與管理階層分享 Microsoft 的零信任網路經驗
2023 年 5 月 8 日 | Inside Track 員工
今天,我們想要分享 Microsoft 在公司內部署零信任網路上,所汲取的各項經驗。
傳統上,許多企業會將網路安全性的重點放在嚴格保護並監控企業網路周邊上。在今日講求行動優先和數位優先的環境中,企業網路流量會同時存在於企業網路內部和外部。隨著安全性攻擊的頻率和縝密度不斷提升,組織再也無法仰賴「單純將其餘內部環境配置於防火牆後,藉此保護其安全」的傳統模式。採用零信任策略不僅有助於確保組織享有最佳安全性,也無需犧牲使用者體驗。
Microsoft 數位員工體驗部門 (MDEE) 的團隊正將零信任網路部署至企業整體,以支援內部安全性團隊在 Microsoft 實施的零信任模式。
零信任模式的重點在於整體 IT 基礎架構中施行強大的身分識別、最低存取權限、裝置健康情況驗證,以及服務層級控制和遙測,且不再將網路周邊 (Network perimeter) 視為企業的主要防禦方法。
Microsoft 的規模相當龐大,在全球 120 個國家/地區設有超過 600 個據點,正因如此,引領網路策略進化以採用零信任網路,需仰賴組織整體的密切配合。
[取得 Microsoft 數位安全性團隊對十大零信任領域問題的深入洞察。| 深入閱讀 Microsoft 如何抵禦勒索軟體。| 解析我們在零信任網路工程設計上汲取的經驗。]
分享管理階層汲取的經驗
我們在邁向零信任網路的過程中汲取了多項寶貴經驗。在不同實作階段中面臨的眾多挑戰,也促使我們重新評估和調整自身的策略和方法。我們希望透過分享自身經驗來協助其他企業進一步做好準備,以更快採用和實施零信任網路策略,並克服相似的阻礙。
若要深入了解本公司工程師從我們的零信任網路部署中汲取到哪些經驗,請參閱在零信任網路工程設計上汲取的經驗。
規劃和設計
進行大範圍的規劃
零信任網路實作涉及的規模和範圍相當廣大,影響層面也十分驚人。Microsoft 在早期和全盤規劃期間,便邀請所有相關人員參與其中,當中包括網路團隊、安全團隊、使用者體驗團隊、團隊經理、基礎架構提供者,以及法務遵循稽核人員。我們從完善的規劃著手,並讓各方人員攜手推展更具體的計畫和目標。
建立目標
我們建立了多項主要目標,並將此做為實作程序的目的。儘管每項考量都只涉及有限的數個小規模的目標和個別功能,用以提供零信任網路實作的具體資訊,但這些考量也可做為進階指標,引導我們為旗下業務提供最理想的支援。我們的主要目標包括:
- 了解環境和架構:零信任網路會對我們的網路和旗下業務的網路運用方式帶來根本性的變革。我們需要從眾多不同層面了解現有基礎架構:現場使用哪項裝置、我們的網路如何支援關鍵業務程序,以及我們需要變更哪些網路部分,好為零信任網路提供適當的支援。這就涵蓋了解有線和無線使用者體驗情境、評估流量模式,以及衡量輸入和輸出功能的使用率。投注成本和心力發展資料深入洞察和視覺化,則成為衡量現行使用情況和建立未來使用模式的重要關鍵。
- 謹慎評估實作範圍:我們在早期便界定了相關範圍。不僅將所有企業代管的使用者有線和無線網路都劃入零信任網路範圍內,更將專屬的工程和服務環境 (例如實驗室和資料中心) 排除在此範圍之外。妥善定義的範圍可為後續的實作工作畫下明確的界限。如果我們的工程師可以查看我們的範圍說明文件,並了解特定裝置類別不在範圍之內,在實作現場遇到該設備時,他們就能輕鬆進行判別。技術和財務限制也會對範圍造成直接的影響。如果我們基於成本或替換可用性的原因,無法替換位在單一地點的 50,000 部簡單 IP 裝置,就能將這些裝置必須隔離於網路之外,並於可進行替換時做出因應。
- 建立人員配置和知識庫要求:零信任網路的許多層面都講求特定的知識,包括網路安全性專業能力、防火牆和原則管理、網路遙測,以及傳統網路功能的基本知識。此外,我們也辨別出不同的契機,以著手進行更深入的網路設定和部署活動自動化,藉此減少工程師的工作負載,並降低配置更多人員的必要性。
- 使用網際網路做為傳輸機制:實作零信任網路,就會改以網際網路做為預設選用的網路,以協助使用者和系統連接其主要雲端工作負載。數十年來,Microsoft 原本一直仰賴傳統的平面式企業網路模式。採用網際網路,就代表我們需要重新思考和重新架構自身網路,以妥善支援零信任模式。我們運用了網際網路優先的思維做為所有實作領域的決策依據,包括周邊安全性、分段和路由、裝置選擇、安全性和原則標準,以及使用者體驗。
團隊和組織
管理階層的互動
任何大型組織中的個別業務線和部門,往往會具備不同的需求。我們邀請 Microsoft 旗下各層級的管理階層攜手合作,以建立透明度、收集資訊,並爭取零信任網路實作的盟友和支持者。鑑於我們同時要求客戶將自身的關鍵資料和工作負載託付給本公司,自身的雲端方案和服務也必須反映和支援零信任原則。
我們盡可能在計畫初期便與高階主管進行交流互動,並取得對方的支持。爭取到管理階層的明顯支持,有助於推動專案前行。有效的支持可協助團隊克服在優先要務上的衝突,以及其他文化和營運層面的阻力。
治理和職責
我們與本公司的安全性團隊攜手建立治理機制,藉此讓管理階層上下一心。另外也著手因應跨團隊的角色和職責,以確保所有內容都能記錄在案。我們建立了工作受理的優先順序標準,以確保實作團隊能從業務觀點出發,優先處理最重要的工作。為了設定這些標準,我們使用了靈活的架構,以檢視新工作造成的業務影響和實作心力。
規劃和實作團隊
我們需要仰賴握有廣大業務和技術知識的規劃和實作團隊,以及可於實作過程中重新評估我們網路原則和標準的安全性專家。因此,我們邀請來自不同領域的網路專家加入行列,包括有線和無線網路、虛擬化和網路分段、流量管理、服務品質 (QoS),以及裝置設定。了解對現有網路團隊成員造成的潛在影響,也是相當重要的環節之一。幸運的是,為了推動自動化作業,我們早已協助本公司的網路工程團隊培養網路工程專業能力,而零信任可加快自動化作業的速度。我們確保規劃和決策職責會由旗下的專家出任,從而善加運用我們的內部智慧財產。最後,我們也盡可能將「講求高度心力且影響層面較小」的工作 (包括實體基礎架構的安裝和維護) 委託給外包服務提供者執行。
會議和溝通
會議的頻率和範圍
我們採用靈活的方法、自行規劃的協同合作心力,以及可快速進行規劃和迭代的跨職能團隊,以推動自身的會議和溝通策略。核心團隊會頻繁進行短暫的會議,而包含相關人員和高階主管的會議,召開頻率則較沒有前者頻繁。我們為並肩共事的團隊套用了治理原則,以規範:會面的頻率、職務和職責;以及如何排定指派工作的優先順序,並變更自身的計畫。下表列出了我們的會議結構和頻率:
- 每週數次
- 與安全性、使用者體驗和業務團隊進行簡短的立會 (Stand-up meeting)
- 追蹤功能進度
- 追蹤潛在阻礙
- 評估整體專案運作的狀態
- 兩週一次
- 與相關人員開會,以提供特定領域的進度更新
- 每月一次
- 與指導委員會、支持者和使用情境負責人開會
- 每季一次
- 與高階主管開會,以檢視是否合乎業務目標,並進行後續規劃
- 及時爭取財務規劃預算,確保我們有足夠的資金來因應即將到來的工作
- 配合即將到來的工作進行資源配置
衡量和評估
我們建立並仰賴多個程序監控系統和報表儀表板,以確保所有團隊成員能掌握專案狀態。另外也使用 Microsoft Power BI 為各層級的團隊建置儀表板,以確保每個團隊、主管、相關人員或支持者都能主動得知相關領域的概況。下方列出了我們採用的幾個實用儀表板:
- 裝置清查:識別我們的安裝組數、作業系統版本,以及這些裝置能否接受新的網路原則和設定標準。
- 設定變更追蹤:掌握我們的零信任旅程進度、哪些裝置已成功上線,以及哪些裝置仍採用舊版設定。
- 使用情況監控:了解我們的應用程式模式,並協助解答「哪些應用程式仍需使用 VPN」,以及「是否每個應用程式都具備雲端採用藍圖」等問題。
- 物聯網 (IoT) 清查和網路使用情況:識別具有資安風險的裝置,例如會議 Kiosk、建築管理系統,以及生命安全系統。這些裝置往往為零信任架構中的主要焦點領域。
部署和執行
使用者體驗評估
所有 Microsoft 體系都會將使用者體驗視為衡量組織成效的主要依據之一。我們的使用者會在不同的地點、地區和文化中工作,而每個據點都有可能具備不同的體驗特性。接觸使用者並衡量對方在零信任網路實作中的體驗和所受影響,可協助我們掌握並預防潛在問題。
在資料落地法律和電信系統功能等情境相依性的要求下,我們必須變更自身的實作計畫。而在部署程序中及早識別這些相依性和異常情況,則有著無比的重要性,畢竟唯有如此,我們才能做出相應的規劃和調整。
Microsoft 旗下大多數的網路工作負載,皆來自講求獨特使用者體驗的工程團隊。負責建置和測試軟硬體的軟硬體工程師,往往會採用與一般資訊工作者截然不同的網路使用情況設定檔。因此,我們及早與這支工程團隊頻繁進行接觸,以了解對方現在與後續的需求,並將他們的考量納入自身的部署試行規劃中。
當地支援和使用者的參與度
當地的 IT 和領導團隊,也在 Microsoft 的零信任網路實作中發揮了非常大的作用。我們需要大力倚重當地 IT 員工,取得當地環境的相關資訊,並確保我們的解決方案能配合當地的功能限制和技術考量,包括:網路資源清查、發揮生產力所必備的應用程式和服務,以及網路流量和拓撲變更帶來的影響。
這些員工提供的意見,不僅成功減少工程設計上的工作負載,更提升工程師在設計每個地區性實作上的整體知識庫。我們憑藉自身的當地和地區性團隊能力,著手收集和提供資訊。了解並參與規劃和設計程序的當地員工 (包含每個據點的技術、支援和領導團隊),都協助我們防範了各種出乎意料的阻礙。在部署零信任網路,以及部署作業推展至對方所屬建築或地區等期間,這些人員也擔任寶貴的代言人和顧問,讓我們在獲得當地支援的情況下,確保轉換作業順利完成。
重點收穫
零信任網路所支援的模式,可有效配合現代化企業環境的複雜性做出調整。它能支援行動工作人力,並保護位於任何地點的人員、裝置、應用程式和資料。我們期望藉由分享自身所汲取的經驗,協助其他企業以效率十足且有效的方式採用零信任網路。隨著我們持續在 Microsoft 企業中部署零信任模式,本公司將從自身經驗汲取教訓,並著手調整方法,從而實現我們的目標。
