零信任的安全终结点

现代企业具有访问数据的终结点的惊人多样性。 并非所有终结点都由组织管理甚至拥有,从而导致设备配置和软件补丁级别不尽相同。 这会产生巨大的攻击面,如果尚未解决,则来自不受信任的终结点的工作数据的访问很容易成为零信任安全策略中最薄弱的链接。 (下载零信任成熟度模型: Zero_Trust_Vision_Paper_Final 10.28.pdf.)

零信任坚持“永不信任,始终验证”的原则。就终结点而言,这意味着始终验证 所有 终结点。 这不仅包括合同工、合作伙伴和来宾的设备,还包括员工用来访问工作数据的应用和设备,也就是说,无论设备归谁所有,都需要进行验证。

在零信任方法中,无论设备是公司拥有还是个人拥有,都应用相同的安全策略(BYOD):设备是完全由 IT 管理,还是仅保护应用和数据。 这些策略适用于所有终结点,无论它们是 PC、Mac、智能手机、平板电脑、可穿戴设备还是 IoT 设备,也无论它们连接到安全的公司网络、家庭宽带还是公共 Internet。 最重要的是,在这些终结点上运行的应用的运行状况和可信度会影响你的安全状况。 你需要防止公司数据泄露给不受信任或未知的应用或服务,无论是意外的还是恶意的。

在零信任模型中保护设备和终结点时,有几个关键规则: 零信任安全策略通过云集中实施,涵盖终结点安全性、设备配置、应用保护、设备合规性和风险状况。

  • 设备上运行的平台和应用经过安全预配和正确配置,并保持最新状态。
  • 存在安全漏洞时,系统会自动及时地进行响应,以隔离对应用内公司数据的访问。
  • 访问控制系统可确保所有策略控制在访问数据之前生效。

用于保护终结点的零信任部署目标

在大多数组织开始零信任旅程之前,其终结点安全性设置如下:

  • 终结点已加入域,并由组策略对象或 Configuration Manager 之类的解决方案进行管理。 这些选项非常出色,但它们不会利用新式 Windows 配置服务提供商 (CSP),也不需要单独的云管理网关设备来为基于云的设备提供服务。
  • 只有公司网络上的终结点才能访问数据。 这可能意味着需要将设备实际放置在现场以便访问公司网络,或者它们需要 VPN 访问权限,这会增加被入侵的设备访问敏感公司资源的风险。

实现用于保护终结点的端到端零信任框架时,建议首先关注三个初始部署目标。 完成这些任务后,请关注第四个目标:

  1. 终结点注册到云标识提供者。 为了监视任何人使用的多个终结点的安全和风险,你需要 能够查看 可能有权访问资源的所有设备和接入点。 在已注册的设备上,可以强制实施安全基线,该基线还提供基于生物识别或 PIN 的身份验证方法,以帮助消除对密码的依赖。

  2. 仅向云托管且合规的终结点和应用授予访问权限。 设置符合性规则,确保设备在授予访问权限之前满足最低安全要求。 此外,为不符合的设备创建修正规则和通知,以便人们知道如何解决合规性问题。

  3. 为企业设备和 BYOD 强制实施数据丢失防护(DLP)策略。 控制用户可以在有权访问后对数据执行的操作。 例如,将文件保存到不受信任的位置(例如本地磁盘),或者限制与使用者通信应用或聊天应用共享以保护数据。

  4. 终结点威胁检测用于监视设备风险。 瞄准一个单一的玻璃解决方案窗格,以一致的方式管理所有终结点。 使用安全信息和事件管理(SIEM)解决方案路由终结点日志和事务,以便获得更少的但可作的警报。

作为最终任务,检查 IoT 和运营技术网络的零信任原则

终结点零信任部署指南

本指南指导你完成遵循零信任安全框架原则保护设备所需的步骤。

1.向云标识提供者注册终结点

为了帮助限制风险暴露,请监视终结点,以确保每个终结点都有受信任的标识、应用核心安全要求,以及已测量、修正或被视为可接受的恶意软件或数据外泄等内容的风险级别。

设备注册后,用户可以使用其公司用户名和密码访问组织的受限资源进行登录。 如果可用,请使用 Windows Hello 企业版等功能来提高安全性。

初始部署目标阶段 1 中的步骤示意图。

使用 Microsoft Entra ID 注册公司设备

让用于访问组织数据的 Windows 设备,通过以下路径之一加入并注册 Microsoft Entra ID:

对于公司拥有的设备,可以使用以下特定于平台的方法预配新的作系统,并使用 Microsoft Entra ID 注册设备:

  • Windows – Windows Autopilot 是一系列技术,用于设置和预配置新设备,使其可供高效使用。 请参阅 Windows Autopilot 概述

  • iOS/iPadOS - 通过 Apple Business Manager 或 Apple School Manager 购买的公司拥有的设备可以通过自动设备注册在 Intune 中注册。 请参阅 “设置自动设备注册”。

使用 Windows Hello 企业版增强身份验证安全性

若要允许用户使用替代登录方法,将密码的使用替换为设备上的强双重身份验证,并强制规则使用 PIN、用于登录的安全密钥等, 请在用户的 Windows 设备上启用 Windows Hello 企业版

Microsoft Intune 支持两种免费方法来应用和强制实施 Windows Hello 企业版设置:

  • 使用租户范围的策略进行设备注册 时,使用此方法在向 Intune 注册时,将默认的 Windows Hello 企业版策略应用于每个 Windows 设备。 此策略有助于确保加入组织的每个新 Windows 设备都符合 PIN 要求、双因素身份验证等相同的初始配置标准。

    有关详细信息和配置指南,请参阅 Intune 文档中 的设备注册中的 Windows Hello

  • 使用帐户保护配置文件注册后 - 帐户保护配置文件允许在注册 Intune 后,将特定 Windows Hello 企业版配置应用到组织中的不同组。 如果帐户保护配置文件与租户范围的配置文件之间存在冲突,则帐户保护配置文件优先。 这样就可以根据不同的组的要求对不同的组进行调整。

    Intune 帐户保护 配置文件 是帐户保护 策略 类型的一种配置文件,反过来又是 Intune 终结点安全策略的一种类型。 有关配置此配置文件的指导,请参阅 创建终结点安全策略,然后选择帐户保护 策略 类型,后跟帐户保护 配置文件 类型。

2. 限制对云托管且合规的终结点和应用的访问

对于已建立和增强身份验证要求的终结点的标识,请确保这些终结点满足组织的安全预期,然后再使用这些终结点访问组织的数据和资源。

若要限制访问,请使用 Intune 设备符合性策略,该策略适用于 Microsoft Entra 条件访问,以确保只有当前符合安全要求的设备可供经过身份验证的用户用来访问资源。 合规性策略的一个重要部分是 修正通知和规则 ,可帮助用户将不符合的设备带回合规性。

初始部署目标第 2 阶段中的步骤示意图。

使用 Microsoft Intune 创建符合性策略

Microsoft Intune符合性策略是用于评估托管设备的配置的规则和条件集。 这些策略可帮助你从不符合这些配置要求的设备保护组织数据和资源。 托管设备必须满足策略中设置的条件,Intune被视为合规。

Intune 设备符合性具有两个协同工作部分:

  • 符合性策略设置 是一组配置,应用租户范围以提供每个设备接收的内置符合性策略。 合规性策略设置可确定合规性策略在环境中的工作方式,包括如何处理未分配显式设备符合性策略的设备。

    若要配置这些租户范围的设置,请参阅 合规性策略设置

  • 设备符合性策略 是部署到用户组或设备组的特定于平台的离散规则和设置集。 设备评估策略中的规则,以报告其符合性状态。 不符合状态可能会导致一个或多个不符合的作。 Microsoft Entra条件访问策略还可以使用该状态来阻止从该设备访问组织资源。

    若要配置具有设备符合性策略的组,请参阅 在 Microsoft Intune 中创建符合性策略。 有关增加可以使用的符合性配置级别的示例,请参阅 Intune 的 符合性策略计划

为不符合设备建立作和面向用户的通知

每个 Intune 符合性策略都包含 用于不符合的作。 当设备无法满足其分配的符合性策略配置时,将应用这些作。 Intune 和条件访问都读取设备的状态,以帮助确定可以配置或阻止从该设备访问组织资源的其他步骤,只要设备仍然不符合要求。

将作配置为不符合你创建的每个设备符合性策略的一部分。

针对不符合的作包括但不限于以下选项,不同的选项可用于不同的平台:

  • 将设备标记为不符合
  • 将预配置的电子邮件发送给设备的用户
  • 远程锁定设备
  • 向用户发送预配置的推送通知

若要了解可用作、如何将这些作添加到策略以及如何预配置电子邮件和通知,请参阅 Intune 中为不符合的设备配置作

3.为企业设备和 BYOD 部署强制实施数据丢失防护(DLP)的策略

授予数据访问权限后,你希望控制用户可以对数据执行的作及其存储方式。 例如,如果用户使用其企业标识访问文档,则希望防止该文档保存在未受保护的使用者存储位置,或者与使用者通信或聊天应用共享。

初始部署目标第 3 阶段中的步骤示意图。

安全基线有助于建立安全配置的广泛且一致的基线,以帮助保护用户、设备和数据。 Intune 的安全基线是预配置的 Windows 设置组,可帮助你应用相关安全团队建议的已知设置组和默认值。 可以使用这些基线及其默认配置,或对其进行编辑,以创建自定义实例,以满足组织中不同组的不同需求。

请参阅 “使用安全基线”来帮助保护使用 Microsoft Intune 管理的 Windows 设备

自动将更新部署到终结点

若要使托管设备符合不断变化的安全威胁,请使用可自动执行更新部署的 Intune 策略:

加密设备

使用以下特定于平台的选项加密设备上的公司静态数据:

使用应用程序保护策略保护应用级别的公司数据

若要在托管应用中保护企业数据,请使用 Intune 应用保护策略。 Intune 应用保护策略 通过控制其访问和共享方式来帮助保护组织的数据。 例如,这些策略可能会阻止用户将公司数据复制并粘贴到个人应用中,或者需要 PIN 才能访问公司电子邮件。

若要开始创建和使用这些策略,请参阅 如何创建和分配应用保护策略。 有关可以使用的三个增强级别安全配置的一些示例,请参阅 Intune 的应用保护策略数据保护 框架

4. 使用终结点威胁检测监视设备风险

完成前三个目标后,在设备上配置终结点安全性并开始监视新兴威胁,以便在它们成为更大的问题之前对其进行修正。

以下是可以使用和组合的一些Microsoft解决方案:

  • 使用 Microsoft Intune Microsoft Defender - 将 Microsoft Defender for Endpoint 与 Intune 集成时,可以使用 Intune 管理中心在 Intune 管理的设备上配置 Defender for Endpoint,查看 Defender 中的威胁数据和建议,然后采取行动来修正这些问题。 还可以使用 Defender for Endpoint 安全设置管理 方案,该方案允许使用 Intune 策略管理未向 Intune 注册的设备上的 Defender 配置。

  • Microsoft SentinelMicrosoft Sentinel 是一种云原生安全信息和事件管理(SIEM)解决方案,可帮助你发现和快速响应复杂的威胁。

借助 Intune 数据仓库,可以将设备和应用管理数据发送到报告工具,以便智能筛选警报以减少噪音。 选项包括但不限于 使用 Power BI 连接到数据仓库 ,并使用 OData 自定义客户端使用 SIEM 解决方案。

零信任和 OT 网络

Microsoft Defender for IoT 是一种统一的安全解决方案,专门为识别 IoT 和运营技术 (OT) 网络上的设备、漏洞和威胁而构建。 使用 Defender for IoT 在整个 IoT/OT 环境中应用安全性,包括可能没有内置安全代理的现有设备。

OT 网络通常不同于传统的 IT 基础结构,需要一种专门的零信任方法。 OT 系统使用具有专有协议的独特技术,并且可能包括具有有限连接和电源的老化平台、特定的安全要求以及对物理攻击的独特暴露。

Defender for IoT 通过解决特定于 OT 的挑战,支持零信任原则,例如:

  • 帮助你控制与 OT 系统的远程连接。
  • 查看并帮助你减少依赖系统之间的互连。
  • 在网络中查找单一故障点。

部署 Defender for IoT 网络传感器以检测设备和流量,并监视 OT 特定的漏洞。 将传感器细分为整个网络的站点和区域,以监视区域之间的流量,并按照 Defender for IoT 基于风险的缓解步骤降低 OT 环境中的风险。 然后,Defender for IoT 会持续监视设备是否存在异常或未经授权的行为。

OT 网络中部署的 Defender for IoT 的示意图。

与 Microsoft 服务(例如 Microsoft Sentinel)和其他合作伙伴服务(包括 SIEM 和票证系统)进行集成,以在组织中共享 Defender for IoT 数据。

有关详细信息,请参阅:

本指南中涵盖的产品

Microsoft Azure

Microsoft Entra ID

Microsoft Sentinel

Microsoft 365

Microsoft Intune

Microsoft Defender for Endpoint

Microsoft Defender for IoT

Microsoft Intune

结束语

零信任方法可以显著增强设备和终结点的安全状况。 如需获取有关实施的详细信息或帮助,请联系客户成功团队,或通读本指南中的其他章节,其内容涵盖所有零信任要素。

详细了解如何实现端到端零信任策略:

零信任部署指南系列