存取控制

  • 發行項

存取控制是人們第一次和最常體驗的安全性的一部分。 當使用者登入電腦和行動電話、共用檔案或嘗試存取應用程式,以及使用識別證來進入大樓或房間時,都會看到存取控制。 雖然存取控制不是安全性的全部,但至關重要,而且需要適當注意,才能提供正確的使用者體驗和安全性保證。

觀看下列影片,以瞭解如何開發符合您特定需求的存取控制策略。

從安全性周邊到零信任

IT 的傳統存取控制方法是以限制公司網路的存取為基礎,然後適當地以更多控制項加以補充。 此模型會將所有資源限制為公司擁有的網路連線,而且已變得太嚴格,無法滿足動態企業的需求。

Zero trust shift

組織必須採用零信任的存取控制方法,因為它們採用遠端工作,並使用雲端技術,以數位方式轉換其商務模型、客戶參與模型、員工參與和授權模型。

零信任原則有助於建立並持續改善安全性保證,同時保持彈性以跟上這個新世界。 大部分的零信任旅程都是從存取控制開始,並專注于身分識別作為慣用和主要控制,同時它們會繼續採用網路安全性技術作為關鍵元素。 網路技術和安全性周邊策略仍存在於新式存取控制模型中,但它們並不是完整存取控制策略中的主要和慣用方法。

新式存取控制

組織應開發存取控制策略,以:

  • 是全面且一致的。
  • 嚴格地在整個技術堆疊中套用安全性原則。
  • 彈性足以滿足組織的需求。

此圖說明組織必須針對多個工作負載、多個雲端、各種商務敏感度層級以及人員與裝置存取的存取控制策略考慮的所有不同元素。

Access Control Overview

良好的存取控制策略超越單一策略或技術。 它需要一種務實的方法,以針對每個案例採用正確的技術和策略。

新式存取控制必須符合組織的生產力需求,而且也是:

  • 安全: 使用所有可用的資料和遙測,在存取要求期間明確驗證使用者和裝置的信任。 此組態可讓攻擊者在未偵測到的情況下模擬合法使用者更加困難。 此外,存取控制策略應該著重于消除未經授權的許可權提升,例如,授與可用來取得更高許可權的許可權。 如需保護特殊許可權存取的詳細資訊,請參閱 保護特殊許可權存取
  • 一致: 確保在整個環境中一致且順暢地套用安全性保證。 此標準可改善使用者體驗,並移除攻擊者在脫離或高度複雜存取控制實作中潛入弱點的機會。 您應該有單一存取控制策略,使用最少的原則引擎數目,以避免設定不一致和設定漂移。
  • 全面: 應盡可能接近資源和存取路徑,強制執行存取原則。 此設定可改善安全性涵蓋範圍,並協助安全性順暢地融入使用者案例和期望。 利用資料、應用程式、身分識別、網路和資料庫的安全性控制,讓原則強制執行更接近價值的商業資產。
  • 身分識別中心: 在可用時優先使用身分識別和相關控制項。 身分識別控制項可為存取要求提供豐富的內容,以及無法從原始網路流量取得的應用程式內容。 網路控制仍然很重要,有時是唯一可用的選項(例如在操作技術環境中),但身分識別應該一律是可用的第一選擇。 從身分識別層存取應用程式期間發生失敗對話方塊會比網路流量區塊更精確且有資訊,讓使用者在不需要昂貴的技術支援中心通話的情況下更可能更正問題。

企業存取模型

企業存取模型是以零信任為基礎的完整存取模型。 此模型可解決內部和外部使用者、服務、應用程式和具有系統系統管理存取權的特殊許可權帳戶所有類型的存取。

Adding user and application access pathways

企業存取模型會在企業存取模型中詳細說明

已知、受信任、允許

存取控制零信任轉換的一個實用觀點是,它會從靜態的驗證和授權雙步驟程式轉向稱為 已知、受信任、允許 的動態三步驟程式:

Known, trusted, allowed: Physical

  1. 已知: 驗證可確保您是您所說的身分。 這個過程類似于檢查政府簽發的相片識別檔的實體程式。
  2. 信任: 驗證使用者或裝置是否值得信任,足以存取資源。 這個過程類似于機場的安全,在允許乘客進入機場之前,先篩選所有乘客的安全風險。
  3. 允許: 授與應用程式、服務或資料的特定許可權。 這個過程類似于一家航空公司,負責管理乘客要去哪裡、他們坐在哪個機艙(一等艙、商務艙或教練),以及他們是否需要支付行李費用。

關鍵存取控制技術

啟用新式存取控制的主要技術功能包括:

  • 原則引擎: 組織設定技術安全性原則以符合組織生產力和安全性目標的元件。
  • 原則強制執行點: 在組織資源上強制執行的點,由原則引擎決定中央原則決策。 資源包括資料、應用程式、身分識別、網路和資料庫。

此圖表描述 Microsoft Entra ID 如何提供原則引擎和原則強制執行點,讓安全性通訊協定可以實 作已知、信任、允許 的方法。

Known, trusted, allowed: Electronic

Microsoft Entra 原則引擎可以延伸至其他原則強制執行點,包括:

  • 新式應用程式: 使用新式驗證通訊協定的應用程式。
  • 繼承應用程式: 透過 Microsoft Entra 應用程式 Proxy。
  • VPN 和遠端存取解決方案: 例如 Cisco Any連線、Palo Alto Networks、F5、Fortinet、Citrix 和 Zscaler。
  • 檔、電子郵件和其他檔案: 透過Microsoft Purview 資訊保護。
  • SaaS 應用程式: 如需詳細資訊,請參閱 整合 SaaS 應用程式的教學課程與 Microsoft Entra ID

資料驅動存取決策

若要履行明確驗證的零信任原則,請務必做出明智的決策。 零信任原則引擎應該能夠存取使用者和裝置上的多樣化資料,才能做出健全的安全性決策。 這種多樣性有助於以更大的信心識別這些層面:

  • 實際使用者是否控制帳戶。
  • 裝置是否已遭到攻擊者入侵。
  • 使用者是否有適當的角色和許可權。

Microsoft 建置了一個威脅情報系統,可整合來自許多和各種訊號來源的安全性內容。 如需詳細資訊,請參閱 Microsoft 威脅情報 摘要。

分割:分開保護

組織通常會選擇建立界限,將內部環境分成不同的區段,作為其存取控制方法的一部分。 此設定的目的是要包含成功攻擊對受攻擊區段的損害。 分割傳統上是使用防火牆或其他網路篩選技術來完成,不過概念也可以套用至身分識別和其他技術。

如需將分割套用至 Azure 環境的資訊,請參閱 Azure 元件和參考模型

隔離:避免防火牆並忘記

隔離是一種極端形式的分割,有時需要保護重要資產。 隔離最常用於業務關鍵且難以達到目前原則和標準的資產。 可能需要隔離的資產類別包括作業技術 (OT) 系統,例如:

  • 監督控制和資料擷取 (SCADA)
  • 工業控制系統(ICS)

People, Process, Technology for isolation

隔離必須設計成完整的人員/程式/技術系統,並與商務程式整合,才能成功且可持續。 如果此方法實作為純粹的技術方法,而不需要流程和訓練來驗證及維持防禦,則此方法通常會經過一段時間的容錯移轉。 將問題定義為靜態和技術,很容易落入 防火牆並忘記 陷阱。

在大部分情況下,需要程式來實作隔離、各種小組,例如安全性、IT、作業技術 (OT),有時必須遵循商務作業的程式。 成功的隔離通常包含:

  • 人員: 訓練所有員工、廠商和專案關係人,以瞭解隔離策略及其部分。 包括為何重要,例如威脅、風險和潛在業務影響、預期要執行的動作,以及如何執行。
  • 程式: 針對廠商存取、變更管理程式、威脅回應程式,包括例外狀況管理等所有案例,為商務和技術專案關係人建立明確的原則和標準和檔程式。 監視以確保設定不會漂移,而且會正確且嚴格地遵循其他程式。
  • 技術: 實作技術控制來封鎖未經授權的通訊、偵測異常和潛在威脅,以及強化與隔離環境互動的橋接和傳輸裝置,例如操作技術 (OT) 系統的操作員主控台。

如需詳細資訊,請參閱 資產保護:網路隔離

下一步

無論您對存取控制的需求為何,您的策略都應該以適當的基本概念為依據。 這些文章和雲端採用架構中提供的指引可協助組織尋找並實作正確的方法。

下一個專業領域是將 安全性作業 現代化。