數字轉型正在形成新的常態。 組織正在接受數字轉型,藉由追蹤來管理持續的商業環境變更:
- 轉變商業模式和合作關係。
- 技術趨勢。
- 監管、地緣政治和文化力量。
此外,COVID-19 遠端工作加速了這一轉型,並將安全性從成本中心轉移到成長的戰略驅動因素。
零信任是數位業務的安全性。 數字轉型需要更新傳統安全性模型,因為傳統安全性方法不符合商務靈活度、用戶體驗和持續演進威脅的目前需求。 組織正在實作零信任來應對這些挑戰,並支援隨時隨地與任何人員工作的新常態。
不過,從傳統安全性模型轉變為零信任,代表著整個組織需要認可、採用及進行變革管理的重大轉型。 業務領導者、技術領導者、安全性領導者和安全性從業者在建立敏捷式零信任安全性方法方面都扮演重要角色。
許多安全性架構設計人員和IT小組都要求協助與業務領導者溝通、追蹤進度,以及推動採用。 本指南提供下列資訊,協助安全性和技術小組與零信任商務領導者共同作業:
- 針對跨組織的業務領導者建議零信任目標。
- 實施零信任架構時,應採取有條不紊且分階段的方式。
- 追蹤進度的系統方式,範圍限定於企業領導者。
- 從已準備好向企業領導者展示的投影片,至技術實施指導和用戶信息圖,我們精選了最相關的零信任採用資源。
Microsoft的執行主席兼首席執行官 Satya Nadella :“我們的目標是透過零信任架構,協助每個組織加強其安全性功能,該架構建立在跨所有雲端和平臺的身分識別、安全性、合規性和裝置管理的完整解決方案之上。
作為Microsoft合作夥伴,NBConsult 為本採用指引做出了貢獻並提供材料意見反應。
零信任需要獲得最高層級的支持
零信任可保護企業資產,無論其位於何處,無論其移至何處。 零信任是一種主動式的整合式安全性方法,需要知道哪些商務資產和程式最重要的保護,以及保護這些資產,同時保有業務靈活性。
採用零信任方法需要獲得高管團隊的認同。 隨著威脅格局的擴展,重大攻擊變得更加常見,功能領域的企業領導者越來越關注組織採取的網路安全性方法。
零信任可讓整個 C 套件和企業接受可測量的商業成果,以降低威脅並提高生產力。
零信任可為市集中看到的兩個主要案例增加價值:
- 符合業務成果的正式安全性策略。 這個零信任方法透過整個業務共用的值,從上到下提供整個企業的安全性整體檢視。 這通常由 CISO 主導,並且作為零信任報告功能的一部分,業務成果會持續被追蹤。
- 將安全性委派給 IT 職能, 其中的安全性被視為另一個技術領域,且最少的高階管理層的參與和整合。 這通常著重於安全性的短期成本優化,而不是將其管理為商業風險,通常會進一步將安全性分成非整合式「最佳品種」的獨立解決方案。
零信任提供將垂直解決方案整合到單一願景的方式。 此願景支援一致的商務功能和成果,並提供安全性狀態的持續可測量計量。
傳統上,CISO 或 IT/安全性管理員會設定策略,或至少設定安全性技術選擇。 不過,需要獲得其他 C 層級領導者的支持,才能證實額外的「安全性」支出是合理的。 在零信任安全性策略下,其他 C 套件成員必須參與零信任旅程,瞭解安全性是符合業務成果的共用商務責任。
以下是各種 C 層級函式所採用之可能函式的一般化檢視,以及它們如何配合使用零信任的整合式安全性願景。
| 角色 | 責任 | 零信任興趣 |
|---|---|---|
| 首席執行官 | 負責業務 | 零信任提供跨所有數位層安全性的整合式方法。 |
| 首席行銷官(CMO) | 負責行銷願景和執行 | 零信任允許從外洩中快速復原,並賦予公開組織的責任報告功能,讓缺口不受信譽損失的影響。 |
| 資訊長(CIO) | 負責整體的IT工作 | 零信任原則消除不符合業務成果的垂直安全性解決方案,並支持與業務成果一致的安全性即平臺。 |
| 資訊安全長(CISO) | 負責安全性計劃實作 | 零信任原則為組織提供足夠的基礎,以符合各種安全性標準,並讓組織保護數據、資產和基礎結構。 |
| 首席技術官(CTO) | 業務首席架構師 | 零信任有助於實現與業務成果對齊的可防禦技術定位。 使用零信任時,安全性會內嵌到每個架構中。 |
| 首席運營官(COO) | 負責作業執行 | 零信任有助於作業治理,體現安全願景的“如何”,以及揭示誰在什麼時候做了什麼。 這兩者皆符合業務目標。 |
| 首席財務官(CFO) | 負責治理和支出 | 零信任有助於提高支出負責制和支出正當性的證明;以可衡量的方式獲取針對安全和零信任支出的風險基準,從而對齊業務成果。 |
高層管理團隊的零信任原則
零信任是以三個原則為基礎的策略和架構。
| 原則 | 技術描述 | 商務描述 |
|---|---|---|
| 明確驗證 | 一律根據所有可用的數據點進行驗證和授權,包括使用者身分識別、位置、裝置健康情況、服務或工作負載、數據分類和異常。 | 此原則要求使用者確認他們是誰,使用多個方法,以便不允許駭客取得的遭入侵帳戶存取您的數據和應用程式。 這種方法也需要將裝置辨識為允許存取環境,而且在理想情況下,要受到管理且狀況良好(不會受到惡意代碼入侵)。 |
| 使用最低許可權存取 | 使用 Just-In-Time 和 Just-enough-access (JIT/JEA)、風險型調適型原則和數據保護來限制使用者存取,以協助保護數據和生產力。 | 此原則會限制潛在缺口的爆破半徑,因此如果帳戶遭到入侵,則潛在損害會受到限制。 對於具有更高許可權的帳戶,例如系統管理員帳戶,這牽涉到使用能限制這些帳戶存取程度和時間的功能。 它也牽涉到針對這些帳戶使用較高層級的風險型驗證原則。 此原則也牽涉到識別和保護敏感數據。 例如,與敏感性專案相關聯的文件資料夾應該只包含需要該專案之小組成員的訪問許可權。 這些保護一起會限制遭入侵的用戶帳戶可能造成多少損害。 |
| 假設系統已遭突破 | 將爆炸半徑和區段存取降至最低。 確認端對端加密,並使用分析來取得可見度、驅動威脅偵測,以及改善防禦。 | 此原則假設攻擊者可能會取得帳戶、身分識別、端點、應用程式、API 或其他資產的存取權。 為了做出回應,Microsoft會據此保護所有資產,以限制損害。 此原則也涉及實作工具,以進行持續的威脅偵測和快速回應。 在理想情況下,這些工具可以存取整個環境整合的訊號,並可採取自動化動作,例如停用帳戶,以儘快降低損害。 |
零信任功能區域和技術架構
零信任的三個原則會套用到防禦領域。 這些有時稱為IT管理的功能領域或專業領域。 許多組織都是以這些區域為結構,並有專門的個人小組。
零信任需要在這些領域和小組之間採取整合式方法,因此在公司高層之間獲得共識,以及在整個組織中精心策劃的策略和計劃是非常重要的。
| 功能區域 | 技術定義 | 商務翻譯 |
|---|---|---|
| 身份 | 人類和非人類身分識別,包括使用者、計算機和服務主體。 任何可以驗證的項目。 | 凡是人或機器,只要能夠登入或使用您的服務。 |
| 端點 | 終端使用者計算裝置,包括計算機、膝上型電腦、行動電話和平板電腦。 | 使用者用來連接您的服務並處理您數據的裝置。 |
| 應用程式 | 需要使用者登入並取用這些服務或應用程式的雲端或數據中心型應用程式。 | 組織使用的所有應用程式,包括您訂閱的 SaaS 應用程式,以及雲端或內部部署中的其他應用程式。 |
| 基礎設施 | 基礎結構即服務 (IaaS) 或以資料中心為基礎的基礎結構,包括網路元件、伺服器和資料記憶體。 | 這些是支援您組織的技術基礎和元件,包括裝載於數據中心或雲端服務的實體和虛擬伺服器。 |
| 數據 | 結構化、非結構化和包含應用程式的數據。 | 您的企業數據包含在檔案、資料庫或其他應用程式中(例如CRM)。 |
| 網路 | LAN、WAN、無線或因特網連線,包括行動裝置(例如 3G 和 5G)或甚至咖啡店無線網路。 | 用來將用戶連線到他們需要的服務的網路。 這可能是公司管理的區域網路(LAN)、涵蓋您數位資產的存取權的更廣泛網路,或員工用來連接的網際網路連線。 |
在整個數位資產中實施零信任策略時,單獨考慮處理每個領域並不太有幫助。 並不是說身分識別小組能夠完成所有建議,然後就能將零信任焦點移至負責管理端點的小組。 零信任策略會將這些功能區域套用在一起,以保護數位資產內的某個區域,然後擴大其保護範圍。
例如,身分識別小組在未與端點小組協調之前,利用 Microsoft Entra 條件式存取原則所能取得的進展有限,必須攜手合作以加強保護。
下圖會將這些功能區域整合至統一的零信任架構。
在圖表中:
- 每個功能區域都代表:身分識別、端點、網路、數據、應用程式、基礎結構
- 零信任會透過原則和原則優化,整合所有功能領域的保護。
- 威脅防護會即時整合整個組織的訊號,以提供攻擊的可見度,並透過自動化動作和事件回應追蹤簡化補救。
下一節討論如何開始零信任旅程。 我們將使用 身分識別 功能區域作為範例。
零信任採用計畫
熟悉 Azure 雲端採用架構的客戶已詢問「零信任採用架構在哪裡?
適用於 Azure 的 雲端採用架構是將新應用程式和服務引入組織的有條不紊的程式。 焦點主要在於組織可以遵循的經過實證程式,以將應用程式或服務引入環境。 縮放動作會針對新增至數字資產的每個應用程式重複此程式。
採用零信任策略和架構需要不同的範圍。 在整個數位資產 當中引入新的安全性設定。 縮放動作為二維:
- 將零信任架構的一部分,例如數據保護,擴展至整個數位生態系統以加強保護。
- 重複過程,針對零信任架構的每個新增部分,從策略性快速成果和基礎部分開始,然後推進到更複雜的部分。
如同適用於 Azure 的雲端採用架構,此零信任採用指引會解決採用案例的工作,如下一節所述。
下圖摘要說明這兩種採用方式的差異。
此零信任採用指引會使用與適用於 Azure 的雲端採用架構相同的生命週期階段,但適用於零信任。
下表描述生命周期階段。
| 生命周期階段 | 描述 |
|---|---|
| 定義策略 | 建置著重於最符合組織風險和戰略目標的結果的商業案例。 |
| 計劃 |
|
| 準備好了 |
|
| 採用 | 逐步在各功能區域實施策略。 |
| 治理 | 追蹤及測量部署的成功。 |
| 管理 |
|
商務案例
此零信任採用指引建議透過下列商務案例建立零信任策略和架構:
每一個商務案例都會在文章中描述,說明如何透過每個生命週期階段進行技術工作,從建置商務案例開始。 會一路上提供最適當的資源。
每個商務案例都會將零信任的工作細分為可管理的部分,這些工作可在四個實作階段內實作。 這可協助您在實作零信任架構的不同層級時,排定優先順序、向前移動及追蹤工作。
本指南包含 PowerPoint 投影片組,其中有進度投影片,可供您用來向商務領袖和其他專案關係人高層級地呈現工作進展及追蹤整體進度。 投影片包含的功能可協助您追蹤和呈現專案關係人進度。 以下是範例。
本指南也包含 Excel 活頁簿,其中包含每個商務案例的工作表,可用來指派擁有者,並追蹤每個階段、目標和工作的進度。 以下是範例。
在整個業務場景中,實施階段大致相符,使得在各個場景中完成階段 1 的目標,有助於組織在各個層面共同進展。
開始零信任旅程
如果您要踏上零信任旅程,該旅程符合商業案例,或希望接受零信任作為戰略防禦理論,成功可能難以衡量。 這是因為安全性評估不是簡單的通過/失敗類型評估。 其實,安全性是一種責任和旅程,而零信任則提供指導原則。
使用此採用指引作為程序架構,首先建立並記錄我們的安全性策略,非常類似於專案初始檔(PID)。 使用適用於策略的原則,至少應該記載:
- 你在做什麼?
- 你為什麼要這麼做?
- 您如何就成功的標準達成共識並進行衡量?
每個商務案例都包含一組不同的資產,並使用不同的工具來清查。 有條不紊地,您會從每個商務案例的資產清查和分類開始:
- 資產識別: 您想要保護哪些資產,例如身分識別、數據、應用程式、服務和基礎結構? 您可以使用上述所述的功能區域作為開始位置的指南。 資產識別構成 定義策略的一部分, 和 規劃 生命周期階段。 定義策略 階段可以表達特定案例,而 計劃 階段會記錄數字資產。
- 資產分類: 每個已識別資產的重要性,例如身分識別、業務關鍵資料和人力資源資料之類? 資產分類是 就緒 階段的一部分,您可以在其中開始識別每個資產的保護策略。
- 資產管理: 如何選擇保護(控管)和管理這些資產?
- 資產回復: 你如何從資產損害或失去控制的情況中恢復?
每個商業情境都建議如何進行盤點,以及如何保護資產和報告進度。 雖然在商務案例中不可避免地會有一些重疊,但此採用指引會嘗試在主要一個商務案例中處理資產類型,以盡可能簡化。
追蹤進度
追蹤整個零信任採用程序的進度非常重要,因為它可讓組織監視及衡量戰略目標和目標。
要追蹤和測量的項目
Microsoft建議採取兩種方法來追蹤進度:
- 測量您的進度,以降低企業的風險。
- 測量您在零信任架構中達成戰略目標的進度。
許多組織使用國際標準化組織(ISO)標準資源和工具來衡量組織的風險。 具體說來:
ISO/IEC 27001:2022
- 資訊安全、網路安全和隱私權保護
- 資訊安全管理系統
- 要求
ISO 31000
- 風險管理
這些標準中的需求和指導方針是泛型的,可以套用至任何組織。 它們提供結構化且全面的方式,讓您檢閱和衡量適用於您組織的風險,以及風險降低措施。
識別並瞭解適用於您組織的特定風險,可協助您設定零信任架構中最具戰略目標的優先順序。
如何追蹤和測量
一旦貴組織識別並排定了最策略性技術目標的優先順序,您就可以規劃實作的分段藍圖。 接著,您可以使用各種工具來追蹤進度。
可自定義的追蹤報告
Microsoft提供可自定義的 PowerPoint 和 Excel 追蹤工具。 這些已預先填入按零信任商務案例組織的目標和工作。 您可以使用自己的優先順序、目標和團隊成員來自定義這些。 如需詳細資訊,請參閱 評量和進度追蹤資源。 您可以從 零信任合作夥伴套件下載可共同商標且可自訂的追蹤器,。
內建於產品中的儀表板
Microsoft安全性暴露管理 是一種安全性解決方案,可跨公司資產和工作負載提供安全性狀態的統一檢視。 在此工具中,安全性計劃 協助您評估特定安全性風險領域的整備程度和成熟度。 安全性計劃採取主動式方法來管理安全性程式,以達到特定風險或網域相關目標。
使用零信任計劃來追蹤貴組織實作零信任安全性的進度。 此方案與此Microsoft零信任採用架構一致,可讓您使用與商務案例一致的計量來追蹤進度。 這些指標會在優先且可執行的建議中擷取您的資源覆蓋率,協助安全團隊保護組織。 此方案也會提供零信任進度的實時數據,可與專案關係人共用。
如需如何在曝光管理工具中使用零信任計劃的詳細資訊,請參閱 快速現代化您的安全性狀態 - 追蹤和測量。
此外,其他數個入口網站和報表可協助您建立企業內風險的概觀,包括:
- Microsoft安全性暴露管理中的重要資產保護計劃,將 Defender 產品與區域的重要資產風險整合在一起。
- Microsoft Defender XDR 內的報告提供安全性趨勢的相關信息,並追蹤身分識別、數據、裝置、應用程式和基礎結構的保護狀態。
- Cloud Security Explorer 可讓您主動尋找安全性風險。
例如,在 Microsoft Defender XDR 內,裝置清查會清楚檢視尚未受保護網路中新探索到的裝置。 在每個 裝置清查 索引標籤上,您可以看到尚未登錄的裝置總數。 以下是範例。
![Microsoft Defender 入口網站中 [清單] 索引標籤範例的螢幕截圖。](../media/adoption-guide/microsoft-365-defender-device-inventory-example.png#lightbox)
如需使用 Microsoft Defender XDR 追蹤進度的詳細資訊,請參閱 使用 Microsoft Defender XDR加強安全性狀態。
請注意,產品內工具所提供的進度百分比可能不正確,對於由於某些原因而不打算實作所有控制措施的組織來說,特別是:
- 業務範圍
- 授權
- 能力
收養相關的附加條款
進度追蹤資源
針對每個商務案例,您可以使用下列進度追蹤資源。
| 進度追蹤資源 | 這有助於您... | 專為... |
|---|---|---|
採用案例方案階段方格可下載 Visio 檔案 或 PDF 
|
輕鬆瞭解每個商業情境的安全性增強功能,以及在規劃階段中各個步驟和目標所需的投入程度。 | 商務案例項目負責人、商務領導者和其他項目關係人。 |
零信任採用追蹤器 可下載的 PowerPoint 幻燈片組 
|
在這些計畫階段和目標中追蹤您的進度。 | 商務案例項目負責人、商務領導者和其他項目關係人。 |
商務情境目標與任務 可下載的 Excel 試算表 
|
指派擁有權並追蹤您的進度,涵蓋計劃階段的各個環節、目標和任務。 | 商務場景專案負責人、IT負責人和IT實施者。 |
如需其他資源,請參閱 零信任評定和進度追蹤資源。
更多零信任文件
請參閱根據檔案集或您在組織中的角色而提供的其他零信任內容。
文件集
請遵循下表,以取得您需求的最佳零信任檔集。
| 文件集 | 協助您... | 角色 |
|---|---|---|
| 採用架構 主要商務解決方案和成果的階段和步驟指引 | 將 C 套件中的零信任保護套用至 IT 實作。 | 安全性架構師、IT 小組和項目經理 |
| 評定和進度追蹤資源 | 評估基礎結構的整備程度,並追蹤進度。 | 安全性架構師、IT 小組和項目經理 |
| 零信任合作夥伴套件 | 共同品牌追蹤資源、工作坊和架構圖例 | 合作夥伴和安全性架構師 |
| 技術支柱部署 用於概念資訊和部署目標 | 套用與一般 IT 技術區域一致的零信任保護。 | IT 小組和安全性人員 |
| 小型企業零信任 | 將零信任原則套用至小型企業客戶。 | 與使用 Microsoft 365 企業版的客戶和合作夥伴合作 |
| Microsoft Copilots 的零信任應用 提供分步和詳細的設計及部署指引 | 將零信任保護套用至 Microsoft Copilots。 | IT 小組和安全性人員 |
| 使用 Microsoft 365 的零信任部署計劃,以提供逐步且詳細的設計和部署指引 | 將零信任保護套用至您的 Microsoft 365 組織。 | IT 小組和安全性人員 |
| 事件回應使用 XDR 和整合式 SIEM | 設定 XDR 工具,並將其與Microsoft Sentinel 整合 | IT 小組和安全性人員 |
| Azure 服務的零信任架構 提供分步和詳細的設計與部署指引 | 將零信任保護套用至 Azure 工作負載和服務。 | IT 小組和安全性人員 |
| 合作夥伴與零信任 整合,以取得技術領域和特製化的設計指導方針 | 將零信任保護套用至合作夥伴Microsoft雲端解決方案。 | 合作夥伴開發人員、IT 小組和安全性人員 |
| 使用零信任原則進行開發, 應用程式開發設計指導方針和最佳做法 | 將零信任保護套用至您的應用程式。 | 應用程式開發人員 |
| 美國政府針對 CISA、DoD及零信任架構的 備忘錄 提出的指導方針 | 美國政府需求的規範性建議 | IT 架構設計人員和IT小組 |