Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье представлен план развертывания для создания системы безопасности "Никому не доверяй" с помощью Microsoft 365. "Никому не доверяй" — это модель безопасности, которая предполагает нарушение безопасности и проверяет каждый запрос так, как будто он был получен из неконтролируемой сети. Независимо от того, откуда исходит запрос или к какому ресурсу он обращается, модель "Никому не доверяй" учит нас никогда не доверять, всегда проверять.
Используйте эту статью вместе с этим плакатом.
Принципы и архитектура "Никому не доверяй"
"Никому не доверяй" — это стратегия безопасности. Это не продукт или служба, а подход к проектированию и реализации следующего набора принципов безопасности.
| Принцип | Описание |
|---|---|
| Выполняйте проверку явным образом. | Всегда выполняйте аутентификацию и авторизацию на основе всех доступных точек данных. |
| Руководствуйтесь принципом минимальных прав. | Ограничьте доступ пользователей с помощью JIT/JEA, адаптивных политик на основе рисков и защиты данных. |
| Предполагайте наличие бреши в системе безопасности | Сведите к минимуму радиус взрыва и доступ к сегментам. Проверьте сквозное шифрование и используйте аналитику, чтобы получить представление о ситуации, выявить угрозы и улучшить защиту. |
Рекомендации, приведенные в этой статье, помогут вам применить эти принципы, реализуя возможности в Microsoft 365.
Подход "Никому не доверяй" распространяется на все цифровые активы и служит интегрированной философией безопасности и комплексной стратегией.
На этом рисунке представлено представление основных элементов, которые влияют на "Никому не доверяй".
На этом рисунке:
- Принудительное применение политики безопасности находится в центре архитектуры "Никому не доверяй". Сюда входит многофакторная проверка подлинности с условным доступом, которая учитывает риск учетной записи пользователя, состояние устройства и другие заданные вами критерии и политики.
- Удостоверения, устройства, данные, приложения, сеть и другие компоненты инфраструктуры настроены с соответствующей безопасностью. Политики, настроенные для каждого из этих компонентов, координируются с общей стратегией "Никому не доверяй". Например, политики устройств определяют критерии работоспособности устройств, а политики условного доступа требуют работоспособности устройств для доступа к определенным приложениям и данным.
- Защита от угроз и аналитика отслеживают среду, устраняют текущие риски и автоматически принимают меры по устранению атак.
Дополнительные сведения о принципе "Никому не доверяй" см. в разделе Microsoft's Zero Trust Guidance Center.
Развертывание "Никому не доверяй" для Microsoft 365
Microsoft 365 специально создан с множеством возможностей безопасности и защиты информации, чтобы помочь вам создать "Никому не доверяй" в вашей среде. Многие возможности можно расширить для защиты доступа к другим приложениям SaaS, которые ваша организация использует, и к данным в этих приложениях.
На этом рисунке показана работа по развертыванию возможностей "Никому не доверяй". Эта работа соответствует бизнес-сценариям "Никому не доверяй" в рамках платформы внедрения "Никому не доверяй".
На этом рисунке работа по развертыванию разделена на пять дорожек:
- Безопасная удаленная и гибридная работа . Эта работа создает основу для защиты удостоверений и устройств.
- Предотвращение или уменьшение ущерба для бизнеса в результате нарушения безопасности . Защита от угроз обеспечивает мониторинг и устранение угроз безопасности в режиме реального времени. Defender for Cloud Apps обеспечивает обнаружение приложений SaaS, включая приложения ИИ, и позволяет расширить защиту данных для этих приложений.
- Выявление и защита конфиденциальных бизнес-данных . Возможности защиты данных предоставляют сложные средства управления, предназначенные для определенных типов данных, чтобы защитить наиболее ценную информацию.
- Защита приложений ИИ и данных . Быстро защитите использование приложений ИИ в организации и данных, с которыми они взаимодействуют.
- Соблюдайте нормативные требования и требования к соответствию . Изучите и отслеживайте ход выполнения нормативных требований, влияющих на вашу организацию.
В этой статье предполагается, что вы используете облачное удостоверение. Если вам нужны рекомендации для этой цели, см. статью Развертывание инфраструктуры удостоверений для Microsoft 365.
Совет
Когда вы понимаете шаги и комплексный процесс развертывания, вы можете использовать руководство по настройке модели безопасности "Никому не доверяй" при входе в Центр администрирования Microsoft 365. В этом руководстве описывается применение принципов "Никому не доверяй" для стандартных и передовых технологий. Чтобы выполнить пошаговое руководство без входа, перейдите на портал установки Microsoft 365.
Дорожка для плавания 1 — безопасная удаленная и гибридная работа
Защита удаленной и гибридной работы включает настройку защиты доступа к удостоверениям и устройствам. Эти меры защиты способствуют явной проверке принципа "Никому не доверяй".
Выполните работу по обеспечению безопасности удаленной и гибридной работы в три этапа.
Этап 1. Реализация политик удостоверений и доступа к устройствам начальной точки
Корпорация Майкрософт рекомендует полный набор политик доступа к удостоверениям и устройствам для "Никому не доверяй" в этом руководстве — "Никому не доверяй" удостоверений и конфигураций доступа к устройствам.
На этапе 1 начните с реализации уровня начальной точки. Эти политики не требуют регистрации устройств в управлении.
Подробные инструкции см. в разделе Защита удостоверений и доступа к устройствам без доверия. В этой серии статей описывается набор необходимых конфигураций для доступа к удостоверениям и устройствам, а также набор Microsoft Entra условного доступа, Microsoft Intune и других политик для защиты доступа к Microsoft 365 для облачных приложений и служб предприятия, других служб SaaS и локальных приложений, опубликованных с помощью Microsoft Entra приложения. доверенность.
| Включает следующее | Предварительные условия | Не включает |
|---|---|---|
Рекомендуемые политики доступа к удостоверениям и устройствам для трех уровней защиты:
Дополнительные рекомендации для:
|
Microsoft E3 или E5 Microsoft Entra ID в любом из следующих режимов:
|
Регистрация устройств для политик, для которых требуются управляемые устройства. См. раздел Управление устройствами с помощью Intune регистрации устройств. |
Этап 2. Регистрация устройств для управления с помощью Intune
Затем зарегистрируйте устройства для управления и начните защищать их с помощью более сложных элементов управления.
Подробные инструкции по регистрации устройств для управления см. в статье Управление устройствами с помощью Intune.
| Включает следующее | Предварительные условия | Не включает |
|---|---|---|
Регистрация устройств с помощью Intune:
Настройка политик:
|
Регистрация конечных точек с помощью Microsoft Entra ID | Настройка возможностей защиты информации, в том числе:
Эти возможности см. в разделе Swim Lane 3 — определение и защита конфиденциальных бизнес-данных (далее в этой статье). |
Дополнительные сведения см. в разделе Никому не доверяй для Microsoft Intune.
Этап 3. Добавление защиты удостоверений и доступа к устройствам без доверия: корпоративные политики
Благодаря зарегистрированным в управлении устройствам теперь можно реализовать полный набор рекомендуемых политик удостоверений и доступа к устройствам без доверия, для которых требуются соответствующие устройства.
Вернитесь к разделу Общие политики доступа к удостоверениям и устройствам и добавьте политики на уровне "Корпоративный".
Дополнительные сведения о том, как защитить удаленную и гибридную работу, см. в статье Платформа внедрения "Никому не доверяй" — безопасная удаленная и гибридная работа.
Дорожка для плавания 2 — предотвращение или уменьшение ущерба для бизнеса в результате нарушения
Microsoft Defender XDR — это расширенное решение для обнаружения и реагирования (XDR), которое автоматически собирает, сопоставляет и анализирует данные сигналов, угроз и оповещений из всей среды Microsoft 365, включая конечную точку, электронную почту, приложения и удостоверения. Кроме того, Microsoft Defender for Cloud Apps помогает организациям определять и управлять доступом к приложениям SaaS, включая приложения GenAI.
Предотвращение или уменьшение ущерба для бизнеса от нарушения путем пилотного развертывания и развертывания Microsoft Defender XDR.
Перейдите в раздел Пилотный проект и развертывание Microsoft Defender XDR, чтобы получить практическое руководство по пилотированию и развертыванию компонентов Microsoft Defender XDR.
| Включает следующее | Предварительные условия | Не включает |
|---|---|---|
Настройте среду оценки и пилотную среду для всех компонентов:
Защита от угроз Исследование угроз и реагирование на них |
Ознакомьтесь с руководством, чтобы ознакомиться с требованиями к архитектуре для каждого компонента Microsoft Defender XDR. | Защита Microsoft Entra ID не входит в это руководство по решению. Он входит в состав Swim Lane 1 — безопасная удаленная и гибридная работа. |
Дополнительные сведения о том, как предотвратить или уменьшить ущерб, нанесенный бизнесу в результате нарушения, см. в статье Платформа внедрения "Никому не доверяй" — предотвращение или уменьшение ущерба для бизнеса от бреха.
Плавательная полоса 3 — выявление и защита конфиденциальных бизнес-данных
Реализуйте Защита информации Microsoft Purview, помогающие обнаруживать, классифицировать и защищать конфиденциальную информацию, где бы она ни находились или куда бы ни находились.
Защита информации Microsoft Purview возможности включены в Microsoft Purview и предоставляют средства для получения данных, защиты данных и предотвращения их потери. Вы можете начать эту работу в любое время.
Защита информации Microsoft Purview предоставляет платформу, процесс и возможности, которые можно использовать для достижения конкретных бизнес-целей.
Дополнительные сведения о планировании и развертывании защиты информации см. в статье Развертывание решения Защита информации Microsoft Purview.
Дополнительные сведения о том, как выявлять и защищать конфиденциальные бизнес-данные, см. в статье Платформа внедрения "Никому не доверяй" — определение и защита конфиденциальных бизнес-данных.
Дорожка для плавания 4 — защита приложений и данных ИИ
Microsoft 365 предоставляет возможности, помогающие организациям быстро защищать приложения ИИ и данные, которые они используют.
Начните с использования Управление состоянием безопасности данных Purview (DSPM) для ИИ. В этом средстве основное внимание уделяется использованию ИИ в организации, особенно конфиденциальным данным, взаимодействующим с инструментами ИИ. DSPM для ИИ предоставляет более подробную информацию для Microsoft Copilots и сторонних приложений SaaS, таких как ChatGPT Enterprise и Google Gemini.
На следующей схеме показано одно из агрегированных представлений о влиянии использования ИИ на данные — конфиденциальные взаимодействия для каждого приложения ИИ для создания.
Используйте DSPM для ИИ, чтобы:
- Получите представление об использовании ИИ, включая конфиденциальные данные.
- Просмотрите оценки данных, чтобы узнать о пробелах в переучете, которые можно устранить с помощью элементов управления переучетом SharePoint.
- Найдите пробелы в покрытии политики для меток конфиденциальности и политик защиты от потери данных (DLP).
Defender for Cloud Apps — это еще один мощный инструмент для обнаружения и управления приложениями и использованием SaaS GenAI. Defender for Cloud Apps включает более тысячи приложений, связанных с искусственным интеллектом, в каталоге, обеспечивая представление о том, как генерированные приложения ИИ используются в вашей организации, и помогая безопасно управлять ими.
В дополнение к этим средствам Microsoft 365 предоставляет полный набор возможностей для защиты ИИ и управления ими. Сведения о том, как начать работу с этими возможностями, см. в статье Обнаружение, защита и управление приложениями ИИ и данными .
В следующей таблице перечислены возможности Microsoft 365 со ссылками на дополнительные сведения в библиотеке Безопасность для ИИ.
Дорожка для купания 5 — соответствие нормативным и нормативным требованиям
Независимо от сложности ИТ-среды вашей организации или размера организации, новые нормативные требования, которые могут повлиять на ваш бизнес, постоянно растут. Подход "Никому не доверяй" часто превышает некоторые типы требований, предъявляемых нормативными требованиями, например контроль доступа к персональным данным. Организации, которые реализовали подход "Никому не доверяй", могут обнаружить, что они уже соответствуют некоторым новым условиям или могут легко построить архитектуру "Никому не доверяй" для соответствия требованиям.
Microsoft 365 предоставляет возможности для обеспечения соответствия нормативным требованиям, в том числе:
- Диспетчер соответствия требованиям
- Обозреватель содержимого
- Политики хранения, метки конфиденциальности и политики защиты от потери данных
- Соответствие требованиям к обмену данными
- Управление жизненным циклом данных
- Управление рисками информационной безопасности Priva
Используйте следующие ресурсы для соответствия нормативным требованиям и требованиям.
| Ресурс | Дополнительная информация |
|---|---|
| Платформа внедрения "Никому не доверяй" — соответствие нормативным и нормативным требованиям | Описывает методичный подход, который может применяться в вашей организации, включая определение стратегии, планирование, принятие и управление. |
| Управление приложениями ИИ и данными для соответствия нормативным требованиям | Решает вопросы соответствия нормативным требованиям для новых правил, связанных с ИИ, включая конкретные возможности, которые помогают. |
| Управление конфиденциальностью и защитой данных с помощью Microsoft Priva и Microsoft Purview | Оцените риски и примите соответствующие меры для защиты персональных данных в среде организации с помощью Microsoft Priva и Microsoft Purview. |
Дальнейшие действия
Дополнительные сведения об "Никому не доверяй" см. в центре рекомендаций по принципу "Никому не доверяй".