微軟揭密零信任成功心法:實踐零信任架構的策略與關鍵步驟
本文作者: 台灣微軟資安專家技術部 副總經理周彥儒
今年元月國家資通安全研究院正式營運,將推動 A 級公務機關導入零信任架構;金管會頒布的「金融資安行動方案 2.0」也以推動零信任架構作為 2023 年的主要目標。導入零信任架構已經成為政府機關在資安防護上的重點工作之一。反觀企業組織,雖然零信任這幾年成為大家關注的資安議題,許多金融機構及大型企業也開始逐步導入零信任架構,但仍然有絕大多數的企業及組織尚未開始,成為企業資安的一大隱憂。
從去年迄今遭網路釣魚攻擊、網路詐騙、釣魚郵件、員工帳號被盜、個資及敏感資料遭竊等資安事件層出不窮。綜觀這些事件,均是透過騙取帳密及憑證後,使用該身份盜取個資及機密檔案。唯有導入「明確驗證、最低存取權限」原則的零信任架構,才能有效的保護企業組織的資訊安全。零信任不只是一種資安架構或防護手段,而是一個與營運策略校準的資安策略,因此,凡是與公司營運流程相關的重要資產,都應採納零信任思維,而在推行上,需要透過跨部門的專責委員會及統一的方法論,逐步將每個重要資產都調整為零信任架構。
微軟的零信任策略
微軟自身導入零信任架構已經多年,為讓政府及企業組織進一步了解導入零信任資安策略的方法與步驟,本文將從成立跨部門專責組織、使用情境、零信任的範圍和階段、身份驗證、裝置驗證、存取權限驗證、服務驗證、選擇合適技術、持續推進等步驟分享微軟自身導入零信任架構的實務,如何透過零信任策略建構安全的工作環境,賦能員工能夠在喜歡的地點、選擇需要的裝置以及所需的應用軟體完成任務。
步驟一、成立跨部門組織並定義零信任情境
微軟的零信任是生產力與資訊安全兼顧的資安策略,目前微軟全球有超過十萬名員工,使用的各式裝置高達數十萬台,作業系統橫跨 Windows、iOS/ipadOS、Android、MacOS、HoloLens 及 Linux,為讓每位使用者及每台裝置都可在安全無虞的環境下存取公司資源,需要先確立各部門的使用情境。因此微軟由內部執行零信任溝通與推廣之專責單位,以及資安產品與市場部門的企業副總裁層級以上,組成了跨部門的零信任推行委員會及工作小組,並定義達成零信任的四大核心情境與目標,以滿足強式身分驗證、順暢的裝置管理註冊和完整的合規驗證、未納管裝置的安全存取、以及明確的應用程式存取驗證等需求。
情境 1:所有服務皆可進行多因素身分驗證和裝置驗證。
情境 2:員工可在現代化的管理系統中自行註冊及註銷裝置,並依據納管裝置的合規狀況,決定是否能存取公司資源。
情境 3:未納管之裝置仍有安全的替代方案可存取企業資源。
情境 4:僅提供最低限度的資源存取權限(最低權限存取),以執行特定的工作職務。
步驟二、分階段推展零信任架構、定義四大領域和目標
微軟導入零信任是分階段推展,初期範圍側重於整個企業(員工、合作夥伴和供應商)使用率較高的服務,零信任實施先針對微軟員工在 Windows、iOS/iPadOS、Android、MacOS 等平台上日常使用的核心應用程式集(如 Microsoft Office 應用程式、企業營運系統)。接著再擴展到所有的應用服務,凡是能直接存取公司資源的裝置,無論是公司派發或個人之裝置,都必須納入裝置管理系統管理。
強式身份驗證
為了強化使用環境的安全性,微軟先使用實體金鑰進行多因素驗證(MFA)來進行伺服器的存取管理。隨後,擴展到所有從外部網路存取企業資源的使用者均需進行 MFA 驗證。隨著連接企業資源的行動裝置數量不斷攀升,微軟的多因素驗證方式亦歷經多次變革,從實體金鑰、手機驗證(Phone-based MFA),一路進化為使用 Microsoft Azure Authenticator 應用程式及廣泛部署 Windows Hello 企業版的生物識別驗證方式。雖然目前 Windows Hello 尚未完全取代微軟內部環境中的所有密碼,但已明顯減少密碼的數量,並協助微軟改善使用者體驗上因應密碼效期的不便。此外,包含來賓帳戶在內的所有帳戶,都強制其在存取微軟資源前,進行多因素驗證。
裝置驗證
微軟進行裝置驗證的第一步是將所有裝置都透過統一的裝置管理系統進行註冊,目前已經完成 Windows、Mac、iOS 和 Android 的裝置註冊與管理,並針對高流量的應用程式和服務(例如 Microsoft 365 和 VPN),強制進行裝置合規驗證。同時也開始使用 Windows Autopilot 來進行自動化的裝置設定,確保交付給員工的 Windows 裝置皆已在現代化裝置管理系統中自動註冊完畢。
此外,凡是存取企業無線網路的所有裝置(包括BYOD),都需在裝置管理系統中註冊並遵守管理裝置安全規範。對於無法在裝置管理系統中註冊的裝置,微軟也透過「Azure Virtual Desktop」的安全存取模式。虛擬桌面會使用合規的虛擬機器建立工作階段。這樣一來,個人就能使用未納管裝置來安全的存取微軟資源執行作業。另外,我們也提供使用瀏覽器來存取部分 Microsoft 365 應用程式有限的功能。
我們持續擴大實施裝置合規驗證的應用程式數量,最終目標是要能涵蓋所有的應用程式和服務。此外,透過擴展裝置範圍(例如 Linux)與擴大合規條件,終極目標是要能將裝置驗證範圍擴及所有應用程式和服務。
服務及網路分段
在服務分段主軸上,微軟讓所有員工以網際網路為其預設網路,並自動地將使用者和裝置路由至其適當的區段與服務為目標。微軟已成功將使用者和裝置劃分至多個區段,並在所有微軟辦公室中建立以網際網路為其預設網路的無線網路。
另外,我們也在內部網路中,為組織內的各種物聯網裝置依風險劃分了其專屬的網路區段。近期,我們將微軟辦公室內高風險物聯網裝置,移轉至適當的區段中。並已著手移轉資料中心內的高風險裝置。在完成上述物聯網裝置之移轉後,則將著手移轉低風險物聯網裝置。
條件式存取
在條件式存取主軸上,微軟的目標是將條件式存取套用至公司所有應用程式和服務。完整實現條件式存取驗證的關鍵工作是將舊有的應用程式現代化,或為無法整合條件式存取系統的應用程式和服務提供解決方案。零信任推行小組已成功與各項應用程式的開發者緊密合作,將這些應用程式及服務修改為不需 VPN,只要網際網路即可進行存取。此舉可消除企業對 VPN 和內部網路的依賴。在 COVID-19 疫情期間,由於多數員工改採在家工作形式,這項轉變亦提升了我們使用者在外部網路連線企業資源上之穩定度及安全性。
步驟三、找到合適工具和技術來實現零信任安全模型
以下是微軟導入零信任的架構圖,主要是透過 Intune 進行裝置管理和裝置安全性原則設定、使用 Microsoft Azure Active Directory (Azure AD) 條件式存取進行裝置健康情況驗證,以及使用 Azure AD 進行使用者和裝置清單盤查。
系統會將裝置設定要求自動發佈至納管裝置中,以便與 Intune 搭配運作。隨後,裝置將產生合規聲明,並將其儲存至 Microsoft Azure AD 中。當使用者以該裝置提出資源存取要求時,就會在與 Azure AD 進行身份驗證期間,連帶進行裝置合規驗證。Azure AD 針對不合規之裝置或因應任何風險訊號(例如不尋常的登入地),可彈性化決定是否給予資源存取權或要求更嚴格之身份驗證。
步驟四、持續推動轉變
從傳統資安策略轉變為零信任策略,微軟已有顯著的進展。疫情期間,我們不僅透過擴大強式驗證的涵蓋範圍來提高身分驗證的廣度,也採用 Windows Hello 企業版的生物識別無密碼驗證來提升強度。我們將裝置管理和合規驗證功能部署至所有主流作業系統中,近期將可望延伸部署至 Linux 中。此外,微軟也採用 Windows 虛擬桌面系統,讓沒有納管裝置的使用者也能安全地存取公司部份資源。
微軟的資安也將持續在零信任領域進行投資,我們正著手擴充裝置和應用程式的合規驗證功能、新增虛擬桌面的功能以因應更多使用案例,並於有線網路中實施更好的存取控制機制。另外,微軟還將完成物聯網遷移和網路分段作業,並將舊版應用程式現代化或予以淘汰,以完全消除 VPN 之使用為目標。
導入零信任已成必然,盡早擬訂完善資安策略 才能確保企業資安
每個採納零信任策略的企業或組織,都需要先了解最適合其導入零信任的情境與符合其運作環境的架構,這包括:在營運風險及員工生產力間取得平衡、界定實施零信任的範圍及目標、以及確認使用者在存取公司資源前應完成哪些驗證。無論您決定從何處著手,我們都鼓勵企業組織應全面擁抱零信任策略,並將零信任從資安架構提升至與企業營運策略相輔相成的資安策略,並依序從身份、裝置、服務及網路分段、條件式存取等階段逐步導入,降低企業營運的資安風險。
微軟提供的零信任架構及相關的解決方案,已在自身導入零信任的過程中獲得多年的實績驗證,零信任導入要成功,企業將需要一個跨部門的專責組織、將零信任提升到營運層級的資安策略,並且整合營運流程,任何使用者及裝置存取公司資源前先驗證身份、驗證裝置、驗證存取權限、及驗證服務。希望藉由微軟自身導入零信任的實務分享,提供政府及企業組織導入零信任的參考。
本文轉載自 CIO Taiwan
