在 零信任 框架中,身份是基礎的控制平面。 每一次對裝置、應用程式或資料資源的存取決策,都始於驗證使用者身份、權限,以及其上下文是否符合政策。
零信任 Workshop 中的身份支柱確保組織在所有身份上都符合 零信任 原則(明確驗證、執行最低權限及假設遭到入侵)。 它提供 優先排序且可執行的實施待辦清單 ,以現代化身份能力。
身份支柱工作坊的指引著重於評估您目前的身份狀態、識別缺口,並定義優先行動,以現代化身份控制、降低風險,並實現安全且無縫的存取。
工作坊實施
身份工作坊涵蓋了表格中總結的實施領域。
| Area | 詳細資料 |
|---|---|
| 清點並了解身份資產 | 彙整完整的使用者、應用程式、服務主體、群組及身份屬性清單。 指派所有權、定義問責制,並分類關鍵身份資產,以建立身份資產的治理與可見性。 |
| 建立堅實的條件存取基礎 | 實施全面的條件存取策略,持續評估身份、裝置狀態、風險訊號及會話情境。 定義並執行跨使用者、應用程式與情境(包括員工、訪客及舊有存取路徑)一致的存取政策。 |
| 現代化認證並消除舊有協定 | 在所有應用程式與服務中標準化現代認證。 消除舊有的認證方法,並將現有系統遷移至安全、標準化的認證協議,以降低基於憑證的攻擊風險。 |
| 轉換應用程式與身份基礎架構 | 透過將應用程式遷移至 Microsoft Entra ID 為基礎的認證與單一登入(SSO),減少對本地身份系統的依賴。 廢除舊有聯邦與網路存取管理基礎設施。 現代化應用程式存取模式以支援 零信任。 |
| 強制執行最小權限與基於角色的存取 | 根據職務功能,使用基於角色的存取控制(RBAC)及存取套件來分配存取權限。 定義榜樣、執行最低權限,並持續透過存取審查與政策治理驗證存取權限,確保使用者只擁有所需權限。 |
| 保護特權與工作負載身份 | 利用即時授權存取、特權身分管理(PIM)、強式驗證及強化的存取路徑,保護系統管理帳戶和高風險帳戶。 將治理與保護擴展至工作負載身份與服務主體,以降低過度特權或未受管理身份的風險。 |
| 建立身份資料治理與配置流程 | 定義權威身份資料來源、屬性結構及跨系統資料流。 實作配置管線與連接器,確保身份資料在應用程式與服務間保持一致、準確且可靠同步。 |
| 自動化身份生命週期與配置 | 在權威系統如人力資源平台實施自動化配置與生命週期工作流程(加入者、移動者、離開者)。 確保存取權會根據生命週期事件自動授予、更新及移除,並監控並驗證配置流程。 |
| 透過無密碼認證強化憑證安全 | 透過實施密碼防護,並採用具防釣魚能力的無密碼驗證方法(例如 FIDO2、Windows Hello 企業版 和 Microsoft Authenticator),減少對密碼的依賴。 推動組織內採用強認證方法。 |
| 治理外部與夥伴身份 | 為外部使用者及合作夥伴組織建立受控的入職、存取權分配及生命週期流程。 實施存取套件、贊助模式及監控,確保外部身份被妥善治理並與組織政策一致。 |
| 清理並修復現有的進出通道 | 識別並修復過度特權的帳號、未使用的身份及陳舊的群組成員。 進行存取審查並實施持續的治理流程,以維持最小權限並隨時間降低累積的身份風險。 |
| 啟用身份安全監控與回應(SecOps) | 透過整合身份保護、威脅偵測及集中記錄,將身份訊號整合進安全作業中。 監控身份健康狀況,偵測可疑活動,並利用安全分析與營運手冊調查及回應基於身份的威脅。 |
評估身份認同
零信任 評估工具能根據多項安全最佳實務評估您的身份設定。 了解更多。