Microsoft 如何實作零信任安全性模式
Microsoft 正著手實作零信任安全性模式,旨在使用網際網路做為預設網路,並輔以強大的使用者身分識別、強制執行裝置健康情況,並採用最低權限存取,以確保環境的健全度和安全性。
雲端架構服務、行動運算、物聯網 (IoT) 和攜帶您自己的裝置 (BYOD) 等技術,正於職場中迅速崛起,而此一現象也改變了現代化企業的技術版圖。過往的安全性架構需仰賴網路防火牆和虛擬私人網路 (VPN),以隔離和限制企業技術資源及服務的存取,然而,今日的員工需要定期存取位於傳統企業網路疆界之外的應用程式和資源,因此,上述做法已不敷使用。由於網際網路已成為首選網路,加上威脅不斷推陳出新,有鑑於此,Microsoft 決定採用零信任安全性模式。此一歷程已於多年前順利開展,且可望於未來數年持續進化。
零信任模式
零信任採用驗證信任原則 (需要先行通過驗證,才能得到信任) 為基礎,旨在排除傳統企業網路內部的固有信任。零信任架構會建立強大的使用者身分識別、在授予存取權限前驗證裝置的合規性,並確保取得明確授權的資源僅享有最低權限,藉此降低所有環境內的風險。
在零信任模式中,系統 (使用者身分識別、裝置、網路和應用程式) 之間的每個交易都需會先行驗證,並確認值得信賴,才能實際進行。理想的零信任環境會要求以下行為:
- 隨處使用多重要素驗證來驗證身分識別,並確認其安全無虞:多重要素驗證有助於防範密碼過期,且終將取代密碼。另外也會使用生物識別技術,以針對使用者擔保的身分識別進行強式驗證。
- 裝置會受到管理,並驗證健康與否:裝置需要進行健康情況驗證。所有類型的裝置和作業系統都應符合最低限度的健康情況要求,以滿足存取任何 Microsoft 資源的其中一項條件。
- 全面遙測:系統會使用全面的資料和遙測技術來掌握目前的安全性狀態、識別涵蓋範圍上的落差、驗證新控制項的影響層面,並將環境中的所有應用程式和服務資料相互關聯。各種使用者、裝置、應用程式、服務和存取模式,都會將健全且標準化的稽核、監控和遙測功能視為核心要求。
- 落實最低權限存取:針對應用程式、服務和基礎架構,系統只會授予執行工作職掌所需的最低限度存取權限。可廣泛存取網路的存取權限解決方案若未做出區隔,或以特定資源為範圍,都將遭到淘汰 (例如廣泛存取 VPN)
零信任情境
Microsoft 已識別出有助於達成零信任的四大核心情境。這些情境皆滿足強大的身分識別、裝置管理註冊和裝置健康情況驗證、適用於未受管理裝置的替代存取權限,以及應用程式健康情況驗證等需求。下方將說明每個核心情境:
- 情境 1. 應用裝置和服務可進行多重要素驗證和裝置健康情況驗證。
- 情境 2. 員工可在現代化管理系統中註冊裝置,而該系統將強制執行裝置健康情況驗證,以控制公司資源的存取權限。
- 情境 3. 使用未受管理裝置的 Microsoft 員工和企業來賓,可透過安全的方式存取企業資源。
- 情境 4. 僅提供最低限度的資源存取權限 (最低權限存取),以利執行特定工作職掌。
零信任的範圍和階段
Microsoft 正運用結構化方式推展零信任,範圍涵蓋眾多技術和組織,而投資期限將長達數年。下圖詳盡顯示了我們在未來兩年到三年內所欲達成零信任目標,並依照我們的核心零信任主軸分門別類。我們將持續評估這些目標,並加以調整 (如有需要)。這些目標雖無法完整呈現零信任作業和工作流所涵蓋的範圍,但可概要說明 Microsoft 最重視的零信任領域。
範圍
我們的零信任初步實作範圍,著重在企業內 (員工、合作夥伴和廠商) 使用的通用企業服務上。而零信任實作的目標,則涵蓋 Microsoft 員工日常使用的核心應用程式集 (例如 Microsoft Office 應用程式、企業營運應用程式) 和平台 (例如 iOS、Android、MacOS 和 Windows,Linux 為終極目標)。在取得進展後,我們隨即擴大重心,並將 Microsoft 內部使用的應用程式全數納入其中。凡是存取公司資源的任何企業所有裝置或個人裝置,都必須受裝置管理系統所管理。
驗證身分識別
為了著手強化環境安全性,我們實作了多重要素驗證 (MFA),以使用智慧卡控制伺服器的系統管理權限。隨後,我們擴充了多重要素驗證需求,將所有從企業網路外部存取資源的使用者納入管轄。
鑑於連接企業資源的行動裝置數量大幅攀升,我們的多重要素驗證系統歷經多次變革,從實體智慧卡、手機架構的驗證模式 (PhoneFactor),一路進化為使用 Azure Authenticator 的現代化體驗。
本領域的最新進展,在於廣泛部署 Windows Hello 企業版,以做為生物識別驗證方式。雖然 Windows Hello 尚未完全取代我們環境中的密碼,卻讓密碼的使用幅度顯著銳減,並協助我們順利淘汰密碼過期原則。此外,包含來賓帳戶在內的所有帳戶,都需於存取 Microsoft 資源前進行多重要素驗證。
驗證裝置
我們在驗證裝置方面採取的首要步驟,就是在裝置管理系統中註冊裝置。隨後,我們推出了適用於 Windows、Mac、iOS 和 Android 的裝置管理。旗下許多高流量的應用程式和服務 (例如 Microsoft 365 和 VPN),皆使用裝置健康情況來驗證使用者存取權限。此外,我們也著手使用裝置管理來妥善驗證裝置健康情況,而這項基礎要素可協助我們為存取 Microsoft 資源的裝置設定和落實健康情況原則。目前,我們使用 Windows Autopilot 來進行裝置佈建,以確保交付給員工的全新 Windows 裝置已在我們的現代化裝置管理系統中註冊完畢。
另外,凡是存取企業無線網路的裝置,都需在裝置管理系統中註冊,包括 Microsoft 擁有的裝置,以及自帶裝置到工作場所 (BYOD) 的個人裝置。如果員工想要使用個人裝置存取 Microsoft 資源,該裝置就需完成註冊,並遵守規範企業擁有裝置的裝置健康情況原則。即便無法在裝置管理系統中註冊裝置,我們也設有名為「Windows 虛擬桌面」的安全存取模式。虛擬桌面會使用符合裝置管理需求的虛擬機器建立工作階段。這樣一來,個人就能使用未受管理的裝置來安全存取精選 Microsoft 資源。另外,我們也提供瀏覽器架構的體驗,可用來存取部分 Microsoft 365 應用程式,以使用有限的功能。
驗證裝置主軸方面尚有努力的空間。我們正準備推出適用於 Linux 裝置的裝置管理,並提高落實裝置管理的應用程式數量,以實現涵蓋所有應用程式和服務的終極目標。此外,我們也在著手增加透過虛擬桌面服務連線期間的可用資源數量。最後,我們還會打造更健全的裝置健康情況原則,並將驗證範圍擴及所有應用程式和服務。
驗證存取權限
在驗證存取權限主軸上,我們的重點在於劃分專用網路中的使用者和裝置、讓所有 Microsoft 員工改用網際網路做為預設網路,以及自動將使用者和裝置路由至適當的網路區段。我們在網路區段方面有著長足進展:已成功為使用者和裝置部署多個網路區段,包括在所有 Microsoft 建築物中設定新的網際網路預設無線網路。所有使用者都會收到所屬系統的原則更新,因此可使用這個網際網路架構的網路做為新的預設值。
在推行新的網際網路期間,我們也部署了裝置註冊入口網站。這個入口網站可讓使用者自行識別、註冊或修改裝置,以確保裝置能連接適當的網路區段。使用者能透過這個入口網站後註冊來賓裝置、使用者裝置,以及物聯網裝置。
另外,我們也建立了多個專屬區段,包括專為組織內的各種物聯網裝置和情境打造的專用區段。近期,我們也將 Microsoft 辦公室內最高優先順序的物聯網裝置移轉至適當的區段中。
驗證存取權限主軸方面,尚有許多值得努力的空間。在投資設置無線網路後,我們將於有線網路領域進行類似的投資。針對物聯網領域,我們需要完成 Microsoft 辦公室內其他高優先順序裝置的移轉作業,然後著手移轉資料中心內的高優先順序裝置。上述裝置移轉完成後,則將著手移轉低優先順序裝置。最後,我們將建置適用於裝置和使用者的自動偵測機制,如此一來,就能將裝置和使用者自動路由至適當的區段,而不必在裝置註冊入口網站中註冊。
驗證服務
在驗證服務主軸上,我們聚焦於將條件式存取套用至所有應用程式和服務。完整實現條件式存取驗證的重要條件之一,在於將舊版應用程式現代化,或為無法支援條件式驗證系統的應用程式和服務實作解決方案。此舉可帶來一項額外優勢:取消對 VPN 和企業網路的依賴。所有使用者皆已啟用自動 VPN,可透過適當的連線自動路由使用者。此舉的目的,在於免除使用 VPN 的必要性,並建立順暢的體驗,以利從網際網路存取企業資源。使用自動 VPN 後,使用者系統將妥善判斷資源的連線方式,以避免使用 VPN 連接可直接從網際網路取用的資源,或在連接僅限於企業網路中提供的資源時使用 VPN。
在 COVID-19 疫情期間,多數使用者皆改採在家工作形式。這項轉變提高了遠端網路的連線流量。在此環境下,我們已成功識別應用程式擁有者、與之交流,並著手推動相關計畫,期望在不使用 VPN 的情況下,透過網際網路存取這些應用程式或服務。
雖然我們已採取多項初步措施,以現代化仍在使用 VPN 的舊版應用程式和服務,目前我們仍在建立明確的計畫和時間表,期望有朝一日可透過網際網路存取這些項目。此外,我們也有意進行投資,將落實條件式存取的應用程式和服務範圍擴大延伸至 Microsoft 365 和 VPN 以外。
使用 Microsoft 服務建置零信任架構
圖 2 提供的簡化參考架構,可看出我們採用的零信任實作方法。這項程序的主要重點,在於使用 Intune 進行裝置管理和裝置安全性原則設定、使用 Azure Active Directory (Azure AD) 條件式存取進行裝置健康情況驗證,以及使用 Azure AD 進行使用者和裝置清查。
系統會將裝置設定要求發佈至受管理的裝置中,以便與 Intune 搭配運作。隨後,裝置將產生健康情況聲明,並將其儲存至 Azure AD 中。當裝置使用者提出資源存取要求時,就會在與 Azure AD 進行驗證交換期間,連帶進行裝置健康情況驗證。
持續推動轉型
在轉型至零信任模式方面,我們已有長足的進展。過去兩年,我們不僅透過擴大強式驗證的涵蓋範圍來提高身分識別驗證強度,也改用 Windows Hello 企業版來推行生物識別驗證。我們已將裝置管理和裝置健康情況驗證功能部署至所有主流平台上,而且近期可望延伸部署至 Linux 中。此外,我們也推出 Windows 虛擬桌面系統,讓未受管理的裝置能安全存取公司資源。
接下來,本公司將持續在零信任領域做出投資。我們正著手擴充裝置和應用程式的健康狀況驗證功能、新增虛擬桌面功能以因應更多使用案例,並於有線網路中實作更出色的控制機制。另外,我們也力圖完成物聯網移轉和區段分割作業,並將舊版應用程式現代化或予以淘汰,自此與 VPN 分道揚鑣。
每個採用零信任模式的企業,都需判斷適用於自身環境的最佳做法,包括:在風險設定檔和存取方法之間取得平衡、定義在環境中的零信任實作範圍,以及判斷使用者在存取公司資源前應完成哪些驗證。不過,無論您決定從何處著手,鼓勵組織全體擁抱零信任模式,將成為您邁向成功的重要關鍵。
其他資訊
Microsoft IT 推動員工遠端工作的 9 大方式 (英文)
在 VPN 上執行:Microsoft 如何確保遠端員工保持連線 (英文)
© 2021 Microsoft Corporation. 本文件僅供參考之用。Microsoft 對本摘要不提供任何明示或默示的保證。本文件中所提實際公司和產品,可能是其各自擁有者之商標。
欲了解詳情,請至微軟官方部落格