01

　　微軟為何要做零信任

　　微軟一直致力于給用戶帶來更好的產(chǎn)品體驗(yàn)，在業(yè)務(wù)敏捷性上為用戶增加價(jià)值。在安全能力上，微軟也一直在不斷迭代發(fā)展，不過整體而言，其安全能力主要還是作為Azure云平臺、Windows操作系統(tǒng)、Office等產(chǎn)品的補(bǔ)充和完善，用于提升產(chǎn)品的附加值，暫時(shí)并未提供獨(dú)立的安全產(chǎn)品或從服務(wù)的視角或思維切入安全領(lǐng)域。比如微軟近期發(fā)布的Windows 365，Cloud PC云端操作系統(tǒng)，在安全防護(hù)上，微軟基于“零信任”原則，憑借自身云端的能力，從初始設(shè)計(jì)上就確保了產(chǎn)品的安全性，當(dāng)然其目的仍然是讓用戶對Windows 365產(chǎn)品感到安心。微軟認(rèn)為，零信任安全戰(zhàn)略應(yīng)該貫穿于組織的架構(gòu)、技術(shù)選型、運(yùn)營流程以及組織的整體文化和員工的思維方式。

　　在數(shù)字化轉(zhuǎn)型時(shí)代，云服務(wù)，移動計(jì)算，物聯(lián)網(wǎng)的應(yīng)用越來越多，微軟意識到一個(gè)企業(yè)如果仍然依賴于本地防火墻和VPN，僅從組織的物理位置決定安全策略，會缺乏對內(nèi)部安全風(fēng)險(xiǎn)的可見性，無法及時(shí)提供端到端的安全覆蓋，也就會對其產(chǎn)品的安全性帶來風(fēng)險(xiǎn)和挑戰(zhàn)。同時(shí)，攻擊者開始利用釣魚攻擊、身份憑證竊取等一系列針對身份的攻擊方式，突破傳統(tǒng)網(wǎng)絡(luò)安全邊界，讓安全工程師疲于奔命。因此，微軟認(rèn)為需要新的安全模型，該模型可以有效地適應(yīng)現(xiàn)代IT環(huán)境的復(fù)雜性。在假定出現(xiàn)了信息泄露的情況下，只要有請求發(fā)起就需要進(jìn)行驗(yàn)證，無論該請求出自何處，需要訪問什么資源。這樣可保護(hù)位于任何位置的用戶、設(shè)備、應(yīng)用程序和數(shù)據(jù)等資產(chǎn)，這就是微軟使用零信任的初衷。零信任并非不信任一切事物，而是采用一種更加智慧、聰明的信任方式。因?yàn)?，一切商業(yè)的邏輯——信息流轉(zhuǎn)都不能否認(rèn)信任的存在。沒有信任，一切都無從談起。

　　02

　　微軟網(wǎng)絡(luò)安全

　　參考架構(gòu)MCRA

　　除了微軟各產(chǎn)品中對安全的描述，微軟的網(wǎng)絡(luò)安全能力主要集中在微軟網(wǎng)絡(luò)安全參考架構(gòu) （Microsoft Cybersecurity Reference Architectures，MCRA） 中進(jìn)行了介紹。在MCRA中描述了微軟的網(wǎng)絡(luò)安全能力是如何利用微軟各類安全服務(wù)、安全產(chǎn)品與微軟各平臺（例如 Microsoft 365 和 Microsoft Azure）、第三方應(yīng)用（例如 ServiceNow 和 Salesforce）和第三方平臺（例如 Amazon Web Services （AWS） 以及 Google Cloud Platform （GCP））集成的。值得一提的是，整個(gè)MCRA都是以零信任原則進(jìn)行設(shè)計(jì)。如下圖所示：

　　從圖中我們可以看出微軟多年來一直在網(wǎng)絡(luò)安全研究與開發(fā)方面進(jìn)行了大量投資，以確保產(chǎn)品和服務(wù)的安全，并為其客戶提供保護(hù)資產(chǎn)所需的能力。

　　整個(gè)微軟網(wǎng)絡(luò)安全能力架構(gòu)采用了零信任原則進(jìn)行設(shè)計(jì)，分別在身份與訪問、安全運(yùn)營、設(shè)備合規(guī)性管控、多云和跨云平臺管理、軟件即服務(wù)（SaaS）的云原生安全控制、物聯(lián)網(wǎng)與運(yùn)營管理，信息保護(hù)等功能上進(jìn)行細(xì)化和落地。

　　此外，在MCRA中微軟還對零信任基本概念，零信任快速現(xiàn)代化計(jì)劃 （Rapid Modernization Plan, RaMP），安全運(yùn)營和關(guān)鍵計(jì)劃（例如，防御人為操作的勒索軟件、保護(hù)特權(quán)訪問和超越VPN 形態(tài)的用戶訪問等）的其他關(guān)鍵信息進(jìn)行了介紹。

　　03

　　微軟零信任的

　　二十年發(fā)展歷史

　　我們已經(jīng)能從MCRA中看出微軟在安全領(lǐng)域的持續(xù)投入，如果追尋零信任在微軟的發(fā)展歷程，可以看到近20年的歷史。一路走來，雖然零信任理念已經(jīng)發(fā)展了許久，但直到最近才被主流逐漸認(rèn)可和采用。

　　在這個(gè)過程中，微軟理解零信任戰(zhàn)略形成了兩個(gè)主要的思想流派：網(wǎng)絡(luò)派和身份派。

　　網(wǎng)絡(luò)派——通過劃分更小的網(wǎng)段，并在允許訪問資源之前測量設(shè)備的信任度，來增強(qiáng)網(wǎng)絡(luò)訪問控制能力。雖然該方法富有吸引力，但復(fù)雜性較高。

　　身份派——Jericho論壇倡導(dǎo)的另一種方法，通過建立身份邊界來實(shí)現(xiàn)資源訪問，從網(wǎng)絡(luò)為中心轉(zhuǎn)移到了數(shù)據(jù)資產(chǎn)為中心。

　　微軟在云轉(zhuǎn)型過程中，融合了網(wǎng)絡(luò)和身份模型兩種技術(shù)方法實(shí)踐零信任。

　　在這個(gè)過程中，微軟將零信任安全模型應(yīng)用于自身實(shí)踐，微軟員工訪問企業(yè)技術(shù)資源和服務(wù)也需要零信任安全模型來進(jìn)行隔離和限制。微軟也是在幾年前就開展了零信任的建設(shè)，涉及多方面的技術(shù)和多個(gè)部門，并將在未來幾年持續(xù)投入，旨在未來兩到三年內(nèi)完全實(shí)現(xiàn)的零信任目標(biāo)。

　　由于篇幅的原因，本文對微軟零信任的分析解讀主要針對身份和零信任用戶訪問（Identity and Zero Trust User Access）這一范圍，并不包含MCRA中其它應(yīng)用零信任原則所涉及的內(nèi)容。

　　04

　　微軟零信任安全架構(gòu)的

　　基本概念

　　4.1 零信任的指導(dǎo)原則

　　作為零信任起源Jericho論壇主辦機(jī)構(gòu)The Open Group所發(fā)布白皮書《零信任核心原則》（Zero Trust Core Principles）的參與方，微軟認(rèn)可Jericho論壇的零信任理念“從不信任，始終驗(yàn)證”。據(jù)此，微軟提出了自己零信任原則：

　　1. 進(jìn)行顯式驗(yàn)證（Verify Explicitly）

　　所有可用的數(shù)據(jù)訪問點(diǎn)都必須進(jìn)行身份驗(yàn)證和授權(quán)，包括用戶身份識別，位置、設(shè)備的健康情況判斷，服務(wù)或工作負(fù)載，數(shù)據(jù)分類分級標(biāo)簽和異常行為檢測。

　　2. 使用最小權(quán)限訪問（Use Least Privileged Access）

　　通過及時(shí)（Just-in-time, JIT）和足夠（Just-enough-access, JEA）的訪問權(quán)限、基于風(fēng)險(xiǎn)的自適性策略以及數(shù)據(jù)保護(hù)來有效限制用戶的訪問，以幫助保護(hù)數(shù)據(jù)并且保障生產(chǎn)力。

　　3. 假定數(shù)據(jù)泄露（Assume Breach）

　　需持續(xù)監(jiān)測與感知網(wǎng)絡(luò)、用戶、設(shè)備和應(yīng)用程序，來切分其訪問控制權(quán)限，縮小數(shù)據(jù)泄露的波及范圍并防止橫向移動。同時(shí)還需驗(yàn)證所有會話，均為端對端加密，通過安全可視化的分析手段，進(jìn)而驅(qū)動威脅探測和加強(qiáng)安全防護(hù)。

　　每個(gè)訪問請求在授予訪問之前都應(yīng)進(jìn)行完全身份驗(yàn)證、授權(quán)和加密。應(yīng)用微分段和最小特權(quán)訪問原則最大限度地減少了橫向遷移。利用豐富的智能和分析進(jìn)行檢測并及時(shí)響應(yīng)異常情況。

　　4.2 零信任訪問控制機(jī)制

　　零信任訪問機(jī)制的關(guān)鍵組成部分有三個(gè)：信息源、決策引擎、策略執(zhí)行。

　　?  信息源：收集用戶、設(shè)備的安全狀態(tài)信息、風(fēng)險(xiǎn)信息、行為信息等。

　　?  決策引擎：基于信號源的信息對信任持續(xù)評估，做出訪問策略的調(diào)整。

　　?  策略執(zhí)行：對訪問請求做出最終的操作決定。

　　4.3 零信任架構(gòu)組成要素

　　微軟認(rèn)為無論何種用戶或應(yīng)用程序環(huán)境，都必須提供對其資源的安全訪問能力。在允許訪問前，都要評估用戶的位置、角色定義、設(shè)備的運(yùn)行狀態(tài)、服務(wù)類型以及請求訪問的數(shù)據(jù)類別等。并且，最終使用策略消息傳遞和策略自動實(shí)施的方法，在安全性與最佳用戶體驗(yàn)之間找到平衡點(diǎn)。

　　零信任理念應(yīng)擴(kuò)展到整個(gè)數(shù)字資產(chǎn)，作為集成安全性理念和端到端策略，是對6個(gè)基本元素的安全防護(hù)：身份，設(shè)備，應(yīng)用程序，數(shù)據(jù)，網(wǎng)絡(luò)和基礎(chǔ)設(shè)施，來實(shí)現(xiàn)零信任。這6個(gè)要素本身既是策略評估所需的信息源，也是實(shí)施控制的抓手，并且還是需要被保護(hù)的關(guān)鍵資源。每一項(xiàng)在零信任架構(gòu)中所起到的作用如下：

　　?  身份

　　身份（無論是人員、設(shè)備、應(yīng)用還是進(jìn)程）是資源訪問的入口，是零信任的基礎(chǔ)。當(dāng)身份嘗試訪問資源時(shí)，系統(tǒng)需要對其進(jìn)行強(qiáng)身份驗(yàn)證，確保該身份是合理且合規(guī)的，同時(shí)保證遵循最小權(quán)限訪問原則。

　　?  設(shè)備

　　身份獲得對資源的訪問權(quán)限，各類設(shè)備即會產(chǎn)生通信的數(shù)據(jù)流，無形中暴露了一個(gè)巨大的攻擊面。為了降低設(shè)備風(fēng)險(xiǎn)，系統(tǒng)需要持續(xù)對其運(yùn)行狀況監(jiān)控，維護(hù)其合規(guī)性。

　　?  應(yīng)用

　　應(yīng)用程序和API提供了數(shù)據(jù)訪問接口。為了確保不同的身份在不同的應(yīng)用中具備適當(dāng)?shù)脑L問權(quán)限，需要實(shí)現(xiàn)基于跨應(yīng)用的實(shí)時(shí)分析，完成訪問控制、異常行為監(jiān)視、用戶操作審核以及安全配置選項(xiàng)驗(yàn)證等。

　　?  數(shù)據(jù)

　　數(shù)據(jù)是安全的核心，應(yīng)被分類、標(biāo)記和加密，并基于這些屬性有條件的訪問。

　　?  網(wǎng)絡(luò)

　　建立可信、可靠的網(wǎng)絡(luò)鏈路是數(shù)據(jù)訪問的重要環(huán)節(jié)。網(wǎng)絡(luò)代理可以提供“可信通道”、端到端的數(shù)據(jù)加密、實(shí)時(shí)監(jiān)控、分析，威脅防護(hù)，防止攻擊者在網(wǎng)絡(luò)中橫向移動。

　　?  基礎(chǔ)設(shè)施

　　建立安全的基礎(chǔ)設(shè)施（無論是本地服務(wù)器、云端的虛擬機(jī)、容器還是微服務(wù)）是減少風(fēng)險(xiǎn)的有效措施?？梢酝ㄟ^對基礎(chǔ)設(shè)施的版本評估、實(shí)時(shí)訪問權(quán)限配置，攻擊/異常行為持續(xù)監(jiān)測，惡意行為自動阻斷與危險(xiǎn)行為標(biāo)記等方式，采取防護(hù)措施。

　　05

　　微軟零信任安全架構(gòu)

　　模型及相關(guān)組件

　　5.1 抽象架構(gòu)模型

　　零信任架構(gòu)（Zero Trust Architecture，ZTA）是微軟基于“零信任指導(dǎo)原則”的企業(yè)安全戰(zhàn)略架構(gòu)，核心是保護(hù)資源的安全性，通過細(xì)分資源訪問控制防止非法訪問和橫向移動。簡化的微軟零信任架構(gòu)如下圖所示。

　　圖中的訪問主體是身份（Identities）和設(shè)備（Devices）。

　　訪問資源是數(shù)據(jù)（Data）、應(yīng)用（Apps）、基礎(chǔ)架構(gòu)（Infrastructure）——容器、微服務(wù)以及底層操作系統(tǒng)和固件等、網(wǎng)絡(luò)（Network）。

　　架構(gòu)的核心是安全策略執(zhí)行點(diǎn)（Security Policy Enforcement），在其它微軟零信任的架構(gòu)圖中也稱為安全策略引擎（Security Policy Engine（s）），可提供實(shí)時(shí)策略評估。該引擎通過分析信號并應(yīng)用組織策略和威脅情報(bào)來提供保護(hù)。在授予對數(shù)據(jù)、應(yīng)用程序、基礎(chǔ)設(shè)施和網(wǎng)絡(luò)的訪問權(quán)限之前，它可確保身份得到驗(yàn)證和驗(yàn)證，并且設(shè)備是安全的。此外，它提供持續(xù)地全面地應(yīng)用可見性與分析以及自動化。

　　訪問主體和訪問資源這6個(gè)對象也是微軟零信任安全架構(gòu)的6個(gè)基本元素。如果再參考上述微軟MCRA中功能組件與零信任架構(gòu)組成的關(guān)系，可以發(fā)現(xiàn)架構(gòu)中的每個(gè)組成都有相應(yīng)的產(chǎn)品/服務(wù)/解決方案與之對應(yīng)，分析如下：

　　?  身份安全組件：Azure Active Directory（Azure AD）、Microsoft Defender for Identity提供身份認(rèn)證（MFA\Passwordless）和保護(hù)。

　　?  設(shè)備安全組件：Microsoft Endpoint Manager、Microsoft Defender for Endpoint。

　　?  應(yīng)用安全組件：Microsoft Cloud App Security、GitHub Advanced Security。

　　?  數(shù)據(jù)安全組件：Microsoft Information Protection完成數(shù)據(jù)治理，數(shù)據(jù)分級分類。

　　?  網(wǎng)絡(luò)安全組件：Microsoft Azure提供的Azure AD App Proxy、Azure ExpressRoute。

　　?  基礎(chǔ)設(shè)施安全組件：云安全態(tài)勢管理的Azure Security Center、云原生的SOC（SIEM、SOAR、UEBA）Azure Sentinel。

　　?  核心的安全策略引擎 Security Policy Enforcement對應(yīng)的是：Azure AD Conditional Access，由它來形成統(tǒng)一安全管控評估決策

　　5.2 零信任用戶訪問場景參考組件

　　在零信任用戶訪問場景下，用戶通過Conditional Access來訪問資源的組件概述如下。我們可以更加清晰地看到微軟是如何通過其已有的產(chǎn)品/服務(wù)搭建起一個(gè)完整的零信任用戶訪問架構(gòu)的。

　　第一步是收集身份、設(shè)備的安全態(tài)勢信息（風(fēng)險(xiǎn)判定）。

　　身份信息通過Azure AD Identity Protection，Azure ATP和Cloud App Security結(jié)合微軟自建的威脅情報(bào)庫來監(jiān)控和分析網(wǎng)絡(luò)中的用戶活動和信息。使用基于非對稱密鑰的用戶身份驗(yàn)證（Passwordless,無密碼方式）Hello for Business和Azure MFA完成多因子的用戶鑒別。

　　設(shè)備信息通過Microsoft Defender ATP進(jìn)行基于風(fēng)險(xiǎn)的漏洞管理和評估，判斷是否是受控設(shè)備，是否滿足設(shè)備合規(guī)性要求。再通過Intune完成設(shè)備管理。

　　第二步是內(nèi)置于 Azure Active Directory的Conditional Access在收到初次訪問請求后，會基于用戶和設(shè)備的風(fēng)險(xiǎn)狀況進(jìn)行策略評估，調(diào)整已有的訪問策略。當(dāng)用戶暫不滿足信任要求時(shí)，會通知用戶再次進(jìn)行多因子認(rèn)證。

　　第三步通過多因子認(rèn)證后，授予用戶相應(yīng)的訪問權(quán)限。訪問應(yīng)用、云基礎(chǔ)設(shè)施、數(shù)據(jù)（文檔）等。為了保護(hù)暫不支持零信任的資產(chǎn)，微軟提供了Azure AD App Proxy來作為支撐。

　　在整個(gè)過程中是暗含持續(xù)地信息監(jiān)測，但這對于用戶來說，在訪問過程中是全程無感的。

　　5.3 用于微軟自身的零信任

　　在微軟內(nèi)部，當(dāng)前主要確定了四個(gè)核心場景來幫助實(shí)現(xiàn)零信任。這些場景下的解決方案滿足強(qiáng)身份認(rèn)證、受控設(shè)備管理和設(shè)備健康監(jiān)測、非受控設(shè)備的替代訪問以及應(yīng)用程序健康監(jiān)測的安全性要求。核心場景有：

　　場景1：應(yīng)用程序和服務(wù)可以做多因子身份認(rèn)證和監(jiān)測設(shè)備運(yùn)行狀況。

　　場景2：員工可以將設(shè)備注冊到設(shè)備管理系統(tǒng)中，該系統(tǒng)會強(qiáng)制執(zhí)行設(shè)備運(yùn)行狀況監(jiān)測以控制其對公司資源的訪問。

　　場景3：公司員工和商務(wù)客戶在使用非受控設(shè)備時(shí)可以安全地訪問公司資源。

　　場景4：對資源的訪問僅限于執(zhí)行指定功能所需的最小權(quán)限。

　　微軟最初實(shí)施零信任的側(cè)重點(diǎn)是整個(gè)企業(yè)（包括員工、合作伙伴和供應(yīng)商）中使用的通用企業(yè)服務(wù)。其零信任實(shí)施針對的是微軟員工在iOS、Android、MacOS和Windows等平臺上日常使用的核心應(yīng)用程序集（例如，Office應(yīng)用程序、業(yè)務(wù)線的應(yīng)用程序）。隨著發(fā)展，重點(diǎn)已經(jīng)擴(kuò)展到企業(yè)內(nèi)使用的所有應(yīng)用程序。任何訪問公司資源的所有受控或個(gè)人設(shè)備都必須通過設(shè)備管理系統(tǒng)進(jìn)行管理。

　　下圖是微軟為實(shí)現(xiàn)零信任的簡化零信任架構(gòu)。包含用于設(shè)備管理和設(shè)備安全策略配置的 Intune、用于設(shè)備健康監(jiān)測的Azure Active Directory （Azure AD） Access Conditions以及用于用戶和設(shè)備清單的 Azure AD。

　　該系統(tǒng)通過將設(shè)備配置要求推送到受控設(shè)備，與Intune 配合使用。然后設(shè)備會生成一份安全程度聲明，該聲明存儲在Azure AD中。當(dāng)設(shè)備用戶請求訪問資源時(shí)，設(shè)備運(yùn)行狀況將作為與Azure AD進(jìn)行身份鑒別交換的一部分來進(jìn)行認(rèn)證。

　　06

　　微軟零信任安全架構(gòu)

　　部署與成熟度模型

　　6.1 確定工作規(guī)劃優(yōu)先級

　　在具體零信任模型實(shí)踐中，微軟向用戶建議首先確定零信任工作的優(yōu)先級，以最大限度地提高安全投資回報(bào) （ROI）。

　　1. 調(diào)整組織戰(zhàn)略和團(tuán)隊(duì)

　　企業(yè)組織的首要任務(wù)應(yīng)該是讓所有技術(shù)團(tuán)隊(duì)達(dá)成共識，并建立一個(gè)符合業(yè)務(wù)需求的單一細(xì)分策略。

　　2.與上一步同步開展，構(gòu)建基于身份的邊界

　　企業(yè)組織應(yīng)采用多因子身份驗(yàn)證或無密碼身份控制，以更好地保護(hù)身份安全。并迅速制定分階段計(jì)劃，以衡量（并強(qiáng)制執(zhí)行）訪問資源的用戶和設(shè)備的信任度，最終鑒別所訪問的每個(gè)資源的信任度。

　　微軟對于安全邊界的理解是，邊界需求一直都存在，只是其形式隨著時(shí)間而不斷演變。從一開始的物理邊界保護(hù)資產(chǎn)，到網(wǎng)絡(luò)邊界進(jìn)行資產(chǎn)隔離，再到目前基于身份和訪問管理，通過身份鑒別和授權(quán)來保護(hù)資產(chǎn)免受威脅。

　　3.細(xì)化網(wǎng)絡(luò)邊界（微分段）、網(wǎng)絡(luò)安全策略

　　6.2 實(shí)施部署（能力要求）

　　對于企業(yè)組織后續(xù)創(chuàng)建、部署與微軟產(chǎn)品和服務(wù)集成的零信任解決方案，以及在開發(fā)應(yīng)用程序時(shí)遵循零信任最佳做法的指導(dǎo)。微軟建議從身份安全入手，因?yàn)樯矸菔橇阈湃螒?zhàn)略成功的核心。微軟圍繞身份，設(shè)備，應(yīng)用，數(shù)據(jù)，基礎(chǔ)設(shè)施，網(wǎng)絡(luò)，可見性、自動化和業(yè)務(wù)流程編排幾個(gè)方面（可以理解為微軟的零信任支柱）的安全性目標(biāo)要求，來評估部署采用何種微軟的安全產(chǎn)品來實(shí)現(xiàn)零信任，這樣才能夠減少或防止數(shù)據(jù)因上述幾方面的缺陷所導(dǎo)致的威脅和侵害。

　　6.2.1 身份

　　整個(gè)身份安全都依賴于微軟的Azure Active Directory （AD）套件?；景踩砸笥幸韵氯?xiàng)：

　　1. 統(tǒng)一云端身份與本地身份

　　同步Azure AD與本地身份系統(tǒng)，維護(hù)統(tǒng)一權(quán)威身份源，并使用強(qiáng)身份認(rèn)證。

　　2. 按條件訪問策略，執(zhí)行受限訪問

　　分析用戶、設(shè)備和位置等信息，以自動執(zhí)行決策并強(qiáng)制實(shí)施資源的訪問策略。

　　3. 通過分析提高可見性

　　通過在Azure中或使用所選的SIEM系統(tǒng)存儲和分析來自Azure AD的日志。

　　改進(jìn)性要求也有3：

　　1. 身份和訪問權(quán)限通過身份治理進(jìn)行管理。

　　2. 實(shí)時(shí)分析用戶、設(shè)備、位置和行為，以確定風(fēng)險(xiǎn)并提供持續(xù)保護(hù)。

　　3. 集成來自其他安全解決方案的威脅信號，以改進(jìn)檢測、保護(hù)和響應(yīng)。

　　6.2.2 設(shè)備

　　在實(shí)施端到端零信任框架保護(hù)設(shè)備時(shí)，基本安全性要求有：

　　1.在云身份提供商處完成設(shè)備注冊。

　　充分了解訪問資源的所有設(shè)備和接入點(diǎn)的安全性。

　　2.訪問權(quán)限僅授予受云管理且合規(guī)的設(shè)備。

　　設(shè)置合規(guī)性要求以確保設(shè)備在授予訪問權(quán)限之前滿足最低安全要求。此外，為不合規(guī)的設(shè)備設(shè)置補(bǔ)丁規(guī)則。

　　3.對自有或受控設(shè)備實(shí)施數(shù)據(jù)防泄漏 （DLP） 策略

　　改進(jìn)性要求有：

　　1.使用設(shè)備威脅檢測監(jiān)控設(shè)備風(fēng)險(xiǎn)。

　　使用統(tǒng)一的設(shè)備管理平臺達(dá)到管理的一致性。并使用SIEM管理設(shè)備日志和事件。

　　2.基于設(shè)備風(fēng)險(xiǎn)進(jìn)行訪問控制。

　　通過集成Microsoft Defender for Endpoint 或其它第三方數(shù)據(jù)，作為設(shè)備合規(guī)性策略和設(shè)備條件訪問規(guī)則的信息源，來檢測設(shè)備風(fēng)險(xiǎn)。

　　6.2.3 應(yīng)用

　　在實(shí)施零信任方法來管理和監(jiān)控應(yīng)用程序時(shí)，基本安全性要求有：

　　1.監(jiān)測應(yīng)用程序的活動，保持對其可見性。

　　微軟會利用Microsoft Cloud App Security實(shí)現(xiàn)對應(yīng)用或API的監(jiān)測。

　　2.監(jiān)控影子IT系統(tǒng)的使用。

　　3.通過實(shí)施策略自動保護(hù)敏感信息和活動。

　　創(chuàng)建策略檢測云環(huán)境中的風(fēng)險(xiǎn)、違規(guī)行為或可疑數(shù)據(jù)點(diǎn)和活動。監(jiān)控安全趨勢、查看安全威脅并生成自定義報(bào)告和告警信息。

　　改進(jìn)性要求：

　　1.為所有應(yīng)用部署自適應(yīng)訪問和會話控制。

　　確保所有應(yīng)用程序都使用最低權(quán)限訪問并進(jìn)行持續(xù)驗(yàn)證。

　　2.加強(qiáng)對網(wǎng)絡(luò)威脅和流氓應(yīng)用的防范。

　　利用Cloud App Security 的 UEBA 和機(jī)器學(xué)習(xí) （ML） 功能，檢測威脅并在整個(gè)云環(huán)境中運(yùn)行高級威脅檢測。調(diào)整異常檢測的策略。

　　3.評估云環(huán)境的安全狀況

　　6.2.4 數(shù)據(jù)

　　在為數(shù)據(jù)實(shí)施端到端零信任框架時(shí)，基本性要求有：

　　1.數(shù)據(jù)需加密

　　通過加密保護(hù)最敏感的數(shù)據(jù)，無論是靜態(tài)或傳輸中，以限制對敏感的內(nèi)容的訪問。

　　2.自動對數(shù)據(jù)進(jìn)行打標(biāo)、分級分類。

　　改進(jìn)型要求：

　　1.使用機(jī)器學(xué)習(xí)模型增強(qiáng)數(shù)據(jù)分級分類和打標(biāo)。

　　2.訪問決策由云安全策略引擎管理。

　　3.基于數(shù)據(jù)標(biāo)簽和內(nèi)容檢查的DLP策略防止數(shù)據(jù)泄漏。

　　6.2.5 基礎(chǔ)設(shè)施

　　在實(shí)施端到端零信任框架來管理和監(jiān)控的基礎(chǔ)設(shè)施前，需滿足最低要求。而在此之上才有基本性要求為：

　　1.監(jiān)控工作負(fù)載并就異常行為發(fā)出警報(bào)。

　　建立了用于監(jiān)控和發(fā)出警報(bào)的規(guī)則

　　2.每個(gè)工作負(fù)載都分配了一個(gè)應(yīng)用程序標(biāo)識，并做到配置和部署的一致性。

　　3.對資源的訪問使用即時(shí)JIT管理權(quán)限來加強(qiáng)防御。

　　改進(jìn)性要求：

　　1.阻止未經(jīng)授權(quán)的基礎(chǔ)設(shè)施部署，并發(fā)出告警信息。

　　2.實(shí)現(xiàn)可跨基礎(chǔ)設(shè)施的多維度可見性和基礎(chǔ)設(shè)施基于角色的訪問控制。

　　3.針對每個(gè)基礎(chǔ)設(shè)施實(shí)施分段

　　6.2.6 網(wǎng)絡(luò)

　　在實(shí)施端到端零信任框架來保護(hù)網(wǎng)絡(luò)安全時(shí)，需達(dá)到的基本要求為：

　　1.網(wǎng)絡(luò)分段。

　　使用軟件定義的微邊界進(jìn)行網(wǎng)絡(luò)分段。

　　2.威脅防護(hù)。

　　針對已知威脅，對HTTP/S流量的端點(diǎn)使用Azure Web 應(yīng)用程序防火墻 （WAF）來進(jìn)行防護(hù)。而對所有端點(diǎn)都在網(wǎng)絡(luò)傳輸層，使用基于威脅情報(bào)的Azure防火墻進(jìn)行過濾。

　　3.加密用戶到應(yīng)用程序的內(nèi)部流量。

　　改進(jìn)目標(biāo)：

　　1.網(wǎng)絡(luò)分段。

　　完全分布式的云微邊界和更深的微分段。

　　2.威脅防護(hù)。

　　基于機(jī)器學(xué)習(xí)的威脅防護(hù)和基于上下文的信息過濾。

　　3.加密。

　　對所有流量都進(jìn)行加密。

　　6.2.7 可見性、自動化和編排

　　在為可見性、自動化和編排實(shí)施端到端零信任框架時(shí)，基礎(chǔ)性要求：

　　1.啟用Microsoft 威脅防護(hù)（MTP）來實(shí)現(xiàn)安全可見性。

　　2.啟用自動化的信息分析。

　　改進(jìn)性目標(biāo)：

　　1.啟用額外的保護(hù)和檢測控制控件，提高安全可見性和協(xié)調(diào)響應(yīng)的能力。

　　6.3 微軟零信任成熟度模型

　　首先，微軟認(rèn)為“零信任”是一個(gè)持續(xù)進(jìn)化的系統(tǒng)工程，而不是一蹴而就能達(dá)到某種最終結(jié)果的。為了實(shí)施完整的零信任模型，作為一個(gè)集成的安全理念和端到端戰(zhàn)略貫穿于整個(gè)組織業(yè)務(wù)，并將其擴(kuò)展到整個(gè)組織的資產(chǎn)。微軟建議從問題開始，首先明確有哪些用戶身份，需要訪問哪些應(yīng)用、服務(wù)和數(shù)據(jù)，以及如何訪問；其次需要明確用戶訪問資源所需要滿足的條件、屬性、狀態(tài)；系統(tǒng)如何通過安全控制策略來實(shí)現(xiàn)上述條件；最后如何確保能夠執(zhí)行這些策略。

　　微軟利用幫助客戶保護(hù)其企業(yè)組織以及實(shí)施自身零信任模型方面的經(jīng)驗(yàn)，基于上述提到的6個(gè)基本元素，總結(jié)開發(fā)了以下成熟度模型，幫助企業(yè)組織評估自身零信任現(xiàn)狀，制定實(shí)施零信任的方案計(jì)劃，分階段實(shí)施零信任模型。

　　同時(shí)，微軟也開發(fā)了零信任評估工具來幫助用戶確定在零信任實(shí)施過程中所處的階段，并針對零信任的關(guān)鍵節(jié)點(diǎn)提供下一步實(shí)施計(jì)劃和部署指南。

　　6.3.1 傳統(tǒng)階段

　　如果企業(yè)組織尚未開展零信任，通常處于以下狀態(tài)：

　　l  具有靜態(tài)規(guī)則和某些 SSO 的本地標(biāo)識。

　　l  設(shè)備合規(guī)性、云環(huán)境和登錄的可見性有限。

　　l  扁平的網(wǎng)絡(luò)基礎(chǔ)設(shè)施導(dǎo)致較大的風(fēng)險(xiǎn)暴露。

　　6.3.2 中期階段

　　在此階段，企業(yè)組織已經(jīng)開始實(shí)施零信任，并在以下幾個(gè)關(guān)鍵領(lǐng)域取得進(jìn)展：

　　l  利用混合標(biāo)識和定制化的訪問策略限制對數(shù)據(jù)、應(yīng)用和網(wǎng)絡(luò)的訪問。

　　l  設(shè)備已注冊并符合IT安全策略。

　　l  開始細(xì)分網(wǎng)絡(luò)，針對云威脅的保護(hù)措施已就位。

　　l  分析各類信息源用于評估用戶行為并主動識別威脅。

　　6.3.3 理想階段

　　處于理想階段的企業(yè)組織在安全性方面做出了很大改進(jìn)：

　　l  已使用通過實(shí)時(shí)分析動態(tài)訪問應(yīng)用程序、工作負(fù)載、網(wǎng)絡(luò)和數(shù)據(jù)的云端的身份體系。

　　l  數(shù)據(jù)訪問的決策由云安全策略引擎管理，數(shù)據(jù)共享過程會被加密及追蹤。

　　l  應(yīng)用網(wǎng)絡(luò)微分段和加密技術(shù)。

　　l  實(shí)施自動威脅檢測和響應(yīng)。

　　基于以上的模型階段分割，微軟認(rèn)為一個(gè)企業(yè)可以對比自身的情況，規(guī)劃安全路線圖，平衡企業(yè)短期安全需求與長期安全戰(zhàn)略間的一致性。

　　6.3.4 其它關(guān)鍵能力

　　基于能力成熟度模型，微軟建議企業(yè)評估自身所處的零信任階段，仍從身份、設(shè)備、應(yīng)用程序、數(shù)據(jù)、基礎(chǔ)結(jié)構(gòu)和網(wǎng)絡(luò)這6個(gè)要素進(jìn)行建設(shè)，規(guī)劃實(shí)施來提高企業(yè)的安全能力，以便更有效地全局部署零信任安全模型。同時(shí)，微軟認(rèn)為以下各項(xiàng)對于彌補(bǔ)重要的企業(yè)能力和資源差距都至關(guān)重要：

　　1. 強(qiáng)身份認(rèn)證。確保強(qiáng)大的多重身份認(rèn)證和會話風(fēng)險(xiǎn)檢測作為訪問策略的支柱，以最大限度地降低身份泄露的風(fēng)險(xiǎn)。

　　2. 基于策略的自適應(yīng)訪問。為資源定義可接受的訪問策略，并借助統(tǒng)一的安全策略引擎實(shí)施這些策略，該引擎需要具備治理和洞察差異的能力。

　　3. 網(wǎng)絡(luò)微分段。使用軟件定義的微邊界，從簡單的集中式網(wǎng)絡(luò)外圍環(huán)境轉(zhuǎn)向全面覆蓋的分布式網(wǎng)絡(luò)分段。

　　4. 自動化編排。使用自動告警和補(bǔ)救方面的工具和技術(shù)，以縮短企業(yè)應(yīng)對攻擊的響應(yīng)時(shí)間（MTTR）。

　　5. 情報(bào)和人工智能。利用云智能和所有可用信息進(jìn)行實(shí)時(shí)檢測分析。

　　6. 數(shù)據(jù)分類和保護(hù)。發(fā)現(xiàn)、分類、保護(hù)和監(jiān)控敏感數(shù)據(jù)，以最大限度地減少惡意或意外泄露的風(fēng)險(xiǎn)。

　　07

　　結(jié)語

　　雖然企業(yè)最終都會部署集成零信任安全模型，在保護(hù)數(shù)字資產(chǎn)上發(fā)揮極大的功效，但微軟認(rèn)為零信任安全的實(shí)施是一個(gè)長期持續(xù)的過程。實(shí)施的每一個(gè)階段都可以幫助企業(yè)降低風(fēng)險(xiǎn)，建立整個(gè)數(shù)字資產(chǎn)內(nèi)的信任體系，但這需要分階段，根據(jù)當(dāng)前的零信任成熟度、可用資源和優(yōu)先級，有的放矢，對相應(yīng)領(lǐng)域進(jìn)行投入和變革。同時(shí)確保每項(xiàng)短期和長期的投入都與當(dāng)前業(yè)務(wù)需求保持一致。