零信任和 Microsoft Defender for Cloud Apps
零信任是一种安全策略,用于设计和实现以下安全原则集:
| 显式验证 | 使用最低特权访问 | 假定数据泄露 |
|---|---|---|
| 始终根据所有可用的数据点进行身份验证和授权。 | 使用实时和恰好足够的访问权限 (JIT/JEA)、基于风险的自适应策略和数据保护,来限制用户访问。 | 最大限度地减少影响范围,并对访问进行分段。 验证端对端加密并使用分析来获取可见性、驱动威胁检测并改善防御。 |
Microsoft Defender for Cloud Apps 是零信任策略的主要组件,也是使用 Microsoft Defender XDR 进行 XDR 部署的主要组件。 Microsoft Defender for Cloud Apps 在组织使用云应用时收集信号,并保护在环境与这些应用(包括已批准和未批准的云应用)之间流动的数据。 例如,Microsoft Defender for Cloud Apps 会注意异常行为,例如不可能的旅行、凭据访问以及异常下载、文件共享或邮件转发活动,并向安全团队报告这些行为。
监控零信任
监控零信任时,使用 Defender for Cloud Apps 发现和保护组织中正在使用的 SaaS 应用,并部署策略,以定义希望用户在云中的行为方式。
可以使用 Defender for Cloud Apps 的功能,如用户和实体行为分析 (UEBA)、异常情况检测、恶意软件防护、OAuth 应用保护、事件调查和修正来应对威胁。 监控安全异常警报,例如不可能旅行、可疑收件箱规则和勒索软件。 专注于识别应用使用模式、评估应用的风险级别和业务就绪情况、防止数据泄露到不合规的应用,以及限制对管控数据的访问。
使用 Defender for Cloud Apps 通知 Microsoft Entra ID 用户经过身份验证并收到令牌后发生的情况。 如果用户模式开始显得可疑,如用户开始从 OneDrive 下载数千兆字节的数据,或开始在 Exchange Online 中发送垃圾电子邮件,会通知 Microsoft Entra ID 用户似乎遭到入侵或面临高风险。 此用户发出下一次访问请求时,Microsoft Entra ID 可以正确地采取措施来验证或阻止该用户。
IaaS 和 PaaS 安全性
除了 SaaS 应用程序以外,Defender for Cloud Apps 还通过了解公有云平台中的安全配置和合规性状态,帮助增强 IaaS 和 PaaS 服务的安全态势。 这样可对整个平台的配置状态进行基于风险的调查。 与 Microsoft Purview 集成,以标记应用并保护应用中的数据,防止无意中泄露敏感信息。
后续步骤
详细了解零信任以及如何使用 零信任 指导中心构建企业级策略和体系结构。
有关以应用程序为中心的概念和部署目标,请参阅通过零信任保护应用程序。
有关应用程序的其他零信任策略和最佳做法,请参阅以下文章:
- 适用于 SaaS 应用的建议 Microsoft Defender for Cloud Apps 策略
- 零信任应用程序集成
- 为 零信任 创建 Defender for Cloud App 策略
- 为 SaaS 应用部署信息保护
详细了解其他 Microsoft 365 功能,这些功能有助于通过 Microsoft 365的零信任部署计划提供强大的零信任策略和体系结构。
有关 Microsoft Defender XDR 服务的零信任概述,请参阅 Microsoft Defender XDR 零信任。