零信任安全性

  • 發行項

零信任是新安全性模型,此模型會假設入侵,並驗證每個要求,如同其源自於未受控的網路一樣。 在本文中,您會了解零信任的指導方針,並尋找資源以協助您實作零信任。

零信任的指導原則

組織目前需要新的安全性模型,其會有效地適應現代環境的複雜性、支援行動員工,並隨地保護人員、裝置、應用程式和資料。

為了解決這個全新境界的運算,Microsoft 強烈建議使用零信任安全性模型,其指導方針基礎如下:

  • 明確驗證 - 一律以所有可用資料點為基礎,進行驗證和授權。
  • 使用最低權限存取權 - 利用 Just-In-Time 及 Just-Enough 存取 (JIT/JEA)、風險型自適性原則和資料保護,以限制使用者存取。
  • 假設缺口 - 盡可能減少爆炸半徑及區段存取權。 確認端對端加密,運用分析來提升資訊透明度與威脅偵測,並改善防禦。

如需零信任的詳細資訊,請參閱 Microsoft 的零信任指導中心

零信任架構

零信任方法會拓展至整個數位資產,並提供整合式安全性原理和端對端策略的服務。

此圖提供零信任附加的主要元素表示法。

零信任架構

在圖例中:

  • 安全性原則強制執行是零信任結構的中心。 這包括使用條件式存取的多重要素驗證,您可以考慮在使用者帳戶風險、裝置狀態,以及所設其他準則和原則中採用。
  • 身分識別裝置 (也稱為端點)、資料應用程式網路 和其他基礎結構元件均已設定適當的安全性。 針對每個元件設定的原則會搭配整體零信任策略協調。 例如,裝置原則決定良好裝置的準則,而條件式存取原則要求只有良好裝置可以存取特定應用程式和資料。
  • 威脅防護和情報會監視環境、顯示目前的風險,並採取自動化動作來補救攻擊。

如需部署零信任結構技術元件的詳細資訊,請參閱 Microsoft 的部署零信任解決方案

快速現代化計畫 (RaMP) 指引作為部署指導的替代方法,針對零信任原則保護的每個技術元件,提供設定步驟,並根據計畫提供一組部署路徑,讓您更快實作重要的保護層。

從安全界限到零信任

傳統的 IT 存取控制方法是以限制對公司網路的存取為基礎,然後視情況添加更進一步的控制。 此模型會將所有資源限制在公司所擁有的網路連線上,且變得過於嚴格而無法滿足動態企業的需求。

從傳統網路界限轉換為零信任方法

為了以數位方式轉換商務模型、客戶開發模型、員工業務開發和授權模型,採用遠端工作和使用雲端技術後,組織必須採用零信任方法存取控制。

零信任原則可協助您建立並持續改善安全性保證,同時保持彈性以跟上這個新世界的腳步。 大部分的零信任旅程圖從存取控制開始,並把身分識別做為慣用和主要的控制項,同時繼續將網路安全性技術當作關鍵元素。 網路技術和安全界限策略仍然存在於新式存取控制模型中,但它們不是完整存取控制策略中的主要和慣用方法。

如需存取控制的零信任轉換詳細資訊,請參閱雲端採用架構的存取控制

使用零信任的條件式存取

Microsoft 零信任方法包括以條件式存取作為主要原則引擎。 條件式存取是當作零信任架構 (涵蓋了原則定義和原則實施) 的原則引擎使用。 根據各種訊號或條件,條件式存取可以封鎖或提供資源有限的存取權。

若要深入了解如何根據符合零信任指導方針的條件式存取來建立存取模型,請參閱零信任的條件式存取

使用零信任原則,開發應用程式

零信任是安全性架構,而且不依賴在安全網路界限背景互動提供的隱含信任。 但零信任使用明確驗證原則、最低特殊權限存取,並為保護使用者和資料假設入侵,同時允許常見案例,例如網路界限外部的應用程式存取等。

身為開發人員,請務必使用零信任原則保護使用者和資料。 應用程式開發人員可以改善應用程式安全性、將入侵的影響降到最低,並透過採用零信任原則,確保應用程式符合客戶的安全性需求。

如需保護應用程式安全的關鍵最佳做法詳細資訊,請參閱:

零信任和 Microsoft 365

Microsoft 365 包含許多安全性和資訊保護功能,有助您在環境中建置零信任。 您可以延伸很多功能,並保護組織使用的其他 SaaS 應用程式存取權,以及這些應用程式中的資料。 若要深入了解,請參閱部署適用於 Microsoft 365 的零信任

若要了解零信任存取 Microsoft 365 時,部署安全電子郵件、文件與應用程式原則和設定的建議和核心概念,請參閱零信任身分識別和裝置存取設定

後續步驟