Plan wdrożenia platformy Microsoft 365 Zero Trust
Ten artykuł zawiera plan wdrożenia na potrzeby tworzenia zabezpieczeń Zero Trust przy użyciu Microsoft 365. Zero Trust to nowy model zabezpieczeń, który zakłada naruszenie zabezpieczeń i weryfikuje każde żądanie tak, jakby pochodziło z niekontrolowanej sieci. Niezależnie od tego, skąd pochodzi żądanie i do jakiego zasobu uzyskuje dostęp, model Zero Trust uczy nas,aby "nigdy nie ufać, zawsze weryfikować".
Użyj tego artykułu razem z tym plakatem.
architektura zabezpieczeń Zero Trust
Podejście Zero Trust rozciąga się na całą infrastrukturę cyfrową i służy jako zintegrowana filozofia bezpieczeństwa i kompleksowa strategia.
Ta ilustracja przedstawia reprezentację podstawowych elementów, które współtworzą Zero Trust.
Na ilustracji:
- Wymuszanie zasad zabezpieczeń znajduje się w centrum architektury Zero Trust. Obejmuje to uwierzytelnianie wieloskładnikowe z dostępem warunkowym, które uwzględnia ryzyko konta użytkownika, stan urządzenia oraz inne ustawione kryteria i zasady.
- Tożsamości, urządzenia, dane, aplikacje, sieć i inne składniki infrastruktury są skonfigurowane z odpowiednimi zabezpieczeniami. Zasady skonfigurowane dla każdego z tych składników są skoordynowane z ogólną strategią Zero Trust. Na przykład zasady urządzeń określają kryteria dla urządzeń w dobrej kondycji, a zasady dostępu warunkowego wymagają urządzeń w dobrej kondycji w celu uzyskania dostępu do określonych aplikacji i danych.
- Ochrona przed zagrożeniami i analiza monitoruje środowisko, zwiększa bieżące zagrożenia i podejmuje zautomatyzowane działania w celu skorygowania ataków.
Aby uzyskać więcej informacji na temat Zero Trust, zobacz Centrum wskazówek Zero Trust firmy Microsoft.
Wdrażanie Zero Trust dla Microsoft 365
Microsoft 365 jest celowo kompilowana z wieloma funkcjami zabezpieczeń i ochrony informacji, które ułatwiają tworzenie Zero Trust w środowisku. Wiele możliwości można rozszerzyć, aby chronić dostęp do innych aplikacji SaaS używanych przez organizację i danych w tych aplikacjach.
Ta ilustracja przedstawia pracę wdrażania Zero Trust możliwości. Ta praca jest podzielona na jednostki pracy, które można skonfigurować razem, zaczynając od dołu i pracując na górze, aby upewnić się, że praca wymagania wstępnego została ukończona.
Na tej ilustracji:
- Zero Trust zaczyna się od podstawy tożsamości i ochrony urządzeń.
- Możliwości ochrony przed zagrożeniami są oparte na tych podstawach, aby zapewnić monitorowanie i korygowanie zagrożeń bezpieczeństwa w czasie rzeczywistym.
- Ochrona informacji i ład zapewniają zaawansowane mechanizmy kontroli ukierunkowane na określone typy danych w celu ochrony najcenniejszych informacji i zapewnienia zgodności ze standardami zgodności, w tym ochrony danych osobowych.
W tym artykule przyjęto założenie, że masz już skonfigurowaną tożsamość w chmurze. Jeśli potrzebujesz wskazówek dotyczących tego celu, zobacz Wdrażanie infrastruktury tożsamości dla Microsoft 365.
Krok nr 1. Konfigurowanie Zero Trust tożsamości i ochrony dostępu do urządzeń — zasady punktu początkowego
Pierwszym krokiem jest utworzenie podstawy Zero Trust przez skonfigurowanie ochrony tożsamości i dostępu do urządzeń.
Przejdź do Zero Trust ochrony tożsamości i dostępu do urządzeń, aby uzyskać wskazówki nakazowe, aby to osiągnąć. W tej serii artykułów opisano zestaw konfiguracji wymagań wstępnych dotyczących tożsamości i dostępu do urządzeń oraz zestaw Azure Active Directory (Azure AD) dostępu warunkowego, Microsoft Intune i innych zasad w celu zabezpieczenia dostępu do Microsoft 365 dla aplikacji i usług w chmurze dla przedsiębiorstw, innych usług SaaS i aplikacji lokalnych opublikowanych za pomocą Azure AD serwer proxy aplikacji.
| Zawiera | Wymagania wstępne | Nie obejmuje |
|---|---|---|
Zalecane zasady dostępu do tożsamości i urządzeń dla trzech warstw ochrony:
Dodatkowe zalecenia dotyczące:
|
Microsoft E3 lub E5 Azure Active Directory w każdym z tych trybów:
|
Rejestrowanie urządzeń dla zasad, które wymagają urządzeń zarządzanych. Zobacz Krok 2. Zarządzanie punktami końcowymi przy użyciu Intune do rejestrowania urządzeń |
Rozpocznij od zaimplementowania warstwy punktu początkowego. Te zasady nie wymagają rejestrowania urządzeń do zarządzania.
Krok nr 2. Zarządzanie punktami końcowymi za pomocą Intune
Następnie zarejestruj urządzenia w systemie zarządzania i rozpocznij ich ochronę za pomocą bardziej zaawansowanych kontrolek.
Przejdź do obszaru Zarządzanie urządzeniami za pomocą Intune, aby uzyskać nakazowe wskazówki, aby to osiągnąć.
| Zawiera | Wymagania wstępne | Nie obejmuje |
|---|---|---|
Rejestrowanie urządzeń przy użyciu Intune:
Konfigurowanie zasad:
|
Rejestrowanie punktów końcowych za pomocą Azure AD | Konfigurowanie możliwości ochrony informacji, w tym:
Aby uzyskać te możliwości, zobacz Krok 5. Ochrona poufnych danych i zarządzanie nimi (w dalszej części tego artykułu). |
Krok nr 3. Dodawanie tożsamości Zero Trust i ochrony dostępu do urządzeń — zasady Enterprise
Dzięki urządzeniom zarejestrowanym w zarządzaniu można teraz zaimplementować pełny zestaw zalecanych Zero Trust zasad dotyczących tożsamości i dostępu do urządzeń, które wymagają zgodnych urządzeń.
Wróć do typowych zasad dostępu do tożsamości i urządzeń i dodaj zasady w warstwie Enterprise.
Krok nr 4. Ocena, pilotaż i wdrażanie Microsoft 365 Defender
Microsoft 365 Defender to rozszerzone rozwiązanie do wykrywania i reagowania (XDR), które automatycznie zbiera, koreluje i analizuje dane sygnału, zagrożeń i alertów z całego środowiska Microsoft 365, w tym punkty końcowe, pocztę e-mail, aplikacje i tożsamości.
Przejdź do tematu Evaluate and pilot Microsoft 365 Defender (Ocena i pilotażowe Microsoft 365 Defender), aby zapoznać się z przewodnikiem metodycznym dotyczącym pilotażu i wdrażania składników Microsoft 365 Defender.
| Zawiera | Wymagania wstępne | Nie obejmuje |
|---|---|---|
Skonfiguruj środowisko ewaluacji i pilotażu dla wszystkich składników:
Ochrona przed zagrożeniami Badanie zagrożeń i odpowiadanie na nie |
Zapoznaj się ze wskazówkami, aby zapoznać się z wymaganiami dotyczącymi architektury dla każdego składnika Microsoft 365 Defender. | Azure AD usługa Identity Protection nie jest uwzględniona w tym przewodniku po rozwiązaniach. Jest on uwzględniony w kroku 1. Skonfiguruj Zero Trust tożsamości i ochrony dostępu do urządzeń. |
Krok nr 5. Ochrona poufnych danych i zarządzanie nimi
Zaimplementuj Microsoft Purview Information Protection, aby ułatwić odnajdywanie, klasyfikowanie i ochronę poufnych informacji wszędzie tam, gdzie się znajdują lub podróżują.
Microsoft Purview Information Protection możliwości są dołączone do Microsoft Purview i udostępniają narzędzia do poznania danych, ochrony danych i zapobiegania utracie danych.
Chociaż ta praca jest reprezentowana w górnej części stosu wdrażania zilustrowanego wcześniej w tym artykule, możesz rozpocząć tę pracę w dowolnym momencie.
Microsoft Purview Information Protection zapewnia strukturę, proces i możliwości, których można użyć do realizacji określonych celów biznesowych.
Aby uzyskać więcej informacji na temat planowania i wdrażania ochrony informacji, zobacz Wdrażanie rozwiązania Microsoft Purview Information Protection.
Jeśli wdrażasz ochronę informacji dla przepisów dotyczących prywatności danych, ten przewodnik po rozwiązaniach zawiera zalecaną strukturę dla całego procesu: Wdrażanie ochrony informacji dla przepisów dotyczących prywatności danych za pomocą Microsoft 365.