微軟認(rèn)為“零信任”是任何組織的安全計(jì)劃的重要組成部分。我們與云安全聯(lián)盟（一個(gè)推廣云計(jì)算最佳實(shí)踐的非營利組織）合作，將多名高級首席信息安全官聚集在一起，討論并分享他們對零信任歷程的見解。

　　在我們的第一次討論中，我們與來自著名能源、金融、保險(xiǎn)和制造企業(yè)的10位首席信息安全官坐在虛擬圓桌會(huì)議上，了解哪些是他們認(rèn)為行之有效的，哪些是零信任安全模型仍需要調(diào)整的地方。我們的集體目標(biāo)是相互學(xué)習(xí)，并與其他網(wǎng)絡(luò)安全領(lǐng)域的專業(yè)人士分享。

　　“零信任：從不信任，永遠(yuǎn)驗(yàn)證。”

　　零信任假設(shè)所有的訪問都是有風(fēng)險(xiǎn)的，并驗(yàn)證每一個(gè)請求，就像它始終來自一個(gè)不受控的網(wǎng)絡(luò)一樣。這意味著無論是防火墻內(nèi)外、終端上、服務(wù)器上還是云中，安全防護(hù)機(jī)制永遠(yuǎn)不相信任何人或任何事件。

　　“零信任”策略

　　在您的企業(yè)中引入零信任策略需要在所有基礎(chǔ)要素上實(shí)施管控，例如：身份、設(shè)備、應(yīng)用、數(shù)據(jù)、基礎(chǔ)設(shè)施和網(wǎng)絡(luò)。

　　策略 #1 - 使用身份控制訪問權(quán)限

　　身份代表用戶、服務(wù)和物聯(lián)網(wǎng)設(shè)備——是網(wǎng)絡(luò)、終端和應(yīng)用的共同點(diǎn)。在零信任安全模型中，它們作為一種強(qiáng)大、靈活和細(xì)化的方式來控制對數(shù)據(jù)的訪問。當(dāng)任何身份試圖訪問任何資源時(shí)，安全防護(hù)機(jī)制應(yīng)通過強(qiáng)身份驗(yàn)證來驗(yàn)證身份，確保訪問請求符合典型的身份行為，并確認(rèn)該身份遵循最小權(quán)限訪問原則。

　　策略 #2 - 提升身份認(rèn)證

　　將多因素認(rèn)證或持續(xù)認(rèn)證納入身份管理策略，可大幅改善企業(yè)的信息安全狀況。一位圓桌會(huì)議的與會(huì)者分享說，通過將身份管理擴(kuò)展到持續(xù)認(rèn)證功能，他們的企業(yè)現(xiàn)在可以在用戶的常用 IP 地址或常規(guī)行為模式發(fā)生變化時(shí)進(jìn)行身份驗(yàn)證。只要能通過其他方法進(jìn)行驗(yàn)證，并且最終用戶不需要為了驗(yàn)證額外進(jìn)行任何操作，那么就可以每隔五分鐘甚至每秒鐘進(jìn)行一次持續(xù)驗(yàn)證。比如，終端可以成為多因素驗(yàn)證的因素之一等。

　　策略 #3 - 納入無密碼認(rèn)證

　　無密碼認(rèn)證用兩個(gè)或兩個(gè)以上的驗(yàn)證因素取代傳統(tǒng)密碼，并以一對加密密鑰來保證安全性。注冊時(shí)，設(shè)備會(huì)創(chuàng)建一個(gè)公鑰和私鑰。私鑰可以借助本地安全硬件來進(jìn)行解鎖，如常規(guī)的手機(jī)呼叫驗(yàn)證、PIN 碼登錄、生物識(shí)別認(rèn)證（指紋掃描、面部識(shí)別或虹膜識(shí)別），甚至對于涉及訪問及維護(hù)企業(yè)敏感信息、應(yīng)用、服務(wù)和設(shè)備的員工，可以添加需要配合指紋或 PIN 使用的安全密鑰或者獨(dú)立的芯片卡，確保正確的人在最低權(quán)限下獲取了需要的內(nèi)容。

　　策略 #4 - 細(xì)分企業(yè)網(wǎng)絡(luò)

　　網(wǎng)絡(luò)分割可能是企業(yè) IT 的典型痛點(diǎn)，因?yàn)榉阑饓Υ碇缙诘姆指睿@會(huì)讓開發(fā)和測試工作變得復(fù)雜。最終，許多 IT 團(tuán)隊(duì)更多依靠安全團(tuán)隊(duì)來解決網(wǎng)絡(luò)連接和訪問的問題。然而，分割網(wǎng)絡(luò)并進(jìn)行更深層次的網(wǎng)絡(luò)內(nèi)微觀分割對于零信任來說非常重要，因?yàn)樵诨旌限k公的世界中，所有關(guān)鍵業(yè)務(wù)數(shù)據(jù)都是通過網(wǎng)絡(luò)基礎(chǔ)設(shè)施訪問的。對于網(wǎng)絡(luò)的控制起到了至關(guān)重要的作用，提高可視性并有助于防止惡意攻擊者在網(wǎng)絡(luò)中橫向移動(dòng)。

　　策略 #5 - 保護(hù)設(shè)備

　　在零信任策略中，訪問企業(yè)數(shù)據(jù)和運(yùn)行企業(yè)應(yīng)用的設(shè)備無論是企業(yè)所有的還是個(gè)人所有的手機(jī)或平板電腦，也就是所謂的“員工自有設(shè)備”（BYOD），都將采用相同的安全策略。需要連接企業(yè)網(wǎng)絡(luò)的內(nèi)部員工、供應(yīng)商、合作伙伴甚至訪客的設(shè)備都是可以由 IT 部門完全管理的。而無論這些 PC、Mac、服務(wù)器、物聯(lián)網(wǎng)設(shè)備、筆記本電腦、平板電腦、智能手機(jī)或可穿戴設(shè)備位于企業(yè)內(nèi)部網(wǎng)絡(luò)、企業(yè)訪客網(wǎng)絡(luò)、家庭寬帶甚至在咖啡館或者機(jī)場候機(jī)廳接入的公共互聯(lián)網(wǎng)，都是如此。在混合辦公的世界里，大量且多樣性可訪問企業(yè)信息的設(shè)備是最難以監(jiān)管的部分。如果允許未打補(bǔ)丁或者有安全隱患的設(shè)備接入企業(yè)內(nèi)部網(wǎng)絡(luò)，那無疑會(huì)大大提高企業(yè)的信息安全風(fēng)險(xiǎn)。

　　策略 #6 - 對企業(yè)應(yīng)用進(jìn)行細(xì)分

　　要從云應(yīng)用和服務(wù)中充分受益，需要在提供訪問和維持控制之間找到一個(gè)平衡，以確保應(yīng)用及其包含的數(shù)據(jù)受到保護(hù)。通過對應(yīng)用的管控來發(fā)現(xiàn)影子 IT，確保適當(dāng)?shù)膽?yīng)用內(nèi)的權(quán)限，根據(jù)實(shí)時(shí)分析結(jié)果對訪問來進(jìn)行把關(guān)，監(jiān)控異常行為，限制用戶的非常規(guī)操作，并驗(yàn)證安全配置選項(xiàng)。

　　策略 #7 - 定義角色和訪問控制

　　隨著遠(yuǎn)程工作的迅速普及，所有企業(yè)必須考慮尋找現(xiàn)代安全控制的方式。將員工在企業(yè)數(shù)字資產(chǎn)中需要進(jìn)行的操作進(jìn)行角色化的定義，并與策略聯(lián)系起來，作為授權(quán)、單點(diǎn)登錄、無密碼訪問的一部分是非常高效的。然而，每一個(gè)定義的角色都必須在現(xiàn)在和未來進(jìn)行管理和維護(hù)，所以要有選擇地創(chuàng)建多少種角色，這樣就不會(huì)給后期的管理和維護(hù)工作帶來繁重的工作。

　　邁向“零信任”的歷程

　　在混合辦公的世界中，信息安全防護(hù)方案應(yīng)該從假設(shè)突破的關(guān)鍵零信任原則開始。但通常情況下都被復(fù)雜性和分散性阻礙了發(fā)展。我們致力于幫助所有組織解決這個(gè)問題，因?yàn)槲覀優(yōu)樗腥藰?gòu)建安全的環(huán)境，并從云端交付。

　　誠然這些都始于集成解決方案，讓您的組織專注于重要的事情，并為您的所有平臺(tái)和所有云中數(shù)字資產(chǎn)提供可視性。我們推出了一套整體方案，將最佳的 SIEM 集成體系結(jié)構(gòu)和響應(yīng)（XDR）工具直接構(gòu)建在云中，這為您提供了最好的產(chǎn)品和最佳的集成體驗(yàn)，因此 IT 部門再也不需要通過每天“奔波”于大量的管理平臺(tái)來保護(hù)企業(yè)信息安全。

　　使用 Microsoft Defender for Endpoint 和 Defender for Office 365 的用戶可以從 Microsoft 365 Defender 門戶調(diào)查和處理威脅。它提供了統(tǒng)一的警報(bào)、用戶和調(diào)查頁面，以便進(jìn)行深入的自動(dòng)分析和直觀的可視化效果，并提供了一個(gè)新的學(xué)習(xí)中心，您可以利用具有最佳實(shí)踐和操作方法的指導(dǎo)資源對企業(yè)信息安全進(jìn)行加固。

　　新的威脅分析提供了一組來自 Microsoft 安全研究專家的報(bào)告，可幫助您直接在 Microsoft 365 Defender 中了解、預(yù)防和緩解威脅，如近期的 Solorigate 攻擊等。

　　我們正在將安全核心引入 Windows Server 和邊緣設(shè)備，以幫助最大限度地降低物聯(lián)網(wǎng)和混合云環(huán)境中的固件漏洞和高級惡意軟件的風(fēng)險(xiǎn)。

　　各企業(yè)在開始施行零信任之旅時(shí)，關(guān)注的側(cè)重點(diǎn)各不相同。圓桌會(huì)議參與者所代表的一些企業(yè)從用戶身份和訪問管理開始了他們的零信任之旅，而其他企業(yè)則從網(wǎng)絡(luò)宏觀和微觀細(xì)分或應(yīng)用方面開始。這些信息安全官一致認(rèn)為，制定施行零信任策略的整體戰(zhàn)略至關(guān)重要，在整個(gè)企業(yè)中大面積推廣零信任之前，應(yīng)該從小處著手，建立信心。

　　這通常意味著需要采取分階段的方法，根據(jù)企業(yè)“零信任”的成熟度、可用資源和優(yōu)先級，針對特定領(lǐng)域來進(jìn)行。例如，您可以從云中的新項(xiàng)目開始，或在開發(fā)人員和測試環(huán)境中進(jìn)行前期試驗(yàn)。一旦您建立了信心，我們建議將零信任策略覆蓋到整個(gè)企業(yè)數(shù)字財(cái)產(chǎn)，同時(shí)將其作為一種集成的安全理念和端到端的戰(zhàn)略推進(jìn)。在這個(gè)旅程中，您并不孤單。成功的企業(yè)已經(jīng)走過了這條道路，我們很高興與您一起走過每一步。