Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье представлен план развертывания для создания системы безопасности "Никому не доверяй" с помощью Microsoft 365. Нулевое доверие — это модель безопасности, предполагающая нарушение и проверяющая каждый запрос, как будто она возникла из неконтролируемой сети. Независимо от того, где возникает запрос и к какому ресурсу он обращается, модель нулевого доверия учит нас: "никогда не доверяй, всегда проверяй".
Используйте эту статью вместе с этим плакатом.
Принципы и архитектура "Никому не доверяй"
Нулевое доверие — это стратегия безопасности. Это не продукт или услуга, а подход к проектированию и реализации следующего набора принципов безопасности.
| Принцип | Описание |
|---|---|
| Явная проверка | Всегда осуществляйте аутентификацию и авторизацию на основе всех доступных данных. |
| Использование минимального доступа к привилегиям | Ограничение доступа пользователей с помощью Just-In-Time и Just-Enough-Access (JIT/JEA), адаптивных политик, основанных на оценке рисков, и защиты данных. |
| Предположим взлом. | Минимизируйте радиус взрыва и сегментируйте доступ. Проверьте сквозное шифрование и используйте аналитику, чтобы получить видимость, стимулировать обнаружение угроз и улучшать методы защиты. |
Рекомендации, приведенные в этой статье, помогут вам применить эти принципы, реализуя возможности в Microsoft 365.
Подход нулевого доверия распространяется на весь цифровой объект и служит интегрированной философией безопасности и комплексной стратегией.
На этом рисунке представлено представление основных элементов, которые влияют на "Никому не доверяй".
На рисунке:
- Применение политики безопасности находится в центре архитектуры нулевого доверия. Сюда входит многофакторная проверка подлинности с условным доступом, которая учитывает риск учетной записи пользователя, состояние устройства и другие заданные вами критерии и политики.
- Удостоверения, устройства, данные, приложения, сеть и другие компоненты инфраструктуры настроены с соответствующей безопасностью. Политики, настроенные для каждого из этих компонентов, координируются с общей стратегией нулевого доверия. Например, политики устройств определяют критерии работоспособности устройств, а политики условного доступа требуют работоспособности устройств для доступа к определенным приложениям и данным.
- Защита от угроз и аналитическая система отслеживает состояние среды, выявляет текущие риски и принимает автоматические меры для устранения атак.
Дополнительные сведения о принципе "Никому не доверяй" см. в разделе Microsoft's Zero Trust Guidance Center.
Развертывание "Никому не доверяй" для Microsoft 365
Microsoft 365 специально создан с множеством возможностей безопасности и защиты информации, чтобы помочь вам создать "Никому не доверяй" в вашей среде. Многие возможности можно расширить для защиты доступа к другим приложениям SaaS, которые использует ваша организация, и данные в этих приложениях.
На этом рисунке показана работа по развертыванию возможностей "Никому не доверяй". Эта работа соответствует бизнес-сценариям "Никому не доверяй" в рамках платформы внедрения "Никому не доверяй".
На этом рисунке работа по развертыванию разделена на пять дорожек:
- Безопасная удаленная и гибридная работа . Эта работа создает основу для защиты удостоверений и устройств.
- Предотвращение или уменьшение ущерба для бизнеса в результате нарушения безопасности . Защита от угроз обеспечивает мониторинг и устранение угроз безопасности в режиме реального времени. Defender for Cloud Apps обеспечивает обнаружение приложений SaaS, включая приложения ИИ, и позволяет расширить защиту данных для этих приложений.
- Выявление и защита конфиденциальных бизнес-данных . Возможности защиты данных предоставляют сложные средства управления, предназначенные для определенных типов данных, чтобы защитить наиболее ценную информацию.
- Защита приложений ИИ и данных . Быстро защитите использование приложений ИИ в организации и данных, с которыми они взаимодействуют.
- Соблюдайте нормативные требования и требования к соответствию . Изучите и отслеживайте ход выполнения нормативных требований, влияющих на вашу организацию.
В этой статье предполагается, что вы используете облачное удостоверение. Если вам нужны рекомендации для этой цели, см. статью Развертывание инфраструктуры удостоверений для Microsoft 365.
Подсказка
Когда вы понимаете шаги и комплексный процесс развертывания, вы можете использовать руководство по настройке модели безопасности "Никому не доверяй" при входе в Центр администрирования Microsoft 365. В этом руководстве описывается применение принципов "Никому не доверяй" для стандартных и передовых технологий. Чтобы выполнить пошаговое руководство без входа, перейдите на портал установки Microsoft 365.
Дорожка для плавания 1 — безопасная удаленная и гибридная работа
Защита удаленной и гибридной работы включает настройку защиты доступа к удостоверениям и устройствам. Эти меры защиты способствуют явной проверке принципа "Никому не доверяй".
Выполните работу по обеспечению безопасности удаленной и гибридной работы в три этапа.
Этап 1. Реализация политик удостоверений и доступа к устройствам начальной точки
Корпорация Майкрософт рекомендует полный набор политик доступа к удостоверениям и устройствам для "Никому не доверяй" в этом руководстве — "Никому не доверяй" удостоверений и конфигураций доступа к устройствам.
На этапе 1 начните с реализации уровня начальной точки. Эти политики не требуют регистрации устройств в управлении.
Подробные инструкции см. в разделе Защита удостоверений и доступа к устройствам без доверия. В этой серии статей описывается набор необходимых конфигураций для доступа к удостоверениям и устройствам, а также набор Microsoft Entra условного доступа, Microsoft Intune и других политик для защиты доступа к Microsoft 365 для облачных приложений и служб предприятия, других служб SaaS и локальных приложений, опубликованных с помощью Microsoft Entra приложения. доверенность.
| Включает | Предпосылки | Не включает |
|---|---|---|
Рекомендуемые политики доступа к удостоверениям и устройствам для трех уровней защиты:
Дополнительные рекомендации для:
|
Microsoft E3 или E5 Microsoft Entra ID в любом из следующих режимов:
|
Регистрация устройств для политик, для которых требуются управляемые устройства. См. раздел Управление устройствами с помощью Intune регистрации устройств. |
Этап 2. Регистрация устройств для управления с помощью Intune
Затем зарегистрируйте устройства для управления и начните защищать их с помощью более сложных элементов управления.
Подробные инструкции по регистрации устройств для управления см. в статье Управление устройствами с помощью Intune.
| Включает | Предпосылки | Не включает |
|---|---|---|
Регистрация устройств с помощью Intune:
Настройка политик:
|
Регистрация конечных точек с помощью Microsoft Entra ID | Настройка возможностей защиты информации, в том числе:
Эти возможности см. в разделе Swim Lane 3 — определение и защита конфиденциальных бизнес-данных (далее в этой статье). |
Дополнительные сведения см. в разделе Никому не доверяй для Microsoft Intune.
Этап 3. Добавление защиты удостоверений и доступа к устройствам без доверия: корпоративные политики
Благодаря зарегистрированным в управлении устройствам теперь можно реализовать полный набор рекомендуемых политик удостоверений и доступа к устройствам без доверия, для которых требуются соответствующие устройства.
Вернитесь к разделу Общие политики доступа к удостоверениям и устройствам и добавьте политики на уровне "Корпоративный".
Дополнительные сведения о том, как защитить удаленную и гибридную работу, см. в статье Платформа внедрения "Никому не доверяй" — безопасная удаленная и гибридная работа.
Дорожка для плавания 2 — предотвращение или уменьшение ущерба для бизнеса в результате нарушения
Microsoft Defender XDR — это расширенное решение для обнаружения и реагирования (XDR), которое автоматически собирает, сопоставляет и анализирует данные сигналов, угроз и оповещений из всей среды Microsoft 365, включая конечную точку, электронную почту, приложения и удостоверения. Кроме того, Microsoft Defender for Cloud Apps помогает организациям определять и управлять доступом к приложениям SaaS, включая приложения GenAI.
Предотвращение или уменьшение ущерба для бизнеса от нарушения путем пилотного развертывания и развертывания Microsoft Defender XDR.
Перейдите в раздел Пилотный проект и развертывание Microsoft Defender XDR, чтобы получить практическое руководство по пилотированию и развертыванию компонентов Microsoft Defender XDR.
| Включает | Предпосылки | Не включает |
|---|---|---|
Настройте среду оценки и пилотную среду для всех компонентов:
Защита от угроз Исследование угроз безопасности и реагирование на них |
Ознакомьтесь с руководством, чтобы ознакомиться с требованиями к архитектуре для каждого компонента Microsoft Defender XDR. | Защита Microsoft Entra ID не входит в это руководство по решению. Он входит в состав Swim Lane 1 — безопасная удаленная и гибридная работа. |
Дополнительные сведения о том, как предотвратить или уменьшить ущерб, нанесенный бизнесу в результате нарушения, см. в статье Платформа внедрения "Никому не доверяй" — предотвращение или уменьшение ущерба для бизнеса от бреха.
Плавательная полоса 3 — выявление и защита конфиденциальных бизнес-данных
Реализуйте Защита информации Microsoft Purview, помогающие обнаруживать, классифицировать и защищать конфиденциальную информацию, где бы она ни находились или куда бы ни находились.
Защита информации Microsoft Purview возможности включены в Microsoft Purview и предоставляют средства для получения данных, защиты данных и предотвращения их потери. Вы можете начать эту работу в любое время.
Защита информации Microsoft Purview предоставляет платформу, процесс и возможности, которые можно использовать для достижения конкретных бизнес-целей.
Дополнительные сведения о планировании и развертывании защиты информации см. в статье Развертывание решения Защита информации Microsoft Purview.
Дополнительные сведения о том, как выявлять и защищать конфиденциальные бизнес-данные, см. в статье Платформа внедрения "Никому не доверяй" — определение и защита конфиденциальных бизнес-данных.
Дорожка для плавания 4 — защита приложений и данных ИИ
Microsoft 365 предоставляет возможности, помогающие организациям быстро защищать приложения ИИ и данные, которые они используют.
Начните с использования Управление состоянием безопасности данных Purview (DSPM) для ИИ. В этом средстве основное внимание уделяется использованию ИИ в организации, особенно конфиденциальным данным, взаимодействующим с инструментами ИИ. DSPM для искусственного интеллекта предоставляет более глубокие аналитические сведения для приложений Microsoft Copilots и сторонних приложений SaaS, таких как ChatGPT Enterprise и Google Gemini.
На следующей схеме представлено одно из агрегированных представлений о влиянии использования ИИ на ваши данные — конфиденциальные взаимодействия в рамках генеративного приложения ИИ.
Используйте DSPM для ИИ, чтобы:
- Получите представление об использовании ИИ, включая конфиденциальные данные.
- Просмотрите оценки данных, чтобы узнать о пробелах в переучете, которые можно устранить с помощью элементов управления переучетом SharePoint.
- Найдите пробелы в покрытии политики для меток конфиденциальности и политик защиты от потери данных (DLP).
Defender for Cloud Apps — это еще один мощный инструмент для обнаружения и управления приложениями и использованием SaaS GenAI. Defender for Cloud Apps включает более тысячи приложений, связанных с искусственным интеллектом, в каталоге, обеспечивая представление о том, как генерированные приложения ИИ используются в вашей организации, и помогая безопасно управлять ими.
В дополнение к этим средствам Microsoft 365 предоставляет полный набор возможностей для защиты ИИ и управления ими. Сведения о том, как начать работу с этими возможностями, см. в статье Обнаружение, защита и управление приложениями ИИ и данными .
В следующей таблице перечислены возможности Microsoft 365 со ссылками на дополнительные сведения в библиотеке Безопасность для ИИ.
Дорожка для купания 5 — соответствие нормативным и нормативным требованиям
Независимо от сложности ИТ-среды вашей организации или размера организации, новые нормативные требования, которые могут повлиять на ваш бизнес, постоянно растут. Подход "Никому не доверяй" часто превышает некоторые типы требований, предъявляемых нормативными требованиями, например контроль доступа к персональным данным. Организации, которые реализовали подход "Никому не доверяй", могут обнаружить, что они уже соответствуют некоторым новым условиям или могут легко построить архитектуру "Никому не доверяй" для соответствия требованиям.
Microsoft 365 предоставляет возможности для обеспечения соответствия нормативным требованиям, в том числе:
- Диспетчер соответствия требованиям
- Обозреватель содержимого
- Политики хранения, метки конфиденциальности и политики защиты от потери данных
- Соответствие требованиям к обмену данными
- Управление жизненным циклом данных
- Управление рисками информационной безопасности Priva
Используйте следующие ресурсы для соответствия нормативным требованиям и требованиям.
| Ресурс | Дополнительные сведения |
|---|---|
| Платформа внедрения "Никому не доверяй" — соответствие нормативным и нормативным требованиям | Описывает методичный подход, который может применяться в вашей организации, включая определение стратегии, планирование, принятие и управление. |
| Управление приложениями ИИ и данными для соответствия нормативным требованиям | Решает вопросы соответствия нормативным требованиям для новых правил, связанных с ИИ, включая конкретные возможности, которые помогают. |
| Управление конфиденциальностью и защитой данных с помощью Microsoft Priva и Microsoft Purview | Оцените риски и примите соответствующие меры для защиты персональных данных в среде организации с помощью Microsoft Priva и Microsoft Purview. |
Дальнейшие шаги
Дополнительные сведения об "Никому не доверяй" см. в центре рекомендаций по принципу "Никому не доверяй".