Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W strukturze Zero Trust tożsamość jest podstawową płaszczyzną sterowania. Każda decyzja o dostępie do urządzenia, aplikacji lub zasobu danych rozpoczyna się od sprawdzenia, kim jest użytkownik, jakie są ich uprawnienia i czy ich kontekst spełnia zasady.
Filar tożsamości w Zero Trust Workshop zapewnia, że organizacje są zgodne z zasadami Zero Trust (weryfikować jawnie, wymuszać najmniejsze uprawnienia i zakładać naruszenie) we wszystkich tożsamościach. Zapewnia priorytetową listę prac implementacji z możliwością działania na potrzeby modernizacji funkcji tożsamości.
Wskazówki dotyczące warsztatów filaru tożsamości koncentrują się na ocenie bieżącej postawy tożsamości, identyfikowaniu luk i definiowaniu priorytetowych akcji w celu modernizacji mechanizmów kontroli tożsamości, zmniejszenia ryzyka i zapewnienia bezpiecznego, bezproblemowego dostępu w całym środowisku.
Implementacja warsztatowa
Warsztaty dotyczące tożsamości obejmują obszary implementacji podsumowane w tabeli.
| Area | Szczegóły |
|---|---|
| Inwentaryzuj i poznaj zasoby tożsamości | Skompiluj pełny spis użytkowników, aplikacji, jednostek usługi, grup i atrybutów tożsamości. Przypisz własność, zdefiniuj odpowiedzialność i klasyfikuj krytyczne zasoby tożsamości, aby ustanowić nadzór i widoczność w obrębie majątku tożsamości. |
| Ustanawianie silnej podstawy dostępu warunkowego | Zaimplementuj kompleksową strategię dostępu warunkowego, która stale ocenia tożsamość, stan urządzenia, sygnały ryzyka i kontekst sesji. Definiowanie i wymuszanie spójnych zasad dostępu dla użytkowników, aplikacji i scenariuszy, w tym pracowników, gości i starszych ścieżek dostępu. |
| Modernizacja uwierzytelniania i eliminowanie starszych protokołów | Standaryzacja nowoczesnego uwierzytelniania we wszystkich aplikacjach i usługach. Eliminowanie starszych metod uwierzytelniania i migrowanie istniejących systemów w celu zabezpieczenia protokołów uwierzytelniania opartych na standardach w celu zmniejszenia narażenia na ataki oparte na poświadczeniach. |
| Przekształcanie infrastruktury aplikacji i tożsamości | Zmniejsz zależność od lokalnych systemów tożsamości, migrując aplikacje do uwierzytelniania opartego na Microsoft Entra ID i logowania jednokrotnego (SSO). Likwiduj starszą federację i infrastrukturę zarządzania dostępem do internetu. Modernizacja wzorców dostępu do aplikacji w celu obsługi Zero Trust. |
| Wymuszanie najniższych uprawnień i dostępu opartego na rolach | Przypisz dostęp na podstawie funkcji zadania przy użyciu kontroli dostępu opartej na rolach (RBAC) i pakietów dostępu. Definiowanie modeli ról, wymuszanie najniższych uprawnień i ciągłe weryfikowanie dostępu za pośrednictwem przeglądów dostępu i ładu opartego na zasadach w celu zapewnienia, że użytkownicy mają tylko wymagane uprawnienia. |
| Ochrona tożsamości uprzywilejowanych i obciążeń | Zabezpiecz konta administracyjne i konta wysokiego ryzyka przy użyciu dostępu just-in-time, Privileged Identity Management (PIM), silnego uwierzytelniania i wzmocnionych ścieżek dostępu. Rozszerz nadzór i ochronę na tożsamości obciążeń roboczych i jednostki usługi, aby ograniczyć ryzyko związane z nadmiernie uprzywilejowanymi lub niezarządzanymi tożsamościami. |
| Ustanawianie ładu i aprowizacji przepływów danych tożsamości | Zdefiniuj autorytatywne źródła danych tożsamości, schematy atrybutów i przepływy danych w różnych systemach. Zaimplementuj potoki i łączniki aprowizacji, aby upewnić się, że dane tożsamości są spójne, dokładne i niezawodne synchronizowane między aplikacjami i usługami. |
| Automatyzowanie cyklu życia tożsamości i aprowizacji | Wdróż zautomatyzowane procesy nadawania uprawnień i obsługi całego cyklu życia pracownika (zatrudnienie, zmiana stanowiska, odejście) w systemach źródłowych, takich jak platformy HR. Zapewnij, aby dostęp był automatycznie nadawany, aktualizowany i usuwany na podstawie zdarzeń cyklu życia, przy jednoczesnym monitorowaniu i weryfikacji procesów aprowizacji. |
| Wzmocnienie zabezpieczeń poświadczeń przy użyciu uwierzytelniania bez hasła | Zmniejsz zależność od haseł, wdrażając zasady ochrony haseł oraz odporne na phishing metody uwierzytelniania niewymagające hasła, takie jak FIDO2, Windows Hello dla biznesu i Microsoft Authenticator. Wspieranie wdrażania silnych metod uwierzytelniania w całej organizacji. |
| Zarządzanie tożsamościami zewnętrznymi i partnerskimi | Wdróż kontrolowane procesy wdrażania, nadawania uprawnień dostępu i zarządzania cyklem życia dla użytkowników zewnętrznych i organizacji partnerskich. Zaimplementuj pakiety dostępu, modele dostępu sponsorowanego i monitorowanie, aby zapewnić prawidłowe zarządzanie tożsamościami zewnętrznymi i dostosowanie ich do zasad organizacji. |
| Czyszczenie i korygowanie istniejącego dostępu | Identyfikowanie i korygowanie nieuprzywilejowanych kont, nieużywanych tożsamości i nieaktualnych członkostw w grupach. Przeprowadź przeglądy dostępu i zaimplementuj bieżące procesy nadzoru, aby zachować najmniejsze uprawnienia i zmniejszyć skumulowane ryzyko związane z tożsamością w czasie. |
| Włączanie monitorowania i reagowania na zabezpieczenia tożsamości (SecOps) | Integrowanie sygnałów tożsamości z operacjami zabezpieczeń przez włączenie ochrony tożsamości, wykrywania zagrożeń i scentralizowanego rejestrowania. Monitorowanie kondycji tożsamości, wykrywanie podejrzanych działań oraz badanie zagrożeń opartych na tożsamościach i reagowanie na nie przy użyciu analiz zabezpieczeń i podręczników operacyjnych. |
Ocena tożsamości
Narzędzie do oceny Zero Trust może ocenić konfigurację tożsamości pod kątem szeregu najlepszych rozwiązań w zakresie zabezpieczeń. Dowiedz się więcej.
Następne kroki
Przeprowadź ocenę i rozpocznij warsztaty dotyczące tożsamości.