将适用于零信任 的 SaaS 应用程序与 Microsoft 365 集成
云技术的广泛应用正在转变组织实现业务成果的方式。 这种转变突出了对基于云的应用的依赖,从而对服务型软件 (SaaS)、平台即服务 (PaaS)、基础结构即服务 (IaaS) 和应用开发平台等服务的需求更高。
虽然多云环境有助于降低运营成本并提高可伸缩性,但大量的敏感数据及其提供的灵活性可能会给组织带来安全风险。 必须采取审慎的措施来确保云中托管的资源受到保护。
此解决方案指导你使用 Microsoft 365 应用零信任原则,帮助管理云应用的数字资产,重点在于 SaaS。 SaaS 应用程序在确保应用程序和资源的可用性方面发挥着关键作用,任何设备只要有互联网连接就可以访问这些应用程序和资源。
为确保访问和工作效率的安全,SaaS 的实施需要与基于以下指导原则的零信任安全模型保持一致:
显式验证
始终根据所有可用的数据点进行身份验证和授权。 因此,零信任标识和设备访问策略对于登录和持续验证至关重要。
使用最低权限访问
使用实时和恰好足够的访问权限 (JIT/JEA)、基于风险的自适应策略和数据保护,来限制用户访问。
假定数据泄露
最大限度地减少影响范围,并对访问进行分段。 验证端对端加密并使用分析来获取可见性、驱动威胁检测并改善防御。
Microsoft 365 功能可帮助你将 SaaS 应用程序纳入管理,以满足零信任安全性原则。
在图中:
- 图为 SaaS 应用程序的集合。
- 可以将这些 SaaS 应用程序添加到 Microsoft Entra ID,并将其包含在多重身份验证和条件访问策略的范围内。 有关详细信息,将所有应用与 Microsoft Entra ID 集成。
- 通过 Microsoft Defender for Cloud Apps,可以发现组织使用的其他云应用。 可以批准应用、应用会话控制措施和发现敏感数据。 对于支持联合身份验证的新发现企业云应用,可以将其添加到 Microsoft Entra ID,以强制实施多重身份验证和其他策略。
- Microsoft Purview 信息保护功能可以通过 Microsoft Defender for Cloud Apps 扩展到这些云应用,以保护数据,并防止数据丢失。
为 SaaS 应用程序实施保护层
保护 SaaS 应用程序是一个多层过程。
下图演示了构建基块,以集成与零信任安全模型一致的 SaaS 应用程序。 与实现此目标相关的元素编号为 1、2 和 3。 这些是保护设备管理员将与其他管理员协调完成的层。
在此图中:
| 步骤 | 说明 | |
|---|---|---|
| 1 | 将 SaaS 应用程序添加到 Microsoft Entra ID | 将应用程序添加到 Microsoft Entra ID,以便授权用户可以安全地访问。 可以用 Microsoft Entra ID 注册多种类型的应用程序。 |
| 2 | 创建 Microsoft Defender for Cloud Apps 策略 | 你需要确保策略到位,以确保只有授权用户以及在特定条件得到满足时,用户才能访问资源。 |
| 3 | 为 SaaS 应用程序部署信息保护 | 组织需要保护专有信息,确保信息保护已到位,从而保护敏感数据。 |
有关许可的指导,请参阅 Microsoft 365 安全性与合规性指导。
如需详细信息,请参阅 Microsoft 365 零信任部署计划。
此解决方案所含内容
此解决方案逐步讲解如何部署关键层,以便将适用于零信任的 SaaS 应用程序与 Microsoft 365 集成。
Microsoft 365 可帮助你管理 SaaS 应用程序程序,为你提供发现和管理应用程序的控制和光学措施。 你可能已经了解组织使用的主要云应用。 Microsoft Entra ID 包含可以添加到目录的应用库。 还可以使用 Microsoft Defender for Cloud Apps 来发现用户与之交互的其他云。 有关详细信息,请参阅发现和评估云应用。 了解数字资产后,需要确保只有授权用户并且先满足某些条件后才能访问,并且信息得到适当的保护。
在此解决方案中的步骤包括:
管理员的学习
以下资源有助于管理员了解有关 SaaS 的概念。
为保护 PaaS、IaaS 和 SaaS 服务设计策略
描述:了解如何设计网络安全策略,以保护 SaaS、PaaS 和 IaaS 服务模型中的云服务。
1 小时 42 分钟 - 13 个单元
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈