共用方式為

使用零信任保護身分識別

  • 發行項

在大多數組織開始 零信任 旅程之前,其身分識別方法可能會分散到各種身分識別提供者、雲端與內部部署應用程式之間缺乏單一登錄(SSO),以及對身分識別風險的有限可見度

雲端應用程式和行動工作者在安全性方面需要一種新的思維方式。 許多員工都會攜帶自己的裝置,並以混合方式工作。 數據會在傳統公司網路周邊外部定期存取,並與合作夥伴和廠商等外部共同作業者共用。 傳統的公司應用程式和數據會從內部部署移至混合式和雲端環境。

傳統的安全性網路控制已不夠。

身分識別代表跨 網路端點應用程式的人員、服務或裝置。 在 零信任 安全性模型中,其功能強大、靈活且細微,可用來控制資源的存取。

在身分識別嘗試存取資源之前,組織必須:

  • 使用增強式驗證來驗證身分識別。
  • 確定存取符合規範且能代表該身分識別。
  • 且遵循最低權限存取權原則。

驗證身分識別之後,我們可以根據組織原則、進行中的風險分析和其他工具來控制對資源的存取。

身分識別零信任部署目標

實作身分識別的端對端零信任架構時,建議先專注於這些初始部署目標:

解決上述區域之後,請專注於這些部署目標:

I. 雲端身分識別與內部部署身分識別系統結合

Microsoft Entra ID 可啟用強身份驗證、端點安全性整合點,以及以使用者為中心的原則核心,以確保最低許可權的存取。 Microsoft Entra 條件式存取是原則引擎,用來根據使用者身分識別、環境、裝置健康情況和存取時明確驗證的風險,做出存取資源的決策。 您可以使用 Microsoft Entra ID 來實作 零信任 身分識別策略。

初始部署目標階段 1 內步驟的圖表。

將所有用戶連線到 Microsoft Entra ID,並與內部部署身分識別系統同盟

維護員工身分識別的健康狀態管線,以及必要的安全性成品,包括用於存取原則控制之授權和端點的群組,可讓您在雲端中使用一致的身分識別和控件。

執行下列步驟:

  1. 選擇驗證選項。 Microsoft Entra ID 提供您最佳的暴力密碼破解、DDoS 和密碼噴灑保護,但做出適合您組織和合規性需求的決策。
  2. 只帶來您絕對需要的身分識別。 使用前往雲端作為一個機會,讓服務帳戶只對內部部署有意義。 將內部部署特殊許可權角色保留在內部部署。
  3. 請確定您符合 Microsoft Entra Connect Sync 的硬體需求,以根據您的組織大小。

使用 Microsoft Entra 識別符建立 Identity Foundation

零信任 策略需要明確驗證、使用最低許可權的存取原則,並假設有缺口。 Microsoft Entra ID 可做為原則決策點,根據使用者、端點、目標資源和環境的深入解析來強制執行存取原則。

將Microsoft Entra識別元放在每個存取要求的路徑中。 此程式會透過一般身分識別控制平面連接每個使用者、應用程式和資源,並提供Microsoft Entra ID 與訊號,以做出關於驗證/授權風險的最佳決策。 此外,單一登錄 (SSO) 和一致的原則護欄可提供更佳的用戶體驗,並有助於提高生產力。

將所有應用程式與 Microsoft Entra 識別元整合

單一登錄可防止使用者在各種應用程式中留下其認證的複本,並協助避免網路釣魚攻擊或 MFA 疲勞,因為出現過多提示。

請確定您的環境中沒有多個身分識別和存取管理 (IAM) 解決方案。 此重複會減少Microsoft Entra ID 所見的訊號,讓不良動作專案生活在兩個 IAM 引擎之間的陰影中,並導致用戶體驗不佳。 這種複雜性可能會導致您的商務合作夥伴成為您 零信任 策略的懷疑者。

執行下列步驟:

  1. 整合可說出 OAuth2.0 或 SAML 的新式企業應用程式
  2. 針對 Kerberos 和表單型驗證應用程式, 請使用 Microsoft Entra 應用程式 Proxy 加以整合。
  3. 如果您使用應用程式傳遞網路/控制器發佈舊版應用程式,請使用 Microsoft Entra 識別碼來 與大部分主要應用程式整合 (例如 Citrix、Akamai 和 F5)。
  4. 若要協助探索和移轉 ADFS 和現有/較舊 IAM 引擎的應用程式,請檢閱 將應用程式遷移至 Microsoft Entra 標識符的資源。
  5. 自動化使用者布建

提示

深入瞭解如何實作應用程式的端對端 零信任 策略。

使用強身份驗證明確驗證進行驗證

執行下列步驟:

  1. 推出 Microsoft Entra 多重要素驗證。 這項工作是降低用戶會話風險的基礎部分。 當使用者出現在新的裝置和新位置時,能夠回應 MFA 挑戰是使用者教我們這些熟悉的裝置/位置,因為他們在世界各地行動時,最直接的方式之一(沒有系統管理員剖析個別訊號)。
  2. 封鎖舊版驗證。 惡意執行者最常見的攻擊媒介之一,是針對無法執行新式安全性挑戰的舊版通訊協定,例如 SMTP 使用遭竊/重新執行認證。

II. 條件式存取原則管制存取並提供補救活動

Microsoft Entra 條件式存取會分析使用者、裝置和位置等訊號,以自動化決策,並強制執行資源的組織存取原則。 您可以使用條件式存取原則套用存取控制,例如多重要素驗證 (MFA)。 條件式存取原則可讓您在需要時提示使用者輸入 MFA,並在需要時遠離使用者的方式。

零信任 中的條件式存取原則圖表。

Microsoft提供稱為 安全性預設值 的標準條件式原則,以確保基本層級的安全性。 不過,您的組織可能需要比安全性預設供應專案更多的彈性。 您可以使用條件式存取,以更細微的方式自訂安全性預設值,以及設定符合您需求的新原則。

事先規劃條件式存取原則,並備妥一組作用中和遞補原則,是在零信任部署中強制執行存取原則的基本要素。 花時間在您的 環境中設定已知的網路位置 。 即使您未在條件式存取原則中使用這些網路位置,設定這些IP也會通知Microsoft Entra ID Protection 的風險。

請採取此步驟:

使用 Microsoft Entra 識別子註冊裝置,以限制來自易受攻擊和遭入侵裝置的存取

執行下列步驟:

  1. 啟用Microsoft Entra 混合式聯結Microsoft Entra join。 如果您要管理使用者的膝上型計算機/計算機,請將該資訊帶入Microsoft Entra ID,並用它來協助做出更好的決策。 例如,如果知道使用者來自組織所控制和管理的計算機,則允許具有離線複本的豐富用戶端存取數據。
  2. 在 Microsoft 端點管理員 (EMS) 內啟用 Intune 服務,以管理使用者的行動裝置和註冊裝置。 與膝上型計算機用戶行動裝置相同:您越了解這些裝置(修補程式等級、越獄、破解等),您就越能提供封鎖/允許存取的理由。

提示

瞭解如何實作端點的端對端 零信任 策略。

III. 分析改善可見度

當您使用驗證、授權和布建在 Microsoft Entra ID 中建置資產時,請務必深入瞭解目錄中發生的情況。

設定記錄和報告以改善可見度

請採取此步驟:

IV. 使用身分識別治理來管理身分識別和存取權限

完成初始目標之後,請專注於其他目標,例如更健全的身分識別治理。

其他部署目標階段 4 內步驟的圖表。

使用 Privileged Identity Management 保護特殊許可權存取

控制使用者用來存取特殊許可權作業/角色的端點、條件和認證。

執行下列步驟:

  1. 控制特殊許可權身分識別。 特殊許可權存取不僅是系統管理存取,也是應用程式或開發人員存取權,可以變更任務關鍵性應用程式執行及處理數據的方式。
  2. 使用 Privileged Identity Management 來保護特殊許可權身分識別

使用者同意應用程式是新式應用程式取得組織資源存取權的常見方式,但有一些最佳做法要牢記在心。

執行下列步驟:

  1. 限制使用者同意及管理同意要求 ,以確保組織的數據不會對應用程式造成不必要的暴露。
  2. 檢閱組織中 先前/現有的同意,以取得任何過度或惡意的同意。

如需防止策略存取敏感性資訊的工具詳細資訊,請參閱我們實作身分識別 零信任 策略的指南中的。

驗證權利

透過應用程式集中驗證並從Microsoft Entra標識符驅動,您可以簡化存取要求、核准和重新認證程式,以確保正確的人員具有正確的存取權,而且您有組織使用者存取權的原因。

執行下列步驟:

  1. 使用權利管理建立 存取套件,用戶可以在加入不同的小組/專案時要求這些存取套件 ,並將其存取權指派給相關聯的資源(例如應用程式、SharePoint 網站、群組成員資格)。
  2. 如果目前無法為您的組織部署權利管理,請透過部署自助群組管理自助應用程式存取,至少在您的組織中啟用自助式範例。

使用無密碼驗證來降低網路釣魚和密碼攻擊的風險

透過支援 FIDO 2.0 和無密碼電話登入的 Microsoft Entra ID,您可以移動使用者(尤其是敏感性/特殊許可權使用者)每天採用的認證指標。 這些認證是可降低風險的強式驗證因素。

請採取此步驟:

V. 即時分析使用者、裝置、位置和行為,以判斷風險並持續提供保護

即時分析攸關如何判斷風險和保護。

其他部署目標階段 5 內步驟的圖表。

部署 Microsoft Entra 密碼保護

啟用其他方法來明確驗證使用者時,請勿忽略弱式密碼、密碼噴洒和缺口重新執行攻擊。 傳統 複雜密碼原則不會防止最普遍的密碼攻擊

請採取此步驟:

  • 為雲端內部部署中的用戶啟用Microsoft Entra Password Protection。

啟用Microsoft項目標識碼保護

使用 Microsoft Entra ID Protection 取得更細微的會話/用戶風險訊號。 您可以根據您的組織不斷演進的安全性需求,啟用風險調查和補救選項。

請採取此步驟:

啟用適用於雲端的 Microsoft Defender 應用程式與 Microsoft Entra ID Protection 的整合。

適用於雲端的 Microsoft Defender 應用程式會監視 SaaS 和新式應用程式內的使用者行為。 此訊號會通知Microsoft Entra標識符,瞭解用戶驗證並收到令牌后所發生的情況。 如果使用者模式開始看起來可疑,則訊號可以饋送至Microsoft Entra ID Protection 和條件式存取,通知使用者似乎遭到入侵或高風險。 下一次此使用者提出存取要求時,Microsoft Entra ID 可以正確地採取動作來驗證使用者或將其封鎖。

請採取此步驟:

啟用條件式存取與 適用於雲端的 Microsoft Defender Apps 整合

使用驗證之後發出的訊號,以及搭配 適用於雲端的 Defender Apps 將要求 Proxy 處理至應用程式,您將能夠監視前往 SaaS 應用程式的會話並強制執行限制。

執行下列步驟:

  1. 啟用條件式存取整合

  2. 將條件式存取延伸至內部部署應用程式

啟用受限制的會話以用於存取決策

當用戶的風險很低,但是他們正從未知的端點登入時,您可能會想要允許存取資源,但不允許他們執行讓組織面臨風險動作的事情。 您可以將 Exchange Online 和 SharePoint Online 設定為允許使用者讀取電子郵件或檢視檔案的受限會話,但無法下載電子郵件,並將其儲存在不受信任的裝置上。

請採取此步驟:

VI. 整合來自其他安全性解決方案的威脅訊號,以改善偵測、保護和反應

最後,可以整合其他安全性解決方案,以提高成效。

整合 適用於身分識別的 Microsoft Defender 與 適用於雲端的 Microsoft Defender Apps

與 適用於身分識別的 Microsoft Defender 整合可讓Microsoft Entra ID 知道使用者在存取內部部署、非現代資源(例如檔案共用)時沉溺於有風險的行為。 此訊號可納入整體風險,可能會封鎖雲端中的進一步存取。

執行下列步驟:

  1. 使用 適用於雲端的 Microsoft Defender Apps 啟用 適用於身分識別的 Microsoft Defender,將內部部署訊號帶入我們所瞭解的用戶風險訊號。
  2. 檢查每位有風險的使用者合併調查優先順序分數,以全面檢視SOC應該關注哪些使用者。

啟用 適用於端點的 Microsoft Defender

適用於端點的 Microsoft Defender 可讓您證明 Windows 機器的健康情況,並判斷它們是否正在遭到入侵。 然後,您可以將該資訊饋送至降低運行時間的風險。 雖然 Domain Join 提供您控制的感覺,適用於端點的 Defender 可讓您近乎即時地回應惡意代碼攻擊,方法是偵測多個使用者裝置點擊不受信任的網站的模式,並在運行時間提高其裝置/用戶風險來做出反應。

請採取此步驟:

根據有關網路安全性與 OMB 備忘錄 22-09 的行政命令 14028 保護身分識別

關於改善國家網路安全OMB 備忘錄 22-09 的行政命令 14028 包括 零信任 的具體行動。 身分識別動作包括採用集中式身分識別管理系統、使用強式網路釣魚防護 MFA,以及在授權決策中納入至少一個裝置層級訊號。 如需使用 Microsoft Entra ID 實作這些動作的詳細指引,請參閱 符合具有 Microsoft Entra ID 的備忘錄 22-09 身分識別需求。

本指南涵蓋的產品

結論

身分識別是成功 零信任 策略的核心。 如需實作的進一步資訊或協助,請連絡您的客戶成功小組,或繼續閱讀本指南的其他章節,其涵蓋所有 零信任 要素。



零信任 部署指南系列

簡介的圖示

身分識別的圖示

端點的圖示

應用程式的圖示

數據的圖示

基礎結構圖示

網路圖示

可見度、自動化、協調流程的圖示