Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Этот контрольный список плана быстрой модернизации (RaMP) помогает установить периметр безопасности для облачных приложений и мобильных устройств, использующих удостоверение в качестве уровня управления, и явно проверяет доверие учетных записей пользователей и устройств перед разрешением доступа как для общедоступных, так и для частных сетей.
Чтобы быть продуктивным, сотрудники (пользователи) должны иметь возможность использовать следующее:
- Учетные данные для проверки личности.
- Конечная точка (устройство), например компьютер, планшет или телефон.
- Приложения, которые вы им предоставили для выполнения их работы.
- Сеть, через которую выполняется трафик между устройствами и приложениями, независимо от того, является ли они локальными или в облаке.
Каждый из этих элементов является мишенью злоумышленников и должен быть защищен с помощью центрального принципа "Никому не доверяй" "никогда не доверяй" .
Этот контрольный список включает использование нулевого доверия для явной проверки доверия для всех запросов доступа:
Завершив эту работу, вы создадите эту часть архитектуры нулевого доверия.
Удостоверения
Проверьте и защитите каждое удостоверение с надежной проверкой подлинности в вашем цифровом пространстве с помощью идентификатора Microsoft Entra ID, полного решения по управлению удостоверениями и доступом с интегрированной безопасностью, которая подключает сотни миллионов людей к своим приложениям, устройствам и данным каждый месяц.
Области ответственности участников программ и проектов
В этой таблице описывается общая защита учетных записей пользователей с точки зрения иерархии управления проектами спонсорской программы для определения и обеспечения результатов.
| Лид | Владелец | Отчетность |
|---|---|---|
| CISO, CIO или директор по безопасности удостоверений | Поддержка руководства | |
| Руководитель программы по безопасности идентификации или архитектор удостоверений | Достижение результатов и совместная работа между командами | |
| Архитектор систем безопасности | Рекомендации по конфигурации и стандартам | |
| Безопасность удостоверений или архитектор удостоверений | Реализация изменений конфигурации | |
| Администратор удостоверений | Обновление стандартов и документов политики | |
| Управление безопасностью или администратор удостоверений | Мониторинг для обеспечения соответствия | |
| Команда по обучению пользователей | Убедитесь, что рекомендации для пользователей отражают обновления политики |
Цели развертывания
Выполните эти задачи развертывания для защиты привилегированных удостоверений с помощью нулевого доверия.
| Выполнено | Цель развертывания | Владелец | Документация |
|---|---|---|---|
| 1. Разверните защищенный привилегированный доступ для защиты учетных записей администраторов. | ИТ-исполнитель | Защита привилегированного доступа для гибридных и облачных развертываний в идентификаторе Microsoft Entra | |
| 2. Развертывание Microsoft Entra управление привилегированными пользователями (PIM) для ограниченного времени процесса утверждения для использования привилегированных учетных записей пользователей. | ИТ-исполнитель | Планирование развертывания Управления привилегированными идентификаторами |
Достигните этих целей развертывания для защиты идентификаций пользователей с помощью нулевого доверия.
| Выполнено | Цель развертывания | Владелец | Документация |
|---|---|---|---|
| 1. Включение самостоятельного сброса пароля (SSPR), что обеспечивает возможности сброса учетных данных. | ИТ-исполнитель | Планирование развертывания самостоятельного сброса пароля Microsoft Entra | |
| 2. Включение многофакторной проверки подлинности (MFA) и выбор подходящих методов для MFA | ИТ-исполнитель | Планирование развертывания многофакторной проверки подлинности Microsoft Entra | |
| 3. Включите объединенную регистрацию пользователей для каталога, чтобы пользователи могли регистрироваться для SSPR и MFA на одном шаге. | ИТ-исполнитель | Включите объединенную регистрацию сведений о безопасности в Microsoft Entra ID | |
| 4. Настройте политику условного доступа для обязательной регистрации MFA. | ИТ-исполнитель | Практическое руководство. Настройка политики регистрации многофакторной проверки подлинности Microsoft Entra | |
| 5. Включите политики на основе рисков пользователя и входа для защиты доступа пользователей к ресурсам. | ИТ-исполнитель | Настройка и включение политик рисков | |
| 6. Обнаружение и блокировка известных слабых паролей и их вариантов и блокировка дополнительных слабых условий, относящихся к вашей организации. | ИТ-исполнитель | Устранение неправильных паролей с помощью защиты паролей Microsoft Entra | |
| 7. Разверните Microsoft Defender для удостоверений и проверьте и устраните все открытые оповещения (параллельно с вашими операциями безопасности). | Команда операций безопасности | Microsoft Defender для идентификации | |
| 8. Развертывание учетных данных без пароля. | ИТ-исполнитель | Планирование развертывания проверки подлинности без пароля в идентификаторе Microsoft Entra |
Теперь вы создали раздел "Идентичности" архитектуры нулевого доверия.
Конечные точки
Убедитесь в соответствии требованиям и состоянии безопасности перед предоставлением доступа к конечным точкам (устройствам) и получите представление о том, как они получают доступ к сети.
Области ответственности участников программ и проектов
В этой таблице описывается всесторонняя защита ваших конечных точек в контексте иерархии управления, включая спонсорство, программное управление и управление проектами, для определения и эффективного достижения результатов.
| Лид | Владелец | Отчетность |
|---|---|---|
| CISO, CIO или директор по безопасности удостоверений | Поддержка руководства | |
| Руководитель программы в области безопасности удостоверений или архитектура удостоверений | Достижение результатов и совместная работа между командами | |
| Архитектор систем безопасности | Рекомендации по конфигурации и стандартам | |
| Специалист по безопасности удостоверений или архитектор безопасности инфраструктуры | Реализация изменений конфигурации | |
| Администратор управления мобильными устройствами (MDM) | Обновление стандартов и документов политики | |
| Управление безопасностью или администратор MDM | Мониторинг для обеспечения соответствия | |
| Команда по обучению пользователей | Убедитесь, что рекомендации для пользователей отражают обновления политики |
Цели развертывания
Выполните эти задачи развертывания для защиты конечных точек (устройств) с помощью нулевого доверия.
| Выполнено | Цель развертывания | Владелец | Документация |
|---|---|---|---|
| 1. Регистрация устройств с помощью идентификатора Microsoft Entra. | Администратор MDM | Идентификация устройств | |
| 2. Регистрация устройств и создание профилей конфигурации. | Администратор MDM | Общие сведения об управлении устройствами | |
| 3. Подключите Защитник для конечных точек к Intune (параллельно с вашими операциями безопасности). | Администратор безопасности идентичностей | Настройка Microsoft Defender для Endpoint с использованием Intune | |
| 4. Отслеживайте соответствие устройств и риск условного доступа. | Администратор безопасности идентичностей | Использование политик соответствия, позволяющих установить правила для устройств, управляемых с помощью Intune | |
| 5. Реализуйте решение защиты информации Microsoft Purview и интегрируйте с политиками условного доступа. | Администратор безопасности идентичностей | Использование меток конфиденциальности для защиты содержимого |
Теперь вы создали раздел "Конечные точки" архитектуры нулевого доверия.
Приложения
Так как приложения используются вредоносными пользователями для инфильтрации вашей организации, необходимо убедиться, что ваши приложения используют службы, такие как Идентификатор Microsoft Entra и Intune, обеспечивающие защиту от нулевого доверия или защищенные от атак.
Области ответственности участников программ и проектов
В этой таблице описывается реализация нулевого доверия для приложений с точки зрения иерархии управления спонсорами, программами или проектами для определения и обеспечения результатов.
| Лид | Владелец | Отчетность |
|---|---|---|
| CISO, CIO или директор по безопасности приложений | Поддержка руководства | |
| Руководитель программы из отдела управления приложениями | Достижение результатов и совместная работа между командами | |
| Архитектор идентификационных систем | Советы по настройке Microsoft Entra для приложений Обновление стандартов проверки подлинности для локальных приложений |
|
| Архитектор разработчика | Рекомендации по настройке и стандартам для локальных и облачных приложений | |
| Сетевой архитектор | Реализация изменений конфигурации VPN | |
| Архитектор облачных сетей | Развертывание прокси приложения Microsoft Entra | |
| Управление безопасностью | Мониторинг для обеспечения соответствия |
Цели развертывания
Выполните эти задачи развертывания, чтобы обеспечить защиту нулевого доверия для облачных приложений Майкрософт, сторонних приложений SaaS, пользовательских приложений PaaS и локальных приложений.
| Выполнено | Тип приложения или способ его использования | Цели развертывания | Владелец | Документация |
|---|---|---|---|---|
| Сторонние приложения SaaS и пользовательские приложения PaaS, зарегистрированные в идентификаторе Microsoft Entra | Регистрация приложений Microsoft Entra использует политики проверки подлинности, сертификации и согласия приложений Microsoft Entra. Используйте политики условного доступа Microsoft Entra, а также политики MAM Intune и защиты приложений (APP), чтобы разрешить использование приложений. |
Архитектор идентификационных систем | Управление приложениями в идентификаторе Microsoft Entra | |
| Облачные приложения с поддержкой OAuth и зарегистрированные в Идентификаторе Microsoft Entra, Google и Salesforce | Используйте управление приложениями в Microsoft Defender для облачных приложений для видимости поведения приложений, управления с выполнением политик и обнаружения и устранения атак, основанных на приложениях. | Инженер систем безопасности | Обзор | |
| Сторонние приложения SaaS и пользовательские приложения PaaS, которые НЕ зарегистрированы с идентификатором Microsoft Entra | Зарегистрируйте их с помощью идентификатора Microsoft Entra для проверки подлинности, сертификации и политик согласия приложений. Используйте политики условного доступа Microsoft Entra, а также политики Intune MAM и APP. |
Архитектор приложений | Интеграция всех приложений с идентификатором Microsoft Entra | |
| Локальные пользователи, обращающиеся к локальным приложениям, которые включают приложения, работающие как на локальных, так и на серверах на основе IaaS | Убедитесь, что приложения поддерживают современные протоколы проверки подлинности, такие как OAuth/OIDC и SAML. Обратитесь к поставщику приложений за обновлениями, чтобы защитить вход пользователя. | Архитектор идентификационных систем | См. документацию поставщика | |
| Удаленные пользователи, обращающиеся к локальным приложениям через VPN-подключение | Настройте устройство VPN так, чтобы оно использовало Microsoft Entra ID в качестве поставщика удостоверений. | Сетевой архитектор | См. документацию поставщика | |
| Удаленные пользователи, обращающиеся к локальным веб-приложениям через VPN-подключение | Публикация приложений с помощью прокси приложения Microsoft Entra. Удаленные пользователи должны получить доступ только к отдельному опубликованному приложению, который направляется на локальный веб-сервер через соединитель прокси приложения. Подключения используют надежную проверку подлинности Microsoft Entra и ограничивает пользователей и их устройства для доступа к одному приложению одновременно. В отличие от этого, область типичного VPN удаленного доступа — это все расположения, протоколы и порты всей локальной сети. |
Архитектор облачных сетей | Удаленный доступ к локальным приложениям с помощью прокси приложения Microsoft Entra |
После выполнения этих целей развертывания вы создадите раздел "Приложения" архитектуры "Нулевое доверие".
Сеть
Модель нулевого доверия предполагает нарушение и проверяет каждый запрос, как если бы он исходил из неконтролируемой сети. Хотя это распространенная практика для общедоступных сетей, она также применяется к внутренним сетям вашей организации, которые обычно защищены брандмауэром от общедоступного Интернета.
Чтобы придерживаться нулевого доверия, ваша организация должна устранять уязвимости безопасности как в общедоступных, так и в частных сетях, локальной или в облаке, а также проверять явно, использовать минимальный доступ к привилегиям и предполагать нарушение. Устройства, пользователи и приложения не должны изначально считаться доверенными, поскольку они находятся в ваших частных сетях.
Области ответственности участников программ и проектов
В этой таблице описывается реализация нулевого доверия для общедоступных и частных сетей с точки зрения иерархии управления спонсорами, программами или проектами для определения и обеспечения результатов.
| Лид | Владелец | Отчетность |
|---|---|---|
| CISO, CIO или директор по сетевой безопасности | Поддержка руководства | |
| Руководитель программы по сетевому руководству | Достижение результатов и совместная работа между командами | |
| Архитектор систем безопасности | Рекомендации по настройке и стандартам политики шифрования и доступа | |
| Сетевой архитектор | Рекомендации по фильтрации трафика и изменению сетевой архитектуры | |
| Инженеры сети | Изменения конфигурации сегментации разработки | |
| Средства реализации сети | Изменение конфигурации сетевого оборудования и обновления документов конфигурации | |
| Управление сетями | Мониторинг для обеспечения соответствия |
Цели развертывания
Выполните эти задачи развертывания, чтобы обеспечить защиту нулевого доверия для общедоступных и частных сетей как для локального, так и облачного трафика. Эти цели можно выполнять параллельно.
| Выполнено | Цель развертывания | Владелец | Документация |
|---|---|---|---|
| Требуется шифрование для всех подключений к трафику, включая между компонентами IaaS и между локальными пользователями и приложениями. | Архитектор систем безопасности |
Компоненты IaaS Azure IPsec для локальных устройств Windows |
|
| Ограничение доступа к критически важным данным и приложениям по политикам (удостоверение пользователя или устройства) или фильтрации трафика. | Архитектор безопасности или архитектор сети |
Политики доступа для управления приложениями условного доступа Defender для облака Брандмауэр Windows для устройств Windows |
|
| Развертывание сегментации локальной сети с помощью входящего трафика и управления исходящим трафиком с помощью микро-периметров и микро-сегментации. | Сетевой архитектор или инженер сети | Ознакомьтесь с документацией по вашей локальной сети и устройствам периферийного уровня. | |
| Используйте обнаружение угроз в режиме реального времени для локального трафика. | Аналитики SecOps |
Защита от угроз Windows Microsoft Defender для конечных устройств |
|
| Развертывание сегментации облачной сети с помощью входящего трафика и управления исходящим трафиком с помощью микро-периметров и микросегрегации. | Сетевой архитектор или инженер сети | Рекомендации по сети и подключению | |
| Используйте обнаружение угроз в режиме реального времени для облачного трафика. | Сетевой архитектор или инженер сети |
фильтрация Брандмауэра Azure на основе данных аналитики угроз Брандмауэр Azure система обнаружения и предотвращения сетевых вторжений класса Premium (IDPS) |
После выполнения этих целей развертывания вы создадите раздел "Сеть" архитектуры нулевого доверия.
Следующий шаг
Продолжайте инициативу по доступу пользователей и повышению производительности с помощью данных, соответствия требованиям и управления.