Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule wyjaśniono, jak włączyć bezpieczną pracę zdalną przy użyciu zasad Zero Trust w ramach Microsoft [model wdrażania zabezpieczeń](security-adoption-model.md).
Ten scenariusz biznesowy pomaga osiągnąć następujący wynik:
Umożliwianie ludziom bezpiecznego wykonywania swojej pracy z dowolnego miejsca.
Jako lider biznesowy musisz mieć pewność, że pracownicy mogą bezpiecznie uzyskiwać dostęp do systemów, danych i aplikacji, które muszą pracować z dowolnej lokalizacji. Praca zdalna rozszerza obszar ataków, działając poza tradycyjnymi granicami sieci, zwiększając narażenie na ataki oparte na tożsamościach, naruszone urządzenia i nieautoryzowany dostęp.
Kluczowym wynikiem włączenia bezpiecznej pracy zdalnej jest zapewnienie pracownikom bezpiecznego dostępu do zasobów organizacji bez zwiększania ryzyka nieautoryzowanego dostępu lub zakłóceń. Wymaga to spójnej weryfikacji użytkowników, urządzeń i warunków dostępu w celu zapewnienia, że dozwolony jest tylko zaufany dostęp.
Ten scenariusz koncentruje się na ustanowieniu bezpiecznego, spójnego dostępu do aplikacji i danych w środowiskach zdalnych i hybrydowych, dzięki czemu pracownicy mogą wydajnie pracować, podczas gdy zasoby organizacyjne pozostają chronione i zarządzane.
Dzięki temu pracownicy mogą pracować z dowolnego miejsca, zmniejszając ryzyko ujawnienia danych, zakłóceń operacyjnych i nieautoryzowanego dostępu.
Jak działają te wskazówki
Ten artykuł jest częścią ustrukturyzowanego modelu wdrażania , który łączy strategię zabezpieczeń z implementacją:
Zacznij od scenariuszy biznesowych , takich jak ten, aby zdefiniować wynik, który chcesz osiągnąć.
Określ dziedziny zabezpieczeń, które mają zastosowanie w tym scenariuszu.
Te dyscypliny służą do definiowania wymaganej strategii, architektury, procesów i kontrolek dla scenariusza. Współpracuj z każdą dyscypliną, aby zrozumieć, co należy zaplanować, zaprojektować i zaimplementować w całej organizacji.
Użyj rozwiązań technicznych w celu zaimplementowania tych wymagań przy użyciu technologii Microsoft, stosowania kontrolek w filarach technologii takich jak tożsamość, punkty końcowe i dane.
Takie podejście zapewnia, że użytkownicy mogą pracować z dowolnego miejsca, podczas gdy dostęp do zasobów organizacji jest stale weryfikowany i chroniony, zmniejszając ryzyko bez ograniczania produktywności.
Dlaczego hybrydowa praca zdalna wymaga nowego podejścia
Praca zdalna jest zaawansowanym narzędziem biznesowym, ale wprowadza również nowe i rozszerzone zagrożenia bezpieczeństwa. Aby zarządzać tymi zagrożeniami podczas odblokowywania wartości biznesowej, organizacje muszą podjąć nowoczesne, skoncentrowane na tożsamościach podejście do zabezpieczeń, które chroni użytkowników, urządzenia, aplikacje i dane w dowolnym miejscu. Aby odnieść sukces organizacji, muszą:
- Modernizuj tradycyjne zabezpieczenia: Tradycyjne zabezpieczenia oparte na obwodzie blokują produktywność i są nieskuteczne w środowiskach pracy zdalnej i hybrydowej. Organizacje muszą mieć pewność, że użytkownicy, urządzenia, aplikacje i dane są chronione niezależnie od tego, gdzie i jak uzyskiwany jest do nich dostęp.
- Bezpieczny dostęp użytkowników: Użyj uwierzytelniania wieloskładnikowego (MFA), zasad dostępu warunkowego i kontroli zgodności urządzeń, aby upewnić się, że tylko autoryzowani użytkownicy i urządzenia w dobrej kondycji mogą uzyskiwać dostęp do zasobów firmy.
- Zwiększanie możliwości pracowników: Zapewnij pracownikom elastyczność pracy wydajnie z domu, biura lub w podróży bez naruszania bezpieczeństwa, poprawy zadowolenia i utrzymania.
Ten scenariusz jest podstawą dla nowoczesnych organizacji, które chcą obsługiwać prace rozproszone przy zachowaniu silnego bezpieczeństwa i odporności operacyjnej.
Wartość biznesowa
Wartość bezpiecznej pracy zdalnej różni się w zależności od roli, ale przynosi korzyści całej organizacji.
| Role | Wartość |
|---|---|
| Kierownictwo firmy | Bezpieczna praca zdalna umożliwia ciągłość działania i odporność, umożliwiając pracownikom wydajną pracę z dowolnego miejsca bez zwiększania ryzyka bezpieczeństwa lub zgodności. Dzięki przejściu z zabezpieczeń opartych na obwodzie do modelu Zero Trust skoncentrowanego na tożsamościach i danych organizacje zmniejszają prawdopodobieństwo naruszeń danych i naruszeń przepisów przy zachowaniu elastyczności podczas zakłóceń. Takie podejście obsługuje elastyczność pracowników, chroni reputację organizacji i umożliwia rozszerzanie bez ograniczeń geograficznych. |
| Role technologii | Bezpieczna praca zdalna zapewnia skalowalną, scentralizowaną platformę do zarządzania środowiskiem rozproszonym i ich ochrony. Mechanizmy kontroli tożsamości, urządzeń i aplikacji zwiększają widoczność użytkowników i punktów końcowych, a automatyczne wymuszanie zasad zmniejsza obciążenie operacyjne. Scentralizowane zarządzanie i automatyzacja upraszczają kontrolę dostępu, przyspieszają reagowanie na zdarzenia i odzyskiwanie oraz umożliwiają zespołom IT niezawodną obsługę pracy zdalnej bez zwiększania złożoności lub ryzyka operacyjnego. |
| Role zabezpieczeń | Bezpieczna praca zdalna umożliwia zespołom ds. zabezpieczeń modernizację architektury i operacji przy użyciu zasad Zero Trust, umożliwiając elastyczność biznesową przy jednoczesnym zwiększeniu widoczności ryzyka i zagrożeń. Kompleksowe dane telemetryczne dotyczące tożsamości, urządzeń i aplikacji dostarczają praktycznych wniosków wykraczających poza tradycyjne dane sieciowe. Mechanizmy kontroli skoncentrowane na zasobach i danych chronią poufne informacje we wszystkich lokalizacjach, zmniejszając prawdopodobieństwo naruszeń i naruszeń przepisów poprzez silną weryfikację tożsamości, weryfikację kondycji urządzenia i kontekstowe wymuszanie dostępu. |
Dopasowywanie dyscyplin zabezpieczeń
Dyscypliny zabezpieczeń reprezentują ustrukturyzowane obszary odpowiedzialności wymagane do realizacji tego scenariusza biznesowego.
- Dyscypliny planowania i nadzoru definiują wymaganą strategię, ład i koordynację między organizacjami.
- Dyscypliny strategii technicznej definiują wymagane możliwości architektury, działania i kontroli.
- Dyscypliny operacyjne zapewniają, że mechanizmy kontroli zabezpieczeń pozostają skuteczne w czasie dzięki monitorowaniu, reagowaniu i ciągłym ulepszaniu. Wykrywają nieprawidłowe użycie, reagują na zagrożenia i prowadzą do ciągłych ulepszeń stanu zabezpieczeń.
Planowanie i dyscypliny nadzoru
| Discipline | Action |
|---|---|
| Strategia, integracja i ład | Zdefiniuj jasne cele biznesowe i związane z zabezpieczeniami na potrzeby bezpiecznej pracy zdalnej, dostosowane do priorytetów organizacji i tolerancji ryzyka. Zapewnij spójność działań między działami IT, bezpieczeństwa, HR i jednostkami biznesowymi. Wspólne definiowanie mierzalnych celów, kryteriów sukcesu i procesów między zespołami w celu kierowania implementacją i dojrzałością. Ustanów struktury zarządzania, aby nadzorować egzekwowanie polityk, zgodność i podejmowanie decyzji na wszystkich etapach cyklu pracy zdalnej. |
| Architektura zabezpieczeń | Upewnij się, że organizacja ma kompleksową architekturę, która umożliwia i zabezpiecza pracę zdalną (dostęp i tożsamości). Upewnij się, że funkcje odpowiedzi i odzyskiwania są aktualizowane (Operacje zabezpieczeń). Upewnij się, że dane są odpowiednio chronione (Zabezpieczenia danych) i nie tylko. Upewnij się, że wszystkie składniki są współdziałające, skalowalne i dostosowane do zmieniających się zagrożeń i potrzeb biznesowych. |
Dyscypliny strategii technicznej
| Discipline | Action |
|---|---|
| Zaimplementuj silne uwierzytelnianie (MFA), scentralizowane zarządzanie tożsamościami i zasady dostępu warunkowego, aby zweryfikować użytkowników i urządzenia przed udzieleniem dostępu. Zapewnij najmniejsze uprawnienia i dostęp just in time dla ról poufnych. Bezpieczny dostęp do aplikacji za pomocą nowoczesnego uwierzytelniania, mechanizmów kontroli sesji i ochrony środowiska uruchomieniowego. Upewnij się, że aplikacje są dołączane do platform tożsamości i monitorowane pod kątem nietypowego zachowania. |
|
| Zabezpieczenia danych | Klasyfikowanie i ochrona poufnych danych przy użyciu szyfrowania, etykietowania i zapobiegania utracie danych. Upewnij się, że dane pozostają bezpieczne na urządzeniach, lokalizacjach i aplikacjach z trwałymi mechanizmami kontroli dostępu. |
| Zabezpieczenia infrastruktury | Zabezpieczanie infrastruktury chmurowej i lokalnej przy użyciu segmentacji, szyfrowania i ciągłego monitorowania. Zastosuj kontrolki Zero Trust do wszystkich ścieżek sieciowych i interfejsów administracyjnych. |
| Upewnij się, że standardy programistyczne wymagają użycia nowoczesnych protokołów uwierzytelniania w celu usunięcia potrzeby modernizacji zabezpieczeń na starszych protokołach i mechanizmach. | |
| Zabezpieczenia OT i IoT | Starannie rozważ potrzeby biznesowe dotyczące zdalnego uzyskiwania dostępu do tych systemów w porównaniu z potencjalnym ryzykiem bezpieczeństwa bieżących rozwiązań dostępu zdalnego i potencjalnymi ulepszeniami. |
| Zabezpieczenia aplikacji | Bezpieczny dostęp do aplikacji za pomocą nowoczesnego uwierzytelniania, mechanizmów kontroli sesji i ochrony środowiska uruchomieniowego. Upewnij się, że aplikacje są dołączane do platform tożsamości i monitorowane pod kątem nietypowego zachowania. |
Dyscypliny operacyjne
| Discipline | Action |
|---|---|
| SecOps | Nieustannie monitoruj urządzenia zdalne, tożsamości i aplikacje bez tradycyjnej telemetrii zapory sieciowej oraz systemów wykrywania włamań i zapobiegania im (IDS/IPS). Zaktualizuj automatyzację, podręczniki reagowania na incydenty i procesy wyszukiwania zagrożeń tak, aby wykorzystywały możliwości rozszerzonego wykrywania i reagowania (XDR). |
| Zarządzanie stanem zabezpieczeń | Monitorowanie luk w zabezpieczeniach oprogramowania, konfiguracji zabezpieczeń i praktyk operacyjnych w całym środowisku. Użyj narzędzi, takich jak rozwiązania zabezpieczające firmy Microsoft Exposure Management i Secure Score, aby śledzić postęp i zgodność, korygować luki i zapewnić zgodność z zasadami Zero Trust. |
Wymagane filary technologii
Filary technologii reprezentują podstawowe Microsoft możliwości zabezpieczeń, które obsługują ten scenariusz biznesowy.
| Filar technologii | Microsoft Entra | Microsoft Intune |
|---|---|---|
| Filar krzyżowy | Wymusza podejmowanie decyzji dotyczących dostępu przy użyciu tożsamości, uwierzytelniania i sygnałów ryzyka we wszystkich filarach technologii. | Zapewnia sygnały zgodności i zabezpieczeń urządzeń, które są używane do wymuszania decyzji dotyczących dostępu we wszystkich filarach technologii. |
| Identity | Zarządza tożsamościami, uwierzytelnianiem i ochroną tożsamości, w tym wykrywaniem ryzyka i oceną zasad dostępu warunkowego. | Integruje się z Microsoft Entra w celu zapewnienia, że tylko uwierzytelnieni użytkownicy mogą rejestrować urządzenia i zarządzać nimi. |
| Punkty końcowe | Ocenia stan urządzenia za pomocą dostępu warunkowego i wymusza zasady dostępu na podstawie zaufania urządzenia i ryzyka. | Konfiguruje, zabezpiecza i monitoruje urządzenia na różnych platformach, wymuszając punkty odniesienia zgodności i zabezpieczeń. |
| Networks | Dostęp do Internetu Microsoft Entra i Dostęp Prywatny Microsoft Entra to technologie typu Security Service Edge (SSE), które łączą mechanizmy kontroli dostępu do sieci, tożsamości i urządzeń końcowych, dzięki którym można zabezpieczyć dostęp do dowolnej aplikacji lub zasobu z dowolnego miejsca. | Umożliwia kontrolę dostępu do sieci za pomocą zasad zgodności i integruje się z Microsoft Entra na potrzeby podejmowania decyzji funkcji Dostęp warunkowy uwzględniających sieć. Microsoft Tunnel for Mobile zapewnia bezpieczny, najmniej uprzywilejowany dostęp do aplikacji wewnętrznych z dowolnego miejsca. |
| Aplikacje | Dostęp warunkowy usługi Microsoft Entra chroni aplikacje przez wymuszanie kontroli dostępu i zasad ochrony aplikacji. Kontrola dostępu warunkowego aplikacji integruje się z Microsoft Defender for Cloud Apps w celu monitorowania i kontrolowania sesji użytkowników w czasie rzeczywistym. | Wymusza zarządzanie aplikacjami mobilnymi (MAM) i zasady ochrony aplikacji w celu zabezpieczenia użycia aplikacji na urządzeniach. |
| Data | Dostęp warunkowy usługi Microsoft Entra współpracuje z etykietami poufności w celu wymuszania wymagań dostępu na podstawie klasyfikacji danych, co pomaga zapewnić, że dostęp do poufnej zawartości mogą uzyskiwać tylko autoryzowani użytkownicy na zgodnych urządzeniach. | Stosuje zasady ochrony danych, takie jak szyfrowanie, zapobieganie utracie danych i selektywne czyszczenie danych na zarządzanych urządzeniach. |
| Infrastruktura | Tożsamość obciążeń Microsoft Entra pomaga zabezpieczać aplikacje, nazwy główne usług i tożsamości zarządzane używane do uzyskiwania dostępu do Twoich aplikacji i infrastruktury. | Rozszerza zasady zarządzania i zabezpieczeń na komputery w chmurze, pulpity wirtualne i punkty końcowe hybrydowe. |
| AI | Identyfikator microsoft Entra Agent rozszerza kompleksowe możliwości zabezpieczeń firmy Microsoft Entra na agentów, umożliwiając organizacjom tworzenie, odnajdywanie, zarządzanie i ochronę tożsamości agentów. | Microsoft Intune stosuje szczegółowe informacje oparte na sztucznej inteligencji za pośrednictwem analizy punktów końcowych w celu proaktywnego identyfikowania problemów z kondycją urządzenia, optymalizowania środowiska użytkownika i rekomendowania ulepszeń zabezpieczeń. |
Następne kroki
Dowiedz się, jak zaimplementować bezpieczną pracę zdalną w celu zaprojektowania architektury uprzywilejowanego dostępu.