共用方式為

以 零信任 保護應用程式

背景

若要取得雲端應用程式和服務的完整優勢,組織必須在提供存取與同時保有控制之間取得適當平衡,以保護透過應用程式和 API 存取的關鍵資料。

零信任模型幫助組織確保應用程式及其所包含的資料受到以下保護:

  • 套用控制項和技術來探索影子 IT。
  • 確保適當的應用程式內權限。
  • 根據即時分析限制存取。
  • 監視異常行為。
  • 控制使用者動作。
  • 驗證安全設定選項。

應用程式的 零信任 部署目標

大多數組織開始零信任旅程之前,他們的本地應用程式是透過實體網路或VPN存取,且部分關鍵的雲端應用程式可供使用者存取。

在實施零信任管理與監控應用程式的方法時,我們建議您首先聚焦於以下這些初始部署目標

具有一個複選標記的清單圖示。

I.透過 API 連接應用程式的活動和數據,以深入瞭解這些活動與數據。

II.探索和控制影子 IT 的使用。

III.透過實作原則自動保護敏感性資訊和活動。

達成以上目標之後,專注於下列額外的部署目標:

具有兩個核取記號的清單圖示。

IV.為所有應用程式部署調適型存取和會話控件。

V.加強防範網路威脅和流氓應用程式。

VI.評估雲端環境的安全性狀態

應用程式 零信任 部署指南

本指南將引導您了解依據 零信任 安全框架原則,保護應用程式與 API 所需的步驟。 我們的做法與以下三項 零信任 原則一致:

  1. 明確驗證。 一律根據所有可用的資料點進行驗證和授權,包括使用者身分識別、位置、裝置健康情況、服務或工作負載、資料分類和異常情況。

  2. 使用最低許可權存取。 使用 Just-In-Time 和 Just-Enough-Access 限制使用者存取權(JIT/JEA)、風險型調適型原則和數據保護,以保護數據和生產力。

  3. 假設遭到入侵。 依網路、使用者、裝置和應用程式意識來劃分存取權,以最小化入侵的爆發範圍,並防止水平擴散。 請確認所有會議皆為端對端加密。 使用分析來取得 可見度、推動威脅偵測,以及改善防禦。




具有一個核取記號的檢查清單圖示。

初始部署目標

一. 透過 API 連接活動與應用程式中的數據,以取得可見度

組織中的大部分用戶活動源自雲端應用程式和相關聯的資源。 大部分的主要雲端應用程式都提供 API 來取用租用戶資訊,並接收對應的治理動作。 使用這些整合來監視和警示環境中發生威脅和異常的情況。

執行下列步驟:

  1. 採用 Microsoft Defender for Cloud Apps,與服務合作優化可視性、治理行動與使用率。

  2. 檢閱哪些應用程式可以與 適用於雲端的 Defender Apps API 整合連線,以及連接您需要的應用程式。 使用更深入的可見度來調查雲端環境中應用程式的活動、檔案和帳戶。

提示

學習如何實施端對端身份零信任策略

二、 探索和控制影子IT的使用

平均而言,組織中會使用1,000個不同的應用程式。 80% 的員工使用未經核准的應用程式,這些應用程式沒有人經過檢閱,且可能不符合您的安全性和合規性政策。 而且,由於您的員工能夠從公司網路外部存取您的資源和應用程式,因此您防火牆上的規則和原則已不再足夠。

專注於識別應用程式使用模式、評估應用程式的風險等級和商務整備程度、防止數據外泄至不符合規範的應用程式,以及限制對受管制數據的存取。

提示

學習如何實施端對端的零信任資料策略

執行下列步驟:

  1. 設定 Cloud Discovery,分析您的流量日誌,並將其與包含超過 16,000 種雲端應用程式的 Microsoft Defender for Cloud Apps 目錄進行比對。 應用程式會根據90多個風險因素進行排名和評分。

  2. 探索並識別非法 IT 系統 以找出正在使用的應用程式,並按照以下三種方式之一進行:

    1. 整合 適用於端點的 Microsoft Defender 即時開始收集雲端流量資料,涵蓋不同網路環境下的 Windows 10 裝置。

    2. 在防火牆和其他 Proxy 上部署 適用於雲端的 Defender Apps 記錄收集器,以收集來自端點的數據,並將其傳送至 適用於雲端的 Defender Apps 進行分析。

    3. 將 Defender for Cloud Apps 與您的代理整合。

  3. 識別特定應用程式的風險層級:

    1. 在 [適用於雲端的 Defender 應用程式入口網站] 的 [探索] 下,按兩下 [探索到的應用程式]。 根據您關心的風險因素,篩選組織中探索到的應用程式清單。

    2. 向下切入應用程式以深入瞭解其合規性,方法是按下應用程式名稱,然後按兩下 [資訊 ] 索引標籤以查看應用程式安全性風險因素的詳細數據。

  4. 評估合規性並分析使用量:

    1. 在 [適用於雲端的 Defender 應用程式入口網站] 的 [探索] 下,按兩下 [探索到的應用程式]。 根據您關心的合規性風險因素,篩選在組織中探索到的應用程式清單。 例如,使用建議的查詢來篩選出不符合規範的應用程式。

    2. 向下切入應用程式以深入瞭解其合規性,方法是按下應用程式名稱,然後按兩下 [資訊 ] 索引標籤以查看應用程式合規性風險因素的詳細數據。

    3. 在雲端應用程式防護中心的 [探索] 底下,按一下 [探索到的應用程式],然後按一下您想要調查的特定應用程式以深入分析。 [使用] 索引標籤可讓您知道有多少使用中使用者正在使用此應用程式,以及該應用程式產生了多少流量。 如果您想要查看具體是誰在使用應用程式,可以點選 總活躍使用者 以進一步深入了解。

    4. 深入瞭解 探索到的應用程式。 檢視子域和資源,以了解雲端服務中的特定活動、數據存取和資源 使用量 。

  5. 管理您的應用程式:

    1. 建立新的自定義應用程式標籤,以便根據其商務狀態或理由分類每個應用程式。 然後,這些標籤可用於特定監視用途。

    2. 您可以在 Cloud Discovery 設定下管理應用程式標籤。 然後之後可在 Cloud Discovery 頁面中使用這些標籤來篩選,以及用來建立原則。

    3. 使用 Microsoft Entra Gallery 管理已發現的應用程式。 對於已出現在 Microsoft Entra 圖庫中的應用程式,請套用單一登入並使用 Microsoft Entra ID 管理該應用程式。 要做到這點,對應用程式出現的那一行,選擇該行末端的三個點,然後選擇使用 Microsoft Entra ID 管理應用程式

提示

了解如何為您的網路實施端對端零信任策略

III. 藉由實作原則自動保護敏感性信息和活動

適用於雲端的 Defender Apps 可讓您定義您希望使用者在雲端中的行為方式。 這可以藉由建立原則來完成。 有許多類型:存取、活動、異常偵測、應用程式探索、檔案原則、雲端探索異常偵測和會話原則。

原則可讓您偵測雲端環境中有風險的行為、違規或可疑的數據點和活動。 它們可協助您監視趨勢、查看安全性威脅,以及產生自定義的報告和警示。

執行下列步驟:

  1. 使用已針對許多活動和檔案進行測試的即用政策。 套用治理動作,例如撤銷許可權和暫停用戶、隔離檔案,以及套用敏感度標籤。

  2. 建立 Microsoft Defender for Cloud Apps 建議的新政策。

  3. 設定原則以監視影子 IT 應用程式並提供控制權:

    1. 建立 應用程式探索原則,讓您知道當特定應用程式的下載量或流量出現激增時。 在 探索到的用戶原則、雲端記憶體應用程式合規性檢查 和 新的有風險的應用程式中啟用異常行為。

    2. 持續更新原則,並使用 Cloud Discovery 儀錶板,檢查使用者正在使用哪些(新增)應用程式,以及其使用方式和行為模式。

  4. 使用這個選項控制獲批准的 項目並封鎖不想要的應用程式:

    1. 透過 API 連接應用程式以進行持續監視。

  5. 使用 條件性存取應用程式控制Microsoft Defender for Cloud Apps 來保護應用程式。




具有兩個複選標記的檢查清單圖示。

其他部署目標

IV. 為所有應用程式部署調適型存取和會話控制件

完成初始三個目標之後,您可以專注於其他目標,例如確保所有應用程式都使用最低許可權存取與持續驗證。 動態調整和限制存取,因為會話風險變更可讓您在員工將數據和組織置於風險之前,即時停止缺口和外洩。

請採取此步驟:

  • 根據使用者、位置、裝置和應用程式,啟用即時監視和控制任何 Web 應用程式的存取權。 例如,您可以在使用任何非受控裝置時,建立原則來保護具有敏感度標籤的敏感內容的下載。 或者,您可以在上傳時掃描檔案,以偵測潛在的惡意代碼,並封鎖它們進入敏感性雲端環境。

提示

學習如何實施端到端的端對端零信任策略

V. 加強防範網路威脅和流氓應用程式

不良動作專案已開發專用且獨特的攻擊工具、技術和程式(TTP),以雲端為目標來入侵防禦,並存取敏感性和業務關鍵性資訊。 他們會使用非法 OAuth 同意授與、雲端勒索軟體,以及危害雲端身分識別認證等策略。

組織可以使用 適用於雲端的 Defender Apps 中可用的工具回應這類威脅,例如使用者和實體行為分析 (UEBA) 和異常偵測、惡意代碼保護、OAuth 應用程式保護、事件調查和補救。 適用於雲端的 Defender Apps 以現成可用的許多安全性異常為目標,例如不可能的旅行、可疑的收件匣規則和勒索軟體。

不同的偵測是以安全作業小組為考量來開發,旨在將警示聚焦於真正的入侵指標,同時促進威脅情報驅動的調查和補救。

執行下列步驟:

  • 充分利用已自動啟用的 Defender for Cloud Apps UEBA 和機器學習(ML)功能,立即偵測威脅,並在雲端環境中進行進階威脅偵測。

  • 調整和設定異常偵測原則的範圍 。

VI. 評估雲端環境的安全性態勢

除了 SaaS 應用程式之外,組織還大量投資於 IaaS 和 PaaS 服務。 適用於雲端的 Defender Apps 可讓您的組織透過瞭解公用雲端平臺的安全性設定和合規性狀態,評估及強化這些服務的安全性狀態和功能。 這可讓您對整個平臺組態狀態進行風險型調查。

執行下列步驟:

  1. 使用 Cloud Apps 的 Defender 來監視雲端環境中的資源、訂閱、建議和相應的嚴重性。

  2. 透過保持雲端平台(如 Microsoft AzureAWSGCP,符合組織組態政策與法規遵循,並遵循 CIS 基準或廠商的安全配置最佳實務,來降低安全漏洞的風險。

  3. 使用 適用於雲端的 Defender Apps,安全性設定儀錶板可用來驅動補救動作,以將風險降到最低。

提示

了解如何為您的基礎建設實施端對端零信任策略

本指南涵蓋的產品

Microsoft Azure

Microsoft Entra ID

Microsoft 365

Microsoft Defender for Cloud Apps

雲端探索

Microsoft Intune(包含Microsoft Intune和設定管理員)

行動應用程式管理

結論

無論雲端資源或應用程式位於何處,零信任 原則都能確保您的雲端環境與資料受到保護。 如需這些流程的詳細資訊,或協助進行這些實作,請連絡您的客戶成功團隊。



零信任部署指南系列

簡介的圖示

身分識別的圖示

端點的圖示

應用程式的圖示

數據的圖示

基礎結構圖示

網路圖示

可見度、自動化、協調流程的圖示

  • Last updated on