零信任 是一種安全性策略,可讓您將產品和服務納入您的設計和實作,以遵守下列安全性原則:
明確驗證:一律根據所有可用的數據點來驗證和授權存取。
使用最低特權的存取:限制使用者僅提供足夠存取,並使用工具提供即時存取,同時考慮自適應的風險管理政策。
假設缺口:將爆炸半徑和區段存取降至最低、主動尋找威脅,並持續改善防禦。
如果您的組織遵守零信任策略,您應該將零信任特定的部署目標納入登陸區域設計區域。 您的登陸區域是 Azure 中工作負載的基礎,因此請務必準備您的登陸區域以進行零信任採用。
本文提供將零信任做法整合到登陸區域的指引,並說明遵循零信任原則需要登陸區域以外的解決方案。
零信任支柱和登陸區域設計區域
當您在 Azure 登陸區域部署中實作零信任做法時,應該從考慮每個登陸區域設計區域的零信任指引開始。
如需設計登陸區域的考慮,以及每個區域中重要決策的指引,請參閱 Azure 登陸區域設計區域。
零信任模型具有概念和部署目標所組織的支柱。 如需詳細資訊,請參閱 部署零信任解決方案。
這些要素提供特定的部署目標,可協助組織符合零信任原則。 這些目標超越技術設定。 例如,網路要素具有網路分割的部署目標。 目標不提供如何在 Azure 中設定隔離網路的資訊,而是提供建立架構模式的指引。 當您實作部署目標時,還有其他設計決策需要考慮。
下圖顯示登陸區域設計區域。
下表將零信任要素與架構中顯示的設計區域相互關聯。
| 傳說 | 登陸區域設計區域 | 零信任支柱 |
|---|---|---|
|
Azure 計費和 Microsoft Entra 租戶 | 身分識別支柱 |
|
身分識別和存取管理 |
身分識別要素, 應用程式支柱, 數據支柱 |
|
資源組織 | 身分識別支柱 |
|
統轄 | 可見度、自動化和協調流程要素 |
|
管理 |
端點支柱, 應用程式支柱, 數據支柱, 基礎結構支柱 |
|
網路拓撲和連線能力 | 網路支柱 |
|
安全 | 所有零信任要素 |
|
平臺自動化和DevOps | 可見度、自動化和協調流程要素 |
並非所有零信任部署目標都是登陸區域的一部分。 許多零信任部署目標都是針對將個別工作負載設計及發行至 Azure。
下列各節會檢閱每個要素,並提供實作部署目標的考慮和建議。
保護身分識別
如需保護身分識別之部署目標的相關信息,請參閱 使用零信任保護身分識別。 若要實作這些部署目標,您可以套用身分識別同盟、條件式存取、身分識別治理和實時數據作業。
身分考量
你可以利用 Azure 登陸區的實作選項 ,部署資源,將現有的身份平台擴展到 Azure,並透過實作 Azure 最佳實務來管理身份平台。
您可以在 Microsoft Entra 租用戶中設定零信任策略的許多控制項。 您也可以控制Microsoft 365 和其他使用 Microsoft Entra ID 的雲端服務存取。
您必須規劃超出 Azure 登陸區域中的設定需求。
身分識別建議
制定計劃,於 Microsoft Entra ID 管理超出 Azure 資源的身分識別。 例如,您可以使用:
- 與內部部署身分識別系統同盟。
- 條件式存取原則。
- 授權的使用者、裝置、位置或行為資訊。
使用個別的身分識別資源訂用帳戶來部署 Azure 登陸區域,例如域控制器,以便更安全地存取資源。
盡可能使用 Microsoft Entra 受控識別。
保護端點
如需保護端點之部署目標的相關信息,請參閱 使用零信任保護端點。 若要實作這些部署目標,您可以:
向雲端身分識別提供者註冊端點,以僅透過雲端管理的相容端點和應用程式來存取資源。
針對在 攜帶您自己的裝置 (BYOD) 程式中註冊的公司裝置和個人裝置強制執行數據外泄防護 (DLP) 和訪問控制。
使用端點威脅偵測來監視裝置風險以進行驗證。
端點考慮
端點部署目標適用於終端使用者計算裝置,例如膝上型電腦、桌面電腦和行動裝置。
當您針對端點採用零信任做法時,您必須在 Azure 和 Azure 外部實作解決方案。
您可以使用Microsoft Intune 和其他裝置管理解決方案等工具來實現部署目標。
如果您在 Azure 中有端點,例如在 Azure 虛擬桌面中,您可以在 Intune 中註冊客戶端體驗,並套用 Azure 原則和控件來限制對基礎結構的存取。
端點建議
除了計劃實作 Azure 登陸區域之外,還開發使用零信任做法管理端點的計劃。
如需裝置和伺服器的其他資訊,請參閱 保護基礎結構。
保護應用程式
如需保護應用程式之部署目標的相關信息,請參閱 使用零信任保護應用程式。 若要實作這些部署目標,您可以:
使用 API 來取得應用程式的可見度。
套用原則來保護敏感性資訊。
套用自適應訪問控制。
限制影子IT的觸達範圍。
應用程式考慮
應用程式的部署目標著重於管理組織中的第三方和第一方應用程式。
目標無法解決保護應用程式基礎結構的問題。 相反地,它們旨在確保應用程式的使用安全,特別是雲端應用程式的安全。
Azure 登陸區域做法不提供應用程式目標的詳細控件。 這些控制項會設定為應用程式組態的一部分。
應用程式建議
使用 Microsoft Defender for Cloud Apps 來管理應用程式的存取。
使用適用於 Cloud Apps 的 Defender 中包含的標準化原則來強制執行您的做法。
制定一個計劃,將你的應用程式整合至應用程式存取的實務。 不要比信任第三方應用程式更信任組織所裝載的應用程式。
保護資料
如需保護數據之部署目標的資訊,請參閱 使用零信任保護數據。 若要實作這些目標,您可以:
- 分類和標記數據。
- 啟用訪問控制。
- 實作數據外洩保護。
有關日誌記錄與資料資源管理的資訊,請參閱 Azure 登陸區實施選項。
零信任方法牽涉到數據的廣泛控制。 從實施角度來看, Microsoft Purview 提供資料治理、保護與風險管理的工具。 您可以使用 Microsoft Purview 作為 雲端規模分析 部署的一部分,以提供可大規模實作的解決方案。
資料考量
根據登陸區域訂用帳戶民主化原則,您可以建立數據資源的存取和網路隔離,並建立記錄做法。
參考實施中有政策可用來記錄和管理數據資源。
除了保護 Azure 資源之外,您需要其他控制措施,以符合部署目標。 零信任數據安全性牽涉到分類數據、標記數據以區分敏感度,以及控制數據存取。 它也會延伸到資料庫和文件系統之外。 您必須考慮如何在 Microsoft Teams、Microsoft 365 群組和 SharePoint 中保護數據。
資料建議
Microsoft Purview 提供數據控管、保護和風險管理的工具。
將 Microsoft Purview 作為 雲端規模分析 部署的一部分,以便大規模實作您的工作負載。
安全基礎結構
如需保護基礎結構之部署目標的相關信息,請參閱 使用零信任保護基礎結構。 若要實作這些目標,您可以:
- 監視工作負載中的異常行為。
- 管理基礎結構身分識別。
- 限制人類存取。
- 區隔資源。
基礎結構考慮
基礎結構部署目標包括:
- 管理 Azure 資源。
- 管理作業系統的環境。
- 存取系統。
- 套用特定於工作負載的控制措施。
您可以使用登陸區域訂用帳戶模型,為 Azure 資源建立明確的安全性界限,並在資源層級視需要指派有限的許可權。
組織需要組織其工作負載以進行管理。
基礎結構建議
使用標準 Azure 登陸區域原則 來封鎖不符合規範的部署和資源,以及強制執行記錄模式。
在 Microsoft Entra ID 中設定 Privileged Identity Management ,以提供高權限角色的即時存取。
在 Defender for Cloud 中為登陸區域設定 Just-In-Time 存取,以限制虛擬機器的存取。
建立計劃,以監視和管理部署在 Azure 中的個別工作負載。
保護網路
如需保護網路之部署目標的相關信息,請參閱 使用零信任保護網路。 若要實作這些目標,您可以:
- 實作網路分割。
- 使用雲端原生篩選。
- 實作最低訪問許可權。
網路考量
為了確保您的平台資源支援零信任安全性模型,您必須部署能夠進行 HTTPS 流量檢查的防火牆,並從中央中樞隔離身分識別和管理網路資源。
除了連線訂用帳戶中的網路資源之外,您還需要針對其輪輻虛擬網路中的個別工作負載進行微分區策略的制定。 例如,您可以定義流量模式,併為每個工作負載網路建立更細緻的網路安全組。
網路建議
使用下列零信任特定部署指南來部署您的 Azure 登陸區域:
如需如何將零信任原則套用至應用程式傳遞的資訊,請參閱 Web 應用程式的零信任網路。
如需如何建立工作負載網路方案的詳細資訊,請參閱 使用 Azure 的零信任部署計劃。
可見度、自動化和協調流程
如需可見性、自動化和協調流程之部署目標的相關信息,請參閱 零信任的可見度、自動化和協調流程。 若要實作這些目標,您可以:
- 建立可見度。
- 啟用自動化。
- 透過持續改進來啟用額外的控制功能。
可見度、自動化和編排考量
- 參考實作提供 Azure 記錄的原則,但其他服務需要額外的整合。
- 您應該設定自動化工具,例如 Azure DevOps 和 GitHub,以傳送訊號。
可見度、自動化和協調流程建議
- 將Microsoft Sentinel 部署為 Azure 登陸區域的一部分。
- 建立計劃,將來自 Microsoft Entra 識別碼和工具的訊號整合到 Microsoft 365 到您的 Microsoft Sentinel 工作區。
- 建立執行威脅搜捕練習和持續安全性改進的計劃。