零信任 採用架構概觀
數字轉型正在形成新的常態。 組織正在接受數字轉型,藉由追蹤來管理持續的商業環境變更:
- 轉變商業模式和合作關係。
- 技術趨勢。
- 監管、地緣政治和文化力量。
此外,COVID-19 遠端工作加速了這一轉型,並將安全性從成本中心轉移到成長的戰略驅動因素。
零信任 是數位商務的安全性。 數字轉型需要更新傳統安全性模型,因為傳統安全性方法不符合商務靈活度、用戶體驗和持續演進威脅的目前需求。 組織正在實作 零信任 來解決這些挑戰,並讓任何人員隨時都能在任何地方工作的新常態。
不過,從傳統的安全性模型轉向 零信任 代表需要整個組織內購買、採用和變更管理的重大轉換。 商務領導者、技術領導者、安全性領導者和安全性從業者在建立敏捷式 零信任 安全性方法方面都扮演重要角色。
許多安全性架構設計人員和IT小組都要求協助與業務領導者溝通、追蹤進度,以及推動採用。 本指南提供下列資訊,協助安全性和技術小組與商務領導者共同作業,以 零信任:
- 建議 零信任 組織中企業領導者的目標。
- 實作 零信任 架構的有條理和階段式方法。
- 追蹤進度的系統方式,範圍限定於企業領導者。
- 從投影片採用 零信任 的最相關資源,這些投影片已準備好向企業領導者呈現技術實作指引和使用者信息圖。
Microsoft 執行主席兼首席執行官 Satya Nadella:Microsoft 執行主席兼首席執行官 Satya Nadella:「我們的目標是透過建置在我們的全面解決方案上,零信任 協助每個組織加強其安全性功能,其建置基礎是跨所有雲端和平臺的身分識別、安全性、合規性和裝置管理。
作為 Microsoft 合作夥伴,NBConsult 為本採用指引做出了貢獻並提供材料意見反應。
零信任 需要最高層級的購買
零信任 保護商務資產,無論其位於何處,無論其移至何處。 零信任 是一種主動式、整合式的安全性方法,需要知道哪些商務資產和程式最重要的保護,以及保護這些資產,同時保有業務靈活性。
採用 零信任 方法需要跨 C 套件進行購買。 隨著威脅格局的擴展,重大攻擊變得更加常見,功能領域的企業領導者越來越關注組織採取的網路安全性方法。
零信任 可讓整個 C 套件和企業採用可測量的商業成果,以降低威脅並提高生產力。
零信任 將價值新增至市集中看到的兩個主要案例:
- 符合業務成果的正式安全性策略。 這個 零信任 方法透過跨業務共用的值,從上到下提供整個企業的安全性整體檢視。 這通常是由 CISO 主導,業務成果會追蹤為持續 零信任 報告功能的一部分。
- 將安全性委派給 IT 函 式,其中安全性會被視為另一種技術垂直,且最少的 C 套件輸入和整合。 這通常著重於安全性的短期成本優化,而不是將其管理為商業風險,通常會進一步將安全性分成非整合式「最佳品種」的獨立解決方案。
零信任 提供將垂直解決方案整合到單一視覺的方法。 此願景支援一致的商務功能和成果,並提供安全性狀態的持續可測量計量。
傳統上,CISO 或 IT/安全性管理員會設定策略,或至少設定安全性技術選擇。 不過,需要從其他 C 層級領導者購買,才能證明額外的“安全性”支出合理化。 根據 零信任 安全性策略,其他 C 套件成員必須參與 零信任 旅程,瞭解安全性是符合業務成果的共同商務責任。
以下是各種 C 層級函式所採用之可能函式的一般化檢視,以及它們如何使用 零信任 來配合安全性的整合願景。
| 角色 | 責任 | 零信任 興趣 |
|---|---|---|
| 首席執行官(首席執行官) | 負責業務 | 零信任 提供跨所有數位層安全性的整合式方法。 |
| 首席行銷官(CMO) | 負責行銷願景和執行 | 零信任 允許快速從外泄中復原,並賦予公開組織的責任報告功能,讓缺口不受信譽損失的影響。 |
| 資訊長(CIO) | 負責整個IT | 零信任 原則可消除不符合業務成果的垂直安全性解決方案,並啟用安全性即平臺,其符合業務成果。 |
| 資訊安全長(CISO) | 負責安全性計劃實作 | 零信任 原則為組織提供足夠的基礎,以符合各種安全性標準,並讓組織保護數據、資產和基礎結構。 |
| 首席技術官(CTO) | 業務首席架構師 | 零信任 有助於符合業務成果的可防禦技術一致性。 使用 零信任,安全性會模擬到每個架構中。 |
| 首席運營官(COO) | 負責作業執行 | 零信任 有助於操作治理;安全性願景的「操作說明」,以及誰做了什麼和何時出現。 這兩者都符合業務成果。 |
| 首席財務官(CFO) | 負責治理和支出 | 零信任 有助於支出的責任和支出的防禦性;可衡量的方式,針對安全性和 零信任 符合業務成果的支出,獲得風險型措施。 |
C 套件的 零信任 原則
零信任 是以三個原則為基礎的策略和架構。
| 準則 | 技術描述 | 商務描述 |
|---|---|---|
| 明確驗證 | 一律根據所有可用的資料點進行驗證和授權,包括使用者身分識別、位置、裝置健康情況、服務或工作負載、資料分類和異常情況。 | 此原則要求使用者確認他們是誰,使用多個方法,以便不允許駭客取得的遭入侵帳戶存取您的數據和應用程式。 這種方法也需要將裝置辨識為允許存取環境,而且在理想情況下,要受到管理且狀況良好(不會受到惡意代碼入侵)。 |
| 使用最低權限存取 | 使用 Just-In-Time 和 Just-enough-access (JIT/JEA)、風險型調適型原則和數據保護來限制使用者存取,以協助保護數據和生產力。 | 此原則會限制潛在缺口的爆破半徑,因此如果帳戶遭到入侵,則潛在損害會受到限制。 對於具有更高許可權的帳戶,例如系統管理員帳戶,這牽涉到使用限制這些帳戶具有多少存取權的功能,以及其存取權時。 它也牽涉到針對這些帳戶使用較高層級的風險型驗證原則。 此原則也牽涉到識別和保護敏感數據。 例如,與敏感性專案相關聯的文件資料夾應該只包含需要該專案之小組成員的訪問許可權。 這些保護一起會限制遭入侵的用戶帳戶可能造成多少損害。 |
| 假設缺口 | 將爆炸半徑和區段存取權降至最低。 確認端對端加密,運用分析來提升資訊透明度與威脅偵測,並改善防禦。 | 此原則假設攻擊者可能會取得帳戶、身分識別、端點、應用程式、API 或其他資產的存取權。 為了回應,Microsoft 會據此保護所有資產,以限制損害。 此原則也涉及實作工具,以進行持續的威脅偵測和快速回應。 在理想情況下,這些工具可以存取整個環境整合的訊號,並可採取自動化動作,例如停用帳戶,以儘快降低損害。 |
零信任 功能區域和技術架構
零信任的三個原則適用於防禦領域。 這些有時稱為IT管理的功能領域或專業領域。 許多組織都是以這些區域為結構,並有專門的個人小組。
零信任 需要跨這些領域和小組採取整合式方法,這就是為什麼必須跨 C 套件進行購買,以及在整個組織中妥善協調的策略和計劃。
| 功能區域 | 技術定義 | 商務翻譯 |
|---|---|---|
| 身分識別 | 人類和非人類身分識別,包括使用者、計算機和服務主體。 任何可以驗證的專案。 | 任何能夠登入或使用您服務的人或機器。 |
| 端點 | 終端使用者計算裝置,包括計算機、膝上型電腦、行動電話和平板電腦。 | 我們的使用者用來連線到您的服務並操作數據的裝置。 |
| 應用程式 | 需要使用者登入並取用這些服務或應用程式的雲端或數據中心型應用程式。 | 組織使用的所有應用程式,包括您訂閱的 SaaS 應用程式,以及雲端或內部部署中的其他應用程式。 |
| 基礎結構 | 基礎結構即服務 (IaaS) 或以資料中心為基礎的基礎結構,包括網路元件、伺服器和資料記憶體。 | 這些是支援您組織的技術基礎和元件,包括裝載於數據中心或雲端服務的實體和虛擬伺服器。 |
| 資料 | 結構化、非結構化和包含應用程式的數據。 | 您的企業數據包含在檔案、資料庫或其他應用程式中(例如CRM)。 |
| 網路 | LAN、WAN、無線或因特網連線,包括行動裝置(例如 3G 和 5G)或甚至咖啡店無線網路。 | 用來將用戶連線到他們需要的服務的網路。 這可能是公司經營的局域網路(LAN)、更廣泛的網路,包括您數字資產的存取權,或背景工作人員用來連線的因特網連線。 |
在數字資產中套用 零信任 策略時,獨立考慮處理每個領域區域並不有説明。 不像身分識別小組可以完成所有建議,然後 零信任 焦點可以移至管理端點的小組。 零信任 策略會將這些功能區域套用在一起,以保護數位資產內的某個區域,然後擴大其保護範圍。
例如,身分識別小組只能在與端點小組協調之前,在利用 Microsoft Entra 條件式存取原則進行這麼多進展,以共同保護。
下圖會將這些功能區域整合到統一 零信任 架構中。
在此圖表中:
- 每個功能區域都代表:身分識別、端點、網路、數據、應用程式、基礎結構
- 零信任 透過原則和原則優化,整合所有功能領域的保護。
- 威脅防護會即時整合整個組織的訊號,以提供攻擊的可見度,並透過自動化動作和事件回應追蹤簡化補救。
下一節討論如何開始 零信任 旅程。 我們將使用身 分 識別功能區域作為範例。
零信任 採用動議
熟悉 Azure 雲端採用架構 的客戶已詢問:「零信任 採用架構在哪裡?
適用於 Azure 的 雲端採用架構 是一個有條理的程式,可將新的應用程式和服務引入組織。 焦點主要在於組織可以遵循的經過實證程式,以將應用程式或服務引入環境。 縮放動作會針對新增至數字資產的每個應用程式重複此程式。
採用 零信任 策略和架構需要不同的範圍。 這是關於在整個數位資產中引進新的安全性設定。 縮放動作為二維:
- 擷取 零信任 架構,例如數據保護,以及在整個數位資產中相應放大此保護。
- 使用 零信任 架構的每個額外部分重複此程式,從策略性快速獲勝和基礎片段開始,然後前進到更複雜的部分。
如同 Azure 的 雲端採用架構,此 零信任 採用指引可解決採用案例的工作,如下一節所述。
下圖摘要說明這兩種採用動作類型之間的差異。
此 零信任 採用指引會使用與 Azure 雲端採用架構 相同的生命周期階段,但已針對 零信任 進行調整。
下表描述生命周期階段。
| 生命周期階段 | 描述 |
|---|---|
| 定義策略 | 建置著重於最符合組織風險和戰略目標的結果的商業案例。 |
| 計畫 |
|
| 就緒 |
|
| 採用 | 以累加方式跨功能區域實作策略。 |
| 控管 | 追蹤及測量部署的成功。 |
| 管理 |
|
商務案例
本 零信任 採用指引建議透過下列商務案例建立 零信任 策略和架構:
每一個商務案例都會在文章中描述,說明如何透過每個生命週期階段進行技術工作,從建置商務案例開始。 會一路上提供最適當的資源。
每個商務案例都會將 零信任 的工作細分為可管理的工作,這些工作可在四個實作階段內實作。 這可協助您在實作 零信任 架構的不同層級時,排定優先順序、向前移動及追蹤工作。
本指南包含PowerPoint 投影片組,其中包含進度投影片 ,可讓您用來呈現工作,並針對商務領袖和其他專案關係人追蹤進度。 投影片包含的功能可協助您追蹤和呈現專案關係人進度。 以下是範例。
本指南也包含 Excel 活頁簿 ,其中包含每個商務案例的工作表,可用來指派擁有者,並追蹤每個階段、目標和工作的進度。 以下是範例。
在整個商務案例中,實作階段大致一致,以便跨案例完成階段 1 的目標,有助於讓組織在所有方面保持一致。
開始 零信任 旅程
如果您要踏上零信任旅程,該旅程符合商業案例,或希望接受 零信任 作為戰略防禦理論,則成功可能難以衡量。 這是因為安全性不會傳遞簡單的傳遞/失敗類型的評估。 相反地,安全性是承諾和旅程,零信任 提供指導原則。
使用此採用指引作為程序架構,首先建立並記錄我們的安全性策略,非常類似於專案初始檔(PID)。 使用適用於策略的原則,至少應該記載:
- 您在做什麼?
- 你為什麼要這麼做?
- 您如何同意並衡量成功?
每個商務案例都包含一組不同的資產,並使用不同的工具來清查。 有條不紊地,您會從每個商務案例的資產清查和分類開始:
- 資產識別: 您想要保護哪些資產,例如身分識別、數據、應用程式、服務和基礎結構? 您可以使用上述所述的功能區域作為開始位置的指南。 資產識別會形成定義 策略 和 規劃 生命週期階段的一部分。 定義 策略 階段可以清楚說明特定案例,而 計劃 階段則記載數字資產。
- 資產分類: 每個已識別的資產,例如身分識別、業務關鍵數據和人力資源數據,有多重要? 資產分類是「就緒」階段的一部分,您可以在其中開始識別每個資產的保護策略。
- 資產管理: 您如何選擇保護(控管)和管理這些資產?
- 資產復原: 如何從資產(控管)的危害或失去控制權中復原?
每個商務案例都建議如何取得清查,以及如何保護資產並報告進度。 雖然在商務案例中不可避免地會有一些重疊,但此採用指引會嘗試在主要一個商務案例中處理資產類型,以盡可能簡化。
追蹤進度
在整個 零信任 採用程式中追蹤進度非常重要,因為它可讓您的組織監視和衡量戰略目標和目標。
要追蹤和測量的專案
Microsoft 建議採取兩種方法來追蹤進度:
- 測量您的進度,以降低企業的風險。
- 測量您在跨 零信任 架構達成戰略目標的進度。
許多組織使用國際標準化組織(ISO)標準資源和工具來衡量組織的風險。 具體而言:
ISO/IEC 27001:2022
- 資訊安全、網路安全和隱私權保護
- 資訊安全管理系統
- 需求
ISO 31000
- 風險管理
這些標準中的需求和指導方針是泛型的,可以套用至任何組織。 它們提供結構化且全面的方式,讓您檢閱和衡量適用於您組織的風險,以及風險降低措施。
識別並瞭解適用於您組織的特定風險,可協助您跨 零信任 架構排定最戰略目標的優先順序。
如何追蹤和測量
一旦貴組織識別並排定了最策略性技術目標的優先順序,您就可以規劃實作的分段藍圖。 接著,您可以使用各種工具來追蹤進度。
可自定義的追蹤報告
Microsoft 提供可自定義的 PowerPoint 和 Excel 追蹤工具。 這些會預先填入目標與工作,由 零信任 商務案例組織。 您可以使用自己的優先順序、目標和小組成員來自定義這些專案。
- 商務領導者追蹤器 - 具有進度追蹤投影片的可 下載PowerPoint投影片組 。 這些是專為協助您在高層次追蹤和溝通進度而設計。 自定義這些投影片以供您自己的使用。
- 實作者追蹤器 - 可 下載的 Excel 活頁簿 ,用來指派擁有權,並追蹤您的進度,並完成階段、目標和工作。 針對商務案例專案潛在客戶、IT 潛在客戶和IT實作者。
產品內儀錶板
Microsoft 安全性暴露管理 是一種安全性解決方案,可跨公司資產和工作負載提供安全性狀態的統一檢視。 在此工具中, 安全性計劃 可協助您評估特定安全性風險領域的整備程度和成熟度。 安全性計劃採取主動式方法來管理安全性程式,以達到特定風險或網域相關目標。
使用 零信任 計劃來追蹤貴組織實作 零信任 安全性的進度。 此方案與 Microsoft 零信任 採用架構一致,可讓您使用與商務案例一致的計量來追蹤進度。 這些計量會跨可採取動作的建議,擷取您的資源涵蓋範圍,以協助安全性小組保護其組織。 此方案也會提供您 零信任 進度的實時數據,可與專案關係人共用。
如需如何在曝光管理工具中使用 零信任 方案的詳細資訊,請參閱快速現代化您的安全性狀態 — 追蹤和測量。
此外,其他數個入口網站和報表可協助您建立企業內風險的概觀,包括:
- Microsoft 安全性暴露管理中的重要資產保護計劃將跨 Defender 產品與區域的重要資產風險整合在一起。
- Microsoft Defender 全面偵測回應 內的報告提供有關安全性趨勢的資訊,並追蹤身分識別、數據、裝置、應用程式和基礎結構的保護狀態。
- Cloud Security Explorer 可讓您主動尋找安全性風險。
例如,在 Microsoft Defender 全面偵測回應 內,裝置清查可讓您清楚檢視尚未受保護網路中新探索到的裝置。 在每個 [裝置清查] 索引卷標頂端,您可以看到未上線的裝置總數。 以下是範例。
![Microsoft Defender 入口網站中 [清查] 索引卷標範例的螢幕快照。](../media/adoption-guide/microsoft-365-defender-device-inventory-example.png#lightbox)
如需使用 Microsoft Defender 全面偵測回應 追蹤進度的詳細資訊,請參閱使用 Microsoft Defender 全面偵測回應 加強安全性狀態。
請注意,由於下列原因,產品內工具所提供的進度百分比可能不正確,因為下列原因而不願意實作所有控件的組織:
- 業務範圍
- 授權
- Capacity
採用的其他文章
進度追蹤資源
針對每個商務案例,您可以使用下列進度追蹤資源。
| 進度追蹤資源 | 這有助於您... | 設計用途 |
|---|---|---|
採用案例方案階段方格可 下載的 Visio 檔案 或 PDF 
|
輕鬆瞭解每個商務案例的安全性增強功能,以及規劃階段階段和目標的工作層級。 | 商務案例項目負責人、商務領導者和其他項目關係人。 |
零信任 採用追蹤器可下載的PowerPoint投影片組 
|
透過計畫階段和目標追蹤進度。 | 商務案例項目負責人、商務領導者和其他項目關係人。 |
商務案例目標和工作可下載的 Excel 活頁簿 
|
指派擁有權並追蹤進度,並完成計劃階段的階段、目標和工作。 | 商務案例專案潛在客戶、IT 潛在客戶和IT實作者。 |
如需其他資源,請參閱 零信任 評量和進度追蹤資源。
其他 零信任 檔
請參閱以檔集或貴組織角色為基礎的其他 零信任 內容。
檔集
請遵循下表,以取得您需求的最佳 零信任 檔集。
| 檔集 | 協助您... | 角色 |
|---|---|---|
| 技術領域一般部署指引的概念和部署目標 | 套用與技術領域一致的 零信任 保護。 | IT 小組和安全性人員 |
| 小型企業 零信任 | 將 零信任 原則套用至小型企業客戶。 | 與 Microsoft 365 企業版合作的客戶和合作夥伴 |
| 零信任 快速現代化計劃 (RaMP) 用於專案管理指引和檢查清單,以輕鬆取勝 | 快速實作 零信任 保護的關鍵層。 | 安全性架構設計人員和IT實作者 |
| 使用 Microsoft 365 零信任 部署計劃,以取得逐步且詳細的設計和部署指引 | 將 零信任 保護套用至您的 Microsoft 365 租使用者。 | IT 小組和安全性人員 |
| 適用於 Microsoft Copilots 的 零信任,以取得階梯狀和詳細的設計和部署指引 | 將 零信任 保護套用至 Microsoft Copilots。 | IT 小組和安全性人員 |
| 適用於 Azure 服務的 零信任,以取得逐步且詳細的設計和部署指引 | 將 零信任 保護套用至 Azure 工作負載和服務。 | IT 小組和安全性人員 |
| 合作夥伴與 零信任整合,以取得技術領域和特製化的設計指引 | 將 零信任 保護套用至合作夥伴 Microsoft 雲端解決方案。 | 合作夥伴開發人員、IT 小組和安全性人員 |
| 使用 零信任 原則開發應用程式開發設計指引和最佳做法 | 將 零信任 保護套用至您的應用程式。 | 應用程式開發人員 |
您的角色
請遵循下表,取得組織中您角色的最佳檔集。
| 角色 | 檔集 | 協助您... |
|---|---|---|
| IT 或安全性小組的成員 | 技術領域一般部署指引的概念和部署目標 | 套用與技術領域一致的 零信任 保護。 |
| 商務用 Microsoft 365 的客戶或合作夥伴 | 小型企業 零信任 | 將 零信任 原則套用至小型企業客戶。 |
| 安全性架構師 IT 實作者 |
零信任 快速現代化計劃 (RaMP) 用於專案管理指引和檢查清單,以輕鬆取勝 | 快速實作 零信任 保護的關鍵層。 |
| 適用於 Microsoft 365 的 IT 或安全性小組成員 | 零信任 Microsoft 365 的部署計劃,適用於 Microsoft 365 的逐步設計與部署指引 | 將 零信任 保護套用至您的 Microsoft 365 租使用者。 |
| Microsoft Copilots IT 或安全性小組的成員 | 適用於 Microsoft Copilots 的 零信任,以取得階梯狀和詳細的設計和部署指引 | 將 零信任 保護套用至 Microsoft Copilots。 |
| 適用於 Azure 服務的 IT 或安全性小組成員 | 適用於 Azure 服務的 零信任,以取得階梯狀和詳細的設計和部署指引 | 將 零信任 保護套用至 Azure 工作負載和服務。 |
| IT 或安全性小組的合作夥伴開發人員或成員 | 合作夥伴與 零信任整合,以取得技術領域和特製化的設計指引 | 將 零信任 保護套用至合作夥伴 Microsoft 雲端解決方案。 |
| 應用程式開發人員 | 使用 零信任 原則開發應用程式開發設計指導方針和最佳做法 | 將 零信任 保護套用至您的應用程式。 |