本文分享微軟自身導入零信任架構的實務,如何透過零信任策略建構安全的工作環境,賦能員工能夠在喜歡的地點、選擇需要的裝置以及所需的應用軟體完成任務。
文/周彥儒(台灣微軟資安專家技術部副總經理)
今年(2023)元月國家資通安全研究院正式營運,將要求政府 A 級機關導入零信任架構;金管會去年頒布的「金融資安行動方案 2.0」也以推動零信任架構作為今年的主要目標。導入零信任架構已經成為政府機關在資安防護上的重點工作之一。反觀企業組織,雖然零信任這幾年成為大家關注的資安議題,許多金融機構及大型企業也開始逐步導入零信任架構,但仍然有絕大多數的企業及組織尚未開始,成為企業資安的一大隱憂。
[ 推薦閱讀: ]
從去年迄今遭網路釣魚攻擊、網路詐騙、釣魚郵件、員工帳號被盜、個資及敏感資料遭竊等資安事件層出不窮。綜觀這些遭駭客、惡意軟體、網路社交工程攻擊及入侵的事件,均是透過騙取帳密及憑證後,使用該身份盜取個資及機密檔案。唯有導入「凡事驗證、最低存取權限」原則的零信任架構,才能有效的保護企業組織的資訊安全。零信任是一個資安策略而非防護手段,企業應將零信任策略從資安框架提升到營運層級,凡是公司重要的資產都應納入,且須與公司的營運流程緊密結合,因此需要成立跨部門的專責委員會及一套方法論逐步將每個重要資產都調整為零信任架構。
微軟的零信任策略
微軟自身導入零信任架構已經多年,為讓政府及企業組織進一步了解導入零信任架構的資安策略與步驟,本文將從成立跨部門專責組織、使用情境、零信任的範圍和階段、身份識別驗證、裝置驗證、存取權限驗證、服務驗證、選擇合適技術、持續推進等步驟分享微軟自身導入零信任架構的實務,如何透過零信任策略建構安全的工作環境,賦能員工能夠在喜歡的地點、選擇需要的裝置以及所需的應用軟體完成任務。
步驟一、成立跨部門組織並定義零信任情境
微軟的零信任是生產力與資訊安全兼顧的資安策略,目前微軟全球有 125,000 位員工,使用的各式裝置高達數十萬台,作業系統橫跨 Windows、iOS/ipadOS、Android、MacOS、HoloLens 及 Linux,為讓每位使用者及每台裝置都可在安全無虞的環境下存取公司的資源,需要先確立各部門的使用情境,因此微軟成立一個由內部管理與執行、產品、市場行銷及零信任溝通與推廣部門企業副總裁層級組成的跨部門零信任委員會及工作小組,並定義達成零信任的四大核心情境與目標,以滿足身分識別強式驗證、裝置管理註冊和裝置健康情況驗證、適用於未受管理裝置的替代存取權限、以及應用程式健康情況驗證等需求。
[ 加入 與 ,與全球 CIO 同步獲取精華見解 ]
- 情境 1:應用裝置和服務具備相關機制,可進行多重要素驗證和裝置健康情況驗證。
- 情境 2:員工可在現代化管理系統中註冊裝置,該系統可依據裝置的維運狀況,進行公司資源存取權限的控制與管理。
- 情境 3:員工和企業來賓僅能使用受管理的裝置來存取企業資源。
- 情境 4:僅提供最低限度的資源存取權限(最低權限存取),執行特定的工作職務。
步驟二、分階段推展零信任架構、定義四大驗證領域和目標
微軟導入零信任是分階段推展,初期範圍側重於整個企業(員工、合作夥伴和供應商) 使用的常見企業服務,零信任實施先針對微軟員工在 Windows、iOS/iPadOS、Android、MacOS 等平台上日常使用的核心應用程式集(如 Microsoft Office 應用程式、企業營運系統)(Linux 是終極目標)。接著擴展到所有的應用程式,凡是存取公司資源的任何企業提供或個人裝置,都必須納入裝置管理系統管理。
驗證身份識別
為了強化使用環境的安全性,微軟先使用智慧卡多重要素驗證(MFA) 來進行伺服器的存取權限管理。隨後,擴展到從企業網路外部存取資源的所有使用者均需進行 MFA 驗證。隨著連接企業資源的行動裝置數量不斷攀升,微軟的多重要素驗證系統歷經多次變革,從實體智慧卡、手機驗證(PhoneFactor),一路進化為使用 Microsoft Azure Authenticator 應用程式及廣泛部署 Windows Hello 企業版的生物識別驗證方式。雖然 Windows Hello 尚未完全取代微軟環境中的密碼,卻已明顯減少密碼的使用量,並協助微軟順利淘汰密碼過期策略。此外,包含來賓帳戶在內的所有帳戶,都需於存取微軟資源前進行多重要素驗證。
驗證裝置
微軟進行裝置驗證的第一步是將裝置註冊到裝置管理系統中,目前已經完成 Windows、Mac、iOS 和 Android 的裝置註冊管理,並針對高流量的應用程式和服務(例如 Microsoft 365 和 VPN),強制進行裝置健康情況的驗證。同時也開始使用 Windows Autopilot 來進行裝置佈建,確保交付給員工的全新 Windows 裝置已在現代化裝置管理系統中註冊完畢。
[ 2023年企業IT投資重點為何?資安、人才、ESG如何部署? 立即揭曉!]
此外,凡是存取企業無線網路的所有裝置(包括 BYOD),都需在裝置管理系統中註冊並遵守管理裝置健康情況原則規範。對於無法在裝置管理系統中註冊的裝置,微軟也創建「Microsoft Azure 虛擬桌面」的安全存取模式。虛擬桌面會使用符合裝置管理需求的虛擬機器建立工作階段。這樣一來,個人就能使用未受管理的裝置來安全存取微軟部分資源。另外,我們也提供使用瀏覽器來存取部分 Microsoft 365 應用程式,以使用有限的功能。
目前我們正在為 Linux 裝置啟動裝置管理,並擴大實施裝置管理的應用程式數量,最終要涵蓋所有應用程式和服務。此外,我們也在著手增加透過虛擬桌面服務連線期間的可用資源數量。最後,我們正在擴展裝置健康情況策略,並將驗證範圍擴及所有應用程式和服務。
驗證存取權限
在驗證存取權限主軸上,微軟的重點在於劃分專用網路中的使用者和裝置、讓所有微軟員工改用網際網路做為預設網路,以及自動將使用者和裝置路由至適當的網路區段。微軟已成功為使用者和裝置部署多個網路區段,包括在所有微軟建築中新建立以網際網路存取為預設的無線網路。
感應門神,推薦沙發修理,老師傅的專業手工!海島型木地板是否會有潮濕變形疑慮?測試專家告訴你如何好好使用示波器。好的茗茶,更需要密封性高的茶葉罐,才能留住香氣!如何利用一般常見的「L型資料夾」真空封口機該不該買?使用心得分享!專業客製化禮物、贈品設計,辦公用品常見【L夾】搖身一變大受好評!空壓機合理價格為您解決工作中需要。臭氧機推薦。貨櫃屋,結合生活理念、發揮無限的創意及時尚的設計。竹北床墊推薦!總是為了廚餘煩惱嗎?雅高環保提供最適用的廚餘機,滿足多樣需求。實木地板、海島型地板、耐磨地板怎麼挑? 木地板三倍價差的秘密!!沙發換皮省更多,延長老沙發壽命!竹北床墊工廠,賣場商品防竊是怎麼做的
此外,我們也部署了裝置註冊入口網站。這個入口網站可讓使用者自行識別、註冊或修改裝置,以確保裝置能連接適當的網路區段。使用者能透過這個入口網站註冊來賓裝置、使用者裝置,以及物聯網裝置。
另外,我們也建立了多個專屬區段,包括專為組織內的各種物聯網裝置和情境打造的專用區段。近期,我們也即將完成微軟辦公室內最高優先順序的物聯網裝置移轉至適當的區段中。
針對物聯網領域,微軟需要完成微軟辦公室內其他高優先順序裝置的移轉作業,然後著手移轉資料中心內的高優先順序裝置。上述裝置移轉完成後,則將著手移轉低優先順序裝置。最後,將建置裝置和使用者的自動偵測機制,如此一來,不必在裝置註冊入口網站中註冊就能將裝置和使用者自動路由至適當的網路區段。
驗證服務
在驗證服務主軸上,微軟聚焦於將條件式存取套用至所有應用程式和服務。完整實現條件式存取驗證的關鍵工作是將舊有的應用程式現代化,或為無法支援條件式存取系統的應用程式和服務提供解決方案。此舉可取消對 VPN 和企業網路的依賴,現在所有使用者皆已啟用自動 VPN,自動 VPN 可自動將使用者路由到合適的網路連結,並以網際網路為預設存取服務的連結,VPN 僅在存取企業內部網路資源時才提供使用。
在 COVID-19 疫情期間,多數使用者皆改採在家工作形式。這項轉變提高了遠端網路的連線使用量。在此環境下,微軟已成功與各項應用程式的開發者緊密合作,將這些應用程式及服務修改為不需 VPN,只要網際網路即可進行存取。
雖然我們已經邁出了對仍在使用 VPN 的舊版應用程式和服務進行現代化的第一步,目前仍在建立明確的計畫和時間表,期望有朝一日可透過網際網路存取這些程式及服務。微軟將持續投資,將強制條件式存取的應用程式和服務範圍擴大延伸至 Microsoft 365 和 VPN 以外。
步驟三、找到合適工具和技術來實現零信任安全模型
以下是微軟導入零信任的架構圖,主要是透過 Intune 進行裝置管理和裝置安全性原則設定、使用 Microsoft Azure Active Directory(Azure AD) 條件式存取進行裝置健康情況驗證,以及使用 Azure AD 進行使用者和裝置清單盤查。
系統會將裝置設定要求發佈至受管理的裝置中,以便與 Intune 搭配運作。隨後,裝置將產生健康情況聲明,並將其儲存至 Microsoft Azure AD 中。當裝置使用者提出資源存取要求時,就會在與 Azure AD 進行驗證交換期間,連帶進行裝置健康情況驗證。
步驟四、持續推動轉變
(點圖可放大)
從 VPN 轉變為零信任模式,我們已有顯著的進展。過去兩年,我們不僅透過擴大強式驗證的涵蓋範圍來提高身分識別驗證強度,也改用 Windows Hello 企業版來推行生物識別驗證,並將裝置管理和裝置健康情況驗證功能部署至所有主流平台上,而且近期可望延伸部署至 Linux 中。此外,微軟也推出 Windows 虛擬桌面系統,讓未受註冊管理的裝置能安全存取公司部份資源。
接下來,微軟將持續在零信任領域進行投資,正著手擴充裝置和應用程式的健康狀況驗證功能、新增虛擬桌面功能以因應更多使用案例,並於有線網路中實施更好的控制機制。另外,微軟還將完成物聯網牽移和區段分割作業,並將舊版應用程式現代化或予以淘汰,以便於能夠完成棄用 VPN。
導入零信任已成必然,盡早擬訂完善資安策略才能確保企業資安
每個導入零信任架構的企業或組織,都需要決定哪種模式最適合其獨特的運作環境,這包括:在營運風險及員工生產力間取得平衡、界定實施零信任的範圍及目標、以及確認使用者在存取公司資源前應完成哪些驗證。無論您決定從何處著手,鼓勵企業組織全面擁抱零信任架構,並將零信任從資安框架提升為營運層級的資安策略,從身份識別、裝置、存取權限及服務等各面向的驗證,降低營運風險。
微軟提供的零信任架構及相關的解決方案已在微軟自身導入零信任的實務中獲得多年的實績驗證,零信任導入要成功需要一個跨部門的專責組織、將零信任提升到營運層級的資安策略,並且整合營運流程,任何使用者及裝置存取公司資源前先驗證身份、驗證裝置、驗證存取權限、及驗證服務。希望藉由微軟自身導入零信任的實務分享,提供政府及企業組織導入零信任的參考。
(本文授權非營利轉載,請註明出處:)
https://www.owlting.com/news/articles/316527