技術支柱 零信任 部署
由於貴組織可能已經有 零信任 保護的元素,因此本檔集提供概念資訊,讓您開始進行部署計劃,以及端對端遵循 零信任 原則的實作建議。 每篇文章都會作為部署目標的檢查清單,其中包含步驟和詳細信息的連結。
您可以跨七個技術支柱實作 零信任 控件和技術,以跨IT基礎結構部署 零信任原則。 其中六個支柱是信號來源、一個用於執法的控制平面,以及要捍衛的重要資源。 跨這些是收集這些訊號的支柱,並提供安全性事件和自動化和協調流程的可見度,以回應和減輕網路安全性威脅。
下列文章提供這七個技術支柱的概念資訊和部署目標。 使用這些文章來評估整備程度,並建置部署計劃以套用 零信任 原則。
| 技術支柱 | 描述 |
|---|---|
 身分識別 |
無論是代表人員、服務或 IoT 裝置,皆由身分識別來定義零信任控制平面。 當一個身分嘗試存取資源時,我們需要使用增強式驗證來驗證該身分,並確保存取符合該身分的標準和典型要求。 且遵循最低權限存取權原則。 |
 端點 |
一旦獲得資源的身分識別存取權,數據就可以流向各種不同的端點(裝置),從IoT裝置到智慧型手機、BYOD到合作夥伴管理的裝置,以及內部部署工作負載到雲端裝載的伺服器。 這種多樣性會建立大量受攻擊面區域。 監視及強制執行裝置健康情況和合規性,以確保安全存取。 |
 Data |
[最後,安全性小組正在保護數據。 只要有可能,即使資料離開組織所控制的裝置、應用程式、基礎結構和網路,資料仍然可以保持安全。 分類、標記和加密資料,並根據這些屬性限制存取。 |
 Apps |
應用程式和 API 提供資料使用的介面。 它們可能是舊版內部部署工作負載、隨即轉移至雲端工作負載或新式 SaaS 應用程式。 套用控制項和技術來探索影子 IT、確保適當的應用程式內權限、以即時分析為基礎的入口存取、監視異常行為、控制使用者動作,以及驗證安全的設定選項。 |
 基礎結構 |
基礎結構 (無論是內部部署伺服器、雲端式 VM、容器或微服務) 代表關鍵威脅向量。 評估版本、設定和 JIT 存取,以強化防禦。 使用遙測技術偵測攻擊和異常,並自動封鎖及標記危險的行為,並採取保護動作。 |
 Network |
最終會透過網路基礎結構存取所有資料。 網路控制可提供關鍵的控制項,來加強可見度並協助防止攻擊者在網路上橫向移動。 將網路分段 (且執行深入的網路內微分段),並部署即時威脅防護、端對端加密、監視和分析。 |
 可見度、自動化和協調流程 |
在我們的 零信任 指南中,我們會定義在身分識別、端點(裝置)、數據、應用程式、基礎結構和網路之間實作端對端 零信任 方法的方法。 這些活動能提高可見度,讓您更妥善地做出信任決策。 透過這些個別區域產生自己的相關警示,我們需要整合功能來管理產生的數據湧入,以更好地防範威脅並驗證交易的信任。 |
建議的訓練
| 訓練 | 建立 零信任 的指導原則和核心元件 |
|---|---|
|
使用此學習路徑瞭解將 零信任 原則套用至身分識別、端點、應用程式存取、網路、基礎結構和數據的重要技術要素的基本概念。 |
其他 零信任資源
根據您組織中的檔集或角色,使用這些額外的 零信任 資源。
檔集
請遵循下表,以取得您需求的最佳 零信任 檔集。
| 檔集 | 協助您... | 角色 |
|---|---|---|
| 主要商務解決方案和成果階段和步驟指引的採用架構 | 將 C 套件 零信任 保護套用至 IT 實作。 | 安全性架構師、IT 小組和項目經理 |
| 小型企業 零信任 | 將 零信任 原則套用至小型企業客戶。 | 與 Microsoft 365 企業版合作的客戶和合作夥伴 |
| 零信任 快速現代化計劃 (RaMP) 用於專案管理指引和檢查清單,以輕鬆取勝 | 快速實作 零信任 保護的關鍵層。 | 安全性架構設計人員和IT實作者 |
| 使用 Microsoft 365 零信任 部署計劃,以取得逐步且詳細的設計和部署指引 | 將 零信任 保護套用至您的 Microsoft 365 租使用者。 | IT 小組和安全性人員 |
| 適用於 Microsoft Copilots 的 零信任,以取得階梯狀和詳細的設計和部署指引 | 將 零信任 保護套用至 Microsoft Copilots。 | IT 小組和安全性人員 |
| 適用於 Azure 服務的 零信任,以取得逐步且詳細的設計和部署指引 | 將 零信任 保護套用至 Azure 工作負載和服務。 | IT 小組和安全性人員 |
| 合作夥伴與 零信任整合,以取得技術領域和特製化的設計指引 | 將 零信任 保護套用至合作夥伴 Microsoft 雲端解決方案。 | 合作夥伴開發人員、IT 小組和安全性人員 |
| 使用 零信任 原則開發應用程式開發設計指引和最佳做法 | 將 零信任 保護套用至您的應用程式。 | 應用程式開發人員 |
您的角色
請遵循下表,取得組織中角色的最佳檔集。
| 角色 | 檔集 | 協助您... |
|---|---|---|
| 安全性架構師 IT 項目經理 IT 實作者 |
主要商務解決方案和成果階段和步驟指引的採用架構 | 將 C 套件 零信任 保護套用至 IT 實作。 |
| 商務用 Microsoft 365 的客戶或合作夥伴 | 小型企業 零信任 | 將 零信任 原則套用至小型企業客戶。 |
| 安全性架構師 IT 實作者 |
零信任 快速現代化計劃 (RaMP) 用於專案管理指引和檢查清單,以輕鬆取勝 | 快速實作 零信任 保護的關鍵層。 |
| 適用於 Microsoft 365 的 IT 或安全性小組成員 | 零信任 Microsoft 365 部署計劃,以取得 Microsoft 365 的逐步設計和部署指引 | 將 零信任 保護套用至您的 Microsoft 365 租使用者。 |
| Microsoft Copilots IT 或安全性小組的成員 | 適用於 Microsoft Copilots 的 零信任,以取得階梯狀和詳細的設計和部署指引 | 將 零信任 保護套用至 Microsoft Copilots。 |
| 適用於 Azure 服務的 IT 或安全性小組成員 | 適用於 Azure 服務的 零信任,以取得逐步且詳細的設計和部署指引 | 將 零信任 保護套用至 Azure 工作負載和服務。 |
| IT 或安全性小組的合作夥伴開發人員或成員 | 合作夥伴與 零信任整合,以取得技術領域和特製化的設計指引 | 將 零信任 保護套用至合作夥伴 Microsoft 雲端解決方案。 |
| 應用程式開發人員 | 針對應用程式開發設計指導方針和最佳做法使用 零信任 原則進行開發 | 將 零信任 保護套用至您的應用程式。 |