Začlenění postupů nulová důvěra (Zero Trust) do cílové zóny

nulová důvěra (Zero Trust) je strategie zabezpečení, ve které do návrhu a implementace začleníte produkty a služby, abyste dodržovali následující zásady zabezpečení:

• Explicitně ověřte: vždy ověřte a autorizujete přístup na základě všech dostupných datových bodů.

• Používejte přístup s nejnižšími oprávněními: Omezte uživatele na dostatečný přístup a používejte nástroje k poskytování přístupu za běhu s ohledem na adaptivní zásady na základě rizik.

• Předpokládejme porušení zabezpečení: minimalizujte přístup k výbuchu a segmentům, proaktivně hledejte hrozby a průběžně vylepšujte obranu.

Pokud vaše organizace dodržuje strategii nulová důvěra (Zero Trust), měli byste do oblastí návrhu cílové zóny začlenit cíle nasazení specifické pro nulová důvěra (Zero Trust). Vaše cílová zóna je základem vašich úloh v Azure, takže je důležité připravit cílovou zónu na nulová důvěra (Zero Trust) přijetí.

Tento článek obsahuje pokyny pro integraci nulová důvěra (Zero Trust) postupů do cílové zóny a vysvětluje, kde dodržování nulová důvěra (Zero Trust) principů vyžaduje řešení mimo vaši cílovou zónu.

nulová důvěra (Zero Trust) pilířů a oblastí návrhu cílových zón

Při implementaci postupů nulová důvěra (Zero Trust) v nasazení cílové zóny Azure byste měli začít zvážením nulová důvěra (Zero Trust) pokynů pro jednotlivé oblasti návrhu cílové zóny.

Důležité informace o návrhu cílové zóny a pokynů pro důležitá rozhodnutí v jednotlivých oblastech najdete v oblastech návrhu cílových zón Azure.

Model nulová důvěra (Zero Trust) má pilíře, které jsou uspořádané podle konceptů a cílů nasazení. Další informace najdete v tématu Nasazení nulová důvěra (Zero Trust) řešení.

Tyto pilíře poskytují konkrétní cíle nasazení, které organizacím pomáhají v souladu s nulová důvěra (Zero Trust) principy. Tyto cíle překračují technické konfigurace. Například pilíř sítě má cíl nasazení pro segmentaci sítě. Cílem není poskytnout informace o tom, jak nakonfigurovat izolované sítě v Azure, ale místo toho nabízí pokyny pro vytvoření vzoru architektury. Při implementaci cíle nasazení je potřeba zvážit další rozhodnutí o návrhu.

Následující diagram znázorňuje oblasti návrhu cílové zóny.

Následující tabulka koreluje nulová důvěra (Zero Trust) pilířů s oblastmi návrhu zobrazenými v architektuře.

Legenda:	Oblast návrhu cílové zóny	pilíř nulová důvěra (Zero Trust)
	Fakturace Azure a tenant Microsoft Entra	Pilíř identity
	Správa identit a přístupu	Pilíř identity Pilíř aplikací, Datový pilíř
	Organizace prostředků	Pilíř identity
	Zásady správného řízení	Pilíř viditelnosti, automatizace a orchestrace
	Správa	Pilíř koncových bodů Pilíř aplikací, Datový pilíř, Pilíř infrastruktury
	Síťová topologie a možnosti připojení	Pilíř sítě
	Zabezpečení	Všechny pilíře nulová důvěra (Zero Trust)
	Automatizace platformy a DevOps	Pilíř viditelnosti, automatizace a orchestrace

Ne všechny cíle nasazení nulová důvěra (Zero Trust) jsou součástí cílové zóny. Řada nulová důvěra (Zero Trust) cílů nasazení je určená k návrhu a uvolnění jednotlivých úloh do Azure.

Následující části prověřují jednotlivé pilíře a poskytují důležité informace a doporučení pro implementaci cílů nasazení.

Zabezpečená identita

Informace o cílech nasazení pro zabezpečení identity najdete v tématu Zabezpečení identity pomocí nulová důvěra (Zero Trust). K implementaci těchto cílů nasazení můžete použít federaci identit, podmíněný přístup, zásady správného řízení identit a operace s daty v reálném čase.

Aspekty identit

• Referenční implementace cílových zón Azure můžete použít k nasazení prostředků, které rozšiřují vaši stávající platformu identit do Azure, a spravovat platformu identit implementací osvědčených postupů Azure.

• V tenantovi Microsoft Entra můžete nakonfigurovat mnoho ovládacích prvků pro nulová důvěra (Zero Trust) postupy. Můžete také řídit přístup k Microsoftu 365 a dalším cloudovým službám, které používají ID Microsoft Entra.

• Musíte naplánovat požadavky na konfiguraci nad rámec toho, co je ve vaší cílové zóně Azure.

Doporučení k identitě

• Vytvořte plán správy identit v Microsoft Entra ID, který přesahuje prostředky Azure. Můžete například použít:

  • Federace s místními systémy identit
  • Zásady podmíněného přístupu
  • Informace o uživateli, zařízení, poloze nebo chování pro autorizaci

• Nasaďte cílovou zónu Azure se samostatnými předplatnými pro prostředky identit, jako jsou řadiče domény, abyste mohli lépe zabezpečit přístup k prostředkům.

• Pokud je to možné, použijte spravované identity Microsoft Entra.

Zabezpečené koncové body

Informace o cílech nasazení pro zabezpečení koncových bodů najdete v tématu Zabezpečení koncových bodů pomocí nulová důvěra (Zero Trust). Pokud chcete implementovat tyto cíle nasazení, můžete:

• Zaregistrujte koncové body u zprostředkovatelů cloudových identit, abyste mohli poskytovat přístup k prostředkům výhradně prostřednictvím koncových bodů a aplikací spravovaných v cloudu.

• Vynucujte ochranu před únikem informací (DLP) a řízení přístupu pro podniková zařízení i osobní zařízení zaregistrovaná v aplikacích přineste si vlastní zařízení (BYOD).

• Monitorujte riziko zařízení pro ověřování pomocí detekce hrozeb koncového bodu.

Důležité informace o koncových bodech

• Cíle nasazení koncových bodů jsou určené pro výpočetní zařízení koncových uživatelů, jako jsou přenosné počítače, stolní počítače a mobilní zařízení.

• Při zavádění nulová důvěra (Zero Trust) postupů pro koncové body musíte implementovat řešení v Azure i mimo Azure.

• K realizaci cílů nasazení můžete použít nástroje, jako jsou Microsoft Intune a další řešení pro správu zařízení.

• Pokud máte koncové body v Azure, například ve službě Azure Virtual Desktop, můžete zaregistrovat prostředí klienta v Intune a použít zásady a ovládací prvky Azure pro omezení přístupu k infrastruktuře.

Doporučení pro koncové body

• Vytvořte plán pro správu koncových bodů s využitím postupů nulová důvěra (Zero Trust), a to kromě vašich plánů implementace cílové zóny Azure.

• Další informace o zařízeních a serverech najdete v tématu Zabezpečení infrastruktury.

Zabezpečené aplikace

Informace ocílech nulová důvěra (Zero Trust)ch Pokud chcete implementovat tyto cíle nasazení, můžete:

• Pomocí rozhraní API získáte přehled o aplikacích.

• Použijte zásady pro ochranu citlivých informací.

• Použití adaptivního řízení přístupu

• Omezte dosah stínového IT.

Důležité informace o aplikacích

• Cíle nasazení aplikací se zaměřují na správu aplikací třetích stran i aplikací první strany ve vaší organizaci.

• Cíle se nezabývá zabezpečením infrastruktury aplikací. Místo toho řeší zabezpečení spotřeby aplikací, zejména cloudových aplikací.

• Postupy cílové zóny Azure neposkytují podrobné ovládací prvky pro cíle aplikace. Tyto ovládací prvky se konfigurují jako součást konfigurace aplikace.

Doporučení pro aplikace

• Ke správě přístupu k aplikacím použijte Microsoft Defender for Cloud Apps .

• K vynucení vašich postupů použijte standardizované zásady zahrnuté v defenderu for Cloud Apps.

• Vytvořte plán nasazení aplikací do vašich postupů pro přístup k aplikacím. Nedůvěřujte aplikacím, které vaše organizace hostuje víc, než důvěřujete aplikacím třetích stran.

Zabezpečení dat

Informace o cílech nasazení pro zabezpečení dat najdete v tématu Zabezpečení dat pomocí nulová důvěra (Zero Trust). Pokud chcete implementovat tyto cíle, můžete:

• Klasifikovat a označovat data
• Povolte řízení přístupu.
• Implementujte ochranu před únikem informací.

Informace o protokolování a správě datových prostředků najdete v referenčních implementacích cílových zón Azure.

Přístup nulová důvěra (Zero Trust) zahrnuje rozsáhlé ovládací prvky pro data. Od okamžiku implementace poskytuje Microsoft Purview nástroje pro zásady správného řízení dat, ochranu a správu rizik. Microsoft Purview můžete použít jako součást nasazení analýzy v cloudovém měřítku a poskytnout tak řešení, které můžete implementovat ve velkém měřítku.

Požadavky na data

• V souladu se zásadou demokratizace předplatného cílové zóny můžete vytvořit přístup a izolaci sítě pro datové prostředky a také vytvořit postupy protokolování.

  V referenčních implementacích existují zásady pro protokolování a správu datových prostředků.

• K plnění cílů nasazení potřebujete další ovládací prvky nad rámec zabezpečení prostředků Azure. nulová důvěra (Zero Trust) zabezpečení dat zahrnuje klasifikaci dat, jejich označení pro citlivost a řízení přístupu k datům. Rozšiřuje se také nad rámec databází a systémů souborů. Musíte zvážit, jak chránit data v Microsoft Teams, Skupiny Microsoft 365 a SharePointu.

Doporučení pro data

• Microsoft Purview poskytuje nástroje pro řízení dat, ochranu a správu rizik.

• Implementujte Microsoft Purview jako součást nasazení analýzy v cloudovém měřítku, abyste mohli implementovat úlohy ve velkém měřítku.

Zabezpečená infrastruktura

Informace o cílech nasazení pro zabezpečení infrastruktury najdete v tématu Zabezpečení infrastruktury pomocí nulová důvěra (Zero Trust). Pokud chcete implementovat tyto cíle, můžete:

• Monitorujte neobvyklé chování v úlohách.
• Správa identit infrastruktury
• Omezte přístup člověka.
• Segmentace prostředků

Aspekty infrastruktury

• Mezi cíle nasazení infrastruktury patří:

  • Správa prostředků Azure
  • Správa prostředí operačního systému
  • Přístup k systémům.
  • Použití ovládacích prvků specifických pro úlohy

• Model předplatného cílové zóny můžete použít k vytvoření jasných hranic zabezpečení prostředků Azure a přiřazení omezených oprávnění podle potřeby na úrovni prostředku.

• Organizace potřebují uspořádat své úlohy pro správu.

Doporučení pro infrastrukturu

• Pomocí standardních zásad cílové zóny Azure zablokujte nevyhovující nasazení a prostředky a vynucujte vzory protokolování.

• Nakonfigurujte Privileged Identity Management v Microsoft Entra ID tak, aby poskytoval přístup k vysoce privilegovaným rolím za běhu.

• Nakonfigurujte přístup za běhu v programu Defender for Cloud pro cílovou zónu, abyste omezili přístup k virtuálním počítačům.

• Vytvořte plán pro monitorování a správu jednotlivých úloh nasazených v Azure.

Zabezpečení sítí

Informace o cílech nasazení pro zabezpečení sítí najdete v tématu Zabezpečení sítí pomocí nulová důvěra (Zero Trust). Pokud chcete implementovat tyto cíle, můžete:

• Implementujte segmentaci sítě.
• Použijte filtrování nativní pro cloud.
• Implementujte oprávnění s nejnižším přístupem.

Důležité informace z hlediska využívání sítě

• Pokud chcete zajistit, aby prostředky platformy podporovaly model zabezpečení nulová důvěra (Zero Trust), musíte nasadit brány firewall, které jsou schopné kontroly provozu HTTPS a izolovat síťové prostředky identit a správy od centrálního centra.

• Kromě síťových prostředků v předplatném připojení je potřeba vytvořit plány pro jednotlivé úlohy v jejich paprskových virtuálních sítích. Můžete například definovat vzory provozu a vytvořit jemně odstupňované skupiny zabezpečení sítě pro každou síť úloh.

Doporučení k síti

• K nasazení cílové zóny Azure použijte následující nulová důvěra (Zero Trust) průvodce nasazením:

  • Nasazení akcelerátoru portálu cílové zóny Azure s využitím principů sítě nulová důvěra (Zero Trust)
  • Nasazení sítí s využitím principů sítě nulová důvěra (Zero Trust)
  • Nasazení Terraformu cílové zóny Azure s využitím principů sítě nulová důvěra (Zero Trust)

• Informace o tom, jak použít zásady nulová důvěra (Zero Trust) pro doručování aplikací, najdete v tématu nulová důvěra (Zero Trust) sítě pro webové aplikace.

• Informace o tom, jak vytvořit plán pro sítě úloh, najdete v tématu nulová důvěra (Zero Trust) plány nasazení v Azure.

Viditelnost, automatizace a orchestrace

Informace ocílech nulová důvěra (Zero Trust)ch Pokud chcete implementovat tyto cíle, můžete:

• Vytvořte viditelnost.
• Povolte automatizaci.
• Povolte další ovládací prvky tím, že procvičíte průběžné vylepšování.

Důležité informace o viditelnosti, automatizaci a orchestraci

• Referenční implementace cílové zóny Azure obsahují nasazení služby Microsoft Sentinel , které můžete použít k rychlému navázání viditelnosti ve vašem prostředí Azure.

• Referenční implementace poskytují zásady pro protokolování Azure, ale další integrace je nutná pro jiné služby.

• Nástroje pro automatizaci, jako jsou Azure DevOps a GitHub, byste měli nakonfigurovat tak, aby odesílaly signály.

Doporučení k viditelnosti, automatizaci a orchestraci

• Nasaďte Microsoft Sentinel jako součást cílové zóny Azure.

• Vytvořte plán integrace signálů z Microsoft Entra ID a nástrojů do Microsoftu 365 do pracovního prostoru Microsoft Sentinelu.

• Vytvořte plán pro provádění cvičení proaktivního vyhledávání hrozeb a neustálého vylepšování zabezpečení.

Další kroky

• Zabezpečení v rámci architektury přechodu na cloud od Microsoftu pro Azure
• Použití principů nulová důvěra (Zero Trust) u služeb Azure
• Vyhodnocení stavu zabezpečení nulová důvěra (Zero Trust)