Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В рамках руководства по внедрению нулевого доверия в этой статье описывается бизнес-сценарий защиты удаленной и гибридной работы. Обратите внимание, что защита бизнес-данных и инфраструктуры — это темы отдельных бизнес-сценариев и не включены в это руководство.
Переход к гибридному стилю работы заставил организации быстро адаптироваться. Удаленные сотрудники получают работу любым способом, таким как использование персональных устройств, совместная работа через облачные службы и предоставление общего доступа к данным за пределами периметра корпоративной сети. Гибридные сотрудники работают как в корпоративных, так и домашних сетях, переключаясь между бизнесом и личными устройствами.
По мере того как домашние сети сотрудников растягивают периметр корпоративной сети, при этом различные устройства присоединяются к этой сети, угрозы безопасности умножаются и становятся более сложными во время развития векторов атак.
| Традиционная защита с помощью сетевых элементов управления | Современная защита с нулевым доверием |
|---|---|
| Традиционная защита зависит от брандмауэров сети и виртуальных частных сетей (VPN) для изоляции и ограничения корпоративных ресурсов. Сотрудники физически прикладывают карточку для входа в офис и используют свою учетную запись и пароль, чтобы войти через свое устройство. Учетная запись пользователя и устройство по умолчанию являются доверенными. |
Модель "Нулевое доверие" объединяет политики, процессы и технологии для установления доверия от облака до периметра, независимо от того, где пользователи подключаются к вашей сети. Модель нулевого доверия не предполагает, что удостоверение пользователя или устройство безопасно в любой сети. Подход требует проверки удостоверения пользователя и устройства, а также непрерывного мониторинга сети, данных и безопасности приложений в офисе, дома и на разных устройствах. |
На следующей схеме показан переход от традиционной защиты с сетевыми элементами управления слева (от ограниченных известных расположений) к современной защите с нулевой доверием справа (в неизвестных расположениях), в которой защита применяется независимо от того, где находятся пользователи и устройства.
В этой статье описывается, как приступить к работе и реализовать стратегию защиты удаленной и гибридной работы.
Как бизнес-лидеры думают о защите удаленной и гибридной работы
Прежде чем начать любую техническую работу, важно понять различные мотивы для инвестирования в обеспечение удаленной и гибридной работы, так как эти мотивации помогают информировать стратегию, цели и меры для успеха.
В следующей таблице приведены причины, по которым бизнес-лидеры в организации должны инвестировать в обеспечение безопасности удаленной и гибридной работы.
| Роль | Почему важно обеспечить защиту удаленной и гибридной работы. |
|---|---|
| Главный исполнительный директор (генеральный директор) | Бизнес должен быть уполномочен для достижения своих стратегических целей и целей, независимо от расположения сотрудника. Гибкость бизнеса и бизнес-выполнение не должны быть ограничены. Стоимость успешной кибератаки может быть гораздо больше, чем цена реализации мер безопасности. Во многих случаях требуется соответствие требованиям киберстрахования или стандартам или региональным нормативным требованиям. |
| Главный директор по маркетингу (CMO) | Восприятие бизнеса как внутри компании, так и извне, не должно быть ограничено устройствами или обстоятельствами. Благополучие сотрудников является важным приоритетом и поддерживается возможностью выбора работать из дома или в офисе. Успешная атака может стать общедоступным знанием, потенциально причиняя ущерб фирменной ценности. |
| Главный информационный директор (CIO) | Приложения, используемые мобильными и гибридными сотрудниками, должны быть доступны при защите данных компании. Безопасность должна быть измеримым результатом и согласована с ИТ-стратегией. Взаимодействие с пользователем и производительность важны. |
| Главный директор по информационной безопасности (CISO) | Удаленная или гибридная рабочая среда создает большую область поверхности для нарушений безопасности. Организация по-прежнему должна соответствовать требованиям к безопасности и защите данных, стандартам и нормативным требованиям по мере расширения среды. |
| Главный технический директор (CTO) | Технологии и процессы, используемые для поддержки бизнес-инноваций, должны быть защищены. Методы SecOps и DevSecOps могут снизить влияние атаки. Должны быть приняты бесплатные технологии, которые упрощают удаленную работу и внедрение облачных служб. |
| Главный операционный директор (COO) | По мере того как сотрудники становятся мобильными и используют фиксированное расположение офиса реже, бизнес-активы должны оставаться безопасными и бизнес-рисками должны управляться. Подотчетность генеральному директору за повседневную деятельность бизнеса означает, что любой сбой в операциях или в цепочке поставок из-за атаки скажется на финансовом результате. |
| Главный финансовый директор (CFO) | Приоритеты расходов переходят от фиксированных к гибким моделям. Фиксированные инвестиции в центр обработки данных и здания перемещаются в облачные приложения и пользователей, работающих из дома. Затраты на реализацию функций безопасности должны быть сбалансированы с анализом рисков и затрат. |
Помимо мотиваций для бизнес-лидеров, многие сотрудники ожидают гибкости и хотят работать в любом месте, в любое время и с любого устройства.
Корпорация Майкрософт является одной из многих корпоративных организаций, которые приняли удаленные и гибридные работы в начале пандемии COVID-19. На странице 87 Отчет о цифровой защите Microsoft 2022 г. корпорация Майкрософт подчеркивает, что эта бизнес-возможность представляет риск и должна быть связана с мерами безопасности для повышения устойчивости к атакам:
- Кибербезопасность является ключевым фактором технологического успеха. Инновации и повышение производительности можно достичь только путем внедрения мер безопасности, которые делают организации максимально устойчивыми к современным атакам.
- Пандемия бросила вызов нам, чтобы изменить наши методики и технологии безопасности для защиты сотрудников Корпорации Майкрософт, где бы они ни работали. В прошлом году злоумышленники продолжали использовать уязвимости, обнаруженные в период пандемии и связанные с переходом к гибридной рабочей среде.
В этом докладе подчеркивается, что подавляющее большинство успешных кибератак можно предотвратить с помощью базовой гигиены безопасности.
Цикл внедрения для защиты удаленной и гибридной работы
Защита удаленной и гибридной работы с подходом Zero Trust включает развертывание средств защиты, которые одновременно предоставляют базовую и сложную защиту. Техническая цель заключается в применении политики и мониторинге над всеми доступами к ресурсам вашей организации с всесторонним подходом ко всему жизненному циклу.
В этой статье описывается этот бизнес-сценарий с использованием тех же этапов жизненного цикла, как в Cloud Adoption Framework для Azure (определение стратегии, планирование, подготовка, внедрение и управление), но адаптированного для архитектуры Zero Trust.
В следующей таблице представлена доступна версия иллюстрации.
| Определение стратегии | Планирование | Готово | Принятие | Контроль и управление |
|---|---|---|---|---|
| Результаты Выравнивание организации Стратегические цели |
Команда заинтересованных лиц Технические планы готовность навыков |
Оценивать Тест Пилотная версия |
Внедряйте поэтапно по всей вашей цифровой инфраструктуре | Отслеживание и измерение Мониторинг и обнаружение Итерация для достижения зрелости |
Дополнительные сведения о цикле внедрения "Нулевое доверие" см. в обзоре платформы внедрения "Нулевое доверие".
Определение этапа стратегии
Этап определения стратегии имеет решающее значение для определения и формализации наших усилий по устранению проблемы "Почему?" этого сценария. На этом этапе мы понимаем сценарий с помощью бизнес-, ИТ, операционных и стратегических перспектив.
Мы определяем результаты, с помощью которых можно оценить успех в сценарии, понять, что безопасность — это добавочный и итеративный путь.
В этой статье приводятся мотивации и результаты, относящиеся ко многим организациям. Используйте эти предложения, чтобы улучшить стратегию вашей организации на основе ваших уникальных потребностей.
Защита мотивов удаленной и гибридной работы
Мотивации для обеспечения удаленной и гибридной работы просты, но разные части вашей организации будут иметь различные стимулы для выполнения этой работы. В следующей таблице приведены некоторые из этих мотивов.
| Площадь | Мотивы |
|---|---|
| Бизнес-потребности | Чтобы предоставить доступ к информации в любое время, где угодно на любом устройстве, не снижая стандарты безопасности и управляя рисками доступа к данным. |
| Ит-потребности | Стандартизированная платформа идентификации, удовлетворяющая требования к идентификации как для людей, так и для машин, устраняет необходимость использования VPN и позволяет управлять корпоративными и BYOD-устройствами удаленно и в соответствии с нормативными требованиями, обеспечивая удобное и положительное взаимодействие с пользователем. |
| Операционные потребности | Реализуйте существующие решения для обеспечения безопасности стандартизированным образом. Снизьте усилия по управлению, необходимые для внедрения и поддержания безопасных идентификаций. Управление удостоверениями означает подключение и отключение пользователей, предоставление доступа к ресурсам в нужное время и предоставление достаточного доступа. Это также означает отзыв доступа, если больше не требуется. |
| Стратегические потребности | Чтобы постепенно уменьшить отдачу от инвестиций в кибератаки, реализуя надежные решения для безопасности. Принцип "Нулевое доверие" предполагать нарушение позволяет планировать меры для минимизации радиуса воздействия, уменьшения поверхности атаки и сокращения времени восстановления после нарушения. |
Безопасные результаты сценария удаленной и гибридной работы
Для продуктивной работы пользователи должны иметь возможность использовать следующее:
- Пользовательские учетные данные для проверки личности.
- Конечная точка (устройство), например компьютер, планшет или телефон.
- Приложения, которые вы предоставили им.
- Данные, необходимые для выполнения задания.
- Сеть, через которую проходит трафик между устройствами и приложениями, независимо от того, является ли пользователь и их устройство локальными или в Интернете.
Каждый из этих элементов является целью злоумышленников и должен быть защищен с помощью принципа "никогда не доверяй, всегда проверяй" принцип нулевого доверия.
В следующей таблице приведены цели и их результаты для безопасного сценария удаленной и гибридной работы.
| Цель | Результат |
|---|---|
| Продуктивность | Организации хотят безопасно повысить производительность для пользователей и их устройств, не ограничивая возможности сотрудников на основе расположения рабочей силы. |
| Безопасный доступ | Корпоративные данные и приложения должны получать доступ к правильным сотрудникам в безопасном режиме, что защищает интеллектуальную собственность компании и персональные данные. |
| Поддержка конечных пользователей | Поскольку организации внедряют менталитет гибридной рабочей силы, сотрудники нуждаются в дополнительных возможностях приложений и платформ для безопасного и мобильного работы. |
| Повышение безопасности | Необходимо повысить безопасность текущих или предлагаемых рабочих решений, чтобы помочь организациям масштабировать требования к мобильным сотрудникам. Возможности безопасности должны быть равными или превышать достижимые для локальной рабочей силы. |
| Расширение возможностей ИТ-специалистов | ИТ-команда хочет защитить рабочее место, начиная с обеспечения безопасности опыта сотрудников без излишнего усложнения для пользователей. Кроме того, ИТ-команда нуждается в процессах и прозрачности для поддержки политики управления и обеспечения возможности обнаружения и устранения кибератак. |
Этап плана
Планы внедрения преобразуют желательные цели стратегии нулевого доверия в практический план. Ваши коллективные команды могут использовать план внедрения, чтобы руководствоваться своими техническими усилиями и выравнивать их с бизнес-стратегией вашей организации.
Мотивации и результаты, которые вы определяете вместе с вашими бизнес-лидерами и командами, поддерживают "Почему?" для вашей организации. Они становятся северной звездой или направляющей целью для вашей стратегии. Далее происходит техническое планирование для достижения мотиваций и целей.
Используйте следующие упражнения, чтобы помочь вам спланировать реализацию стратегии технологии организации. Эти упражнения поддерживают инициативы по внедрению концепции нулевого доверия через идентификацию и выполнение приоритетных задач. В конце этого процесса у вас будет план внедрения облака, который сопоставляется с метриками и мотивациями, определенными в стратегии внедрения облака.
| Упражнения | Описание |
|---|---|
| Цифровые активы | Инвентаризация цифровых активов: идентичностей, устройств, приложений. Определите приоритеты цифровых активов на основе предположений, которые соответствуют мотивациям и бизнес-результатам вашей организации. |
| Первоначальное согласование процессов | Приведите вашу организацию в соответствие с технической стратегией и планом внедрения. Стратегия и план основаны на задачах вашей организации вместе с приоритетами, которые вы определили в рамках инвентаризации. |
| План подготовки технических навыков | Создайте план устранения пробелов в подготовке навыков в организации. |
| План внедрения облака | Разработка плана внедрения облака для управления изменениями навыков, цифровых активов и вашей организации. |
Техническое внедрение для защиты удаленной и гибридной работы предполагает поэтапный подход к обеспечению применения принципов нулевого доверия к идентификации, устройствам и приложениям, путём требований, чтобы:
- Многофакторная проверка подлинности (MFA) с условным доступом применяется ко всем учетным записям пользователей, имеющим доступ к системе.
- Устройства регистрируются в системе управления устройствами и проходят мониторинг состояния.
- Доступ к приложениям и их данным требует проверки удостоверений, работоспособных устройств и соответствующего доступа к данным.
Многие организации могут использовать четырехэтапный подход к этим целям развертывания, сводные на следующей диаграмме.
| Этап 1 | Этап 2 | Этап 3 | Этап 4 |
|---|---|---|---|
| Проверка и защита каждого удостоверения с помощью строгой проверки подлинности Интеграция приложений SaaS с идентификатором Microsoft Entra для единого входа Все новые приложения используют современную проверку подлинности |
Регистрация устройств с помощью идентификатора Microsoft Entra Реализация политик нулевого доверия для управления доступом к идентификаторам и устройствам через Starting point Использование прокси приложения Microsoft Entra с локальными приложениями для единого входа |
Регистрация устройств в решении по управлению устройствами и применение рекомендуемых средств защиты безопасности Разрешить доступ только к данным, соответствующим требованиям и доверенным устройствам |
Мониторинг смещения конфигурации устройства Внедрение проверки подлинности без пароля |
Если этот поэтапный подход подходит для вашей организации, можно использовать следующее:
Эта скачиваемая презентация PowerPoint предназначена для того, чтобы представить и сообщить о ходе выполнения этих этапов и целей бизнес-лидерам и другим заинтересованным лицам. Ниже приведен слайд для этого бизнес-сценария.
Эта книга Excel используется для назначения владельцев и отслеживания хода выполнения этапов, целей и связанных с ними задач. Ниже приведен лист для этого бизнес-сценария.
Если ваша организация подписывается на определенную стратегию управления рисками и соответствием требованиям (GRC) или Центра безопасности (SOC), важно, чтобы техническая работа включала конфигурации, соответствующие этим требованиям.
Общие сведения о вашей организации
Потребности и состав каждой организации отличаются. Многонациональное предприятие со многими приложениями и высокостандартизированной безопасностью реализует безопасность по-разному от гибкого запуска или организации среднего размера.
Независимо от размера и сложности организации применяются следующие действия:
- Инвентаризация пользователей, конечных точек, приложений, данных и сетей для понимания состояния безопасности и оценки уровня усилий, необходимых для преобразования недвижимости.
- Задокументируйте цели и план добавочного внедрения на основе приоритетов. Примером является защита удостоверений и служб Microsoft 365, а затем конечных точек. Затем защита приложений и служб SaaS с помощью современных методов проверки подлинности и возможностей сегментации, предоставляемых условным доступом.
- В соответствии с принципом использования наименее привилегированного доступа проведите инвентаризацию учетных записей с привилегиями и уменьшите их количество до минимально возможного. Учетные записи, требующие привилегированного доступа, должны использовать подходы «точно вовремя» (JIT) и «достаточный доступ» (JEA), чтобы ограничить постоянные права администрирования. Если нарушение возникает, учетные записи, скомпрометированные, ограничены, что сводит к минимуму радиус взрыва. За исключением учетной записи экстренного доступа, статический административный доступ не должен быть разрешен для высокопривилегированных ролей, включая роли администрирования приложений для производственных служб, таких как SharePoint, Exchange и Teams.
Планирование и выравнивание организации
Реализация и управление методологией безопасного доступа влияет на несколько перекрывающихся областей и обычно реализуется в порядке:
- Удостоверения
- Конечные точки (устройства)
- Приложения
- Сеть
Защита данных также важна для защиты удаленных и гибридных работ. В этой статье подробно рассматривается определение и защита конфиденциальных бизнес-данных.
В этой таблице перечислены роли, которые рекомендуется использовать при создании спонсорской программы и иерархии управления проектами для определения и обеспечения результатов.
| Площадь | Руководители программ | Роли технического владельца |
|---|---|---|
| Удостоверения | CISO, CIO или директор по безопасности удостоверений Руководитель программы по защите идентичности или архитектор идентичности |
Архитектор безопасности Безопасность идентификации или архитектор идентификации Администратор управления идентификацией Управление безопасностью или администратор удостоверений Команда по обучению пользователей |
| Конечные точки | CISO, CIO или директор по безопасности удостоверений Руководитель программы по безопасности удостоверений или архитектор удостоверений |
Архитектор безопасности Безопасность идентификаций или Архитектор безопасности инфраструктуры Администратор управления мобильными устройствами (MDM) Управление безопасностью или администратор MDM Команда по обучению пользователей |
| Приложения | CISO, CIO или директор по безопасности приложений Руководитель программы управления приложениями |
Архитектор идентичности Архитектор разработчика Сетевой архитектор Архитектор облачных сетей Управление безопасностью |
| Сеть | CISO, CIO или директор по сетевой безопасности Лидер программы по сетевому руководству |
Архитектор безопасности Сетевой архитектор Инженеры сети Средства реализации сети Управление сетями |
Презентация
Техническое планирование и готовность в области навыков
Корпорация Майкрософт предоставляет ресурсы, которые помогут вам определить приоритеты этой работы, приступить к работе и созреть развертывание. На этом этапе мы используем эти ресурсы в качестве планирования действий, чтобы понять влияние предлагаемых изменений и создать план реализации.
Эти ресурсы включают в себя предписательное руководство, которое можно использовать в качестве рекомендуемых отправных точек для вашей организации. Настройте рекомендации на основе ваших приоритетов и требований.
| Ресурс | Описание |
|---|---|
Контрольный список плана быстрой модернизации (RaMP): явно подтвердите наличие доверия для всех запросов на доступ
|
Этот ряд контрольных списков перечисляет технические цели каждой области развертывания безопасности в порядке приоритета и документирует шаги, которые необходимо предпринять для их достижения. В нем также перечислены члены проекта, которые должны быть вовлечены в каждую область. Использование этого ресурса помогает определить быстрые победы. |
|
Конфигурации доступа к устройствам и идентификации в соответствии с подходом нулевого доверия |
В этом руководстве по решению рекомендуется набор политик управления доступом к удостоверениям и устройствам, которые были проверены вместе. Он включает в себя:
|
Управление устройствами с помощью Intune
|
В этом руководстве по решению рассматриваются этапы управления устройствами, от действий, которые не требуют регистрации устройств в управлении для полного управления устройствами. Эти рекомендации координируются с указанными выше ресурсами. |
|
Параметры регистрации Intune PDF | Visio Обновлено за июнь 2022 г. |
Этот набор постеров обеспечивает простое сравнение параметров регистрации устройств по платформам. |
| План развертывания MFA | В этом руководстве по развертыванию показано, как спланировать и реализовать развертывание многофакторной проверки подлинности Microsoft Entra. |
Помимо этих ресурсов, в следующих разделах выделены ресурсы для конкретных задач на четырех этапах, определенных ранее.
Этап 1
| Цель развертывания | Ресурсы |
|---|---|
| Проверка и защита каждого удостоверения с помощью строгой проверки подлинности | Какие методы аутентификации и подтверждения доступны в Microsoft Entra ID? |
| Интеграция приложений SaaS с идентификатором Microsoft Entra для единого входа | Добавление приложений SaaS в идентификатор Microsoft Entra и в область действия политик |
| Новые приложения используют современную проверку подлинности | Контрольный список — как вы управляете идентификацией вашей рабочей нагрузки? |
Этап 2
| Цель развертывания | Ресурсы |
|---|---|
| Регистрация устройств с помощью идентификатора Microsoft Entra |
Зарегистрированные устройства Microsoft Entra Планирование реализации присоединения к Microsoft Entra |
| Внедрение политик нулевого доверия для идентификации и доступа к устройствам уровня защиты начальной точки | Уровни защиты для конфигураций доступа к удостоверениям и устройствам по принципу Zero Trust |
| Использование прокси приложения Microsoft Entra с локальными приложениями для единого входа | Как настроить единый вход для прокси-приложения |
Этап 3
| Цель развертывания | Ресурсы |
|---|---|
| Регистрация устройств в управлении и применение рекомендуемых средств защиты безопасности |
Общие сведения об управлении устройствами с помощью Intune Конфигурации доступа для идентификации и устройств с применением Zero Trust |
| Разрешить доступ только к данным, соответствующим требованиям и доверенным устройствам |
Настройка политик соответствия для устройств с помощью Intune Требовать работоспособные и совместимые устройства с Intune |
Этап 4
| Цель развертывания | Ресурсы |
|---|---|
| Мониторинг смещения конфигурации устройства |
Развертывание профилей устройств в Microsoft Intune Мониторинг рисков устройств и соответствия базовым планам безопасности |
| Внедрение проверки подлинности без пароля | Повышение безопасности входа с помощью проверки подлинности без пароля |
План внедрения облака
План внедрения является важным требованием для успешного внедрения нулевого доверия. План внедрения Нулевого доверия — это итеративный план проекта, который помогает компании переходить от традиционных подходов к безопасности более зрелой и сложной стратегии, которая включает управление изменениями и управление.
Идентификации, конечные точки, приложения и сети находятся в рамках этого этапа планирования. Каждый из них имеет требование обеспечить существующую инфраструктуру, а также планирует расширить безопасность новых объектов по мере их появления в рамках более крупного процесса интеграции.
Планирование решений для безопасной удаленной и гибридной работы учитывает, что у организаций уже есть существующие идентичности, которые необходимо защитить, и нужно создать новые идентичности, соответствующие стандартам безопасности.
План внедрения также включает в себя обучение сотрудников для работы с новым способом, чтобы понять, что необходимо для поддержки вашей организации, которая может включать:
- Обучение администраторов новым способам работы. Методы привилегированного доступа отличаются от постоянного доступа администратора и могут изначально вызывать трения до тех пор, пока не будет достигнуто универсальное принятие.
- Оснащение службы поддержки и ИТ-персонала на всех уровнях единым посланием о реализации преимуществ. Увеличение безопасности повышает сложности для злоумышленников, что сбалансировано преимуществами работы в безопасной среде. Убедитесь, что это сообщение понято и может быть передано на всех уровнях.
- Создание материалов по внедрению и обучению пользователей. Безопасность применяется постоянно в качестве общей ответственности и преимущества безопасности, согласованные с бизнес-целями, должны быть переданы пользователям. Убедитесь, что уровень принятия пользователями обеспечения безопасности достигается на том же уровне, что и принятие пользователями новых технологий.
Дополнительные сведения из Cloud Adoption Framework см. в разделе "План внедрения облака".
Этап готовности
Этот сценарий (защита удаленной и гибридной работы) оценивает и защищает идентификацию, устройства и данные в сетях, в которых они используются. Так как технологии могут быть потенциально разрушительными, рекомендуется поэтапный подход, начиная с небольших проектов, предлагающих быстрые победы, которые используют преимущества существующего лицензирования и имеют минимальное влияние на пользователя.
Начните с создания плана, а затем тестирования плана. Затем постепенно внедряйте новые конфигурации и возможности. Это дает возможность улучшить план в процессе усвоения уроков. Обязательно разработайте план коммуникации и объявите изменения по мере расширения области развертывания.
На следующей схеме показана рекомендация по запуску проекта с небольшой группой для оценки изменений. Эта небольшая группа может быть членом ИТ-команды или партнерской команды, которая заинтересована в результате. Затем тестируйте изменения на более крупной группе. Хотя иллюстрация включает третий этап полного развертывания, это часто достигается путем постепенного увеличения масштаба развертывания до тех пор, пока вся организация не будет охвачена.
Например, при регистрации устройств рекомендуется использовать следующее руководство.
| Этап развертывания | Описание |
|---|---|
| Оценить | Этап 1. Определение 50 конечных точек для тестирования |
| Пилотная версия | Этап 2. Определение следующих 50-100 конечных точек в рабочей среде |
| Полное развертывание | Этап 3. Регистрация остальных конечных точек более крупными группами |
Защита удостоверений начинается с внедрения MFA и сегментирования доступа с помощью условного доступа Microsoft Entra. Эти функции поддерживают принцип явной проверки, но требуют добавочного процесса внедрения. В зависимости от подхода методологию MFA может потребоваться развернуть и уведомить пользователей об этом до даты включения, особенно если существующий персонал привык использовать только пароли.
При планировании этого сценария учитывались следующие элементы:
- В зависимости от методологии MFA, может потребоваться получение поддержки пользователя для использования MFA на основе мобильных приложений вместо метода FIDO2 или другого подхода на основе токенов. Это также относится к Windows Hello для бизнеса.
- Политики условного доступа могут быть сложными в отношении их критериев оценки и принятия решений. Для этого требуется, чтобы условный доступ был пилотирован и развертывался постепенно в пределах приложения и пользовательского ландшафта.
- Условный доступ может учитывать относительное состояние безопасности и статус установки патчей конечной точки, а также расположение пользователя в качестве условных параметров. Если конечные точки должны управляться, чтобы они могли получить доступ к приложению или услуге в качестве условия предоставления доступа, то конечные точки должны быть зарегистрированы в системе управления.
- Современные приложения, поддерживающие современные методы проверки подлинности, легко интегрируются с политиками проверки подлинности на основе MFA и условным доступом. Важно понимать количество приложений и их методов проверки подлинности.
При планировании и стадии уровней защиты для создания нулевого доверия воспользуйтесь ресурсами, предоставляемыми корпорацией Майкрософт. Для защиты удаленной и гибридной работы корпорация Майкрософт предоставляет набор политик доступа к удостоверению и устройству Zero Trust. Это набор проверенных и известных политик, которые хорошо работают вместе.
Ниже приведены политики для трех уровней защиты.
Этот набор политик включает уровень защиты начальной точки с минимальным воздействием пользователя. Этот набор политик не требует регистрации устройств в управлении. Когда вы будете готовы и зарегистрируете устройства, вы сможете развернуть уровень Enterprise, который рекомендуется для Zero Trust.
Помимо этих уровней защиты, можно постепенно увеличить область применения политик следующими способами:
- Примените объем политик к небольшой группе пользователей для начала, а затем расширьте его, включив больше пользователей. Сегментация пользователей позволяет смягчить риски при сбое службы или прерывании работы пользователей, так как затрагиваются только целевые пользователи или устройства.
- Начните с добавления приложений и служб Microsoft 365 в область действия политик. Затем перейдите к другим приложениям SaaS, которые использует ваша организация. Когда вы будете готовы, включите созданные вами приложения в Azure или у других поставщиков облачных служб в сферу действия политик.
Наконец, не забывайте о ваших пользователях. Принятие пользователями и взаимодействие критически важны при внедрении безопасности для идентификаций, подобно важности первоначального перехода пользователей на Microsoft 365 из служб, основанных на центрах обработки данных. Однофазные подходы редко выполняются при реализации служб безопасности. Инициативы по безопасности часто завершаются неудачей из-за увеличения неудобств для пользователей, если изменения вызывают неудобства и плохо сообщаются и тестируются. Это место, где исполнительное спонсорство инициатив по обеспечению безопасности лучше всего работает. Когда руководители демонстрируют поддержку путем внедрения на ранних этапах развертывания, пользователям проще следовать.
Чтобы помочь в обучении пользователей и внедрении, корпорация Майкрософт предоставляет шаблоны и материалы для развертывания конечных пользователей, которые можно скачать. К ним относятся инструкции по изменению бренда этих элементов и рекомендации по их совместному использованию с пользователями. См. https://aka.ms/entratemplates.
Сборка и тестирование
После того, как вы собрали команду, изучили рекомендуемые технические ресурсы и разработали план по подготовке и развертыванию проектов, у вас, надеемся, будет хорошо задокументированный план. Прежде чем официально принять план, обязательно создайте и проверьте конфигурации в тестовой среде.
Каждая техническая область, например набор политик условного доступа, может быть защищена, включив функциональные возможности в тенанте. Однако неправильно настроенная политика может иметь далеко идущие последствия. Например, неправильно написанная политика условного доступа может заблокировать всех администраторов из клиента.
Чтобы снизить риск, рассмотрите возможность развертывания тестового тенанта или тенанта для контроля качества, чтобы внедрить каждую функцию по мере вашего знакомства с ней или внедрять ее впервые. Тестовый или клиент для обеспечения качества (QA) должен быть достаточно репрезентативным для текущей пользовательской среды и достаточно точным для выполнения функций QA, чтобы проверить, что активированная функциональность понятна и поддерживает обеспечиваемую функцию.
Для отслеживания хода выполнения можно использовать контрольный список RAMP. В нем перечислены как этапы планирования, так и реализации. Тенант QA — это испытательный стенд для действий по реализации, которые выполняются впервые.
Выходные данные этого этапа должны быть документируемой конфигурацией, созданной и протестированной изначально в клиенте QA с планами последующего перехода на внедрение в рабочем клиенте, где изменения развертываются постепенно, пока новые учебные материалы применяются к плану.
При развертывании новых конфигураций в рабочей среде сохраняйте согласованные сообщения пользователей и оставайтесь в курсе того, как эти изменения влияют на пользователей. Реализация функций безопасности может оказать низкое влияние на технологическую среду, например включение доступа по запросу к нужному моменту, но в то же время оказывает большое влияние на процесс, например администраторы, вынужденные запрашивать доступ к службам через рабочий процесс утверждения для выполнения своих обязанностей.
Аналогичным образом, регистрация устройств оказывает минимальное воздействие на взаимодействие с пользователем, в то время как реализация условного доступа, основанного на соблюдении требований соответствия устройств и их работоспособности, может оказать значительное влияние на базу пользователей, если пользователи не смогут получить доступ к службам.
Тестирование каждой службы для понимания влияния службы и запланированного изменения имеет решающее значение для успешного выполнения. Помните, что некоторые последствия могут быть не полностью очевидными, пока вы не начнете пилотировать в рабочей среде.
Отслеживание изменений в управлении и менеджменте
Самой целью нулевого доверия является постепенное повышение безопасности и реализация изменений в среде, которая достигает этой цели. Эти изменения требуют изменений в моделях управления и управления средой. При тестировании и развертывании обязательно задокументируйте изменения и влияние на модель управления и управления.
Этап внедрения
На этапе внедрения вы постепенно реализуете стратегию и планы развертывания в функциональных областях. Этап принятия является более широкой реализацией доказательства концепции. План развертывания выполняется в последовательных волнах на основе сегментации пользователей и целевых областей в вашей цифровой инфраструктуре.
Как рекомендуется, разверните каждую новую конфигурацию в эксплуатационной среде в качестве пилотного теста (помечено как "Оценка" на следующей схеме).
Несмотря на то, что вы уже проверили новые конфигурации в среде качества обслуживания, убедитесь, что планы развертывания в рабочей среде также документируют, что вы тестируете и оцениваете, а также критерии принятия для измерения успеха на каждом этапе. В идеале выберите подмножество пользователей, точек доступа и приложений с низким уровнем влияния, чтобы протестировать их перед расширением развертывания. Следуя той же методологии, вы узнаете об успешном выполнении и сбоях реализации и обновите планы.
Обратите внимание, что некоторые функции, развернутые, даже если они предназначены для ограниченной аудитории, могут повлиять на широкий спектр услуг. Это влияние можно устранить, определив риски во время тестирования QA и убедившись, что план отката существует.
План успешного развертывания включает следующие элементы:
- План внедрения и развертывания для включения стратегии взаимодействия пользователей
- План внедрения и развертывания для обеспечения одобрения руководства.
- План по внедрению и адаптации пользователей
- Артефакты управления проектами и руководства
- Сегментация пользователей по бизнес-единице или влиянию пользователя
- Сегментация устройств по бизнес-единице или влиянию пользователя
- Приложения, ранжированные по критичности и сложности реализации
- Черновик обновлений для изменений в оперативном управлении и руководстве
Управление и контроль этапами
Управление безопасностью — это итеративный процесс. Для организаций с существующими политиками, которые управляют безопасностью в цифровом активе, принятие стратегии нулевого доверия обеспечивает стимул для развития этих политик. Поскольку стратегия безопасности и политики со временем развиваются, происходят изменения и в процессах и политиках управления облаком.
На этапе планирования новые функциональные возможности были протестированы в тестовой среде, в которой проводились управленческие действия. Важно отметить, что реализация функций, поддерживающих принципы нулевого доверия, требует другого способа управления результирующего состояния.
Ниже приведены некоторые примеры новых требований для этого сценария:
- Установите процесс утверждения доступа к администрированию по мере необходимости вместо постоянного доступа администратора.
- Обновление управления жизненным циклом пользователей при вводе, использовании и выходе из организации.
- Обновите управление жизненным циклом устройств.
- Обновите критерии выпуска для новых приложений, чтобы убедиться, что они включены в область политик условного доступа.
По мере выполнения плана развертывания управление результирующей средой приводит к изменениям в методологии управления и управления. Как осуществляется мониторинг среды в результате внедрения модели нулевого доверия.
Поскольку нулевое доверие устраняет риск безопасности в среде, управление жизненным циклом объектов удостоверений больше не является необязательным. Подтверждение аттестации объектов является отражением жизненного цикла объектов и переносом подотчетности на бизнес, от ИТ, которые считались единственными хранителями жизненного цикла объектов.
Концепция нулевого доверия требует повышения зрелости в управлении технической инфраструктурой, включая взаимодействие пользователей и администраторов с конечной конфигурацией системы. См. следующую таблицу в качестве примера потенциальных изменений.
| Аудитория | Функция | Справочные материалы |
|---|---|---|
| Пользователи | Пользовательская проверка аттестации объектов | Управление доступом пользователей и гостевых пользователей с помощью проверок доступа |
| Администраторы | Жизненные циклы удостоверений и доступа Управление идентификацией Microsoft Entra | Что такое Управление идентификацией Microsoft Entra? |
Дополнительные ресурсы для повседневного управления и операций включают:
документация по управлению идентификацией Microsoft Entra ID
Обсуждаются другие области управления и средства, которые охватывают несколько областей. В связи с различными потребностями организации не все функции управления, описанные в этом документе, применимы ко всем организациям.
Дальнейшие шаги
- Обзор платформы внедрения нулевого доверия
- Быстрая модернизация состояния безопасности
- Определение и защита конфиденциальных бизнес-данных
- Предотвращение или уменьшение ущерба для бизнеса из-за нарушения
- Соответствие нормативным требованиям и требованиям к соответствию
Ресурсы отслеживания хода выполнения
Для любого из бизнес-сценариев нулевого доверия можно использовать следующие ресурсы отслеживания хода выполнения.
| Ресурс отслеживания хода выполнения | Это помогает вам... | Разработано для… |
|---|---|---|
Скачиваемый файл Visio или PDF с сеткой этапов плана сценария внедрения
|
Легко понять улучшения безопасности для каждого бизнес-сценария и уровня усилий для этапов и целей этапа плана. | Руководитель проекта бизнес-сценария, руководители бизнеса и другие заинтересованные лица. |
| Трекер внедрения нулевого доверия скачиваемая презентация PowerPoint |
Отслеживайте ход выполнения этапов и целей этапа плана. | Руководитель проекта бизнес-сценария, руководители бизнеса и другие заинтересованные лица. |
Цели и задачи бизнес-сценария в загружаемой книге Excel
|
Назначьте ответственность и отслеживайте прогресс на этапах, в достижении целей и задач в фазе планирования. | Руководители проектов бизнес-сценариев, ИТ-руководители и ИТ-специалисты по внедрению. |
Дополнительные ресурсы см. в разделе "Оценка нулевого доверия" и ресурсы отслеживания хода выполнения.