Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln innehåller en översikt över välkända Nulová dôvera (Zero Trust) ramverk och visar hur Microsoft Nulová dôvera (Zero Trust) implementeringsmodell hjälper dig att gå från ramverksförststånd till implementering i stor skala.
Nulová dôvera (Zero Trust) är inte ett enda ramverk. Det är en säkerhetsmodell som överensstämmer med flera bransch- och myndighetsstandarder. Dessa standarder är inte konkurrerande lösningar. Var och en tar upp en annan aspekt av Nulová dôvera (Zero Trust), till exempel att definiera grundläggande begrepp, utvärdera förloppet eller samordna implementeringen i en organisation.
Branschramverk hjälper till att definiera vad Nulová dôvera (Zero Trust) ska uppnå, men organisationer behöver fortfarande ett sätt att översätta den vägledningen till en specifik strategi och arkitektur för lösningsplanering, design och distribution.
Microsofts införandemodell för Nulová dôvera (Zero Trust) gör precis det. Den tillhandahåller en referensstrategi och en arkitektur som är i linje med och bygger vidare på branschramverk för att påskynda införandet och implementeringen av Nulová dôvera (Zero Trust).
Tip
Microsoft erbjuder en omfattande uppsättning workshops för säkerhetsimplementering – saf-workshoparna Security Adoption Framework. Vår vägledning för strukturerade implementeringsmodeller överensstämmer med den expertledda vägledningen från Microsoft Unified som levereras i dessa workshops. Läs mer om SAF-workshops.
NIST Nulová dôvera (Zero Trust)
National Institute of Standards and Technology (NIST) Special Publication (SP) 800-207 Nulová dôvera (Zero Trust) Architecture upprättar en branschkänd definition av Nulová dôvera (Zero Trust) arkitektur. Den förklarar vad Nulová dôvera (Zero Trust) är och hur förtroendebeslut fattas, oberoende av någon specifik leverantör, produkt eller distributionsöversikt.
NIST SP 800-207 är mest användbart när organisationer behöver en gemensam, auktoritativ definition av Nulová dôvera (Zero Trust) begrepp som kan delas mellan säkerhets-, IT- och arkitekturteam.
NIST-funktioner
NIST positionerar uttryckligen Nulová dôvera (Zero Trust) som en arkitektur där åtkomst till resurser aldrig är implicit betrodd.
Nulová dôvera (Zero Trust) principer i NIST är:
- Anta kompromisser (intrång) för att driva en holistisk och praktisk säkerhetsstrategi.
- Verifiera förtroende explicit innan du beviljar åtkomst till tillgångar.
- Begränsa explosionsradien genom att ge minsta möjliga behörighet.
Viktiga arkitekturbegrepp fokuserar på:
- Kontinuerlig dynamisk utvärdering av åtkomstbegäranden med hjälp av sammanhangsbaserade signaler.
- Centraliserad principbeslutslogik som utvärderar signaler mot organisationens princip.
- Policytillämpningsfunktionalitet nära skyddade resurser verkställer beslutet.
Den Nulová dôvera (Zero Trust) konceptuella arkitekturen som definieras av NIST fokuserar på hur åtkomstbeslut utvärderas och framtvingas med hjälp av principmotorer, tvingande punkter och kontextuella signaler.
Tänk på följande:
- NIST SP 800-270 definierar inte teknikpelare eller säkerhetsdomäner som identitet, slutpunkter eller dataskydd.
- Identitet, enhetsstatus, program och data modelleras som ämnen, resurser och kontextkällor som informerar förtroendebeslut i stället för som separata arkitekturdomäner.
Microsoft säkerhetsimplementeringsmodell bygger på den här arkitekturen genom att tillämpa dess principer och komponenter inom ett driftsramverk.
Även om NIST definierar hur förtroendebeslut fattas och tillämpas, organiserar vår implementeringsmodell dessa funktioner inom säkerhetsområden och teknikpelare för att vägleda affärsplanering, ägarskap, lösningsdesign, implementering och förloppsspårning.
Implementation
Implementeringsvägledning ges i NIST SP 1800-35 Implementera en Nulová dôvera (Zero Trust)-arkitektur.
För den här implementeringsvägledningen:
- NIST samarbetade med 24 leverantörer, inklusive Microsoft, om att utveckla en guide med praktiska steg för organisationer som är angelägna om att implementera referensdesign för cybersäkerhet för Nulová dôvera (Zero Trust).
- Microsoft deltog som en av leverantörerna som tillhandahöll teknik för att implementera Nulová dôvera (Zero Trust)-funktioner inom:
- Identitets- och åtkomsthantering.
- Slutpunktshantering och konfiguration.
- Skydd och övervakning av hot.
- Säker åtkomst till distribuerade resurser.
Det här diagrammet är resultatet av NIST SP 1800-35-samarbetet. Den kan laddas ned från Microsoft Referensarkitektur för cybersäkerhet (MCRA). Läs mer om MCRA
CISA Nolltrustmodellen för mognadsgrad
Cybersecurity and Infrastructure Security Agency (CISA) Nulová dôvera (Zero Trust) Maturity Model är organiserad kring implementering och utvärdering. Den här mognadsmodellen hjälper organisationer att organisera och utvärdera sin aktuella hållning, prioritera förbättringar och spåra förloppet.
CISA-funktioner
Till skillnad från NIST definierar CISA inte någon referensarkitektur och utvärderar i stället funktioner oberoende av specifika designmönster.
- Modellen använder pelarbaserade domäner, inklusive identitet, enheter, nätverk/miljö, program/arbetsbelastningar och data.
- Den definierar också tre övergripande funktioner – synlighet och analys, automatisering och orkestrering samt styrning.
- Och den innehåller fyra mognadssteg: Traditionell, Initial, Avancerad och Optimal.
- Styrning behandlas inte heller som en fristående grundpelare, utan som en övergripande funktion som säkerställer affärsanpassning, tydligt ägarskap och mätbara resultat i alla domäner.
Implementation
Modellen stämmer överens med och ligger till grund för Microsofts säkerhetsinförandemodell, samtidigt som Microsoft vidareutvecklar den genom att införa discipliner som arkitektur för att överbrygga konceptuella ramverk som NIST SP 800‑207 och praktisk tillämpning.
| CISA | Implementeringsområde/pelare | Detaljer |
|---|---|---|
|
Identitet Identiteten omfattar autentisering, auktorisering, identitetsrisk, livscykel. Appar och arbetsbelastningar omfattar åtkomstkontroller för appar, arbetsbelastningsidentitet och säker appinteraktion. |
Disciplin: Identitet och åtkomst Teknik: Identitet |
Åtkomstkontroll i Microsoft omfattar både identitets- och programlager medan CISA separerar dem. |
|
Styrelseskick Företagsomfattande principer, kontroller och tillämpning. |
Disciplin: Strategi, integrering, styrning Säkerhetsarkitektur Teknik: Alla. |
CISA:s princip- och kontrollfunktioner mappas direkt till SecOps-resultat. Microsoft lägger extra fokus på andra aspekter av styrning (affärsanpassning, riskhantering, roller med mera) och särskilt fokus på arkitekturdisciplin och referensarkitekturer. |
|
Devices Enhetsinventering, hållning, efterlevnad; nätverkssegmentering, säker anslutning, miljökontroller. Inklusive icke-traditionella, begränsade och specialiserade enheter. |
Disciplin: Identitet och åtkomst, infrastruktursäkerhet, OT/IoT-säkerhet Teknik: Slutpunkter |
Förtroende för infrastrukturen etableras genom enheternas status och kontrollerad konnektivitet, i linje med Nulová dôvera (Zero Trust)s mål att minimera skadeomfattningen och laterala förflyttningar. Microsoft betraktar OT/IoT-enheter som ett distinkt område på grund av unikt ägarskap och riskhanteringsskäl. |
|
Appar och arbetsbelastningar Appar och arbetsbelastningar omfattar åtkomstkontroller för program, arbetsbelastningsidentitet och säker programinteraktion. |
Disciplin: Utvecklingssäkerhet Teknik: Appar |
CISA:s arbetsbelastningsfokus överensstämmer med DevSecOps-målen genom att bädda in säkerhet i program- och tjänstlivscykler i stället för att behandla den som en aktivitet efter distributionen. |
|
Networks Nätverkssegmentering, säker anslutning, miljökontroller. |
Disciplin: Identitet och åtkomst Teknik: Nätverk |
Microsoft kombinerar all åtkomst (identitet, appar och nätverk) till ett enda område för att skapa tydlig strategi, arkitektur och principkonsekvens mellan olika tekniker. |
|
data Dataklassificering, inventering, åtkomstkontroll, kryptering och skydd oberoende av nätverksplats. |
Disciplin: Datasäkerhet Teknologi: Data |
Båda modellerna gör data till ett primärt skyddsmål och förstärker förflyttningen inom Nulová dôvera (Zero Trust) från perimeterbaserad säkerhet till datacentrerade säkerhetskontroller. |
|
Synlighet och analys, Automatisering och orkestrering Telemetriinsamling, kontinuerlig övervakning, identifiering, svarsautomatisering och principframtvingande i stor skala. |
Disciplin: SecOps Teknik: Alla |
CISA:s övergripande funktioner mappas direkt till SecOps-resultat som omfattar identifiering av hot, automatiserade svar och kontinuerlig omvärdering av förtroende för alla domäner. |
| Mognadssteg inom alla områden | Säkerhetsstatus | Hållningshantering är huvudsyftet med CISA-modellen: utvärdera aktuellt tillstånd, identifiera luckor, prioritera förbättringar och spåra Nulová dôvera (Zero Trust) framsteg över tid. |
Mer information finns i Implementing the CISA Nulová dôvera (Zero Trust) Maturity Model with Microsoft cloud services.
The Open Groups referensmodell för Nulová dôvera (Zero Trust)
The Open Group Nulová dôvera (Zero Trust)-referensmodell betraktar Nulová dôvera (Zero Trust) ur ett företagsförmåge- och integrationsperspektiv. I stället för att definiera specifika implementeringssteg beskrivs de funktioner och styrningsstrukturer som organisationer behöver för att definiera, integrera och driva Nulová dôvera (Zero Trust) i stor skala.
Öppna gruppfunktioner
Här är några av funktionerna:
- Funktioner + byggblock för arkitektur (ABB) definierar säkerhetsfunktioner som ger varaktiga säkerhetsresultat och personer, processer och teknik för att aktivera dem.
- Samarbets- och integrationsmodeller visar hur du integrerar säkerhet med strategi, riskhantering, åtgärder och andra aspekter av organisationen.
Funktionerna består av personer, processer och teknikelement som arbetar tillsammans:
- Personer: definieras som roller i Öppna grupproller och ordlistestandard
- Process: definieras som arkitekturbyggblock (ABB) i samma standard för Nulová dôvera (Zero Trust)-referensmodellen
- Technology: definieras som ABB i samma Nulová dôvera (Zero Trust) referensmodellstandard
Det här diagrammet visar följande funktioner:
Det här diagrammet visar hur dessa funktioner överensstämmer med funktionerna i NIST Cybersecurity Framework (NIST CSF):
Implementation
Modellen mappar till vår rekommenderade implementeringsmodell.
| Öppna grupp | Implementeringsområde | justering |
|---|---|---|
Definierar hur organisationer etablerar Nulová dôvera (Zero Trust) som en affärsanpassad strategi, inklusive styrning, riskhantering, principägarskap och anpassning av personer, processer och teknik. |
Strategi, integrering och styrning | Både Open Group och Microsoft uttryckligen positionera Nulová dôvera (Zero Trust) som en företagsstrategi, inte en teknisk kontrolluppsättning. Detta har direkt stöd för exekutiv anpassning, ägarskap och integrering i hela organisationen. |
|
Capability-baserad Nulová dôvera (Zero Trust) arkitektur Tillhandahåller arkitektoniska byggstenar och funktionsgrupper för att utforma Nulová dôvera (Zero Trust) arkitekturer, utan att förskriva specifika tekniker eller produkter. |
Säkerhetsarkitektur | Detta fyller utrymmet mellan NIST:s abstrakta arkitektur och implementeringsvägledning, vilket gör det möjligt för arkitekter att översätta Nulová dôvera (Zero Trust) principer till design i företagsskala. |
|
Funktioner för identitets-, autentiserings-, auktoriserings- och principtillämpning Definierar funktioner som krävs för att verifiera identitet, utvärdera förtroende dynamiskt och tillämpa åtkomstbeslut konsekvent i olika miljöer. |
Identitet och åtkomst | Anpassar sig direkt till åtkomstsäkerhet som ett införandeområde: vem som kan komma åt vad, under vilka villkor och hur det beslutet verkställs. |
|
Datacentrerade skyddsfunktioner Betonar skydd av information oavsett plats, inklusive dataklassificering, skydd och principdriven åtkomst. |
Datasäkerhet | Speglar Nulová dôvera (Zero Trust) övergången från perimetersäkerhet till datacentrerad säkerhet, och överensstämmer naturligt med dataskydd som en implementeringsdomän. |
|
Funktioner för synlighet, övervakning, analys och svar Innehåller funktioner för att samla in telemetri, övervaka förtroendesignaler och anpassa principer baserat på observerade risker. |
SecOps | Möjliggör kontinuerlig utvärdering och upprätthållande – centralt för Nulová dôvera (Zero Trust)-verksamhet och säkerhetsövervakning i stor skala. |
|
Säkerhetsfunktioner för program- och tjänstinteraktion Adresserar hur program och tjänster deltar i Nulová dôvera (Zero Trust), inklusive säkra interaktioner, tjänstidentitet och körningsframtvingande. |
Dev-säkerhet | Stöder integrering av Nulová dôvera (Zero Trust) i moderna programlivscykler och tjänst-till-tjänst-kommunikation. |
|
Funktioner för plattforms- och miljösäkerhet Omfattar säker drift av plattformar, nätverk och miljöer som är värdar för arbetsbelastningar, utan att behandla nätverket som en förtroendegräns. |
Säkerhet för infrastruktur | Anpassar infrastruktursäkerheten till Nulová dôvera (Zero Trust)-principer genom att behandla infrastrukturen som möjlig att genomdriva, men inte som inneboende betrodd. |
|
Utökad miljö och stöd för icke-traditionella tillgångar Identifierar uttryckligen IT/OT/IoT-konvergens och behovet av Nulová dôvera (Zero Trust) funktioner i begränsade och heterogena miljöer. |
Infrastruktur (OT/IoT-säkerhet) | Matchar implementeringsverkligheten där OT/IoT kräver ett tydligt ägarskap men ändå måste anpassas till företagets Nulová dôvera (Zero Trust) strategi. |
|
Kapacitetsbaserad mognad och kontinuerlig förbättring Tillhandahåller en funktionsmodell som är avsedd att utvärdera aktuellt tillstånd, vägleda förbättringar och anpassa med tiden när hot och teknik utvecklas. |
Säkerhetsstatus | Positionerar Nulová dôvera (Zero Trust) som ett pågående program, inte en engångsimplementering – i direkt linje med målen för säkerhetsstatushantering. |
Mappa Microsoft-teknologier till modellen
Nulová dôvera (Zero Trust)-referensmodellen innehåller också en övergripande sammanfattning av Nulová dôvera (Zero Trust) komponenter. Det här diagrammet visar hur Microsoft tekniker mappas till dessa komponenter:
DoD-Nolltillit strategi
Det amerikanska försvarsdepartementet släppte en DoD-Nulová dôvera (Zero Trust) strategi och färdplan.
Information om hur du konfigurerar Microsoft molntjänster för DoD Nulová dôvera (Zero Trust)-strategin finns i Konfigurera Microsoft-tjänster för DoD Nulová dôvera (Zero Trust)-strategin.
Nästa steg
Välj ett affärsscenario och lär dig hur säkerhetsdiscipliner mappar till scenariot.