsoft 365 z linkami do dodatkowych informacji w bibliotece Zabezpieczenia dla sztucznej inteligencji.
Tor pływacki 5 — spełnienie wymagań prawnych i zgodności
Niezależnie od złożoności środowiska IT organizacji lub rozmiaru organizacji, nowe wymagania prawne, które mogą mieć wpływ na firmę, stale się sumują. Podejście Zero Trust często przekracza niektóre rodzaje wymagań nałożonych przez przepisy dotyczące zgodności, na przykład te, które kontrolują dostęp do danych osobowych. Organizacje, które wdrożyły podejście Zero Trust, mogą stwierdzić, że spełniają już nowe warunki lub mogą łatwo wykorzystać swoją architekturę Zero Trust, aby była zgodna.
Platforma Microsoft 365 oferuje funkcje ułatwiające zgodność z przepisami, w tym:
- Menedżer zgodności
- Eksplorator zawartości
- Zasady przechowywania, etykiety poufności i zasady DLP
- Zgodność komunikacji
- Zarządzanie cyklem życia danych
- zarządzanie ryzykiem prywatności Priva
Skorzystaj z poniższych zasobów, aby spełnić wymagania dotyczące przepisów i zgodności.
| Zasób | Więcej informacji |
|---|---|
| Zero Trust struktura wdrażania — spełnienie wymagań dotyczących przepisów i zgodności | Opisuje metodyczne podejście, które może stosować organizacja, w tym definiowanie strategii, planowania, wdrażania i zarządzania. |
| Zarządzanie aplikacjami i danymi sztucznej inteligencji pod kątem zgodności z przepisami | Dotyczy zgodności z przepisami dla nowych przepisów związanych ze sztuczną inteligencją, w tym określonych możliwości, które pomagają. |
| Zarządzanie prywatnością danych i ochroną danych za pomocą usług Microsoft Priva i Microsoft Purview | Ocena ryzyka i podjęcie odpowiednich działań w celu ochrony danych osobowych w środowisku organizacji przy użyciu usług Microsoft Priva i Microsoft Purview. |
Dalsze kroki
Dowiedz się więcej o Zero Trust, odwiedzając centrum wskazówek Zero Trust.