跳過主内容
Zero Trust: From security option to business imperative overnight

零信任:資訊安全保護一夕之間從選擇性變為企業當務之急

 Microsoft Security Senior Product Marketing Manager Nupur Goyal 

不久前,當我與客戶討論零信任相關的問題時,我們的談話內容主要在討論原則、定義範圍或分享我們自己組織 IT 的經驗。零信任是一個有趣的主題,而大多數組織都正處於探索階段。 COVID-19 迫使世界各地的組織讓員工在家工作,組織因此需要迅速地將重點轉而放在零信任的方法上,以應對或保護遠距工作帶來的挑戰。使用零信任來保護用戶、資料和設備的安全(無論它們身在何處)已從其中一個選項演變為當務之急。

許多公司發現,傳統的安全性模組需要將用戶和數據帶到「安全的」網路空間,而這些空間容量不會擴展,也無法提供所需的可見性。員工會以各種方式完成工作,包含使用個人設備、通過新的服務共享資料以及在傳統公司網路保護範圍之外進行協作。早期採用零信任方法的企業雖然能夠快速適應,但仍有許多企業尚未充分做好準備,就已經面臨大範圍的攻擊和新的安全性挑戰。

在 Microsoft ,我們一直透過分享經驗、建立管控工具和方法幫助客戶應對這些挑戰,使零信任原則也能應用在日常中。我們一直致力為組織提供快速的防護以彌補當今的巨大差距,並為零信任的專業知識和技術打下堅實的基礎,以便將來繼續發展。

今天我在 Blackhat 2020 的演講中,想分享一些我們在過程中所學到的內容,以幫助您解決問題:

  1. 從嚴格的認證機制著手

我遇到的許多客戶都認為,試圖找出開始採用零信任的起始點是一個重大的挑戰。而我總是建議他們從多重因素驗證(MFA)開始。在授予用戶存取公司資源的權限之前,先通過嚴格的身份驗證機制,來驗證用戶的身份是是提高安全性快速且有效的方法。我們的研究表明,使用 MFA 的帳戶被盜用的可能性降低了 99.9% 。嚴格的身份驗證可增強公司的總體安全性狀況,並將風險最小化,它也可以為企業奠定穩固的基礎,例如透過單一登入(SSO),將員工安全地連接到應用程式、透過適應性存取原則(adaptive access policies)控制對資源的存取等等。

  1. 端點可視性(visibility)至關重要,也越來越具有挑戰性

在「零信任」的安全模型中,我們希望能掌握正在存取公司網路的所有端點,確保我們只允許狀況良好且合規的裝置存取公司資源。而公司的存取原則中應納入設備安全狀況和合規性,以限制來自易受攻擊和已被入侵裝置的存取。這不僅有助於增強安全性並最小化風險,還可以透過支援更多裝置類型和過去經驗來提高員工的生產力。在 Microsoft 最近的一項研究中,超過 50% 的組織指出,它們因為執行距辦公而看發現更多種類的端點平台。

  1. 應用程式和資料是主要遭受攻擊的地方

隨著越來越多員工在新裝置上存取公司的資料,並以新方式進行協作,大多數安全團隊發現他們的應用程式和資料安全工具無法提供所需的可見性和控制力。 而企業受攻擊面擴展的事實,使得發現正受使用的雲端應用程式、評估它們的風險以及應用原則控制以確保數據不會透過這些應用程式洩漏出去變得至關重要。最後,通過對文件進行自動分類、標記和保護來確保這些應用程式中的敏感資料無論在何處都可以受到防護。

  1. 整合式解決方案比以往任何時候都重要

各企業的 CISO 們在 Microsoft 最近的一項研究報告中指出,對他們而言,現在威脅防護在排序上最為優先。隨著攻擊面和攻擊速度的增加,整合性的威脅防護解決方案現在可以在偵測、預防、調查和回應之間共享警示。儘管大多數組織已經使用威脅防護工具,但大多數組織並沒有共享警示支援端點到端點的工作流程。由於大多數攻擊涉及多個用戶、端點、應用程式、資料和網路,因此使用工具協作,以提供精簡的體驗和端點到端點的自動化是非常重要的。因此建議您尋找機會整合自身的威脅防護解決方案,以消除手動任務、程序衝突以及對組織影響的種種問題。

  1. 零信任能改善用戶體驗

安全性領域的領導者經常面臨安全性和簡化用戶端體驗之間的權衡。幸運的是零信任可以兼顧兩者。因為安全性是圍繞著用戶和企業資產來建構。零信任用戶可以安全地從幾乎任何裝置和位置存取其內容和應用程式,而無需多次登錄、處理 VPN 頻寬限制、或只能在公司提供的裝置上工作。

或想聽我在 Blackhat 上關於零信任的演講,請在此處註冊。查看 Microsoft 零信任成熟度模型使命說明書(Microsoft Zero Trust Maturity Model vision paper) (點擊下載),詳細介紹零信任的核心原則以及我們的成熟度模型(maturity model),該模型分解了六個基本要素個別的最高要求。

我們還將發佈每個基本要素的部署指南。閱讀與身份設備網路有關的最新指南。在 Microsoft 安全性部落格中找尋其他指南。

若欲瞭解原文,請至微軟官方部落格參考。

瞭解更多有關零信任和 Microsoft 安全性的詳細資訊。

Security blog  添加為書籤,以取得我們在安全問題上的專業報導。另外,在 @MSFTSecurity  關注我們,以獲取有關網路安全的最新新聞和更新消息。

更多故事