揭示「零信任」為資安基石 近三千位報名者線上與會
疫情加速產業結構轉變,亦加速了資安數位轉型,在混合辦公逐漸成為新常態下,台灣微軟於10/19至10/23首次舉辦線上「2020 Microsoft Security Summit微軟資安高峰會」,吸引近三千位報名者參與線上盛會,除了分享諸多案例頗析與資料治理等議題,更提出零信任的三大關鍵原則,包括1) 一律不信任地驗證、2) 一律使用最低權限存取、3) 一律假設處於高風險環境;此外,微軟甫發表《微軟數位防禦報告2020》,揭櫫混合辦公資安三大架構:零信任基礎架構、裝置管理和資料治理(Data Governance)與合規性,亦於大會中分享各架構的解決方案與做法,助企業在轉變工作模式時能持續透過智慧資安快速部署,將資安威脅降至最低。
零信任三大關鍵要素 快速掌握現代化資安佈署核心思維
新冠肺炎疫情爆發後,兩個月內就帶動了相當於兩年進度的數位轉型,期間「資安」扮演的控管守門人角色功不可沒。根據微軟調查報告顯示[1],疫情爆發後十日內,企業為因應疫情主要推動兩大變革:導入零信任架構及業務彈性化,以確保企業核心業務與服務,在面臨疫情威脅期仍可維持安全的正常維運。調查中有54%資安長因業務彈性計畫順利協助企業渡過難關;更有89%企業將50%生產力轉至遠端工作形式,且有42%企業將在疫後繼續採取遠端辦公型態。而隨著工作型態改變,所帶來的資安風險、管理成本將加重考驗企業負擔。同時微軟也發現,為因應疫情,企業在資安預算及招聘人數皆有提高,雲端技術及零信任(Zero Trust) 更是企業未來的投資焦點。
不管是實體或線上網絡,零信任思維涵蓋多重因素驗證MFA (Multi-factor authentication)、裝置維運、應用程序和API、數據、IT基礎設施、網路等六大要素,並將所有員工劃入安全控管範圍。零信任安全結構圍繞三個關鍵原則:
- 一律不信任地驗證:相較於對企業網路中或使用 VPN 連結的使用者及裝置進行隱含驗證請務必採零信任方式,明確驗證每一筆交易,如此即可透過所有可用資料點進行強大的驗證與授權,包括使用者身分識別、位置、裝置維運狀況、服務或工作負載、資料分類與異常狀況。
- 一律使用最低權限存取:僅在人員需要的時候,針對其手邊的工作授予一定時限的權限。
- 一律假設處於高風險環境:將漏洞與企業資產列入預期考量,並套用針對個別區段以即時分析等技巧來加速偵測攻擊。
「微軟一直致力投注資源並全力助客戶部署資安,線上微軟資安高峰會是微軟智慧資安加上產業洞察、客戶經驗汲取後的完整呈現,讓企業了解混合辦公趨勢下如何著力資安佈建,而零信任策略更是首要關鍵。」台灣微軟Microsoft 365事業部副總經理陳慧蓉 表示:「台灣面對5G時代來臨及混合
辦公模式新常態,可預見5G將賦予數十億的物聯網裝置新功能以及更多的數據交流,據調查顯示,與2019年下半年相比,2020年上半年的物聯網威脅總攻擊量增長了約35%,因此端點、裝置的身分識別和訪問管理更為重要,也更顯企業超前部署的下個重點,智慧資安部署刻不容緩。」
混合辦公資安三大架構 遠離內部資安風險危機
企業的資安風險主要來自內部風險,包含員工違反內部政策、離職員工竊取資料、數據洩漏,而這樣的行為往往不易被發現,據調查[1],有59%自願或非自願離開組織的員工表示在離職時帶走機密資料。台灣微軟資安產品經理張士龍說明:「藉由主動管理內部風險,增加違反內部政策行為與資料外洩的能見度、訂定補救措施,及強化企業全體員工對於零信任的認知與落實零信任管理機制,是混合工作新常態下企業須著手的資安基礎,透過事先法規遵循、機器學習識別隱藏員工行為、整合式的工作流程,將可加快識別內部重大風險來源,並採取解決措施。」
最新釋出的《微軟數位防禦報告2020》指出,隨著越來越多的企業將資安導入遠端工作需求要素中,無論是短期還是長期、網路安全都為運營彈性奠定了基礎,企業應定期評估其風險,並結合人力和技術產品和服務來執行關鍵流程,微軟建議企業在實行混合辦公時,資安應著重部署三大架構:
- 零信任基礎架構:企業IT架構最初設置並未為遠端工作模式提供大規模、即時過渡等突發情形預備。當員工轉為幾乎 100% 的遠端工作時,架構負載也隨之增加,不僅使得軟體使用體驗降級,企業 VPN 通道更造成阻礙。有鑑於此,企業資安團隊須建立完整的 VPN 安全策略,防止未經授權的訪問、管理授權使用者訪問權限。而鑒於密碼被猜測、網路釣魚、惡意軟體竊取或重複使用的頻率,人們將密碼與某種形式的強憑據配對也至關重要。Azure AD可透過MFA驗證使用者身分,阻止非託管設備直接存取公司系統,作為資安防禦的第一道防線。根據報告指出,已禁用舊式身份驗證的組織中,Azure AD 帳戶的危害比啟用舊式身份驗證的帳戶少 67%。
- 裝置管理:為確保企業資料隨時受保護狀態,Microsoft Intune 以雲端為基礎,著重於行動裝置管理 (MDM) 和行動應用程式管理 (MAM),協助企業掌握組織裝置的使用方式,也可設定特定原則來控制裝置應用程式,例如防止電子郵件傳送給組織外部的人。Microsoft Intune可與 Azure Active Directory (Azure AD) 整合,以控制存取權限、內容,更可結合 Microsoft 365 讓員工在其所有裝置上都保有生產力。此外,對於非託管裝置,透過 Windows 虛擬桌面 (WVD) 以豐富的桌面環境的形式提供替代訪問管理,企業IT 人員只需在短短幾分鐘,即可完成員工權限控管設定,透過統一配置、發布、管理、權限管控等服務,可控制誰通過標識的設備存取資訊,快速部署並最大化運用公司IT資源,降低多重嫁接費用支出,更進一步大幅節省IT人員時間、設備成本,維持員工高度生產戰力
- 資料治理(Data Governance)與合規性:為有效管理和保護重要的企業資料,資安團隊需認識和識別混合環境中的數據內容,偵測使用者行為,透過加密、權限控管和視覺化標記等方式保護數據及避免資料外洩,並將數據自動化的留存、刪除、儲存及進行合規紀錄。Compliance Manager 提供了龐大的數據庫,將複雜的法規要求轉換為特定的技術控制,並提供風險評估的量化方法,不僅可擴大監管覆蓋範圍,更可透過內置的自動化功能檢測使用者設置和指南,幫助企業管理資安威脅風險。
微軟建議企業應盡速思考部署混合辦公資安三大架構:零信任基礎架構、裝置管理、資料治理與合規性,遠離內部資安風險危機 如欲瞭解更多微軟智慧資安的最新進展與觀點,請至微軟資安講堂參考更多詳細內容;如欲了解微軟資安解決方案部署資訊,請至微軟資安官方網站查詢。
