使用零信任保護應用程式
本文內容
應用程式零信任部署目標
應用程式 零信任 部署指南
初始部署目標
其他部署目標
本指南涵蓋的產品
結論
顯示其他 2 個
背景
若要取得雲端應用程式和服務的完整優勢,組織必須在提供存取與同時保有控制之間取得適當平衡,以保護透過應用程式和 API 存取的關鍵資料。
零信任 模型可協助組織確保應用程式及其包含的資料受到下列保護:
套用控制項和技術來探索影子 IT。
確保適當的應用程式內權限。
根據即時分析限制存取。
監視異常行為。
控制使用者動作。
驗證安全設定選項。
在大部分組織開始零信任旅程 之前 ,其內部部署應用程式會透過實體網路或 VPN 存取,而某些重要的雲端應用程式可供使用者存取。
展開資料表
本指南將逐步引導您完成遵循 零信任 安全性架構原則來保護應用程式和 API 所需的步驟。 我們的方法符合這三個 零信任 原則:
明確驗證。 一律根據所有可用的資料點進行驗證和授權,包括使用者身分識別、位置、裝置健康情況、服務或工作負載、資料分類和異常情況。
使用最低許可權存取。 使用 Just-In-Time 和 Just-Enough-Access 限制使用者存取權(JIT/JEA)、風險型調適型原則和數據保護,以保護數據和生產力。
假設可能遭到入侵。 依網路、使用者、裝置和應用程式意識來劃分存取權,以最小化入侵的爆發範圍,並防止水平擴散。 驗證所有工作階段皆為端對端的加密狀態。 使用分析來取得 可見度 、推動威脅偵測,以及改善防禦。
展開資料表
初始部署目標
I. 透過 API 連接活動與應用程式中的數據,以取得可見度
組織中的大部分用戶活動源自雲端應用程式和相關聯的資源。 大部分的主要雲端應用程式都提供 API 來取用租用戶資訊,並接收對應的治理動作。 使用這些整合來監視和警示環境中發生威脅和異常的情況。
執行下列步驟:
採用 適用於雲端的 Microsoft Defender 應用程式 ,其可與服務搭配使用,以優化可見度、治理動作和使用方式。
檢閱哪些應用程式可以 與 適用於雲端的 Defender Apps API 整合連線,以及連接您需要的應用程式。 使用更深入的可見度來調查雲端環境中應用程式的活動、檔案和帳戶。
平均而言,組織中會使用1,000個不同的應用程式。 80% 的員工使用未經核准的應用程式,這些應用程式沒有人經過檢閱,且可能不符合您的安全性和合規性政策。 而且,由於您的員工能夠從公司網路外部存取您的資源和應用程式,因此您防火牆上的規則和原則已不再足夠。
專注於識別應用程式使用模式、評估應用程式的風險等級和商務整備程度、防止數據外泄至不符合規範的應用程式,以及限制對受管制數據的存取。
執行下列步驟:
設定 Cloud Discovery ,以針對超過 16,000 個雲端應用程式的 適用於雲端的 Microsoft Defender Apps 目錄,分析您的流量記錄。 應用程式會根據90多個風險因素進行排名和評分。
探索並識別影子 IT 以找出正在使用的應用程式,並遵循下列三個選項之一:
與 適用於端點的 Microsoft Defender 整合,以立即開始收集跨 Windows 10 裝置的雲端流量、在網路上收集數據。
在防火牆和其他 Proxy 上部署 適用於雲端的 Defender Apps 記錄收集器 ,以收集來自端點的數據,並將其傳送至 適用於雲端的 Defender Apps 進行分析。
將 適用於雲端的 Defender Apps 與您的 Proxy 整合。
識別特定應用程式的風險層級 :
在 [適用於雲端的 Defender 應用程式入口網站] 的 [探索] 下,按兩下 [探索到的應用程式 ]。 根據您關心的風險因素,篩選組織中探索到的應用程式清單。
向下切入應用程式以深入瞭解其合規性,方法是按下應用程式名稱,然後按兩下 [資訊 ] 索引標籤以查看應用程式安全性風險因素的詳細數據。
評估合規性並分析使用量 :
在 [適用於雲端的 Defender 應用程式入口網站] 的 [探索] 底下,按兩下 [探索到的應用程式 ]。 根據您關心的合規性風險因素,篩選在組織中探索到的應用程式清單。 例如,使用建議的查詢來篩選出不符合規範的應用程式。
向下切入應用程式以深入瞭解其合規性,方法是按下應用程式名稱,然後按兩下 [資訊 ] 索引標籤以查看應用程式合規性風險因素的詳細數據。
在 [適用於雲端的 Defender 應用程式入口網站的 [探索] 底下,按兩下 [探索到的應用程式 ],然後按兩下您想要調查的特定應用程式,向下切入。 [使用] 索引標籤可讓您知道有多少使用中使用者正在使用此應用程式,以及該應用程式產生了多少流量。 如果您想要查看誰,特別是使用應用程式,您可以按兩下 [ 作用中使用者 總數] 來進一步向下切入。
深入瞭解 探索到的應用程式。 檢視子域和資源,以了解雲端服務中的特定活動、數據存取和資源 使用量 。
管理您的應用程式 :
建立新的自定義應用程式標籤,以便根據其商務狀態或理由分類每個應用程式。 然後,這些標籤可用於特定監視用途。
您可以在 Cloud Discovery 設定下管理應用程式標籤的應用程式標籤。 然後之後可在 Cloud Discovery 頁面中使用這些標籤來篩選,以及用來建立原則。
使用 Microsoft Entra 資源庫 管理探索到的應用程式。 針對已出現在 Microsoft Entra 資源庫中的應用程式,請套用單一登錄,並使用 Microsoft Entra 識別元管理應用程式。 若要這樣做,請在相關應用程式出現的數據列上,選擇數據列結尾的三個點,然後選擇 [使用 Microsoft Entra ID 管理應用程式]。
適用於雲端的 Defender Apps 可讓您定義您希望使用者在雲端中的行為方式。 這可以藉由建立原則來完成。 有許多類型:存取、活動、異常偵測、應用程式探索、檔案原則、雲端探索異常偵測和會話原則。
原則可讓您偵測雲端環境中有風險的行為、違規或可疑的數據點和活動。 它們可協助您監視趨勢、查看安全性威脅,以及產生自定義的報告和警示。
執行下列步驟:
使用已針對許多活動和檔案進行測試的現 用原則。 套用治理動作,例如撤銷許可權和暫停用戶、隔離檔案,以及套用敏感度標籤。
建置 適用於雲端的 Microsoft Defender Apps 為您建議的新原則。
設定原則以監視影子 IT 應用程式並提供控制權:
建立 應用程式探索原則 ,讓您知道從您關心的應用程式下載或流量激增時。 在 探索到的用戶原則、雲端記憶體應用程式合規性檢查 和 新的有風險的應用程式中啟用異常行為。
持續更新原則,並使用 Cloud Discovery 儀錶板,檢查使用者正在使用哪些(新增)應用程式,以及其使用方式和行為模式。
使用這個選項控制獲批准的 項目並封鎖不想要的應用程式:
透過 API 連接應用程式以進行持續監視。
使用條件式存取應用程控 和 適用於雲端的 Microsoft Defender 應用程式來保護應用程式 。
展開資料表
其他部署目標
完成初始三個目標之後,您可以專注於其他目標,例如確保所有應用程式都使用最低許可權存取與持續驗證。 動態調整和限制存取,因為會話風險變更可讓您在員工將數據和組織置於風險之前,即時停止缺口和外洩。
請採取此步驟:
不良動作專案已開發專用且獨特的攻擊工具、技術和程式(TTP),以雲端為目標來入侵防禦,並存取敏感性和業務關鍵性資訊。 他們會使用非法 OAuth 同意授與、雲端勒索軟體,以及危害雲端身分識別認證等策略。
組織可以使用 適用於雲端的 Defender Apps 中可用的工具回應這類威脅,例如使用者和實體行為分析 (UEBA) 和異常偵測、惡意代碼保護、OAuth 應用程式保護、事件調查和補救。 適用於雲端的 Defender Apps 以現成可用的許多安全性異常 為目標,例如不可能的旅行、可疑的收件匣規則和勒索軟體。
不同的偵測是使用安全性作業小組所開發,旨在將警示聚焦於真正的入侵指標,同時解除鎖定威脅情報驅動的調查和補救。
執行下列步驟:
除了 SaaS 應用程式之外,組織還大量投資於 IaaS 和 PaaS 服務。 適用於雲端的 Defender Apps 可讓您的組織透過瞭解公用雲端平臺的安全性設定和合規性狀態,評估及強化這些服務的安全性狀態和功能。 這可讓您對整個平臺組態狀態進行風險型調查。
執行下列步驟:
使用 適用於雲端的 Defender Apps 來監視雲端環境的資源、訂用帳戶、建議和對應的嚴重性。
藉由保留雲端平臺,例如 Microsoft Azure 、 AWS 和 GCP ,符合組織設定原則和法規合規性、遵循 CIS 基準檢驗或廠商的安全性設定最佳做法,以限制安全性缺口的風險。
使用 適用於雲端的 Defender Apps,安全性設定儀錶板可用來驅動補救動作,以將風險降到最低。
Microsoft Azure
Microsoft Entra ID
Microsoft 365
適用於雲端應用程式的 Microsoft Defender
Cloud Discovery
Microsoft端點管理員 (包括 Microsoft Intune 和 Configuration Manager)
行動應用程式管理
無論雲端資源或應用程式位於何處,零信任 原則都有助於確保您的雲端環境和數據受到保護。 如需這些程式的詳細資訊,或協助進行這些實作,請連絡您的客戶成功小組。
零信任 部署指南系列