01
微軟為何要做零信任
微軟一直致力于給用戶帶來更好的產品體驗,,在業(yè)務敏捷性上為用戶增加價值,。在安全能力上,,微軟也一直在不斷迭代發(fā)展,,不過整體而言,,其安全能力主要還是作為Azure云平臺,、Windows操作系統(tǒng),、Office等產品的補充和完善,,用于提升產品的附加值,,暫時并未提供獨立的安全產品或從服務的視角或思維切入安全領域。比如微軟近期發(fā)布的Windows 365,,Cloud PC云端操作系統(tǒng),,在安全防護上,微軟基于“零信任”原則,,憑借自身云端的能力,,從初始設計上就確保了產品的安全性,當然其目的仍然是讓用戶對Windows 365產品感到安心,。微軟認為,,零信任安全戰(zhàn)略應該貫穿于組織的架構,、技術選型、運營流程以及組織的整體文化和員工的思維方式,。
在數(shù)字化轉型時代,,云服務,移動計算,,物聯(lián)網的應用越來越多,,微軟意識到一個企業(yè)如果仍然依賴于本地防火墻和VPN,僅從組織的物理位置決定安全策略,,會缺乏對內部安全風險的可見性,,無法及時提供端到端的安全覆蓋,也就會對其產品的安全性帶來風險和挑戰(zhàn),。同時,,攻擊者開始利用釣魚攻擊、身份憑證竊取等一系列針對身份的攻擊方式,,突破傳統(tǒng)網絡安全邊界,,讓安全工程師疲于奔命。因此,,微軟認為需要新的安全模型,,該模型可以有效地適應現(xiàn)代IT環(huán)境的復雜性。在假定出現(xiàn)了信息泄露的情況下,,只要有請求發(fā)起就需要進行驗證,,無論該請求出自何處,需要訪問什么資源,。這樣可保護位于任何位置的用戶,、設備、應用程序和數(shù)據(jù)等資產,,這就是微軟使用零信任的初衷,。零信任并非不信任一切事物,,而是采用一種更加智慧,、聰明的信任方式。因為,,一切商業(yè)的邏輯——信息流轉都不能否認信任的存在,。沒有信任,,一切都無從談起。
02
微軟網絡安全
參考架構MCRA
除了微軟各產品中對安全的描述,,微軟的網絡安全能力主要集中在微軟網絡安全參考架構 (Microsoft Cybersecurity Reference Architectures,MCRA) 中進行了介紹,。在MCRA中描述了微軟的網絡安全能力是如何利用微軟各類安全服務,、安全產品與微軟各平臺(例如 Microsoft 365 和 Microsoft Azure),、第三方應用(例如 ServiceNow 和 Salesforce)和第三方平臺(例如 Amazon Web Services (AWS) 以及 Google Cloud Platform (GCP))集成的。值得一提的是,,整個MCRA都是以零信任原則進行設計,。如下圖所示:
從圖中我們可以看出微軟多年來一直在網絡安全研究與開發(fā)方面進行了大量投資,以確保產品和服務的安全,,并為其客戶提供保護資產所需的能力,。
整個微軟網絡安全能力架構采用了零信任原則進行設計,分別在身份與訪問,、安全運營,、設備合規(guī)性管控、多云和跨云平臺管理,、軟件即服務(SaaS)的云原生安全控制,、物聯(lián)網與運營管理,信息保護等功能上進行細化和落地,。
此外,,在MCRA中微軟還對零信任基本概念,零信任快速現(xiàn)代化計劃 (Rapid Modernization Plan, RaMP),,安全運營和關鍵計劃(例如,,防御人為操作的勒索軟件、保護特權訪問和超越VPN 形態(tài)的用戶訪問等)的其他關鍵信息進行了介紹,。
03
微軟零信任的
二十年發(fā)展歷史
我們已經能從MCRA中看出微軟在安全領域的持續(xù)投入,,如果追尋零信任在微軟的發(fā)展歷程,可以看到近20年的歷史,。一路走來,,雖然零信任理念已經發(fā)展了許久,但直到最近才被主流逐漸認可和采用,。
在這個過程中,,微軟理解零信任戰(zhàn)略形成了兩個主要的思想流派:網絡派和身份派。
網絡派——通過劃分更小的網段,,并在允許訪問資源之前測量設備的信任度,,來增強網絡訪問控制能力。雖然該方法富有吸引力,,但復雜性較高,。
身份派——Jericho論壇倡導的另一種方法,通過建立身份邊界來實現(xiàn)資源訪問,,從網絡為中心轉移到了數(shù)據(jù)資產為中心,。
微軟在云轉型過程中,融合了網絡和身份模型兩種技術方法實踐零信任,。
在這個過程中,,微軟將零信任安全模型應用于自身實踐,,微軟員工訪問企業(yè)技術資源和服務也需要零信任安全模型來進行隔離和限制。微軟也是在幾年前就開展了零信任的建設,,涉及多方面的技術和多個部門,,并將在未來幾年持續(xù)投入,旨在未來兩到三年內完全實現(xiàn)的零信任目標,。
由于篇幅的原因,,本文對微軟零信任的分析解讀主要針對身份和零信任用戶訪問(Identity and Zero Trust User Access)這一范圍,并不包含MCRA中其它應用零信任原則所涉及的內容,。
04
微軟零信任安全架構的
基本概念
4.1 零信任的指導原則
作為零信任起源Jericho論壇主辦機構The Open Group所發(fā)布白皮書《零信任核心原則》(Zero Trust Core Principles)的參與方,,微軟認可Jericho論壇的零信任理念“從不信任,始終驗證”,。據(jù)此,,微軟提出了自己零信任原則:
1. 進行顯式驗證(Verify Explicitly)
所有可用的數(shù)據(jù)訪問點都必須進行身份驗證和授權,包括用戶身份識別,,位置,、設備的健康情況判斷,服務或工作負載,,數(shù)據(jù)分類分級標簽和異常行為檢測,。
2. 使用最小權限訪問(Use Least Privileged Access)
通過及時(Just-in-time, JIT)和足夠(Just-enough-access, JEA)的訪問權限、基于風險的自適性策略以及數(shù)據(jù)保護來有效限制用戶的訪問,,以幫助保護數(shù)據(jù)并且保障生產力,。
3. 假定數(shù)據(jù)泄露(Assume Breach)
需持續(xù)監(jiān)測與感知網絡、用戶,、設備和應用程序,,來切分其訪問控制權限,縮小數(shù)據(jù)泄露的波及范圍并防止橫向移動,。同時還需驗證所有會話,,均為端對端加密,通過安全可視化的分析手段,,進而驅動威脅探測和加強安全防護,。
每個訪問請求在授予訪問之前都應進行完全身份驗證、授權和加密,。應用微分段和最小特權訪問原則最大限度地減少了橫向遷移,。利用豐富的智能和分析進行檢測并及時響應異常情況。
4.2 零信任訪問控制機制
零信任訪問機制的關鍵組成部分有三個:信息源,、決策引擎,、策略執(zhí)行。
? 信息源:收集用戶、設備的安全狀態(tài)信息,、風險信息,、行為信息等,。
? 決策引擎:基于信號源的信息對信任持續(xù)評估,,做出訪問策略的調整。
? 策略執(zhí)行:對訪問請求做出最終的操作決定,。
4.3 零信任架構組成要素
微軟認為無論何種用戶或應用程序環(huán)境,,都必須提供對其資源的安全訪問能力。在允許訪問前,,都要評估用戶的位置,、角色定義、設備的運行狀態(tài),、服務類型以及請求訪問的數(shù)據(jù)類別等,。并且,最終使用策略消息傳遞和策略自動實施的方法,,在安全性與最佳用戶體驗之間找到平衡點,。
零信任理念應擴展到整個數(shù)字資產,作為集成安全性理念和端到端策略,,是對6個基本元素的安全防護:身份,,設備,應用程序,,數(shù)據(jù),,網絡和基礎設施,來實現(xiàn)零信任,。這6個要素本身既是策略評估所需的信息源,,也是實施控制的抓手,并且還是需要被保護的關鍵資源,。每一項在零信任架構中所起到的作用如下:
? 身份
身份(無論是人員,、設備、應用還是進程)是資源訪問的入口,,是零信任的基礎,。當身份嘗試訪問資源時,系統(tǒng)需要對其進行強身份驗證,,確保該身份是合理且合規(guī)的,,同時保證遵循最小權限訪問原則。
? 設備
身份獲得對資源的訪問權限,,各類設備即會產生通信的數(shù)據(jù)流,,無形中暴露了一個巨大的攻擊面。為了降低設備風險,系統(tǒng)需要持續(xù)對其運行狀況監(jiān)控,,維護其合規(guī)性,。
? 應用
應用程序和API提供了數(shù)據(jù)訪問接口。為了確保不同的身份在不同的應用中具備適當?shù)脑L問權限,,需要實現(xiàn)基于跨應用的實時分析,,完成訪問控制、異常行為監(jiān)視,、用戶操作審核以及安全配置選項驗證等,。
? 數(shù)據(jù)
數(shù)據(jù)是安全的核心,應被分類,、標記和加密,,并基于這些屬性有條件的訪問。
? 網絡
建立可信,、可靠的網絡鏈路是數(shù)據(jù)訪問的重要環(huán)節(jié),。網絡代理可以提供“可信通道”、端到端的數(shù)據(jù)加密,、實時監(jiān)控,、分析,威脅防護,,防止攻擊者在網絡中橫向移動,。
? 基礎設施
建立安全的基礎設施(無論是本地服務器、云端的虛擬機,、容器還是微服務)是減少風險的有效措施,。可以通過對基礎設施的版本評估,、實時訪問權限配置,,攻擊/異常行為持續(xù)監(jiān)測,惡意行為自動阻斷與危險行為標記等方式,,采取防護措施,。
05
微軟零信任安全架構
模型及相關組件
5.1 抽象架構模型
零信任架構(Zero Trust Architecture,ZTA)是微軟基于“零信任指導原則”的企業(yè)安全戰(zhàn)略架構,,核心是保護資源的安全性,,通過細分資源訪問控制防止非法訪問和橫向移動。簡化的微軟零信任架構如下圖所示,。
圖中的訪問主體是身份(Identities)和設備(Devices),。
訪問資源是數(shù)據(jù)(Data)、應用(Apps),、基礎架構(Infrastructure)——容器,、微服務以及底層操作系統(tǒng)和固件等,、網絡(Network)。
架構的核心是安全策略執(zhí)行點(Security Policy Enforcement),,在其它微軟零信任的架構圖中也稱為安全策略引擎(Security Policy Engine(s)),,可提供實時策略評估。該引擎通過分析信號并應用組織策略和威脅情報來提供保護,。在授予對數(shù)據(jù),、應用程序、基礎設施和網絡的訪問權限之前,,它可確保身份得到驗證和驗證,,并且設備是安全的。此外,,它提供持續(xù)地全面地應用可見性與分析以及自動化。
訪問主體和訪問資源這6個對象也是微軟零信任安全架構的6個基本元素,。如果再參考上述微軟MCRA中功能組件與零信任架構組成的關系,,可以發(fā)現(xiàn)架構中的每個組成都有相應的產品/服務/解決方案與之對應,分析如下:
? 身份安全組件:Azure Active Directory(Azure AD),、Microsoft Defender for Identity提供身份認證(MFA\Passwordless)和保護,。
? 設備安全組件:Microsoft Endpoint Manager、Microsoft Defender for Endpoint,。
? 應用安全組件:Microsoft Cloud App Security,、GitHub Advanced Security。
? 數(shù)據(jù)安全組件:Microsoft Information Protection完成數(shù)據(jù)治理,,數(shù)據(jù)分級分類,。
? 網絡安全組件:Microsoft Azure提供的Azure AD App Proxy、Azure ExpressRoute,。
? 基礎設施安全組件:云安全態(tài)勢管理的Azure Security Center,、云原生的SOC(SIEM、SOAR,、UEBA)Azure Sentinel,。
? 核心的安全策略引擎 Security Policy Enforcement對應的是:Azure AD Conditional Access,由它來形成統(tǒng)一安全管控評估決策
5.2 零信任用戶訪問場景參考組件
在零信任用戶訪問場景下,,用戶通過Conditional Access來訪問資源的組件概述如下,。我們可以更加清晰地看到微軟是如何通過其已有的產品/服務搭建起一個完整的零信任用戶訪問架構的。
第一步是收集身份,、設備的安全態(tài)勢信息(風險判定),。
身份信息通過Azure AD Identity Protection,Azure ATP和Cloud App Security結合微軟自建的威脅情報庫來監(jiān)控和分析網絡中的用戶活動和信息,。使用基于非對稱密鑰的用戶身份驗證(Passwordless,無密碼方式)Hello for Business和Azure MFA完成多因子的用戶鑒別,。
設備信息通過Microsoft Defender ATP進行基于風險的漏洞管理和評估,,判斷是否是受控設備,是否滿足設備合規(guī)性要求,。再通過Intune完成設備管理,。
第二步是內置于 Azure Active Directory的Conditional Access在收到初次訪問請求后,會基于用戶和設備的風險狀況進行策略評估,,調整已有的訪問策略,。當用戶暫不滿足信任要求時,會通知用戶再次進行多因子認證,。
第三步通過多因子認證后,,授予用戶相應的訪問權限。訪問應用,、云基礎設施,、數(shù)據(jù)(文檔)等。為了保護暫不支持零信任的資產,,微軟提供了Azure AD App Proxy來作為支撐,。
在整個過程中是暗含持續(xù)地信息監(jiān)測,但這對于用戶來說,,在訪問過程中是全程無感的,。
5.3 用于微軟自身的零信任
在微軟內部,當前主要確定了四個核心場景來幫助實現(xiàn)零信任,。這些場景下的解決方案滿足強身份認證,、受控設備管理和設備健康監(jiān)測、非受控設備的替代訪問以及應用程序健康監(jiān)測的安全性要求,。核心場景有:
場景1:應用程序和服務可以做多因子身份認證和監(jiān)測設備運行狀況,。
場景2:員工可以將設備注冊到設備管理系統(tǒng)中,該系統(tǒng)會強制執(zhí)行設備運行狀況監(jiān)測以控制其對公司資源的訪問,。
場景3:公司員工和商務客戶在使用非受控設備時可以安全地訪問公司資源,。
場景4:對資源的訪問僅限于執(zhí)行指定功能所需的最小權限。
微軟最初實施零信任的側重點是整個企業(yè)(包括員工,、合作伙伴和供應商)中使用的通用企業(yè)服務,。其零信任實施針對的是微軟員工在iOS、Android,、MacOS和Windows等平臺上日常使用的核心應用程序集(例如,,Office應用程序、業(yè)務線的應用程序),。隨著發(fā)展,,重點已經擴展到企業(yè)內使用的所有應用程序。任何訪問公司資源的所有受控或個人設備都必須通過設備管理系統(tǒng)進行管理,。
下圖是微軟為實現(xiàn)零信任的簡化零信任架構,。包含用于設備管理和設備安全策略配置的 Intune,、用于設備健康監(jiān)測的Azure Active Directory (Azure AD) Access Conditions以及用于用戶和設備清單的 Azure AD。
該系統(tǒng)通過將設備配置要求推送到受控設備,,與Intune 配合使用,。然后設備會生成一份安全程度聲明,該聲明存儲在Azure AD中,。當設備用戶請求訪問資源時,,設備運行狀況將作為與Azure AD進行身份鑒別交換的一部分來進行認證。
06
微軟零信任安全架構
部署與成熟度模型
6.1 確定工作規(guī)劃優(yōu)先級
在具體零信任模型實踐中,,微軟向用戶建議首先確定零信任工作的優(yōu)先級,,以最大限度地提高安全投資回報 (ROI)。
1. 調整組織戰(zhàn)略和團隊
企業(yè)組織的首要任務應該是讓所有技術團隊達成共識,,并建立一個符合業(yè)務需求的單一細分策略,。
2.與上一步同步開展,構建基于身份的邊界
企業(yè)組織應采用多因子身份驗證或無密碼身份控制,,以更好地保護身份安全,。并迅速制定分階段計劃,以衡量(并強制執(zhí)行)訪問資源的用戶和設備的信任度,,最終鑒別所訪問的每個資源的信任度。
微軟對于安全邊界的理解是,,邊界需求一直都存在,,只是其形式隨著時間而不斷演變。從一開始的物理邊界保護資產,,到網絡邊界進行資產隔離,,再到目前基于身份和訪問管理,通過身份鑒別和授權來保護資產免受威脅,。
3.細化網絡邊界(微分段),、網絡安全策略
6.2 實施部署(能力要求)
對于企業(yè)組織后續(xù)創(chuàng)建、部署與微軟產品和服務集成的零信任解決方案,,以及在開發(fā)應用程序時遵循零信任最佳做法的指導,。微軟建議從身份安全入手,因為身份是零信任戰(zhàn)略成功的核心,。微軟圍繞身份,,設備,應用,,數(shù)據(jù),,基礎設施,網絡,,可見性,、自動化和業(yè)務流程編排幾個方面(可以理解為微軟的零信任支柱)的安全性目標要求,,來評估部署采用何種微軟的安全產品來實現(xiàn)零信任,這樣才能夠減少或防止數(shù)據(jù)因上述幾方面的缺陷所導致的威脅和侵害,。
6.2.1 身份
整個身份安全都依賴于微軟的Azure Active Directory (AD)套件,。基本安全性要求有以下三項:
1. 統(tǒng)一云端身份與本地身份
同步Azure AD與本地身份系統(tǒng),,維護統(tǒng)一權威身份源,,并使用強身份認證。
2. 按條件訪問策略,,執(zhí)行受限訪問
分析用戶,、設備和位置等信息,以自動執(zhí)行決策并強制實施資源的訪問策略,。
3. 通過分析提高可見性
通過在Azure中或使用所選的SIEM系統(tǒng)存儲和分析來自Azure AD的日志,。
改進性要求也有3:
1. 身份和訪問權限通過身份治理進行管理。
2. 實時分析用戶,、設備,、位置和行為,以確定風險并提供持續(xù)保護,。
3. 集成來自其他安全解決方案的威脅信號,,以改進檢測、保護和響應,。
6.2.2 設備
在實施端到端零信任框架保護設備時,,基本安全性要求有:
1.在云身份提供商處完成設備注冊。
充分了解訪問資源的所有設備和接入點的安全性,。
2.訪問權限僅授予受云管理且合規(guī)的設備,。
設置合規(guī)性要求以確保設備在授予訪問權限之前滿足最低安全要求。此外,,為不合規(guī)的設備設置補丁規(guī)則,。
3.對自有或受控設備實施數(shù)據(jù)防泄漏 (DLP) 策略
改進性要求有:
1.使用設備威脅檢測監(jiān)控設備風險。
使用統(tǒng)一的設備管理平臺達到管理的一致性,。并使用SIEM管理設備日志和事件,。
2.基于設備風險進行訪問控制。
通過集成Microsoft Defender for Endpoint 或其它第三方數(shù)據(jù),,作為設備合規(guī)性策略和設備條件訪問規(guī)則的信息源,,來檢測設備風險。
6.2.3 應用
在實施零信任方法來管理和監(jiān)控應用程序時,,基本安全性要求有:
1.監(jiān)測應用程序的活動,,保持對其可見性。
微軟會利用Microsoft Cloud App Security實現(xiàn)對應用或API的監(jiān)測,。
2.監(jiān)控影子IT系統(tǒng)的使用,。
3.通過實施策略自動保護敏感信息和活動,。
創(chuàng)建策略檢測云環(huán)境中的風險、違規(guī)行為或可疑數(shù)據(jù)點和活動,。監(jiān)控安全趨勢,、查看安全威脅并生成自定義報告和告警信息。
改進性要求:
1.為所有應用部署自適應訪問和會話控制,。
確保所有應用程序都使用最低權限訪問并進行持續(xù)驗證,。
2.加強對網絡威脅和流氓應用的防范。
利用Cloud App Security 的 UEBA 和機器學習 (ML) 功能,,檢測威脅并在整個云環(huán)境中運行高級威脅檢測,。調整異常檢測的策略。
3.評估云環(huán)境的安全狀況
6.2.4 數(shù)據(jù)
在為數(shù)據(jù)實施端到端零信任框架時,,基本性要求有:
1.數(shù)據(jù)需加密
通過加密保護最敏感的數(shù)據(jù),,無論是靜態(tài)或傳輸中,以限制對敏感的內容的訪問,。
2.自動對數(shù)據(jù)進行打標,、分級分類。
改進型要求:
1.使用機器學習模型增強數(shù)據(jù)分級分類和打標,。
2.訪問決策由云安全策略引擎管理,。
3.基于數(shù)據(jù)標簽和內容檢查的DLP策略防止數(shù)據(jù)泄漏。
6.2.5 基礎設施
在實施端到端零信任框架來管理和監(jiān)控的基礎設施前,,需滿足最低要求,。而在此之上才有基本性要求為:
1.監(jiān)控工作負載并就異常行為發(fā)出警報。
建立了用于監(jiān)控和發(fā)出警報的規(guī)則
2.每個工作負載都分配了一個應用程序標識,,并做到配置和部署的一致性。
3.對資源的訪問使用即時JIT管理權限來加強防御,。
改進性要求:
1.阻止未經授權的基礎設施部署,,并發(fā)出告警信息。
2.實現(xiàn)可跨基礎設施的多維度可見性和基礎設施基于角色的訪問控制,。
3.針對每個基礎設施實施分段
6.2.6 網絡
在實施端到端零信任框架來保護網絡安全時,,需達到的基本要求為:
1.網絡分段。
使用軟件定義的微邊界進行網絡分段,。
2.威脅防護,。
針對已知威脅,對HTTP/S流量的端點使用Azure Web 應用程序防火墻 (WAF)來進行防護,。而對所有端點都在網絡傳輸層,,使用基于威脅情報的Azure防火墻進行過濾。
3.加密用戶到應用程序的內部流量,。
改進目標:
1.網絡分段,。
完全分布式的云微邊界和更深的微分段,。
2.威脅防護。
基于機器學習的威脅防護和基于上下文的信息過濾,。
3.加密,。
對所有流量都進行加密。
6.2.7 可見性,、自動化和編排
在為可見性,、自動化和編排實施端到端零信任框架時,基礎性要求:
1.啟用Microsoft 威脅防護(MTP)來實現(xiàn)安全可見性,。
2.啟用自動化的信息分析,。
改進性目標:
1.啟用額外的保護和檢測控制控件,提高安全可見性和協(xié)調響應的能力,。
6.3 微軟零信任成熟度模型
首先,,微軟認為“零信任”是一個持續(xù)進化的系統(tǒng)工程,而不是一蹴而就能達到某種最終結果的,。為了實施完整的零信任模型,,作為一個集成的安全理念和端到端戰(zhàn)略貫穿于整個組織業(yè)務,并將其擴展到整個組織的資產,。微軟建議從問題開始,,首先明確有哪些用戶身份,需要訪問哪些應用,、服務和數(shù)據(jù),,以及如何訪問;其次需要明確用戶訪問資源所需要滿足的條件,、屬性,、狀態(tài);系統(tǒng)如何通過安全控制策略來實現(xiàn)上述條件,;最后如何確保能夠執(zhí)行這些策略,。
微軟利用幫助客戶保護其企業(yè)組織以及實施自身零信任模型方面的經驗,基于上述提到的6個基本元素,,總結開發(fā)了以下成熟度模型,,幫助企業(yè)組織評估自身零信任現(xiàn)狀,制定實施零信任的方案計劃,,分階段實施零信任模型,。
同時,微軟也開發(fā)了零信任評估工具來幫助用戶確定在零信任實施過程中所處的階段,,并針對零信任的關鍵節(jié)點提供下一步實施計劃和部署指南,。
6.3.1 傳統(tǒng)階段
如果企業(yè)組織尚未開展零信任,通常處于以下狀態(tài):
l 具有靜態(tài)規(guī)則和某些 SSO 的本地標識。
l 設備合規(guī)性,、云環(huán)境和登錄的可見性有限,。
l 扁平的網絡基礎設施導致較大的風險暴露。
6.3.2 中期階段
在此階段,,企業(yè)組織已經開始實施零信任,,并在以下幾個關鍵領域取得進展:
l 利用混合標識和定制化的訪問策略限制對數(shù)據(jù)、應用和網絡的訪問,。
l 設備已注冊并符合IT安全策略,。
l 開始細分網絡,針對云威脅的保護措施已就位,。
l 分析各類信息源用于評估用戶行為并主動識別威脅,。
6.3.3 理想階段
處于理想階段的企業(yè)組織在安全性方面做出了很大改進:
l 已使用通過實時分析動態(tài)訪問應用程序、工作負載,、網絡和數(shù)據(jù)的云端的身份體系,。
l 數(shù)據(jù)訪問的決策由云安全策略引擎管理,數(shù)據(jù)共享過程會被加密及追蹤,。
l 應用網絡微分段和加密技術,。
l 實施自動威脅檢測和響應。
基于以上的模型階段分割,,微軟認為一個企業(yè)可以對比自身的情況,,規(guī)劃安全路線圖,平衡企業(yè)短期安全需求與長期安全戰(zhàn)略間的一致性,。
6.3.4 其它關鍵能力
基于能力成熟度模型,,微軟建議企業(yè)評估自身所處的零信任階段,仍從身份,、設備,、應用程序、數(shù)據(jù),、基礎結構和網絡這6個要素進行建設,,規(guī)劃實施來提高企業(yè)的安全能力,以便更有效地全局部署零信任安全模型,。同時,微軟認為以下各項對于彌補重要的企業(yè)能力和資源差距都至關重要:
1. 強身份認證,。確保強大的多重身份認證和會話風險檢測作為訪問策略的支柱,,以最大限度地降低身份泄露的風險。
2. 基于策略的自適應訪問,。為資源定義可接受的訪問策略,,并借助統(tǒng)一的安全策略引擎實施這些策略,該引擎需要具備治理和洞察差異的能力,。
3. 網絡微分段,。使用軟件定義的微邊界,,從簡單的集中式網絡外圍環(huán)境轉向全面覆蓋的分布式網絡分段。
4. 自動化編排,。使用自動告警和補救方面的工具和技術,,以縮短企業(yè)應對攻擊的響應時間(MTTR)。
5. 情報和人工智能,。利用云智能和所有可用信息進行實時檢測分析,。
6. 數(shù)據(jù)分類和保護。發(fā)現(xiàn),、分類,、保護和監(jiān)控敏感數(shù)據(jù),以最大限度地減少惡意或意外泄露的風險,。
07
結語
雖然企業(yè)最終都會部署集成零信任安全模型,,在保護數(shù)字資產上發(fā)揮極大的功效,但微軟認為零信任安全的實施是一個長期持續(xù)的過程,。實施的每一個階段都可以幫助企業(yè)降低風險,,建立整個數(shù)字資產內的信任體系,但這需要分階段,,根據(jù)當前的零信任成熟度,、可用資源和優(yōu)先級,有的放矢,,對相應領域進行投入和變革,。同時確保每項短期和長期的投入都與當前業(yè)務需求保持一致。
