Microsoft 數位安全性團隊解答零信任領域的十大問題

內部的數位安全性團隊投注許多時間，向面臨類似挑戰的企業客戶說明如何使用
零信任安全性模式 (英文) 管理和保護複雜的全球企業。每位與我們交流的資訊長、技術長或資安長，都十分好奇我們採用的最佳做法，遺憾的是，每個組織的需求皆不盡相同，而零信任方法也無法「一體適用」於各種情況。 

有鑑於此，我們決定分享全球客戶針對零信任領域提出的十大問題及其解答，並期望這些資訊能派上用場。 

許多公司仍未採用多重要素驗證這點，讓我們感到相當驚訝。我們在零信任歷程中的首個步驟，就是推動多重要素驗證。

–首席專案經理 Mark Skorupa

針對零信任最佳做法，Microsoft 最重視的三個項目為何？ 

Microsoft 的零信任方法，意味著我們不會假設企業網路中的身分識別和裝置安全無虞，且會持續加以驗證。 

在此一概念下，我們最重視的三個項目如下： 

使用多重要素驗證 (MFA) 確保身分識別安全無虞：許多公司仍未採用多重要素驗證這點，讓我們感到相當驚訝。我們在零信任歷程中的首個步驟，就是推動多重要素驗證。無論您決定採用何種解決方案，在程序中設置第二道身分識別關卡，就能顯著防範惡意人士使用經竄改的身分識別或密碼入侵系統。 

確保裝置安全無虞：Microsoft 致力於提供安全且生產力十足的方式，讓員工在任何地點使用任何裝置處理工作，而在遠端或混合式工作情況下，這點更顯得難能可貴。不過，凡是存取企業資源的裝置，都需要受 Microsoft 管理，且安全無虞，也就是說，裝置需要執行最新的軟體更新以及防毒軟體。 

全面遙測：所有服務和應用程式的健康情況都必須受到監控，以確保正確運作且符合規範，並於未滿足相關條件時迅速做出回應。在授予企業資源的存取權限前，系統會持續驗證身分識別和裝置，以確保其安全無虞且符合規範。我們會透過遙測進行監控，以找出透露異常模式的訊號。此外，遙測也可用來評估風險降低情況，並了解使用者體驗。 

Microsoft 要求在 Microsoft Intune 中註冊所有個人裝置嗎？員工能否使用個人筆記型電腦或裝置存取企業資源？ 

如果員工想要使用個人裝置存取 Microsoft 企業資源，就需在 Microsoft Intune 中註冊該裝置。如果員工不想註冊個人裝置，也沒問題。他們可以透過下列替代選項存取企業資源：

• 員工和臨時員工可在任何裝置上使用 Windows 虛擬桌面，以透過虛擬遠端桌面存取 Microsoft SharePoint 或 Microsoft Teams 等企業資源。 

• 員工可以透過網際網路使用網頁版 Outlook，以存取其 Microsoft Outlook 電子郵件
帳戶。

Microsoft 如何使用零信任方法，將自身的物聯網 (IoT) 裝置順利上線？ 

無論對客戶或我們自身而言，物聯網都是一大挑戰。 

Microsoft 內部正準備使用零信任方法，將保護物聯網裝置的作業自動化。公司將於六月發表收購 CyberX 的相關事宜，而該收購案有助於強化現有的 Microsoft Azure 物聯網安全性功能。 

我們會將網路予以劃分，並根據不同類別來隔離物聯網裝置，包括高風險裝置 (例如印表機)、缺乏安全性控制機制的舊版裝置 (例如數位咖啡機)，以及安全性控制機制符合標準的現代化裝置 (例如 Amazon Echo 等智慧型個人助理裝置)。 

Microsoft 如何逐步淘汰 VPN？ 

我們已將舊版地端應用程式移轉至雲端架構應用程式，因而在淘汰 VPN 方面取得了良好的進展。不過，我們仍需做出許多努力，讓多數員工能徹底捨棄 VPN。鑑於遠端工作的支援需求日益增加，我們迅速採用分割通道設定來重新設計 Microsoft VPN 基礎架構 (英文)，以將流量直接路由至雲端中的應用程式，並透過 VPN 使用任何舊版應用程式。只要直接透過網際網路提供的舊版應用程式越多，我們使用 VPN 需求就會隨之下滑。 

如何因應可能發生的資料遺失情況？ 

每位 Microsoft 員工都有責任保護資料安全，而我們也備有專屬情境，能為敏感資料的存取作業提供額外的保障。舉例來說，如果員工需要對客戶導向的生產系統做出變更，就需使用特殊存取權限來存取工作站 (也就是適用於敏感作業的專屬作業系統)。 

員工也會使用 Microsoft 資訊保護中的功能，例如透過 Microsoft 365 應用程式中的敏感性按鈕來標記和分類文件。視分類層級而定，即使文件已移至公司環境之外，只有原先已取得存取權限的使用者，才能開啟該文件。 

如何使用零信任來隔離網路上的裝置，以進一步縮小攻擊範圍？ 

零信任的原始概念會著重於網路微分段。雖然 Microsoft 已將重點延伸至實體網路以外的範疇，並對資產進行不限裝置、不限地點的控制，我們仍舊強烈建議您在實體網路中實作網路區段。 

目前，我們將網路劃分為下圖所示的配置，隨著需求增加，我們也會評估後續是否要設置更多區段。如需進一步了解我們的零信任網路策略，請參閱 Microsoft 的零信任網路和 Azure 技術支援方法 (英文)。 

如何將零信任套用至由使用者擔任裝置本機管理員的工作站？ 

對我們而言，無論裝置或工作站的用途為何，或是所使用的帳戶類型為何，凡是有意存取企業資源的裝置，都需要在 Microsoft Intune (我們採用的裝置管理服務) 中進行註冊，並受其管理。也就是說，我們的長期願景在於打造一個環境，並讓標準使用者帳戶的權限層級擁有比照本機管理員帳戶般的生產力。 

我們的地端環境已具備 Active Directory (AD)，若要於雲端中實現零信任，Microsoft Azure AD (AAD) 將具備何種程度的重要性？如果為地端環境的 Active Directory 安裝 Microsoft Monitoring Agent (MMA)，能否單獨使用它來實作零信任？ 

由於 Microsoft 已將多數安全性基礎架構移轉至 Microsoft Azure 雲端，因此，Microsoft Azure AD 條件式存取為必備要項。它可協助我們自動化程序，並判斷哪些身分識別和裝置健全且安全無虞，繼而對這些裝置強制進行健康情況驗證。 

雖然 MMA 在某些程度上顯得勢均力敵，卻無法讓您自動進行裝置強制作業。建議您建立一個 AAD 執行個體，以做為地端 AD 的複本。這樣一來，就能繼續以地端 AD 為主，但依舊運用 AAD 來實作部分進階零信任保護措施。 

如何處理來賓存取情境的零信任？ 

我們會使用最低權限存取模式，供來賓連接資源或檢視文件。如此即可存取標記為「公用」的文件，不過，如果項目標記為「機密」或「較高」，使用者就需進行驗證並取得權杖，才能開啟文件。 

我們也會標記 Microsoft SharePoint 或 Microsoft Teams 位置等資源，以封鎖來賓存取功能。針對網路存取權限，則會向來賓提供無線網路的服務組識別元 (SSID)，好讓來賓能連接遭到隔離且只能存取網際網路的無線網路。最後，所有來賓帳戶都需要符合我們的多重要素驗證需求，才能取得權限。 

在此期望：無論您身處零信任歷程中的哪個階段，都能受惠於這份指引。放眼 2021 年，我們將著重強調同理心。請務必設身處地為員工著想，並透過開誠佈公的方式，向員工說明為何要改變政策，或是此舉將對其帶來哪些影響。

– 首席專案經理 Mark Skorupa

Microsoft 的 2021 年零信任優先要務為何？ 

我們正著手現代化舊版和地端應用程式，以直接透過網際網路加以提供。若能透過這種方式提供舊版和地端應用程式，即使應用程式採用舊版驗證需求，我們的裝置管理服務依舊能為其套用條件式存取，進而落實身分識別驗證，並確保裝置健康無虞。 

在此期望：無論您身處零信任歷程中的哪個階段，都能受惠於這份指引。放眼 2021 年下半年度，本團隊將繼續強調同理心的重要性。請務必設身處地為員工著想，並透過開誠佈公的方式，向員工說明為何要改變政策，或是此舉將對其帶來哪些影響。 

Microsoft 並非從雲端起家的公司，因此，旗下員工可能不熟悉我們透過零信任方法實施的多項數位化安全性變革，或對其裹足不前。對此，我們會採環形模式來推動每項政策，以便根據意見反應來試行、測試和反覆執行解決方案。 

若能運用同理心發揮領導力，即可著重確保員工的生產力和效率，繼而讓他們化身守護尖兵，共同維護 Microsoft 與客戶的安全性。 

欲了解詳情，請至微軟官方部落格