聯網世界需要的安全存取 – Microsoft Entra
微軟身份識別事業群全球副總裁 Joy Chik
微軟安全、合規、身份識別和管理全球副總裁 Vasu Jakkal
如果我們對每一次數位體驗和互動都能抱持信任,這個世界是不是能推動更多成就?
這個問題啟發我們對身份識別和存取展開不同思考。今天我們也公布更寬廣的願景,說明如何幫助聯網世界提供安全存取。
Microsoft Entra 是Microsoft推出的全新產品系列,含括Microsoft所有身份驗證和存取權限功能,除了Azure AD還有兩個新產品類別:雲端基礎架構授權管理(CIEM)和去中心化的身份識別。Entra系列產品提供身份識別與存取管理、雲端基礎架構授權管理以及身份驗證,藉此確保每個人都能夠安全存取一切。
聯網的世界需要信任
科技透過各種驚人方式改變了我們的生活,重新塑造我們與他人互動的方式,以及如何工作、鑽研新技能、與品牌互動和照護健康。科技創造出了能滿足現有需求的新方法,同時改善體驗、品質、速度和成本管理,由此重新定義了我們經營企業的方式。
在所有這些創新背後,人、機器、應用程式和設備之間,每秒都會發生數以百萬計的連接,才能分享並存取資料。對於我們如何運用科技、如何與人交流,這些互動創造了絕佳機會,同時也打造出一個不斷擴大、使得人們和資料都有越來越多漏洞的攻擊面,這些問題亟待解決不容忽視。
對組織來說,如何在推動數位計畫的同時因應這些風險,變得日益重要也困難重重。他們要在毋需擔心門戶洞開的情況下,解除創新的阻礙;不只要在數位體驗和服務中注入信任,推動這一切的所有數位互動—亦即人、機器、微服務和事物之間的每一個存取點—也都要能信任。
身份識別和存取權限的遠大願景
過去世界比較單純的時候,控制數位存取相對直接:只需設好防線,讓對的人進來就好。
但這不是長治久安之計。隨著組織的數位資產不斷增長、改變、邊界消失,一切都設高牆變得不切實際。要去預測並解決整個組織及供應鏈中可能發生的無數次存取場景,幾乎是不可能的,尤其是涉及組織無法控制的第三方系統、平台、應用和設備時。
身份識別不只關乎目錄,存取也不僅止與網路。安全挑戰變得更加廣泛,因此我們需要更廣泛的解決方案,為所有客戶、夥伴和員工,以及每個微服務、感測器、網路、設備和資料庫,確保存取安全。
想做到這些,必須馭繁為簡。組織不需要不完整、脫節的解決方案,那只能解決部分問題、只能用於部分環境,然後還得靠像膠帶和口香糖這樣的工具來整合來進行整合。組織需要盡可能細緻的存取決策,並根據風險即時評估自動調整。他們需要的安全存取方案要能夠涵蓋本機、Azure AD、AWS、Google雲平台(GCP)、應用、網站、設備,還有接下來的一切。
以上就是我們對身份識別和存取權限的宏大願景,也將透過Microsoft Entra新產品系列來實現。
圖說:負責安全、合規、身份識別和管理的全球副總裁Vasu Jakkal和身份識別事業群全球副總裁Joy Chik一起公佈了微軟Entra-全新的身份識別和存取產品系列,兩人討論現代化的身份識別和存取安全的未來。
把願景化為現實:身份識別作為信任結構
若要把這樣的願景化為現實,身份驗證必須進化。我們交互連結的世界需要一個靈活敏捷的模型,其中人、組織、應用程式甚至智慧設備都可以放心地制定即時存取決策。我們需要構建並提升能力,支援客戶面對的所有場景。
展望未來,我們正在擴展我們的身份識別和存取解決方案,以便在現在和未來很長的一段時間內,能夠做為整個數位生態系統的信任結構。
Microsoft Entra將驗證所有類型的身份識別,並在存取任何資源時提供保護、管理及治理。新的Microsoft Entra產品系列將提供:
• 保護任何用戶對任何應用程式或資源的存取。
• 在混合和多雲環境中保護並驗證每個身份識別。
• 在多雲環境中發現並管理許可權。
•透過即時智慧存取決策以簡化用戶體驗。
針對身份識別和存取需求,交付完整的產品組合,是重要的一步,接下來也將繼續擴大Microsoft Entra產品系列。
「身份識別是我們未來網路安全的基石之一。」
-Thomas Mueller-Lynch,西門子數位身份服務負責人
Microsoft Azure Active Directory(AD)一直是Microsoft在身份識別與存取管理(IAM)方面的主力產品, 也將納入Microsoft Entra系列。用戶熟悉並喜愛的所有功能如條件存取(Conditional Access)和無密碼認證將保持不變。Azure AD External Identities會繼續在Microsoft Entra系列中為客戶和合作夥伴提供身份識別解決方案。
此外,作為Entra系列的一部分,我們正在增加新的解決方案並宣佈多款產品創新。
降低跨雲存取風險
客戶採用多種雲端服務致使公有雲平台間的身份識別、存取許可和資源大量增加。由於多數身份識別方案超額配置(over-provisioned),不僅擴大組織機構被攻擊的面向,也增加了意外或惡意濫用許可權的風險。當跨雲的服務提供者缺乏可見性,工具無法提供穩定一致的體驗,身份識別和安全團隊在所有數位資產中管理許可權、實施最小存取特權時,將遭遇極大挑戰。
隨著Microsoft去年收購了CloudKnox Security,現已成為第一家提供CIEM解決方案Microsoft Entra Permissions Management的主要雲供應商。這個解決方案讓跨多雲基礎架構的所有身份識別(使用者和工作負載)、行動和資源許可權,都全面可見。Permissions Management有助於偵測、調整並監控未使用和過度許可權,並在Microsoft智慧雲Azure、AWS和Google雲平台實施最小特權原則,藉此降低資料外洩的風險。2022 年7月Microsoft Entra Permissions Management將以獨立產品提供服務,同時整合在Defender for Cloud儀表板中。透過CIEM,也擴大Microsoft Defender for Cloud的防護。
此外,透過Microsoft Entra中的工作負載身份識別管理(workload identity management)預覽,客戶可以藉由擴展存取控制和風險偵測功能的範圍,為Azure AD中託管的任何應用程式或服務指派身份並保障其安全。
實現尊重隱私、安全的數位互動
在Microsoft,我們非常重視,也積極保護和捍衛隱私,沒有什麼隱私比您的個人身份識別更重要。與去中心化身份社群合作多年之後,我們自豪地宣佈,將推出一款基於去中心化身份識別標準的新產品:Microsoft Entra Verified ID。Verified ID採用業界標準,讓可攜帶、自有的身份識別成為可能。這也代表了我們的承諾—為個人及組織,打造一個開放、可信賴、可相互操作、且基於產業標準的去中心化身份識別未來。Verified ID允許個人和組織決定分享什麼資訊、何時分享、與誰分享,以及在必要時收回分享,而不是授予無數應用程式和服務廣泛的許可,或在眾多供應商之間散播身份資料。
去中心化身份識別的潛在場景無窮無盡。如果能在不到一秒的時間內完成組織憑證驗證,我們就能夠有效率、更自信地進行B2B和B2C交易。只要個人能以數位方式存取並分享他們的教育和認證證書,執行背景調查就可以更快速也更可靠。只要醫生和患者能夠驗證彼此身份,確信他們之間的互動為私密、安全,健康管理的壓力便可以降低。Microsoft Entra Verified ID將於今年8月初正式上市。
Condatis執行長Chris Tate表示,「能夠採用Microsoft Entra這樣的全球領先技術,在我們的辦公環境中為員工部署Verified ID,簡直是太棒了。我們輕鬆掌握商機,幫助工作更有效率。」
自動化關鍵身份識別治理場景
接下來我們要關注的是員工和合作夥伴的身份識別治理(Identity Governance)。對於 IT 部門和資安團隊來說,手動配置新使用者和訪客帳戶並管理其存取權限是一項巨大挑戰,也會降低 IT部門和個人的生產力。新員工在等待工作所需的存取權限到位前,會經歷一段步調緩慢的節奏後,才能真正發揮全力。在向訪客用戶授予必要存取權限時,類似的延遲也會破壞供應鏈的平穩運行。此外,如果沒有正式或自動的流程來重新配置或停用人員帳戶,當他們職位調整或離開組織時,存取權限可能仍然存在。
身份識別治理(Identity Governance)透過身份識別的生命週期管理,解決了這個問題,並簡化了就職和離職使用者的流程。當使用者屬性發生變化,生命週期工作流(Lifecycle workflows)會自動分配並管理存取權限,同時監控並追蹤存取。身份識別治理中的生命週期工作流(Lifecycle workflows in Identity Governance)將於今年7月公開預覽。
密西西比醫療補助系統分部(Mississippi Division of Medicaid)工作場所現代化顧問Sally Harrison表示,「老舊的技術讓我們長久以來只能被動行事,徒增困難。透過Azure AD身份識別治理,我們終於能夠採取主動,也能處理來自組織的一些複雜請求。」
創造可能性,而不是障礙
Microsoft Entra體現了我們對現代安全存取應有的願景。身份識別應該是進入充滿全新可能的新世界入口,而非變成限制存取、製造摩擦和阻礙創新的障礙。我們希望人們可以盡情去探索、去合作、去試驗—不是因為不顧一切,而是沒有後顧之憂。
造訪Microsoft Entra網站,進一步瞭解Azure AD、Microsoft Entra Permissions Management和Microsoft Entra Verified ID如何為我們的互聯世界提供安全存取保障。欲瞭解關於微軟安全的更多資訊,請上我們的官網和安全部落格,隨時瞭解我們的最新消息和動向。
欲了解詳情,請至微軟官方部落格