Внедрение методик нулевого доверия в целевую зону

Нулевое доверие — это стратегия безопасности, в которой вы включаете продукты и службы в разработку и реализацию, чтобы соответствовать следующим принципам безопасности:

• Убедитесь явно: всегда проходить проверку подлинности и авторизовать доступ на основе всех доступных точек данных.

• Используйте наименее привилегированный доступ: ограничьте пользователей достаточного доступа и используйте средства для обеспечения JIT-доступа с рекомендациями по адаптивным политикам на основе рисков.

• Предположим, нарушение: свести к минимуму доступ к радиусу взрыва и сегменту, заранее искать угрозы и постоянно улучшать защиту.

Если ваша организация соответствует стратегии нулевого доверия, в области разработки целевой зоны следует включить цели развертывания, относящиеся к нулю доверия. Целевая зона является основой рабочих нагрузок в Azure, поэтому важно подготовить целевую зону для внедрения Нулевого доверия.

В этой статье приводятся рекомендации по интеграции методик нулевого доверия в целевую зону и объясняется, где соблюдение принципов нулевого доверия требует решений за пределами целевой зоны.

Столпы нулевого доверия и области проектирования целевой зоны

При реализации методик нулевого доверия в развертывании целевой зоны Azure следует начать с рассмотрения руководства по нулю доверия для каждой целевой области проектирования зоны.

Рекомендации по проектированию целевой зоны и рекомендации по принятию критических решений в каждой области см. в разделах проектирования целевой зоны Azure.

Модель "Нулевое доверие" имеет основные принципы и цели развертывания. Дополнительные сведения см. в разделе "Развертывание решений нулевого доверия".

Эти основные принципы предоставляют конкретные цели развертывания, которые помогают организациям соответствовать принципам нулевого доверия. Эти цели выходят за рамки технических конфигураций. Например, сетевой компонент имеет цель развертывания для сегментации сети. Цель не содержит сведения о настройке изолированных сетей в Azure, но вместо этого предлагает рекомендации по созданию шаблона архитектуры. Существуют и другие решения по проектированию, которые следует учитывать при реализации цели развертывания.

На следующей схеме показаны области проектирования целевой зоны.

В следующей таблице сопоставляются основные принципы нулевого доверия с областями проектирования, показанными в архитектуре.

Условные обозначения	Область проектирования целевой зоны	Нулевая основа доверия
	Выставление счетов Azure и клиент Microsoft Entra	Столбь удостоверений
	Управление удостоверениями и доступом	Столбок удостоверений, Основные аспекты приложений Столбь данных
	Организация ресурсов	Столбь удостоверений
	Система управления	Основные принципы видимости, автоматизации и оркестрации
	Управление	Столбцы конечных точек, Основные аспекты приложений Столбь данных, Компонент инфраструктуры
	Топология сети и подключения	Столп сетей
	Безопасность	Все основные принципы нулевого доверия
	Автоматизация платформы и DevOps	Основные принципы видимости, автоматизации и оркестрации

Не все цели развертывания "Нулевое доверие" являются частью целевой зоны. Многие цели развертывания "Нулевое доверие" предназначены для разработки и выпуска отдельных рабочих нагрузок в Azure.

В следующих разделах рассматриваются все основные принципы и рекомендации по реализации целей развертывания.

Защита удостоверения

Сведения о целях развертывания для защиты удостоверений см. в разделе "Защита удостоверения с использованием нулевого доверия". Для реализации этих целей развертывания можно применить федерацию удостоверений, условный доступ, управление удостоверениями и операции данных в режиме реального времени.

Вопросы относительно удостоверений

• Вы можете использовать эталонные реализации целевой зоны Azure для развертывания ресурсов, расширяющих существующую платформу удостоверений в Azure, и управлять платформой удостоверений, реализуя рекомендации Azure.

• Вы можете настроить множество элементов управления для практики нулевого доверия в клиенте Microsoft Entra. Вы также можете управлять доступом к Microsoft 365 и другим облачным службам, используюющим идентификатор Microsoft Entra.

• Необходимо запланировать требования к конфигурации за пределами целевой зоны Azure.

Рекомендации по идентификации

• Разработайте план управления удостоверениями в идентификаторе Microsoft Entra, который выходит за рамки ресурсов Azure. Например, можно использовать следующее:

  • Федерация с локальными системами удостоверений.
  • Политики условного доступа.
  • Сведения о пользователе, устройстве, расположении или поведении для авторизации.

• Разверните целевую зону Azure с отдельными подписками для ресурсов удостоверений, таких как контроллеры домена, чтобы обеспечить более безопасный доступ к ресурсам.

• Используйте управляемые удостоверения Microsoft Entra, где это возможно.

Защита конечных точек

Сведения о целях развертывания для защиты конечных точек см. в разделе "Безопасные конечные точки с нулевой доверием". Для реализации этих целей развертывания можно:

• Регистрация конечных точек с помощью поставщиков облачных удостоверений для предоставления доступа к ресурсам исключительно через облачные управляемые конечные точки и приложения.

• Применение защиты от потери данных (DLP) и управления доступом как для корпоративных устройств, так и для персональных устройств, зарегистрированных в собственных программах ( BYOD).

• Отслеживайте риск устройства для проверки подлинности с помощью обнаружения угроз конечной точки.

Рекомендации по конечным точкам

• Цели развертывания конечных точек предназначены для вычислительных устройств конечных пользователей, таких как ноутбуки, настольные компьютеры и мобильные устройства.

• При внедрении методик нулевого доверия для конечных точек необходимо реализовать решения в Azure и за пределами Azure.

• Для реализации целей развертывания можно использовать такие средства, как Microsoft Intune и другие решения по управлению устройствами.

• Если у вас есть конечные точки в Azure, например в Виртуальном рабочем столе Azure, вы можете зарегистрировать взаимодействие с клиентом в Intune и применить политики и элементы управления Azure для ограничения доступа к инфраструктуре.

Рекомендации конечных точек

• Разработайте план для управления конечными точками с помощью методик нулевого доверия, помимо планов реализации целевой зоны Azure.

• Дополнительные сведения о устройствах и серверах см. в разделе "Безопасная инфраструктура".

Защита приложений

Сведения о целях развертывания для защиты приложений см. в разделе "Безопасные приложения с нулевой доверием". Для реализации этих целей развертывания можно:

• Используйте API для получения видимости приложений.

• Применение политик для защиты конфиденциальной информации.

• Применение адаптивных элементов управления доступом.

• Ограничение охвата теневого ИТ-специалистов.

Рекомендации по приложению

• Цели развертывания для приложений сосредоточены на управлении сторонними и сторонними приложениями в организации.

• Цели не устраняют защиту инфраструктуры приложений. Вместо этого они обращаются к защите потребления приложений, особенно облачных приложений.

• Методики целевой зоны Azure не предоставляют подробные элементы управления для целей приложения. Эти элементы управления настраиваются как часть конфигурации приложения.

Рекомендации по приложениям

• Используйте Microsoft Defender для облака Приложения для управления доступом к приложениям.

• Используйте стандартизированные политики, включенные в Defender для облака Приложения, чтобы применить свои методики.

• Разработайте план для подключения приложений к рекомендациям по доступу к приложениям. Не доверяйте приложениям, на которые ваша организация размещает больше, чем вы доверяете сторонним приложениям.

Защита данных и

Сведения о целях развертывания для защиты данных см. в разделе "Безопасные данные с нулевой доверием". Для реализации этих целей можно:

• Классификация и метка данных.
• Включите управление доступом.
• Реализуйте защиту от потери данных.

Сведения о ведении журнала и управлении ресурсами данных см . в справочных реализациях целевой зоны Azure.

Подход "Нулевое доверие" включает в себя обширные элементы управления для данных. С точки зрения реализации Microsoft Purview предоставляет средства для управления данными, защиты и управления рисками. Microsoft Purview можно использовать в рамках развертывания облачной аналитики , чтобы предоставить решение, которое можно реализовать в масштабе.

Рекомендации в отношении данных

• В соответствии с принципом демократизации подписки целевой зоны можно создать доступ и сетевую изоляцию для ресурсов данных, а также установить методики ведения журнала.

  Существуют политики в эталонных реализациях для ведения журнала и управления ресурсами данных.

• Для удовлетворения целей развертывания требуются другие элементы управления, кроме защиты ресурсов Azure. Безопасность данных нулевого доверия включает классификацию данных, их маркировку для конфиденциальности и управление доступом к данным. Она также выходит за рамки баз данных и файловых систем. Необходимо рассмотреть возможность защиты данных в Microsoft Teams, Группы Microsoft 365 и SharePoint.

Рекомендации по обработке данных

• Microsoft Purview предоставляет средства для управления данными, защиты и управления рисками.

• Реализуйте Microsoft Purview в рамках развертывания облачной аналитики для реализации рабочей нагрузки в масштабе.

Защита инфраструктуры

Сведения о целях развертывания для защиты инфраструктуры см. в разделе "Безопасная инфраструктура с нулевой доверием". Для реализации этих целей можно:

• Отслеживайте ненормальное поведение в рабочих нагрузках.
• Управление удостоверениями инфраструктуры.
• Ограничение доступа к человеку.
• Сегментирование ресурсов.

Рекомендации по инфраструктуре

• К целям развертывания инфраструктуры относятся:

  • Управление ресурсами Azure.
  • Управление средами операционной системы.
  • Доступ к системам.
  • Применение элементов управления для конкретной рабочей нагрузки.

• Модель подписки целевой зоны можно использовать для создания четких границ безопасности для ресурсов Azure и назначения ограниченных разрешений на уровне ресурсов.

• Организациям необходимо упорядочить рабочие нагрузки для управления.

Рекомендации по инфраструктуре

• Используйте стандартные политики целевой зоны Azure, чтобы блокировать несоответствующие развертывания и ресурсы, а также применять шаблоны ведения журнала.

• Настройте управление привилегированными пользователями в идентификаторе Microsoft Entra, чтобы обеспечить JIT-доступ к высоко привилегированным ролям.

• Настройте JIT-доступ в Defender для облака для целевой зоны, чтобы ограничить доступ к виртуальным машинам.

• Создайте план для мониторинга отдельных рабочих нагрузок, развернутых в Azure и управления ими.

Защита сетей

Сведения о целях развертывания для защиты сетей см. в разделе "Безопасные сети с нулевой доверием". Для реализации этих целей можно:

• Реализуйте сегментацию сети.
• Используйте облачную фильтрацию.
• Реализуйте права минимального доступа.

Рекомендации по сети

• Чтобы гарантировать, что ресурсы платформы поддерживают модель безопасности "Нулевое доверие", необходимо развернуть брандмауэры, способные проверять трафик HTTPS и изолировать сетевые ресурсы удостоверения и управления из центрального концентратора.

• Помимо сетевых ресурсов в подписке на подключение, необходимо создать планы для микросексовых отдельных рабочих нагрузок в своих периферийных виртуальных сетях. Например, можно определить шаблоны трафика и создать подробные группы безопасности сети для каждой сети рабочей нагрузки.

Рекомендации по сети

• Используйте следующие руководства по развертыванию нулевого доверия для развертывания целевой зоны Azure:

  • Развертывание акселератора портала целевой зоны Azure с использованием принципов сети "Нулевое доверие"
  • Развертывание сети с помощью принципов сети "Нулевое доверие"
  • Развертывание Целевой зоны Azure Terraform с принципами сети "Нулевое доверие"

• Сведения о применении принципов нулевого доверия к доставке приложений см. в разделе "Сеть нулевого доверия" для веб-приложений.

• Сведения о создании плана для сети рабочей нагрузки см. в планах развертывания "Нулевое доверие" с помощью Azure.

Видимость, автоматизация и оркестрация

Сведения о задачах развертывания для видимости, автоматизации и оркестрации см. в разделе Видимость, автоматизация и оркестрация с нулевой доверием. Для реализации этих целей можно:

• Обеспечение видимости.
• Обеспечение автоматизации.
• Включите дополнительные элементы управления, практикуя постоянное улучшение.

Рекомендации по видимости, автоматизации и оркестрации

• Эталонные реализации целевой зоны Azure содержат развертывания Microsoft Sentinel, которые можно использовать для быстрого установления видимости в среде Azure.

• Эталонные реализации предоставляют политики для ведения журнала Azure, но для других служб требуется дополнительная интеграция.

• Для отправки сигналов следует настроить такие средства автоматизации, как Azure DevOps и GitHub.

Рекомендации по видимости, автоматизации и оркестрации

• Разверните Microsoft Sentinel в рамках целевой зоны Azure.

• Создайте план интеграции сигналов из идентификатора и средств Microsoft Entra в Microsoft 365 в рабочую область Microsoft Sentinel.

• Создайте план проведения учений по поиску угроз и постоянных улучшений безопасности.

Следующие шаги

• Безопасность в Microsoft Cloud Adoption Framework для Azure
• Применение принципов нулевого доверия к службам Azure
• Оценка состояния безопасности нулевого доверия