Filary technologii Zero Trust — część 2
W tej lekcji będziemy kontynuować i omawiamy pozostałe cele wdrożenia zero trust.
Zabezpieczanie danych przy użyciu zera zaufania
Trzy podstawowe elementy strategii ochrony danych to:
- Poznaj swoje dane — jeśli nie wiesz, jakie poufne dane masz lokalnie i w usługach w chmurze, nie możesz odpowiednio ich chronić. Musisz odnaleźć dane w całej organizacji i sklasyfikować wszystkie dane według poziomu poufności.
- Ochrona danych i zapobieganie utracie danych — poufne dane muszą być chronione przez zasady ochrony danych, które etykietują i szyfrują dane lub blokują nadmierne udostępnianie. Dzięki temu tylko autoryzowani użytkownicy będą mogli uzyskiwać dostęp do danych nawet wtedy, gdy dane są przesyłane poza środowisko firmowe.
- Monitorowanie i korygowanie — należy stale monitorować poufne dane w celu wykrywania naruszeń zasad i ryzykownych zachowań użytkowników. Dzięki temu można podjąć odpowiednie działania, takie jak odwołowywanie dostępu, blokowanie użytkowników i udoskonalanie zasad ochrony.
Cele wdrożenia usługi Data Zero Trust
Strategia ochrony informacji musi obejmować całą zawartość cyfrową organizacji. Jako punkt odniesienia należy zdefiniować etykiety, odnajdywać poufne dane i monitorować użycie etykiet i akcji w całym środowisku. Użycie etykiet poufności omówiono na końcu tego przewodnika.
Podczas implementowania kompleksowej platformy Zero Trust dla danych zalecamy skupienie się najpierw na tych początkowych celach wdrażania:
I. Decyzje dotyczące dostępu podlegają szyfrowaniu.
II. Dane są automatycznie klasyfikowane i oznaczone etykietami.
Po wykonaniu tych czynności skoncentruj się na następujących dodatkowych celach wdrażania:
III. Klasyfikacja jest rozszerzana przez inteligentne modele uczenia maszynowego.
IV. Decyzje dotyczące dostępu podlegają aparatowi zasad zabezpieczeń w chmurze.
V. Zapobiegaj wyciekom danych za pośrednictwem zasad DLP na podstawie etykiety poufności i inspekcji zawartości.
Zabezpieczanie punktów końcowych za pomocą zera zaufania
Zero Trust przestrzega zasady "Nigdy nie ufaj, zawsze weryfikuj". Jeśli chodzi o punkty końcowe, oznacza to zawsze weryfikowanie wszystkich punktów końcowych. Obejmuje to nie tylko urządzenia wykonawcy, partnera i gościa, ale także aplikacje i urządzenia używane przez pracowników do uzyskiwania dostępu do danych służbowych, niezależnie od własności urządzeń.
W podejściu Zero Trust te same zasady zabezpieczeń są stosowane niezależnie od tego, czy urządzenie jest własnością firmową, czy prywatną za pośrednictwem modelu "przynieś własne urządzenie" (BYOD); czy urządzenie jest w pełni zarządzane przez it, czy tylko aplikacje i dane są zabezpieczone. Zasady dotyczą wszystkich punktów końcowych, niezależnie od tego, czy komputer PC, Mac, smartfon, tablet, urządzenie do noszenia lub IoT wszędzie tam, gdzie są połączone, czy to bezpieczna sieć firmowa, home broadband lub publiczny Internet.
Cele wdrożenia zero zaufania punktu końcowego
Podczas implementowania kompleksowej platformy Zero Trust na potrzeby zabezpieczania punktów końcowych zalecamy skupienie się najpierw na tych początkowych celach wdrażania:
I. Punkty końcowe są rejestrowane u dostawców tożsamości w chmurze. Aby monitorować zabezpieczenia i ryzyko w wielu punktach końcowych używanych przez jedną osobę, potrzebujesz wglądu we wszystkie urządzenia i punkty dostępu, które mogą uzyskiwać dostęp do zasobów.
II. Dostęp jest udzielany tylko zarządzanym w chmurze i zgodnym punktom końcowym i aplikacjom. Ustaw reguły zgodności, aby upewnić się, że urządzenia spełniają minimalne wymagania dotyczące zabezpieczeń przed udzieleniem dostępu. Ponadto ustaw reguły korygowania dla niezgodnych urządzeń, aby użytkownicy wiedzieli, jak rozwiązać ten problem.
III. Zasady ochrony przed utratą danych (DLP) są wymuszane dla urządzeń firmowych i modelu BYOD. Określ, co użytkownik może zrobić z danymi po dokonaniu dostępu. Na przykład ogranicz zapisywanie plików w niezaufanych lokalizacjach (takich jak dysk lokalny) lub ogranicz udostępnianie kopii i wklejania za pomocą aplikacji komunikacyjnej użytkownika lub aplikacji do czatu w celu ochrony danych.
Po wykonaniu tych czynności skoncentruj się na następujących dodatkowych celach wdrażania:
IV. Wykrywanie zagrożeń w punkcie końcowym służy do monitorowania ryzyka urządzenia. Użyj jednego okienka szkła, aby zarządzać wszystkimi punktami końcowymi w spójny sposób i używać rozwiązania SIEM do kierowania dzienników punktów końcowych i transakcji, takich jak mniejsze, ale możliwe do wykonania działania alerty.
V. Kontrola dostępu jest zagrożona ryzykiem punktu końcowego zarówno dla urządzeń firmowych, jak i modelu BYOD. Integrowanie danych z Ochrona punktu końcowego w usłudze Microsoft Defender lub innych dostawców usługi Mobile Threat Defense (MTD) jako źródła informacji dla zasad zgodności urządzeń i reguł dostępu warunkowego urządzeń. Ryzyko dotyczące urządzenia będzie mieć bezpośredni wpływ na to, jakie zasoby będą dostępne dla użytkownika tego urządzenia.
Zabezpieczanie infrastruktury za pomocą rozwiązania Zero Trust
Usługi Azure Blueprints, Azure Policies, Microsoft Defender dla Chmury, Microsoft Sentinel i Azure Sphere mogą znacznie przyczynić się do poprawy bezpieczeństwa wdrożonej infrastruktury i umożliwić inne podejście do definiowania, projektowania, aprowizacji, wdrażania i monitorowania infrastruktury.
Cele wdrożenia infrastruktury Zero Trust
Podczas implementowania kompleksowej platformy Zero Trust na potrzeby zarządzania infrastrukturą i monitorowania jej infrastruktury zalecamy skupienie się najpierw na tych początkowych celach wdrażania:
I. Obciążenia są monitorowane i powiadamiane o nietypowym zachowaniu.
II. Każde obciążenie ma przypisaną tożsamość aplikacji — i jest stale konfigurowane i wdrażane.
III. Dostęp człowieka do zasobów wymaga just-in-time.
Po wykonaniu tych czynności skoncentruj się na następujących dodatkowych celach wdrażania:
IV. Nieautoryzowane wdrożenia są blokowane i wyzwalany jest alert.
V. Szczegółowa widoczność i kontrola dostępu są dostępne w różnych obciążeniach.
VI. Dostęp użytkowników i zasobów podzielone na segmenty dla każdego obciążenia.
Zabezpieczanie sieci za pomocą zera trustu
Zamiast wierzyć, że wszystko za zaporą firmową jest bezpieczne, kompleksowa strategia Zero Trust zakłada, że naruszenia są nieuniknione. Oznacza to, że należy zweryfikować każde żądanie tak, jakby pochodziło z niekontrolowanych sieci — zarządzanie tożsamościami odgrywa w tym kluczową rolę.
Cele wdrożenia zero zaufania sieci
Podczas implementowania kompleksowej platformy Zero Trust na potrzeby zabezpieczania sieci zalecamy skupienie się najpierw na tych początkowych celach wdrażania:
I. Segmentacja sieci: wiele mikro-obwodów chmury ruchu przychodzącego/wychodzącego z mikrosegmentacją.
II. Ochrona przed zagrożeniami: natywne filtrowanie i ochrona przed znanymi zagrożeniami w chmurze.
III. Szyfrowanie: ruch wewnętrzny typu użytkownik-aplikacja jest szyfrowany.
Po wykonaniu tych czynności skoncentruj się na następujących dodatkowych celach wdrażania:
IV. Segmentacja sieci: w pełni rozproszona mikro-obwody ruchu przychodzącego/wychodzącego w chmurze i głębsza mikrosegmentacja.
V. Ochrona przed zagrożeniami: ochrona przed zagrożeniami oparta na uczeniu maszynowym i filtrowanie za pomocą sygnałów opartych na kontekście.
VI. Szyfrowanie: cały ruch jest szyfrowany.