跳過主内容

Microsoft 在 COVID-19 疫情期間採用零信任後,所汲取到的心得

COVID-19 疫情徹底改變了全球局勢,以及員工的工作方式。拜 Microsoft 雲端技術 (例如 Microsoft Teams  Azure Active Directory)  Microsoft 現代化安全性方法 (零信任之賜,員工再也不用親自前往辦公室,就能發揮生產力。 

強大的雲端開啟了另一扇大門,可讓我們將地端企業網路模式拋諸於腦後。正因如此,當 COVID-19 疫情爆發後,我們才能從容以對。

– Microsoft 數位安全性團隊首席專案經理 Mark Skorupa

Microsoft 的全球員工持續透過多種方式順利在家工作,包括使用 Microsoft 配發的裝置、使用已於 Microsoft 裝置管理解決方案中註冊的個人裝置,以及透過 Windows 虛擬桌面使用遠端桌面 

Microsoft 數位安全性團隊首席專案經理 Mark Skorupa 表示:「企業環境於去年發生大幅變化,而存取公司資源的方式也應做出調整。強大的雲端開啟了另一扇大門,可讓我們將地端企業網路模式拋諸於腦後。正因如此,當 COVID-19 疫情爆發後,我們才能從容以對。」 

 Skorupa 共同推動零信任的數位安全性團隊資深專案經理暨架構設計師 Carmichael Patton,也對此深表贊同。 

他補充道:「過去幾年,我們奉行零信任理念,因而能做好準備並順利度過難關。零信任方法協助我們將員工身分識別和裝置的管理及確認方式全數現代化。此外,我們也重新建構網路基礎架構,讓員工無論身在何處,都能安全無虞,並發揮生產力。」 

觀看 Microsoft Ignite 研討會,以了解該公司的零信任安全性模式。 

近期,Microsoft 零信任團隊的員工透過虛擬方式出席 Microsoft Ignite 2020 (英文),以分享在遠端工作時代部署零信任的重點心得。 

無需在安全性「或」生產力之間做出取捨 

Microsoft 的零信任歷程,始於兩大簡單要素:員工的身分識別和裝置。系統會先行驗證兩者,再授予員工企業資源或應用程式的存取權限。如果順利通過驗證,即可隨處進行存取。

Patton 表示:「我們的網路基礎架構,可確保每個應用程式都會落實專屬的安全性管理機制。這表示,員工需要先行通過裝置健康情況驗證,才能使用應用程式。」 

由於 Microsoft 坐擁強大的身分識別和裝置管理原則,並運用 Microsoft Azure Active Directory (英文 Microsoft Intune Device Management 等服務來落實安全性原則,因此,才能在 COVID-19 疫情爆發後獲得以下成果: 

• 在 COVID-19 疫情高峰期,超過 97%  Microsoft 員工成功使用 Microsoft 核發或個人擁有的裝置在家工作。 

• 超過 170,000 名員工已在 Microsoft Intune (公司採用的裝置管理服務中註冊個人 (Android  iOS) 裝置。 

• 在近期的內部問卷調查中,超過 34% 的美國 Microsoft 軟體工程師和專案經理皆表示,自身的生產力有所提升。 

Microsoft 運用分割通道來減輕虛擬私人網路承受的壓力,並藉此提高員工的效率 

雖然在 2020  3 月開始施行遠端工作後,多數員工皆可直接透過網際網路存取應用程式和服務,在部分情況下,員工仍需使用公司的虛擬私人網路 (VPN),才能從辦公室外存取企業資源。 

在零信任元件各就各位後,該團隊採用通道分割的 VPN 設定 (英文),讓 Microsoft 能自動使用網際網路來因應絕大多數的流量。此舉不僅進一步提高了員工的效率,也釋出 VPN 的頻寬 (尤其在修補和發行週期期間)。 

如果員工不想註冊個人裝置,繼而讓個人裝置受到管理,也沒問題。虛擬化技術可提供替代方式,讓員工在任何地點使用任何裝置存取企業資源。

– Microsoft 數位安全性團隊資深專案經理暨架構設計師 Carmichael Patton

Windows 虛擬桌面成功化身救生艇 

廣為員工使用的 Windows 虛擬桌面 (WVD) 為全方位的桌面和應用程式虛擬化服務,無需透過任何裝置直接連接企業網路,就能連接企業資源和應用程式。 

Patton 提到:「如果員工不想註冊個人裝置因而讓系統管理個人裝置,也沒問題。虛擬化技術可提供替代方式,讓員工在任何地點使用任何裝置存取企業資源。員工只需使用企業認證下載應用程式並進行驗證,就能順利使用。」 

 COVID-19 疫情期間,Microsoft 大力仰賴 Windows 虛擬桌面,以實現靈活性。在疫情爆發幾個月後,Microsoft 印度分公司的實習生 Divya Rawat 相當擔心實習資格會遭到取消。畢竟,印度當時實施「嚴禁外出」的隔離限制,因此,實習生無法前往辦公室領取裝置。 

那麼,她如何在沒有電腦的情況下繼續參加實習? 

 Windows 虛擬桌面之賜,Microsoft 的印度團隊依據零信任原則建立了 600 部虛擬機器,當中套用了多項原則和規格,因此,像 Rawat 這樣的實習生也能安全存取原始程式碼,並
順利參加實習。 

對員工發揮「數位同理心」 

了解人員如何使用不同的裝置處理工作,並使用初學者的觀點來說明為何安全性原則如此重要,為協助 Microsoft 成功推行零信任方法的重要關鍵。舉例來說,首次部署多重要素驗證 (MFA) 時,公司內部出現了反對聲浪。當時,數位安全性團隊著手修正用語,並著重強調多重要素驗證工具如何減輕員工的負擔,以透過不同的方式加以應對。 

「相較於表明多重要素驗證為強制規定,我們改為強調此舉在擺脫密碼上的效益。我們鼓勵員工採用 Windows Hello 企業版等工具來加速擺脫密碼。這樣一來,他們就不會心生抗拒。」 

此舉不僅兼顧安全性和員工生產力,也讓 Microsoft 服務台人員為之受惠。在員工透過 Windows Hello 企業版來搭配臉部或指紋登入後,服務台的密碼重設票證數量隨即銳減 40%。 

 Microsoft 而言,我們在充滿挑戰的時刻中汲取到的最重要經驗,就是「改變思維方式,以提供強力支援」。 

Skorupa 提到:「使用零信任奠定更強大的安全性基礎,並不會讓員工『有所犧牲』。情況完全相反。我們的雲端技術和工具不僅能確保客戶和公司安全無虞,在許多情況下,甚至能額外提升生產力,繼而為各方創造雙贏局面。」 

欲了解詳情,請至微軟官方部落格