Контрольный список RaMP — явным образом проверяет доверие для всех запросов на доступ
Этот контрольный список плана быстрой модернизации (RaMP) помогает установить периметр безопасности для облачных приложений и мобильных устройств, использующих удостоверение в качестве уровня управления, и явно проверяет доверие учетных записей пользователей и устройств перед разрешением доступа как для общедоступных, так и для частных сетей.
Чтобы быть продуктивным, сотрудники (пользователи) должны иметь возможность использовать следующее:
- Учетные данные учетной записи для проверки удостоверения.
- Конечная точка (устройство), например компьютер, планшет или телефон.
- Предоставленные им приложения для выполнения своих заданий.
- Сеть, через которую выполняется трафик между устройствами и приложениями, независимо от того, есть ли они в локальной среде или в облаке.
Каждый из этих элементов является мишенью злоумышленников и должен быть защищен с помощью "никогда не доверяй, всегда проверяй" центральный принцип нулевого доверия.
Этот контрольный список включает использование нулевого доверия для явной проверки доверия для всех запросов доступа:
Завершив эту работу, вы создадите эту часть архитектуры нулевого доверия.
Удостоверения
Проверьте и защитите каждое удостоверение с надежной проверкой подлинности в вашем цифровом пространстве с помощью идентификатора Microsoft Entra ID, полного решения по управлению удостоверениями и доступом с интегрированной безопасностью, которая подключает сотни миллионов людей к своим приложениям, устройствам и данным каждый месяц.
Области ответственности участников программ и проектов
В этой таблице описывается общая защита учетных записей пользователей с точки зрения иерархии управления проектами спонсорской программы для определения и обеспечения результатов.
| Интерес | Ответственный | Отчетность |
|---|---|---|
| CISO, CIO или директор по безопасности удостоверений | Поддержка руководства | |
| Руководство по программе от архитектора безопасности удостоверений или удостоверений | Достижение результатов и совместная работа между командами | |
| Архитектор систем безопасности | Рекомендации по конфигурации и стандартам | |
| Безопасность удостоверений или архитектор удостоверений | Реализация изменений конфигурации | |
| Администратор удостоверений | Обновление стандартов и документов политики | |
| Управление безопасностью или администратор удостоверений | Мониторинг для обеспечения соответствия | |
| Команда по обучению пользователей | Контроль корректировки рекомендаций для пользователей с учетом обновлений политики |
Цели развертывания
Выполните эти задачи развертывания для защиты привилегированных удостоверений с помощью нулевого доверия.
| Выполнено | Цель развертывания | Ответственный | Документация |
|---|---|---|---|
| 1. Разверните защищенный привилегированный доступ для защиты учетных записей администраторов. | ИТ-реализация | Защита привилегированного доступа для гибридных и облачных развертываний в идентификаторе Microsoft Entra | |
| 2. Развертывание Microsoft Entra управление привилегированными пользователями (PIM) для ограниченного времени процесса утверждения для использования привилегированных учетных записей пользователей. | ИТ-реализация | Планирование развертывания управление привилегированными пользователями |
Выполните эти задачи развертывания для защиты удостоверений пользователей с помощью нулевого доверия.
| Выполнено | Цель развертывания | Ответственный | Документация |
|---|---|---|---|
| 1. Включение самостоятельного сброса пароля (SSPR), что обеспечивает возможности сброса учетных данных. | ИТ-реализация | Планирование развертывания самостоятельного сброса пароля Microsoft Entra | |
| 2. Включение многофакторной проверки подлинности (MFA) и выбор подходящих методов для MFA | ИТ-реализация | Планирование развертывания многофакторной проверки подлинности Microsoft Entra | |
| 3. Включите объединенную регистрацию пользователей для каталога, чтобы пользователи могли регистрироваться для SSPR и MFA на одном шаге. | ИТ-реализация | Включение объединенной регистрации сведений о безопасности в идентификаторе Microsoft Entra | |
| 4. Настройте политику условного доступа для обязательной регистрации MFA. | ИТ-реализация | Практическое руководство. Настройка политики регистрации многофакторной проверки подлинности Microsoft Entra | |
| 5. Включите политики на основе рисков пользователя и входа для защиты доступа пользователей к ресурсам. | ИТ-реализация | Настройка и включение политик рисков | |
| 6. Обнаружение и блокировка известных слабых паролей и их вариантов и блокировка дополнительных слабых условий, относящихся к вашей организации. | ИТ-реализация | Устранение неправильных паролей с помощью защиты паролей Microsoft Entra | |
| 7. Развертывание Microsoft Defender для удостоверений и проверка и устранение открытых оповещений (параллельно с операциями безопасности). | Команда операций безопасности | Microsoft Defender для удостоверений | |
| 8. Развертывание учетных данных без пароля. | ИТ-реализация | Планирование развертывания проверки подлинности без пароля в идентификаторе Microsoft Entra |
Теперь вы создали раздел удостоверений архитектуры нулевого доверия.
Конечные точки
Перед предоставлением доступа к конечным точкам (устройствам) и получите представление о том, как они обращаются к сети.
Области ответственности участников программ и проектов
В этой таблице описывается общая защита конечных точек с точки зрения спонсорской или программной иерархии управления и управления проектами для определения и обеспечения результатов.
| Интерес | Ответственный | Отчетность |
|---|---|---|
| CISO, CIO или директор по безопасности удостоверений | Поддержка руководства | |
| Руководитель программы от безопасности удостоверений или архитектора удостоверений | Достижение результатов и совместная работа между командами | |
| Архитектор систем безопасности | Рекомендации по конфигурации и стандартам | |
| Безопасность удостоверений или архитектор безопасности инфраструктуры | Реализация изменений конфигурации | |
| Администратор управления мобильными устройствами (MDM) | Обновление стандартов и документов политики | |
| Управление безопасностью или администратор MDM | Мониторинг для обеспечения соответствия | |
| Команда по обучению пользователей | Контроль корректировки рекомендаций для пользователей с учетом обновлений политики |
Цели развертывания
Выполните эти задачи развертывания для защиты конечных точек (устройств) с помощью нулевого доверия.
| Выполнено | Цель развертывания | Ответственный | Документация |
|---|---|---|---|
| 1. Регистрация устройств с помощью идентификатора Microsoft Entra. | Администратор MDM | Удостоверения устройств | |
| 2. Регистрация устройств и создание профилей конфигурации. | Администратор MDM | Общие сведения об управлении устройствами | |
| 3. Подключение Defender для конечной точки к Intune (параллельно с операциями безопасности). | Администратор безопасности удостоверений | Настройка Microsoft Defender для конечной точки в Intune | |
| 4. Отслеживайте соответствие устройств и риск условного доступа. | Администратор безопасности удостоверений | Использование политик соответствия, позволяющих установить правила для устройств, управляемых с помощью Intune | |
| 5. Реализуйте решение защиты информации Microsoft Purview и интегрируйте с политиками условного доступа. | Администратор безопасности удостоверений | Использование меток конфиденциальности для защиты содержимого |
Теперь вы создали раздел "Конечные точки" архитектуры нулевого доверия.
Приложения
Так как приложения используются вредоносными пользователями для инфильтрации вашей организации, необходимо убедиться, что ваши приложения используют службы, такие как Идентификатор Microsoft Entra и Intune, обеспечивающие защиту от нулевого доверия или защищенные от атак.
Области ответственности участников программ и проектов
В этой таблице описывается реализация нулевого доверия для приложений с точки зрения иерархии управления спонсорами, программами или проектами для определения и обеспечения результатов.
| Интерес | Ответственный | Отчетность |
|---|---|---|
| CISO, CIO или директор по безопасности приложений | Поддержка руководства | |
| Руководство по программе управления приложениями | Достижение результатов и совместная работа между командами | |
| Архитектор удостоверений | Советы по настройке Microsoft Entra для приложений Обновление стандартов проверки подлинности для локальных приложений |
|
| Архитектор разработчика | Рекомендации по настройке и стандартам для локальных и облачных приложений | |
| Сетевой архитектор | Реализация изменений конфигурации VPN | |
| Архитектор облачных сетей | Развертывание прокси приложения Microsoft Entra | |
| Управление безопасностью | Мониторинг для обеспечения соответствия |
Цели развертывания
Выполните эти задачи развертывания, чтобы обеспечить защиту нулевого доверия для облачных приложений Майкрософт, сторонних приложений SaaS, пользовательских приложений PaaS и локальных приложений.
| Выполнено | Тип использования приложения или приложения | Цели развертывания | Ответственный | Документация |
|---|---|---|---|---|
| Сторонние приложения SaaS и пользовательские приложения PaaS, зарегистрированные в идентификаторе Microsoft Entra | Регистрация приложений Microsoft Entra использует политики проверки подлинности, сертификации и согласия приложений Microsoft Entra. Используйте политики условного доступа Microsoft Entra и политики MAM Intune и политики защиты приложений (APP), чтобы разрешить использование приложений. |
Архитектор удостоверений | Управление приложениями в идентификаторе Microsoft Entra | |
| Облачные приложения с поддержкой OAuth и зарегистрированные в Идентификаторе Microsoft Entra, Google и Salesforce | Используйте управление приложениями в Microsoft Defender для облака Приложения для видимости поведения приложений, управления с применением политик и обнаружением и исправлением атак на основе приложений. | Инженер систем безопасности | Обзор | |
| Сторонние приложения SaaS и пользовательские приложения PaaS, которые НЕ зарегистрированы с идентификатором Microsoft Entra | Зарегистрируйте их с помощью идентификатора Microsoft Entra для проверки подлинности, сертификации и политик согласия приложений. Используйте политики условного доступа Microsoft Entra и политики MAM Intune и APP. |
Архитектор приложений | Интеграция всех приложений с идентификатором Microsoft Entra | |
| Локальные пользователи, обращающиеся к локальным приложениям, которые включают приложения, работающие как на локальных, так и на серверах на основе IaaS | Убедитесь, что приложения поддерживают современные протоколы проверки подлинности, такие как OAuth/OIDC и SAML. Обратитесь к поставщику приложений за обновлениями, чтобы защитить вход пользователя. | Архитектор удостоверений | См. документацию по поставщику | |
| Удаленные пользователи, обращающиеся к локальным приложениям через VPN-подключение | Настройте VPN-устройство таким образом, чтобы он использовал идентификатор Microsoft Entra в качестве поставщика удостоверений | Сетевой архитектор | См. документацию по поставщику | |
| Удаленные пользователи, обращающиеся к локальным веб-приложениям через VPN-подключение | Публикация приложений с помощью прокси приложения Microsoft Entra. Удаленные пользователи должны получить доступ только к отдельному опубликованному приложению, который направляется на локальный веб-сервер через соединитель прокси приложения. Подключения используют надежную проверку подлинности Microsoft Entra и ограничивает пользователей и их устройства для доступа к одному приложению одновременно. В отличие от этого, область типичного VPN удаленного доступа — это все расположения, протоколы и порты всей локальной сети. |
Архитектор облачных сетей | Удаленный доступ к локальным приложениям с помощью прокси приложения Microsoft Entra |
После выполнения этих целей развертывания вы создадите раздел "Приложения" архитектуры "Нулевое доверие".
Network
Модель нулевого доверия предполагает нарушение и проверяет каждый запрос, как если бы он исходил из неконтролируемой сети. Хотя это распространенная практика для общедоступных сетей, она также применяется к внутренним сетям вашей организации, которые обычно брандмауэры из общедоступного Интернета.
Чтобы придерживаться нулевого доверия, ваша организация должна устранять уязвимости безопасности как в общедоступных, так и в частных сетях, локальной или в облаке, а также проверять явно, использовать минимальный доступ к привилегиям и предполагать нарушение. Устройства, пользователи и приложения не должны быть изначально доверенными, так как они хранятся в частных сетях.
Области ответственности участников программ и проектов
В этой таблице описывается реализация нулевого доверия для общедоступных и частных сетей с точки зрения иерархии управления спонсорами, программами или проектами для определения и обеспечения результатов.
| Интерес | Ответственный | Отчетность |
|---|---|---|
| CISO, CIO или директор по сетевой безопасности | Поддержка руководства | |
| Руководство по программе от сетевого руководства | Достижение результатов и совместная работа между командами | |
| Архитектор систем безопасности | Рекомендации по настройке и стандартам политики шифрования и доступа | |
| Сетевой архитектор | Рекомендации по фильтрации трафика и изменению сетевой архитектуры | |
| Инженеры сети | Изменения конфигурации сегментации разработки | |
| Средства реализации сети | Изменение конфигурации сетевого оборудования и обновления документов конфигурации | |
| Управление сетями | Мониторинг для обеспечения соответствия |
Цели развертывания
Выполните эти задачи развертывания, чтобы обеспечить защиту нулевого доверия для общедоступных и частных сетей как для локального, так и облачного трафика. Эти цели можно выполнять параллельно.
| Выполнено | Цель развертывания | Ответственный | Документация |
|---|---|---|---|
| Требуется шифрование для всех подключений к трафику, включая между компонентами IaaS и между локальными пользователями и приложениями. | Архитектор систем безопасности | Компоненты IaaS Azure IPsec для локальных устройств Windows |
|
| Ограничение доступа к критически важным данным и приложениям по политикам (удостоверение пользователя или устройства) или фильтрации трафика. | Архитектор безопасности или архитектор сети | Политики доступа для управления приложениями условного доступа Defender для облака Брандмауэр Windows для устройств Windows |
|
| Развертывание сегментации локальной сети с помощью входящего трафика и управления исходящим трафиком с помощью микро-периметров и микро-сегментации. | Сетевой архитектор или инженер сети | Ознакомьтесь с документацией по локальной сети и пограничным устройствам. | |
| Используйте обнаружение угроз в режиме реального времени для локального трафика. | Аналитики SecOps | Защита от угроз Windows Microsoft Defender для конечной точки |
|
| Развертывание сегментации облачной сети с помощью входящего трафика и управления исходящим трафиком с помощью микро-периметров и микросегрегации. | Сетевой архитектор или инженер сети | Рекомендации по сети и подключению | |
| Используйте обнаружение угроз в режиме реального времени для облачного трафика. | Сетевой архитектор или инженер сети | фильтрация на основе аналитики угроз Брандмауэр Azure Брандмауэр Azure система обнаружения и предотвращения сетевых вторжений класса Premium (IDPS) |
После выполнения этих целей развертывания вы создадите раздел "Сеть" архитектуры нулевого доверия.
Следующий шаг
Продолжайте инициативу по доступу пользователей и повышению производительности с помощью данных, соответствия требованиям и управления.