本文介绍了使用 Microsoft 365 构建零信任安全的部署计划。 零信任是一种新的安全模型,它假定存在漏洞,并验证每个请求是否来自不受控制的网络。 无论请求的来源或访问的资源是什么,零信任模型都教我们“永远不要信任,始终验证”。
零信任安全体系结构
零信任方法扩展到整个数字资产,并作为一种集成的安全理念和端到端策略。
注解:
- 安全策略强制实施是零信任体系结构的中心。 这包括将用户帐户风险、设备状态以及你设置的其他条件和策略考虑在内的条件访问的多重身份验证。
- 标识、设备、数据、应用、网络和其他基础结构组件都配置了适当的安全性。 为每个组件配置的策略与整体零信任策略协调。 例如,设备策略确定正常设备的条件,条件访问策略要求正常设备才能访问特定应用和数据。
- 威胁防护和情报可监视环境、暴露当前风险,并采取自动操作来修正攻GJ击。
为 Microsoft 365 部署零信任
Microsoft 365 是特意构建的,具有许多安全和信息保护功能,可帮助你在环境中生成零信任。 可以扩展许多功能,以保护对组织使用的其他 SaaS 应用的访问以及这些应用中的数据。
下图表示部署零信任功能的工作。 这项工作分为可以一起配置的工作单元,从底部开始,从顶部到顶部,以确保先决条件工作已完成。
注解:
- 零信任从标识和设备保护的基础开始。
- 威胁防护功能基于此基础构建,可提供对安全威胁的实时监视和修正。
- 信息保护和治理提供针对特定数据类型的复杂控制,以保护最有价值的信息,并帮助你遵守合规性标准,包括保护个人信息。
注解说明:下文配置假定你已配置云标识。如果需要此目标的指导,请参阅 为 Microsoft 365 部署标识基础结构。
1.配置零信任标识和设备访问保护——起点策略
第一步是通过配置标识和设备访问保护来构建零信任基础。
转到零信任标识和设备访问保护,获取实现此目的的规范性指导。 本系列文章介绍了一组标识和设备访问先决条件配置,以及一组 Azure Active Directory (Azure AD) 条件访问、Microsoft Intune和其他策略,用于保护对 Microsoft 365 企业云应用和服务、其他 SaaS 服务以及随 Azure AD 应用程序代理 发布的本地应用程序的访问。
| Includes |
先决条件 |
不包括 |
| 针对三个保护级别的建议标识和设备访问策略:
针对:
|
Microsoft E3 或 E5 采用以下任一模式的 Azure Active Directory:
|
需要托管设备的策略的设备注册。 请参阅2.使用Intune管理终结点以注册设备 |
首先实现起始点层。 这些策略不需要将设备注册到管理中。
2.使用 Intune 管理终结点
接下来,将设备注册到管理中,并开始使用更复杂的控制来保护这些设备。
转到使用Intune管理设备,获取完成此操作的规范性指导。
| Includes |
先决条件 |
不包括 |
| 使用 Intune 注册设备:
配置策略:
|
将终结点注册到 Azure AD |
配置信息保护功能,包括:
|
3.添加零信任标识和设备访问保护——企业策略
通过注册到管理中的设备,现在可以实现一整套建议的零信任标识和设备访问策略,要求设备合规。
返回到 通用标识和设备访问策略 ,并在企业层中添加策略。
4.评估、试点和部署Microsoft 365 Defender
Microsoft 365 Defender是一种扩展的检测和响应 (XDR) 解决方案,可自动收集、关联和分析来自 Microsoft 365 环境(包括终结点、电子邮件、应用程序和标识)的信号、威胁和警报数据。
转到评估和试点Microsoft 365 Defender,获取有关试点和部署Microsoft 365 Defender组件的有条不紊指南。
5.保护和治理敏感数据
实施Microsoft Purview 信息保护,以帮助你发现、分类和保护敏感信息,无论其生活或传播到何处。
Microsoft Purview 附带Microsoft Purview 信息保护功能,为你提供了了解数据、保护数据以及防止数据丢失的工具。
虽然此工作位于本文前面所述的部署堆栈顶部,但可以随时开始这项工作。
Microsoft Purview 信息保护提供了可用于实现特定业务目标的框架、流程和功能。