零信任技术支柱第 2 部分
在本单元中,我们将继续讨论其余的零信任部署目标。
通过零信任保护数据
数据保护策略的三个核心要素是:
- 了解数据 - 如果你不知道本地环境和云服务中有哪些敏感数据,则无法充分地保护这些数据。 你需要了解整个组织中的数据,并按敏感级别对所有数据进行分类。
- 保护数据和防止数据丢失 - 敏感数据需要由数据保护策略进行保护,这些策略对数据进行标记和加密或阻止过度共享。 这可确保即使数据移动到企业环境之外,也只有授权用户能够访问数据。
- 监视和修正 - 应持续监视敏感数据,以检测策略违规和有风险的用户行为。 这使你可以采取适当的措施,例如撤销访问权限、阻止用户以及细化保护策略。
数据零信任部署目标
信息保护策略需要涵盖组织的全部数字内容。 作为基准,你需要定义标签,了解敏感数据,并监视标签的使用和整个环境中的操作。 本指南末尾将讨论敏感度标签的使用。
为数据实施端到端零信任框架时,建议首先关注以下初始部署目标:
I. 决定由加密控制。
II. 自动对数据进行分类和标记。
完成上述目标后,专注于以下附加部署目标:
III. 分类由智能机器学习模型扩充。
IV. 访问决策由云安全策略引擎管理。
V. 通过基于敏感度标签和内容检测的 DLP 策略防止数据泄露。
零信任的安全终结点
零信任坚持“永不信任,始终验证”的原则。就终结点而言,这意味着将始终验证所有终结点。 这不仅包括合同工、合作伙伴和来宾的设备,还包括员工用来访问工作数据的应用和设备,也就是说,无论设备归谁所有,都需要进行验证。
在零信任方法中,无论是公司拥有的设备还是个人拥有的设备(自带设备办公 (BYOD));无论是由 IT 部门全面管理的设备,还是仅保护应用和数据的设备,都将应用相同的安全策略。 这些策略适用于所有终结点,无论它们是 PC、Mac、智能手机、平板电脑、可穿戴设备还是 IoT 设备,也无论它们连接到安全的公司网络、家庭宽带还是公共 Internet。
终结点零信任部署目标
在实施端到端零信任框架以保护终结点时,建议首先关注以下初始部署目标:
I. 向云标识提供程序注册终结点。 若要监视任何人使用的多个终结点的安全性和风险,你需要监视可能正在访问你的资源的所有设备和接入点。
II. 仅向云管理的合规终结点和应用授予访问权限。 设置符合性规则,确保设备在授予访问权限之前满足最低安全要求。 此外,还应为不合规的设备设置修正规则,以便人们知道如何解决问题。
III. 为公司设备和 BYOD 实施数据丢失防护 (DLP) 策略。 控制用户可以在有权访问后对数据执行的操作。 例如,限制将文件保存到不受信任的位置(如本地磁盘),或限制与使用者通信应用或聊天应用进行复制和粘贴共享以保护数据。
完成上述目标后,专注于以下附加部署目标:
IV. 终结点威胁检测用于监视设备风险。 使用单一虚拟管理平台以一致的方式管理所有终结点,并使用 SIEM 路由终结点日志和事务,以便获得更少但可操作的警报。
V. 根据公司设备和 BYOD 的终结点风险来限制访问控制。 集成来自 Microsoft Defender for Endpoint 或其他移动威胁防御 (MTD) 供应商的数据,作为设备合规性策略和设备条件访问规则的信息源。 然后,设备风险将直接影响该设备的用户可访问的资源类型。
通过零信任保护基础结构
Azure 蓝图、Azure 策略、Microsoft Defender for Cloud、Azure Sentinel 和 Azure Sphere 可大大提高你部署的基础结构的安全性,并支持采用不同的方法来定义、设计、预配、部署和监视你的基础结构。
基础结构零信任部署目标
在实现用于管理和监视你的基础结构的端到端零信任框架时,建议你首先关注以下初始部署目标:
I. 工作负载受到监视并就异常行为发出警报。
II. 将为每个工作负载分配一个应用标识,并以一致方式配置和部署。
III. 人 (Human) 对资源的访问需要实时 (JIT) 访问
完成上述目标后,专注于以下附加部署目标:
IV. 阻止未授权的部署,并触发警报。
V. 跨工作负载提供精细的可见性和访问控制。
VI. 为每个工作负载分段用户和资源访问权限。
通过零信任保护网络
端到端零信任策略假设漏洞不可避免,而不是认为企业防火墙背后的所有内容都十分安全。 这意味着你必须将请求视为源自不受控制的网络,并验证每个请求,标识管理在这其中起着非常重要的作用。
网络零信任部署目标
在实施端到端零信任框架以保护网络时,建议首先关注以下初始部署目标:
I. 网络分段: 许多具有一些微分段的入口/出口云微外围。
II. 威胁防护: 云原生筛选和已知威胁防护。
III. 加密: 已加密对用户到应用的内部流量。
完成上述目标后,专注于以下附加部署目标:
IV. 网络分段: 完全分布的入口/出口云微外围和更深的微分段。
V. 威胁防护: 基于机器学习的威胁防护和使用基于上下文的信号进行筛选。
VI. 加密: 已加密所有流量。