Införliva Nolltillit metoder i landningszonen

Nolltillit är en säkerhetsstrategi där du införlivar produkter och tjänster i din design och implementering för att följa följande säkerhetsprinciper:

• Verifiera explicit: autentisera och auktorisera alltid åtkomst baserat på alla tillgängliga datapunkter.

• Använd åtkomst med lägsta behörighet: begränsa användare till just-enough-åtkomst och använd verktyg för att ge just-in-time-åtkomst med överväganden för anpassningsbara riskbaserade principer.

• Anta intrång: minimera explosionsradien och segmentåtkomsten, leta proaktivt efter hot och kontinuerligt förbättra skyddet.

Om din organisation följer Nolltillit strategi bör du införliva Nolltillit specifika distributionsmål i dina designområden för landningszoner. Landningszonen är grunden för dina arbetsbelastningar i Azure, så det är viktigt att förbereda landningszonen för Nolltillit implementering.

Den här artikeln innehåller vägledning för att integrera Nolltillit metoder i din landningszon och förklarar var efterlevnad av Nolltillit principer kräver lösningar utanför landningszonen.

Nolltillit pelare och designområden för landningszoner

När du implementerar Nolltillit metoder i distributionen av Din Azure-landningszon bör du börja med att överväga Nolltillit vägledning för varje designområde för landningszoner.

Mer information om hur du utformar en landningszon och vägledning för kritiska beslut i varje område finns i Designområden för Azure-landningszoner.

Den Nolltillit modellen har grundpelare som är ordnade efter begrepp och distributionsmål. Mer information finns i Distribuera Nolltillit lösningar.

De här grundpelarna ger specifika distributionsmål som hjälper organisationer att anpassa sig till Nolltillit principer. Dessa mål går utöver tekniska konfigurationer. Till exempel har nätverkspelare ett distributionsmål för nätverkssegmentering. Målet innehåller inte information om hur du konfigurerar isolerade nätverk i Azure, utan ger i stället vägledning för att skapa arkitekturmönstret. Det finns andra designbeslut att tänka på när du implementerar ett distributionsmål.

Följande diagram visar landningszonens designområden.

Följande tabell korrelerar de Nolltillit pelarna med de designområden som visas i arkitekturen.

Förklaring	Designområde för landningszon	Nolltillit pelare
	Azure-fakturering och Microsoft Entra-klientorganisation	Identitetspelare
	Identitets- och åtkomsthantering	Identitetspelare, Programpelare, Datapelare
	Resursorganisation	Identitetspelare
	Styrning	Grundpelare för synlighet, automatisering och orkestrering
	Hantering	Slutpunkter pelare, Programpelare, Datapelare, Infrastrukturpelare
	Nätverkstopologi och anslutning	Grundpelare för nätverk
	Säkerhet	Alla Nolltillit pelare
	Plattformsautomatisering och DevOps	Grundpelare för synlighet, automatisering och orkestrering

Alla Nolltillit distributionsmål ingår inte i en landningszon. Många Nolltillit distributionsmål är för att utforma och släppa enskilda arbetsbelastningar till Azure.

I följande avsnitt går vi igenom varje pelare och ger överväganden och rekommendationer för att implementera distributionsmål.

Säker identitet

Information om distributionsmål för att skydda identiteter finns i Skydda identitet med Nolltillit. Om du vill implementera dessa distributionsmål kan du använda identitetsfederation, villkorlig åtkomst, identitetsstyrning och realtidsdataåtgärder.

Identitetsöverväganden

• Du kan använda referensimplementeringar för Azure-landningszoner för att distribuera resurser som utökar din befintliga identitetsplattform till Azure och hantera identitetsplattformen genom att implementera metodtips för Azure.

• Du kan konfigurera många av kontrollerna för Nolltillit metoder i din Microsoft Entra-klientorganisation. Du kan också styra åtkomsten till Microsoft 365 och andra molntjänster som använder Microsoft Entra-ID.

• Du måste planera konfigurationskrav utöver vad som finns i din Azure-landningszon.

Identitetsrekommendationer

• Utveckla en plan för att hantera identiteter i Microsoft Entra-ID som går utöver Azure-resurser. Du kan till exempel använda:

  • Federation med lokala identitetssystem.
  • Principer för villkorlig åtkomst.
  • Information om användare, enhet, plats eller beteende för auktorisering.

• Distribuera din Azure-landningszon med separata prenumerationer för identitetsresurser, till exempel domänkontrollanter, så att du bättre kan skydda åtkomsten till resurser.

• Använd Microsoft Entra-hanterade identiteter där det är möjligt.

Säkra slutpunkter

Information om distributionsmål för att skydda slutpunkter finns i Säkra slutpunkter med Nolltillit. Om du vill implementera dessa distributionsmål kan du:

• Registrera slutpunkter med molnidentitetsprovidrar för att ge åtkomst till resurser enbart via molnhanterade kompatibla slutpunkter och appar.

• Framtvinga dataförlustskydd (DLP) och åtkomstkontroll för både företagsenheter och personliga enheter som har registrerats i BYOD-program (Bring Your Own Device ).

• Övervaka enhetsrisken för autentisering med identifiering av slutpunktshot.

Slutpunktsöverväganden

• Slutpunktsdistributionsmålen gäller för slutanvändares beräkningsenheter, till exempel bärbara datorer, stationära datorer och mobila enheter.

• När du använder Nolltillit metoder för slutpunkter måste du implementera lösningar i Azure och utanför Azure.

• Du kan använda verktyg, till exempel Microsoft Intune och andra enhetshanteringslösningar, för att uppnå distributionsmålen.

• Om du har slutpunkter i Azure, till exempel i Azure Virtual Desktop, kan du registrera klientupplevelsen i Intune och tillämpa Azure-principer och -kontroller för att begränsa åtkomsten till infrastrukturen.

Slutpunktsrekommendationer

• Utveckla en plan för att hantera slutpunkter med Nolltillit metoder, utöver dina planer på att implementera en Azure-landningszon.

• Mer information om enheter och servrar finns i Säker infrastruktur.

Säkra program

Information om distributionsmål för att skydda program finns i Skydda program med Nolltillit. Om du vill implementera dessa distributionsmål kan du:

• Använd API:er för att få insyn i program.

• Använd principer för att skydda känslig information.

• Tillämpa anpassningsbara åtkomstkontroller.

• Begränsa räckvidden för skugg-IT.

Programöverväganden

• Distributionsmålen för program fokuserar på att hantera både tredjepartsprogram och program från första part i din organisation.

• Målen handlar inte om att skydda programinfrastrukturen. I stället tar de itu med att skydda förbrukningen av program, särskilt molnprogram.

• Metoderna för Azure-landningszoner tillhandahåller inte detaljerade kontroller för programmål. Dessa kontroller konfigureras som en del av programkonfigurationen.

Programrekommendationer

• Använd Microsoft Defender för molnet-appar för att hantera åtkomst till program.

• Använd de standardiserade principer som ingår i Defender för molnet Apps för att tillämpa dina metoder.

• Utveckla en plan för att publicera dina program i dina metoder för programåtkomst. Lita inte på program som din organisation är värd för mer än du litar på program från tredje part.

Skydda data

Information om distributionsmål för att skydda data finns i Skydda data med Nolltillit. För att implementera dessa mål kan du:

• Klassificera och märka data.
• Aktivera åtkomstkontroll.
• Implementera dataskydd.

Information om hur du loggar och hanterar dataresurser finns i Referensimplementeringar för Azure-landningszoner.

En Nolltillit metod omfattar omfattande kontroller av data. Från implementeringssynpunkt tillhandahåller Microsoft Purview verktyg för datastyrning, skydd och riskhantering. Du kan använda Microsoft Purview som en del av en analysdistribution i molnskala för att tillhandahålla en lösning som du kan implementera i stor skala.

Att tänka på gällande data

• I enlighet med principen för demokratisering av landningszonprenumeration kan du skapa åtkomst och nätverksisolering för dataresurser och även upprätta loggningsmetoder.

  Det finns principer i referensimplementeringarna för loggning och hantering av dataresurser.

• Du behöver andra kontroller utöver att skydda Azure-resurser för att uppfylla distributionsmålen. Nolltillit datasäkerhet omfattar klassificering av data, etikettering för känslighet och kontroll av dataåtkomst. Den sträcker sig även utanför databas- och filsystem. Du måste överväga hur du skyddar data i Microsoft Teams, Microsoft 365-grupper och SharePoint.

Datarekommendationer

• Microsoft Purview tillhandahåller verktyg för datastyrning, skydd och riskhantering.

• Implementera Microsoft Purview som en del av en distribution av analys i molnskala för att implementera din arbetsbelastning i stor skala.

Säker infrastruktur

Information om distributionsmål för att skydda infrastrukturen finns i Skydda infrastruktur med Nolltillit. För att implementera dessa mål kan du:

• Övervaka onormalt beteende i arbetsbelastningar.
• Hantera infrastrukturidentiteter.
• Begränsa mänsklig åtkomst.
• Segmentera resurser.

Infrastrukturöverväganden

• Infrastrukturdistributionsmålen omfattar:

  • Hantera Azure-resurser.
  • Hantera operativsystemmiljöer.
  • Åtkomst till system.
  • Tillämpa arbetsbelastningsspecifika kontroller.

• Du kan använda prenumerationsmodellen för landningszoner för att skapa tydliga säkerhetsgränser för Azure-resurser och tilldela begränsade behörigheter efter behov på resursnivå.

• Organisationer måste organisera sina arbetsbelastningar för hantering.

Infrastrukturrekommendationer

• Använd standardprinciperna för Azure-landningszoner för att blockera inkompatibla distributioner och resurser och för att framtvinga loggningsmönster.

• Konfigurera Privileged Identity Management i Microsoft Entra ID för att ge just-in-time-åtkomst till mycket privilegierade roller.

• Konfigurera just-in-time-åtkomst i Defender för molnet för landningszonen för att begränsa åtkomsten till virtuella datorer.

• Skapa en plan för att övervaka och hantera enskilda arbetsbelastningar som distribueras i Azure.

Säkra nätverk

Information om distributionsmål för att skydda nätverk finns i Skydda nätverk med Nolltillit. För att implementera dessa mål kan du:

• Implementera nätverkssegmentering.
• Använd molnbaserad filtrering.
• Implementera behörighet med minst åtkomst.

Nätverksöverväganden

• För att säkerställa att dina plattformsresurser stöder Nolltillit säkerhetsmodell måste du distribuera brandväggar som kan HTTPS-trafikkontroll och isolera identitets- och hanteringsnätverksresurser från den centrala hubben.

• Förutom nätverksresurserna i anslutningsprenumerationen måste du skapa planer för enskilda arbetsbelastningar för mikrosegment i deras virtuella ekernätverk. Du kan till exempel definiera trafikmönster och skapa detaljerade nätverkssäkerhetsgrupper för varje arbetsbelastningsnätverk.

Nätverksrekommendationer

• Använd följande Nolltillit-specifika distributionsguider för att distribuera din Azure-landningszon:

  • Distribution av portalacceleratorer i Azure-landningszonen med Nolltillit nätverksprinciper
  • Distribuera nätverk med Nolltillit nätverksprinciper
  • Terraform-distribution i Azure-landningszonen med Nolltillit nätverksprinciper

• Information om hur du tillämpar Nolltillit principer för programleverans finns i Nolltillit nätverk för webbprogram.

• Information om hur du skapar en plan för arbetsbelastningsnätverk finns i Nolltillit distributionsplaner med Azure.

Synlighet, automatisering och orkestrering

Information om distributionsmål för synlighet, automatisering och orkestrering finns i Synlighet, automatisering och orkestrering med Nolltillit. För att implementera dessa mål kan du:

• Upprätta synlighet.
• Aktivera automatisering.
• Aktivera ytterligare kontroller genom att öva på kontinuerliga förbättringar.

Överväganden för synlighet, automatisering och orkestrering

• Referensimplementeringarna för Azure-landningszonen innehåller distributioner av Microsoft Sentinel som du kan använda för att snabbt skapa synlighet i din Azure-miljö.

• Referensimplementeringarna tillhandahåller principer för Azure-loggning, men ytterligare integrering krävs för andra tjänster.

• Du bör konfigurera automatiseringsverktyg som Azure DevOps och GitHub för att skicka signaler.

Rekommendationer för synlighet, automatisering och orkestrering

• Distribuera Microsoft Sentinel som en del av din Azure-landningszon.

• Skapa en plan för att integrera signaler från Microsoft Entra-ID och verktyg i Microsoft 365 till din Microsoft Sentinel-arbetsyta.

• Skapa en plan för att genomföra övningar för hotjakt och kontinuerliga säkerhetsförbättringar.

Nästa steg

• Säkerhet i Microsoft Cloud Adoption Framework för Azure
• Tillämpa Nolltillit principer på Azure-tjänster
• Utvärdera din Nolltillit säkerhetsstatus