你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

访问控制

  • 项目

访问控制是人们首先和最常遇到的安全部分。 当他们登录到计算机和移动电话、共享文件或尝试访问应用时,以及使用 ID 卡密钥进入建筑物或房间时,都会看到这种情况。 虽然访问控制不是安全的全部,但它至关重要,我们需要给予适当的关注,以便用户体验和安全保证能够兼顾。

观看以下视频,了解如何制定满足你特定需求的访问控制策略。

从安全外围到零信任

传统的 IT 访问控制方法是限制对公司网络的访问,然后适当地通过更多控制来进行补充。 这种模型会限制传送到企业自有网络连接的所有资源,并且限制过于严格,无法满足企业的动态需求。

Zero trust shift

在组织接受远程工作并采用云技术对其业务模型、客户参与模型、员工参与和授权模型进行数字化转换时,必须采用零信任方法进行访问控制。

零信任原则有助于建立和持续改进安全保证措施,同时还能保持灵活地紧跟新世界的变化节奏。 大多数零信任过程都从访问控制开始,并重点以标识作为作为首选和主要控制,同时会继续采用网络安全技术作为关键元素。 在新式访问控制模型中,网络技术和安全外围策略仍然存在,但它们已不是完整访问控制策略的主要和首选方法。

新式访问控制

组织应制定以下类型的访问控制策略:

  • 完整统一。
  • 在整个技术堆栈中严格应用安全原则。
  • 足够灵活,可满足组织的需求。

此图说明了组织对于多项工作负载、多个云、各种业务敏感级别以及人员和设备同时访问的访问控制策略必须考虑的所有不同元素。

Access Control Overview

良好的访问控制策略不仅仅是一种策略或技术。 它需要一种实用的方法,可采用适当的技术又支持适用于每种方案的策略。

新式访问控制必须满足组织的工作效率需求,并且:

  • 安全:使用所有可用的数据和遥测在访问请求期间显式验证用户和设备的可信度。 这种配置会让攻击者更难模拟合法用户而不被检测出来。 此外,访问控制策略应侧重于消除未经授权的特权提升,例如,授予可用于获取更高特权的特权。 有关保护特权访问的信息,请参阅保护特权访问
  • 一致:确保在整个环境中无缝一致地应用安全保证措施。 此标准可提升用户体验,并消除攻击者利用不连贯或访问控制实现高度复杂的弱点潜入的机会。 我们应采用单一访问控制策略,使用最小数量的策略引擎,以避免配置不一致和配置偏差。
  • 全面:应尽量在靠近资源和访问路径的位置实施访问策略。 这种配置可扩大安全覆盖范围,并帮助安全措施顺利适应方案和满足用户期望。 利用数据、应用程序、标识、网络和数据库的安全控制,使策略实施更靠近有价值的业务资产。
  • 以标识为中心:确定标识和相关控制措施(如有)的使用优先级。 标识控制可为访问请求提供丰富的上下文,以及原始网络流量中没有的应用上下文。 网络控制也很重要,有时是唯一可用的选项(例如,在运营技术环境中),但标识(如果可用)应始终作为第一选择。 从标识层访问应用程序期间出现失败对话框比网络流量阻止更精确且信息更丰富,这样用户更正问题而不再付费致电支持人员的可能性更大。

企业访问模型

企业访问模型是基于零信任的全面访问模型。 此模型解决了内部和外部用户、服务、应用程序和对系统具有管理访问权限的特权帐户等所有类型的访问。

Adding user and application access pathways

有关企业访问模型的详细介绍,请参阅企业访问模型

已知、受信任、允许

有关访问控制的零信任转换,一种有用的观点是:它从身份验证和授权的两步静态过程转变为“已知、受信任、允许”的三步动态过程

Known, trusted, allowed: Physical

  1. 已知:确保所述身份属实的身份验证。 此过程类似于检查政府颁发的身份证照的物理过程。
  2. 受信任:验证用户或设备要访问资源是否足够可信。 此过程类似于机场的安全检查,在允许任何乘客进入机场前筛查他们有无安全风险。
  3. 允许:授予对应用程序、服务或数据的特定权限和特权。 此过程类似于一家航空公司管理乘客的去向、他们乘坐的座舱(头等舱、商务舱或经济舱)以及他们是否需要支付行李费用。

关键访问控制技术

实现新式访问控制的关键技术功能包括:

  • 策略引擎:组织在其上配置技术安全策略以满足工作效率和安全目标的组件。
  • 策略实施点:在整个组织资源中通过策略引擎实施核心策略决策的位置。 这些资源包括数据、应用程序、标识、网络和数据库。

此图描述了 Microsoft Entra ID 如何提供策略引擎和策略强制点,以便安全协议可以实现 已知、受信任的允许 方法。

Known, trusted, allowed: Electronic

Microsoft Entra 策略引擎可以扩展到其他策略强制点,包括:

  • 新式应用程序:用新式身份验证协议的应用程序。
  • 旧版应用程序: 通过 Microsoft Entra 应用程序代理。
  • VPN 和远程访问解决方案:例如 Cisco AnyConnect、Palo Alto Networks、F5、Fortinet、Citrix 和 Zscaler。
  • 文档、电子邮件和其他文件:通过 Microsoft Purview 信息保护。
  • SaaS 应用程序: 有关详细信息,请参阅 教程,了解如何将 SaaS 应用程序与 Microsoft Entra ID 集成。

数据驱动的访问决策

若要实现显式验证的零信任原则,必须做出明智的决策。 零信任策略引擎应有权访问用户和设备上的各种数据,以便做出合理的安全决策。 这种多样性有助于更加放心地识别这些方面:

  • 实际用户是否控制该帐户。
  • 设备是否已被攻击者入侵。
  • 用户是否具有适当的角色和权限。

Microsoft 构建了一个威胁情报系统,该系统集成了来自多种不同信号源的安全上下文。 有关详细信息,请参阅 Microsoft 威胁情报摘要

分段:单独进行保护

组织通常会选择创建边界,将内部环境划分为不同的段,作为访问控制方法的一部分。 此配置旨在遏制成功攻击受攻击段造成的损害。 分段通常使用防火墙或其他网络筛选技术完成,但该理念也可以应用于标识和其他技术。

有关对 Azure 环境应用分段的信息,请参阅 Azure 组件和参考模型

隔离:避免防火墙和忘记

隔离是一种极端形式的分段,有时是保护至关重要的资产所必需的。 隔离最常用于业务关键且难以受当前策略和标准保护的资产。 可能需要隔离的资产类包括操作技术 (OT) 系统,例如:

  • 监督控制和数据采集 (SCADA)
  • 工业控制系统 (ICS)

People, Process, Technology for isolation

隔离必须设计为完整的人员/流程/技术系统,并与业务流程相集成,这样才能取得成功和可持续保护。 如果将此方法作为一种纯技术方法实现,而不通过流程和训练来验证和保持防御,则此方法通常会随着时间的推移而失败。 通过将问题定义为静态和技术,很容易会落入“防火墙和忘记”陷阱。

在大多数情况下,需要通过流程来实现隔离,安全、IT、操作技术 (OT) 以及业务运营(有时)等各种团队都必须遵循这些流程。 成功的隔离通常包括:

  • 人员:对所有员工、供应商和利益干系人进行隔离策略及其角色的训练。 包括为什么它很重要,例如威胁、风险和潜在业务影响、需要执行哪些工作以及如何执行这些工作。
  • 流程:为业务和技术利益干系人建立明确的策略和标准,并记录所有方案的流程,例如供应商访问、变更管理流程、威胁响应过程,包括异常管理。 监视以确保配置不会偏移,并确保正确和严格遵循其他进程。
  • 技术:实施技术控制以阻止未经授权的通信、检测异常和潜在威胁,以及强化与隔离环境交互的桥接和传输设备,例如,操作技术 (OT) 系统的操作员控制台。

有关详细信息,请参阅资产保护:网络隔离

后续步骤

无论对访问控制的要求如何,策略都应基于正确的基础。 这些文章和云采用框架中提供的指南可帮助组织找到和实施正确的方法。

下一个规则是安全操作现代化。