Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье объясняется, как обеспечить безопасную удаленную работу с помощью принципов "Никому не доверяй" в рамках Microsoft [модели внедрения безопасности]((security-adoption-model.md).
Этот бизнес-сценарий помогает достичь следующего результата:
Разрешить людям безопасно выполнять свою работу в любом месте.
В качестве руководителя компании необходимо обеспечить безопасный доступ сотрудников к системам, данным и приложениям, которым они должны работать в любом расположении. Удаленная работа расширяет область атаки, работая за пределами традиционных сетевых границ, повышая уязвимость к атакам на основе удостоверений, скомпрометированных устройств и несанкционированного доступа.
Ключевым результатом обеспечения безопасной удаленной работы является обеспечение безопасного доступа сотрудников к ресурсам организации без увеличения риска несанкционированного доступа или нарушения работы. Для этого требуется последовательная проверка пользователей, устройств и условий доступа, чтобы гарантировать, что разрешен только доверенный доступ.
В этом сценарии основное внимание уделяется созданию безопасного, согласованного доступа к приложениям и данным в удаленных и гибридных средах, обеспечивая производительность работы сотрудников в то время как ресурсы организации остаются защищенными и управляемыми.
Это позволяет сотрудникам работать в любом месте, уменьшая риск воздействия данных, нарушения работы и несанкционированного доступа.
Как работает это руководство
Эта статья является частью структурированной модели внедрения , которая связывает стратегию безопасности с реализацией:
Начните с бизнес-сценариев, таких как этот, чтобы определить результат, который вы хотите достичь.
Идентификация дисциплин безопасности, применяемых к этому сценарию.
Используйте эти дисциплины для определения требуемой стратегии, архитектуры, процессов и элементов управления для сценария. Проработайте каждую дисциплину, чтобы понять, что необходимо планировать, разрабатывать и реализовывать в организации.
Используйте технические решения для выполнения этих требований с использованием технологий Microsoft, применяя средства управления в таких технологических областях, как идентификация, конечные точки и данные.
Этот подход гарантирует, что пользователи могут работать в любом месте, когда доступ к ресурсам организации постоянно проверяется и защищается, что снижает риск без ограничения производительности.
Почему для гибридной удаленной работы требуется новый подход
Удаленная работа — это мощный инструмент бизнес-включения, но он также представляет новые и расширенные риски безопасности. Чтобы управлять этими рисками при разблокировке бизнес-ценности, организации должны использовать современный, ориентированный на идентификацию подход к безопасности, который защищает пользователей, устройства, приложения и данные везде, где происходит доступ. Чтобы добиться успеха, организации должны:
- Модернизируйте традиционные системы безопасности: Традиционные системы безопасности, основанные на периметре, снижают продуктивность и неэффективны в средах удаленной и гибридной работы. Организации должны обеспечить защиту пользователей, устройств, приложений и данных независимо от того, где или как они получают доступ.
- Безопасный доступ пользователей: Используйте многофакторную проверку подлинности (MFA), политики условного доступа и проверки соответствия устройств, чтобы обеспечить доступ к корпоративным ресурсам только авторизованным пользователям и здоровым устройствам.
- Расширьте возможности сотрудников: Обеспечьте сотрудникам гибкость, позволяющую продуктивно работать из дома, из офиса или в дороге без ущерба для безопасности, повышая их удовлетворённость и удержание.
Этот сценарий является основой для современных организаций, стремящихся поддержать распределенную работу, сохраняя надежную безопасность и операционную устойчивость.
Ценность для бизнеса
Значение безопасной удаленной работы зависит от роли, но дает пользу всей организации.
| Roles | Ценность |
|---|---|
| Руководство по бизнесу | Безопасная удаленная работа обеспечивает непрерывность бизнес-процессов и устойчивость, позволяя сотрудникам эффективно работать с любым расположением без повышения риска безопасности или соответствия требованиям. Переходя от периметральной модели безопасности к модели "Никому не доверяй", в центре которой находятся идентичности и данные, организации снижают вероятность утечек данных и нарушений нормативных требований, сохраняя при этом гибкость в условиях сбоев. Этот подход поддерживает гибкость рабочей силы, защищает репутацию организации и обеспечивает расширение без географических ограничений. |
| Роли технологий | Безопасная удаленная работа предоставляет масштабируемую централизованную платформу для управления распределенной средой и защиты ее. Элементы управления на основе удостоверений, устройств и приложений повышают видимость между пользователями и конечными точками, а автоматическое применение политик снижает эксплуатационные издержки. Централизованное управление и автоматизация упрощают управление доступом, ускоряют реагирование на инциденты и восстановление и позволяют ИТ-командам обеспечить надежную поддержку удаленной работы без повышения сложности или операционного риска. |
| Роли безопасности | Безопасная удаленная работа позволяет группам безопасности модернизировать архитектуру и операции с помощью принципов "Никому не доверяй", что обеспечивает гибкость бизнеса при улучшении видимости рисков и угроз. Комплексные данные об идентификационных данных, устройствах и телеметрии приложений дают значимую информацию для принятия мер, выходящую за рамки традиционных сетевых данных. Элементы управления, ориентированные на ресурсы и данные, защищают конфиденциальную информацию во всех местах, уменьшая вероятность нарушений и нормативных нарушений с помощью строгой проверки подлинности, проверки работоспособности устройств и применения контекстного доступа. |
Выравнивание дисциплин безопасности
Дисциплины безопасности представляют структурированные области подотчетности, необходимые для реализации этого бизнес-сценария.
- Дисциплины планирования и надзора определяют стратегию, управление и координацию между организациями.
- Дисциплины технической стратегии определяют необходимые возможности архитектуры, эксплуатации и управления.
- Операционные дисциплины гарантируют, что средства контроля безопасности остаются эффективными с течением времени с помощью мониторинга, реагирования и непрерывного улучшения. Они обнаруживают неправильное использование, отвечают на угрозы и ведут постоянные улучшения состояния безопасности.
Планирование и надзорные дисциплины
| Discipline | Действие |
|---|---|
| Стратегия, интеграция и управление | Определите четкие бизнес-цели и цели безопасности для безопасной удаленной работы, согласованные с приоритетами организации и терпимостью к рискам. Обеспечьте кроссфункциональное выравнивание между ИТ-отделами, безопасностью, персоналом и бизнес-подразделениями. Совместно определяют измеримые цели, критерии успешности и кросс-командные процессы для руководства реализацией и зрелости. Создайте структуры управления для контроля за применением политики, соответствием и принятием решений на протяжении всего жизненного цикла удаленной работы. |
| Архитектура безопасности | Убедитесь, что у организации есть сквозная архитектура, которая обеспечивает и защищает удаленную работу (доступ и удостоверения). Убедитесь, что возможности реагирования и восстановления обновляются (операции безопасности). Убедитесь, что данные защищены соответствующим образом (безопасность данных) и многое другое. Убедитесь, что все компоненты взаимодействуют, масштабируются и адаптируются к изменяющимся угрозам и бизнес-потребностям. |
Дисциплины технической стратегии
| Discipline | Действие |
|---|---|
| Реализуйте надежную проверку подлинности (MFA), централизованное управление удостоверениями и политики условного доступа для проверки пользователей и устройств перед предоставлением доступа. Обеспечьте принцип наименьших привилегий и доступ по принципу «точно в срок» для критически важных ролей. Безопасный доступ к приложениям с помощью современных средств проверки подлинности, элементов управления сеансами и защиты среды выполнения. Убедитесь, что приложения интегрированы с платформами управления идентификацией и отслеживаются на предмет аномального поведения. |
|
| Безопасность данных | Классификация и защита конфиденциальных данных с помощью шифрования, маркировки и предотвращения потери данных. Обеспечьте защиту данных на всех устройствах, в любых местоположениях и приложениях с помощью постоянно действующих механизмов контроля доступа. |
| Безопасность инфраструктуры | Защита облачной и локальной инфраструктуры с помощью сегментации, шифрования и непрерывного мониторинга. Примените элементы управления "Никому не доверяй" ко всем сетевым путям и административным интерфейсам. |
| Убедитесь, что стандарты разработки требуют использования современных протоколов проверки подлинности для удаления необходимости модернизации безопасности на старые протоколы и механизмы. | |
| Безопасность OT и Интернета вещей | Тщательно рассмотрите бизнес-потребности в удаленном доступе к этим системам и потенциальному риску безопасности текущих решений удаленного доступа и потенциальных улучшений. |
| Безопасность приложений | Безопасный доступ к приложениям с помощью современных средств проверки подлинности, элементов управления сеансами и защиты среды выполнения. Убедитесь, что приложения интегрированы с платформами управления идентификацией и отслеживаются на предмет аномального поведения. |
Операционные дисциплины
| Discipline | Действие |
|---|---|
| SecOps | Непрерывно отслеживайте удаленные устройства, учетные данные и приложения без использования традиционной телеметрии межсетевых экранов и систем обнаружения и предотвращения сетевых вторжений (IDS/IPS). Обновите средства автоматизации, сценарии реагирования на инциденты и процессы поиска угроз так, чтобы использовать возможности расширенного обнаружения и реагирования (XDR). |
| Управление безопасностью | Отслеживайте уязвимости программного обеспечения, конфигурации безопасности и операционные методики в среде. Используйте такие средства, как Microsoft Security управление экспозицией и оценка безопасности для отслеживания хода выполнения и соответствия требованиям, устранения пробелов и обеспечения соответствия принципам "Никому не доверяй". |
Обязательные технологические основы
Технологические компоненты представляют собой ключевые возможности Microsoft в области безопасности, которые поддерживают этот бизнес-сценарий.
| Технологический столп | Microsoft Entra | Microsoft Intune |
|---|---|---|
| Перекрестный столп | Обеспечивает принятие решений о доступе с использованием сигналов идентификации, аутентификации и риска во всех технологических областях. | Предоставляет сигналы о соответствии устройств требованиям и их безопасности, которые используются для обеспечения соблюдения решений о доступе во всех технологических направлениях. |
| Идентичность | Управляет удостоверениями, проверкой подлинности и защитой идентификации, включая обнаружение рисков и оценку политики условного доступа. | Интегрируется с Microsoft Entra, чтобы гарантировать, что только прошедшие проверку подлинности пользователи могут регистрировать устройства и управлять ими. |
| Конечные точки | Оценивает состояние устройства средствами условного доступа и применяет политики доступа на основе уровня доверия к устройству и степени риска. | Настраивает, защищает и отслеживает устройства на разных платформах, применяя базовые показатели соответствия и безопасности. |
| Networks | Интернет-доступ Microsoft Entra и Частный доступ Microsoft Entra — это технологии SSE, которые конвергируют сетевые, удостоверения и элементы управления доступом к конечным точкам, чтобы обеспечить безопасный доступ к любому приложению или ресурсу в любом месте. | Обеспечивает контроль сетевого доступа с помощью политик соответствия и интегрируется с Microsoft Entra для принятия решений об условном доступе с учетом состояния сети. Microsoft Tunnel for Mobile обеспечивает безопасный, наименее привилегированный доступ к внутренним приложениям из любого места. |
| Приложения | Условный доступ Microsoft Entra защищает приложения путем применения средств управления доступом и политик защиты приложений. Управление приложениями условного доступа интегрируется с Microsoft Defender for Cloud Apps для мониторинга и управления сеансами пользователей в режиме реального времени. | Применяет политики управления мобильными приложениями (MAM) и политики защиты приложений для защиты использования приложений на устройствах. |
| Данные | Условный доступ Microsoft Entra работает с метками конфиденциальности для применения требований к доступу на основе классификации данных, помогая гарантировать, что только авторизованные пользователи на совместимых устройствах могут получить доступ к конфиденциальному содержимому. | Применяет политики защиты данных, такие как шифрование, предотвращение потери данных и выборочная очистка на управляемых устройствах. |
| Инфраструктура | Идентификация рабочей нагрузки Microsoft Entra помогает защищать приложения, субъекты-службы и управляемые удостоверения, используемые для доступа к вашим приложениям и инфраструктуре. | Расширяет политики управления и безопасности на облачных компьютерах, виртуальных рабочих столах и гибридных конечных точках. |
| Искусственный интеллект | Идентификатор агента Microsoft Entra agent расширяет широкие возможности безопасности Microsoft Entra для агентов, позволяя организациям создавать, обнаруживать, управлять удостоверениями агентов и защищать их. | Microsoft Intune использует аналитические данные на основе ИИ с помощью аналитики конечных точек, чтобы упреждающе выявлять проблемы с работоспособностью устройств, оптимизировать удобство работы пользователей и вырабатывать рекомендации по повышению безопасности. |
Дальнейшие действия
Узнайте, как реализовать безопасную удаленную работу для разработки архитектуры привилегированного доступа.