什麼是零信任?
零信任是安全性策略。 這不是產品或服務,而是設計和實作下列一組安全性原則的方法。
| 原則 | 描述 |
|---|---|
| 明確驗證 | 一律根據所有可用的數據點進行驗證和授權。 |
| 使用最低許可權存取 | 使用 Just-In-Time 和 Just-Enough-Access 限制使用者存取權(JIT/JEA)、風險型調適型原則和數據保護。 |
| 假設已遭入侵 | 將爆炸半徑降至最低,並分隔存取權限。 確認端對端加密,並使用分析來取得可見度、驅動威脅偵測,以及改善防禦。 |
這些原則是 零信任的核心。 零信任模型不會相信公司防火牆背後的一切是安全的,而是假設有缺口,並驗證每個要求,就好像它源自不受控制的網路一樣。 不論要求的來源或存取的資源為何,零信任模型都會教導我們「永遠不要信任,永遠驗證」。
零信任的設計旨在適應採用行動員工的現代化環境的複雜性。 零信任可保護使用者帳戶、裝置、應用程式和數據,無論其位於何處。
零信任方法應在整個組織中延伸,並作為整合式安全性理念和端對端策略。
不同的組織需求、現有的技術實作和安全性階段,都會影響零信任安全性模型實作的規劃和執行方式。 我們的指引可協助您評估對零信任的準備程度,並協助您制定計畫來達成零信任。 我們的指引是以我們的體驗為基礎,協助客戶保護其組織,並自行實作自己的零信任模型。
在零信任模型中,您將從預設信任的觀點轉變為只有在例外情況下才給予信任。 自動管理這些例外狀況和警示的整合功能很重要。 您可以更輕鬆地偵測威脅、回應威脅,以及防止或封鎖整個組織內不想要的事件。
零信任和美國關於網路安全的行政命令 14028
美國行政命令14028年,改善美國網路安全,指導聯邦機構推進安全措施,大幅降低對聯邦政府數位基礎設施成功網路攻擊的風險。 2022年1月26日,管理與預算辦公室(OMB)在 備忘錄22-09發佈了聯邦零信任戰略,以支援行政命令14028。 Microsoft提供指引來協助組織符合這些需求—符合備忘錄 22-09 的身分識別需求,Microsoft Entra ID。
零信任和Microsoft安全未來計劃 (SFI)
Microsoft於 2023 年 11 月推出的安全未來倡議(SFI)是一項多年承諾,旨在推進 Microsoft 設計、建置、測試和運營 Microsoft 技術的方式,以確保我們的解決方案達到最高的安全標準。 Microsoft的安全未來計劃在很大程度上是針對我們獨特的環境嚴格實作零信任,以改善我們的安全性態勢。
如需 SFI 的詳細資訊,請參閱 安全未來計劃網站。
文件集
請遵循下表,以取得您需求的最佳零信任檔集。
| 文件集 | 協助您... | 角色 |
|---|---|---|
| 採用架構 用於指導主要商務解決方案和成果的階段和步驟 | 將 C 套件中的零信任保護套用至 IT 實作。 | 安全性架構師、IT 小組和項目經理 |
| 評定和進度追蹤資源 | 評估基礎結構的整備程度,並追蹤進度。 | 安全性架構師、IT 小組和項目經理 |
| 零信任合作夥伴套件 | 共同品牌追蹤資源、工作坊和架構圖例 | 合作夥伴和安全性架構師 |
| 針對技術支柱的部署,用於概念資訊和部署目標 | 套用與一般 IT 技術區域一致的零信任保護。 | IT 小組和安全性人員 |
| 小型企業零信任 | 將零信任原則套用至小型企業客戶。 | 客戶和合作夥伴使用Microsoft 365 企業版進行業務合作 |
| Microsoft Copilots 的零信任策略 提供分階段且詳細的設計與部署指南 | 將零信任保護套用至 Microsoft Copilots。 | IT 小組和安全性人員 |
| 使用 Microsoft 365 的零信任部署計劃,提供逐步且詳細的設計和部署指引 | 將零信任保護套用至您的 Microsoft 365 組織。 | IT 小組和安全性人員 |
| 使用 XDR 和整合式 SIEM 的事件回應 | 設定 XDR 工具,並將其與Microsoft Sentinel 整合 | IT 小組和安全性人員 |
| Azure 服務的零信任,提供分步和詳細的設計和部署指引 | 將零信任保護套用至 Azure 工作負載和服務。 | IT 小組和安全性人員 |
| 合作夥伴整合零信任,為技術領域和專業化提供設計指導方針 | 將零信任保護套用至合作夥伴Microsoft雲端解決方案。 | 合作夥伴開發人員、IT 小組和安全性人員 |
| 使用零信任原則進行開發, 應用程式開發設計指導方針和最佳做法 | 將零信任保護套用至您的應用程式。 | 應用程式開發人員 |
| 美國政府針對 CISA、DoD,以及零信任架構的備忘錄 的指導方針 | 美國政府需求的規範性建議 | IT 架構設計人員和IT小組 |
建議的訓練
| 訓練 | 零信任簡介 |
|---|---|
|
使用本課程模組瞭解零信任方法,以及其如何強化組織內的安全性基礎結構。 |
| 訓練 | 零信任和最佳做法架構簡介 |
|---|---|
|
使用本課程模組來了解網路安全架構設計人員使用的最佳做法,以及一些Microsoft網路安全功能的重要最佳做法架構。 您也會瞭解零信任的概念,以及如何在組織中開始使用零信任。 |
後續步驟
相關連結:
零信任概觀:此影片提供下列相關信息:
- 零信任定義
- 零信任原則
- 零信任核心概念
零信任 - 開放群組:此影片提供標準組織零信任的觀點。