對於零信任安全設計而言,情況也是如此。在現實世界中實施零信任是一件很麻煩的事情,通常不太舒適,而且經常很笨拙 - 而且它可能很昂貴。同時,接近零信任模型可以大幅加強您的網絡安全,而且您可能已經擁有許多所需的工具和技術,而不需要額外的成本。
零信任的工作定義
約30年前,史蒂芬·保羅·馬什(Stephen Paul Marsh)創造了“零信任”這個術語。零信任模型的概念在市場上扎根已經花了那麼長時間,但它們的起源可以追溯到更早——支持 Active Directory 身份驗證的 Kerberos 協議的一個基本假設是網絡是不可信的。零信任模型通過基本上說,“不僅您不能信任網絡,而且在其上的設備也可能不可靠。”,擴展了這種缺乏信任的情況。
如果將這個概念運用到典型的企業網絡中,這意味著設備和使用者必須分別進行驗證,而且不應該基於先前的訪問授權而經常(如果有的話)授予對資源的訪問權限。這也意味著假設每個設備和端點都是不可信的。換句話說,這聽起來很像現代互聯網,特別是 Microsoft 365 的現代實現方式。例如,考慮一個傳統的 VPN,它允許連接的設備在企業網絡上隨意移動:一旦用戶提供了憑據,她的設備(可能被惡意軟件感染或受到其他威脅)就像剛插入企業網絡一樣。使用者和設備可以在企業網絡上任意發送流量。
現在將這種方法與使用 Azure AD 應用程式代理進行比較,其中連接的用戶必須對服務進行驗證(這意味著可以輕鬆應用條件式訪問策略和MFA),然後可以應用一組單獨的控制來限制用戶對一個特定應用程式,甚至是應用程式的某些部分的訪問權限。這兩種方法之間的範圍差異相當大。
英國國家網絡安全中心對零信任網絡架構背後原則有一個非常好的定義:
🟣單一強大的使用者身份來源:在 Microsoft 365 中,這顯然是由 Azure AD 提供的。
🟣使用者驗證:Microsoft 365 中的所有服務都依賴 Azure AD 進行使用者驗證。
🟣設備驗證:儘管 Azure AD 或本地 AD 允許設備進行驗證,但這不是強制性的。
🟣附加上下文,例如政策合規性和設備狀態:這是使用 Intune 的最大好處之一,但即使您不使用它,仍會向您提供一些額外的上下文。
🟣訪問應用程式的授權政策:Azure AD 條件式訪問策略是實現此方面的主要方法。
🟣應用程式內的訪問控制策略:Microsoft 已經在 Microsoft 365 應用程式本身中建立了全面的訪問控制策略。
僅從上面的列表中回顧,就可以明顯地看到 Microsoft 已經為您在 Microsoft 365 租戶中部署零信任模型做了一些工作:默認情況下,該服務假定每個設備都是不受信任的(而且不可信!),當然,僅驗證一個服務端點不會使您自由使用 Microsoft 的整個網絡。(它們提供單一登錄,因此您不必在從 Outlook 移動到 Teams 再到 Planner 時不斷重新驗證。)
儘管您不一定會看到這些功能的運作,但 Microsoft 還會應用安全策略,以決定何時需要多因素驗證,或根據額外的上下文標記登錄嘗試是否存在風險(用戶從哪裡登錄?此帳戶是否已知被破壞?)
Microsoft 365 默認設置的這些功能提供了零信任架構的關鍵優點之一:攻擊者入侵了一個 Microsoft 365 裝置或帳戶,並不會自動獲得移動橫向的便捷方式來破壞另一個帳戶或裝置(除非攻擊者設法入侵了具有高特權的帳戶,但這是一類需要解決的不同問題!)
延伸您的零信任範圍
當然,微軟很樂意向您銷售其所有產品的許多許可證,以幫助您實現其零信任的願景。雖然這對您來說可能是一個很好的長期目標(或者也可能不是!),但您可以在不花費大量 IT 預算的情況下取得一些重大進展。
首先,考慮是否有使用 Azure AD 域加入的機器驗證有所幫助。這可以讓您減少或消除使用本地帳戶,並確保每個用戶和設備互相進行驗證,這是零信任設計的關鍵部分。
第二點,只需要花費幾分鐘時間,就可以檢查大部分租戶的存取控制權限和角色分配。這是值得花費時間的事情,你應該定期進行檢查。嚴格來說,這不是與零信任相關的問題,但如果你不定期審核誰擁有哪些數據的權限,那麼Microsoft實施廣泛的應用程序存取控制就沒有什麼意義了。
第三個建議是增加額外的驗證內容通常是提高安全性的好方法。這始於使用 MFA,但延伸至加入位置、應用程式使用和其他因素。某些可用的上下文可能需要購買 Azure AD Premium P2 授權,但您可能不需要為每個使用者購買授權。
第四點,條件式存取策略為您提供了一組很好的工具,用於應用程式訪問的授權策略。仔細的規劃和研究,以及一些明智的實驗,將幫助您確定哪些特定的策略條件、授權和例外情況最適合您的環境。
好消息是,Microsoft 有興趣協助客戶保持安全 - 安全漏洞會使他們蒙受損失,破壞自“可信計算”倡議以來所建立的信任。因此,您可以期望他們繼續提供實施零信任所需的基本組件。但是,利用這些工具是您的責任。
Comments are closed, but trackbacks and pingbacks are open.