Vyhodnocení stavu zabezpečení typu nulová důvěra (Zero Trust)
Začněte výběrem kategorie
Odpovězte na několik otázek a získejte rady ohledně úrovně vyspělosti modelu nulové důvěry (Zero Trust) ve vaší organizaci a podívejte se na praktické zdroje informací pro nasazení.
Identity
Ověřujte a zabezpečujte všechny identity pomocí silného ověřování u všech digitálních prostředků
Koncové body
Udržujte si přehled o zařízeních, která přistupují k síti, a před udělením přístupu ověřujte dodržování předpisů a stav zařízení.
Aplikace
Odhalujte stínové IT a udělujte přístup na základě analýz a monitorování v reálném čase.
Infrastruktura
Zajistěte lepší ochranu pomocí podrobného řízení přístupu, principů přístupu pomocí nejnižších možných oprávnění a detekce hrozeb v reálném čase.
Data
Můžete klasifikovat, označovat a chránit data v cloudu i v místním prostředí, abyste zajistili ochranu před nevhodným sdílením a insiderskými riziky.
Síť
Přejděte od tradičního zabezpečení sítě na novou úroveň pomocí mikrosegmentace, detekce hrozeb v reálném čase a koncového šifrování.
Zaujměte proaktivní přístup ke kybernetické bezpečnosti
Koncové body • Otázka 1 z 9
Povolili jste vícefaktorové ověřování pro interní uživatele?
Koncové body • Otázka 2 z 9
Které formy bezheslového ověřování mají vaši uživatelé povolené?
Koncové body • Otázka 3 z 9
Pro které skupiny uživatelů zřizujete jednotné přihlašování?
Koncové body • Otázka 4 z 9
Který z následujících modulů zásad zabezpečení používáte k rozhodování o přístupu k podnikovým prostředkům?
Koncové body • Otázka 5 z 9
Zakázali jste starší způsoby ověřování?
Koncové body • Otázka 6 z 9
Používáte při vyhodnocování žádostí o přístup funkce pro detekci rizik spojených s přihlašováním uživatelů v reálném čase?
Koncové body • Otázka 7 z 9
Které z následujících technologií jste integrovali se svým řešením správy identit a přístupu?
Koncové body • Otázka 8 z 9
Který z následujících kontextů se používá ve vašich zásadách přístupu?
Koncové body • Otázka 9 z 9
Řídíte se skóre zabezpečení identity?
Na základě vašich odpovědí jste v optimální fázi nulová důvěra (Zero Trust) pro identitu.
Vytvořte komplexní přístup k zabezpečení na bázi nulové důvěry (Zero Trust).
Na základě vašich odpovědí jste v pokročilé fázi nulová důvěra (Zero Trust) pro identitu.
Vytvořte komplexní přístup k zabezpečení na bázi nulové důvěry (Zero Trust).
Na základě vašich odpovědí jste v úvodní fázi nulová důvěra (Zero Trust) pro identitu.
Vytvořte komplexní přístup k zabezpečení na bázi nulové důvěry (Zero Trust).
Implementujte vícefaktorové ověřování.
- Vícefaktorové ověřování pomáhá chránit vaše aplikace tím, že vyžaduje, aby uživatelé před udělením přístupu potvrdili svou identitu pomocí druhého zdroje ověření, například telefonu nebo tokenu.
- Microsoft Entra ID vám může pomoct povolit vícefaktorové ověřování zdarma.
- Už Microsoft Entra ID máte? Začněte s nasazováním hned.
Povolte ověřování bez hesel.
- Metody ověřování bez hesel, například Windows Hello a aplikace Microsoft Authenticator, umožňují jednodušší a bezpečnější ověřování na webu a na mobilních zařízeních. Na základě nedávno vyvinutého standardu FIDO2 umožňují tyto metody uživatelům snadné a bezpečné ověření bez nutnosti zadávání hesla.
- Microsoft vám může pomoct implementovat ověřování bez hesla ještě dnes. Stáhněte si datový list o ověřování bez hesel a získejte další informace.
- Pokud už máte Microsoft Entra ID, podívejte se, jak můžete ještě dnes povolit bezheslové ověřování.
Implementujte jednotné přihlašování.
- Jednotné přihlašování posiluje zabezpečení tím, že eliminuje potřebu spravovat více přihlašovacích údajů pro stejnou osobu. Navíc poskytuje také lepší prostředí pro uživatele, protože se jim zobrazuje menší počet výzev k přihlášení.
- Microsoft Entra ID dodává možnosti jednotného přihlašování do oblíbených aplikací typu SaaS (software jako služba), místních aplikací a vlastních aplikací nacházejících se v jakémkoli cloudu pro jakýkoli typ uživatelů a jakoukoli identitu.
- Naplánujte si nasazení řešení jednotného přihlašování.
Vynucujte řízení přístupu pomocí adaptivních zásad založených na rizicích.
- Můžete jít nad rámec jednoduchých rozhodnutí o povolení nebo zablokování přístupu a upravit rozhodování na základě rizik – například přístup povolovat, blokovat nebo omezovat nebo požadovat další ověření, jako je vícefaktorové ověřování.
- Použijte podmíněný přístup v Microsoft Entra ID k vynucení vyladěných adaptivních funkcí řízení přístupu, jako je například vyžadování vícefaktorového ověřování, na základě informací o kontextu uživatele, o zařízení, umístění a riziku relace.
- Naplánujte nasazení podmíněného přístupu.
Blokujte starší verze ověřování.
- Jedním z nejběžnějších vektorů útoků ze strany aktérů se zlými úmysly je použití odcizených nebo přehraných přihlašovacích údajů u starších protokolů, jako je SMTP, které už nedokáží čelit moderním výzvám v oblasti zabezpečení.
- Podmíněný přístup v Microsoft Entra ID vám může pomoct blokovat starší metody ověřování. Víc informací o blokování starších metod ověřování.
Chraňte identity před zneužitím.
- Vyhodnocování rizik v reálném čase může pomoct při ochraně před zneužitím identity při přihlašování a během relací.
- Azure Identity Protection poskytuje průběžnou detekci v reálném čase, automatickou nápravu a připojené analytické funkce pro prověřování rizikových uživatelů a přihlášení umožňující ošetření potenciálních chyb zabezpečení.
- Začínáme spovolením ochrany identit . Přeneste data relací uživatelů z Microsoft Cloud App Security a rozšiřte Microsoft Entra ID o informace o potenciálně rizikovém chování uživatelů po jejich ověření.
Obohaťte své řešení správy identit a přístupu (IAM) o více dat.
- Čím víc dat předáte do vašeho řešení pro správu identit a přístupů (IAM), tím více můžete zlepšit stav zabezpečení díky rozhodování o přístupu s vyšší granularitou a lepšímu přehledu o uživatelích přistupujících k podnikovým prostředkům a o to lépe můžete přizpůsobit prostředí pro koncové uživatele.
- Microsoft Entra ID, Microsoft Cloud App Security a Microsoft Defender for Endpoint spolupracují s cílem poskytnout obohacené zpracování signálu pro lepší rozhodování.
- Nakonfigurujte si podmíněný přístup v platformách Microsoft Defender for Endpoint, Microsoft Defender for Identitya Microsoft Cloud App Security.
Vylaďte si zásady přístupu.
- Vynucujte granulární řízení přístupu pomocí adaptivních zásad přístupu založených na rizicích, které se integrují napříč koncovými body, aplikacemi a sítěmi a chraňte tak lépe svá data.
- Podmíněný přístup v Microsoft Entra ID umožňuje vynucovat vyladěné adaptivní funkce řízení přístupu, jako je například vyžadování vícefaktorového ověřování, na základě informací o kontextu uživatele, o zařízení, umístění a riziku relace.
- Vylaďte si svoje zásady podmíněného přístupu.
Vylepšete stav zabezpečení vašich identit.
- Skóre zabezpečení identity v Microsoft Entra ID vám pomůže vyhodnocovat stav vašeho zabezpečení identit tím, že analyzuje, jak je vaše prostředí v souladu s doporučenými osvědčenými postupy Microsoftu v oblasti zabezpečení.
- Zjistěte své skóre zabezpečení identit
Koncové body • Otázka 1 z 7
Máte zařízení zaregistrovaná u zprostředkovatele identit?
Koncové body • Otázka 2 z 7
Máte zařízení interních uživatelů zaregistrovaná ve správě mobilních zařízení?
Koncové body • Otázka 3 z 7
Musí spravovaná zařízení splňovat zásady konfigurace IT, než se jim udělí přístup?
Koncové body • Otázka 4 z 7
Používáte nějaký model pro případy, kdy se uživatelé připojují ke zdrojům a prostředkům organizace z nespravovaných zařízení?
Koncové body • Otázka 5 z 7
Máte zařízení zaregistrovaná u správy mobilních zařízení pro externí uživatele?
Koncové body • Otázka 6 z 7
Vynucujete zásady ochrany před únikem informací u všech spravovaných i nespravovaných zařízení?
Koncové body • Otázka 7 z 7
Implementovali jste detekci hrozeb u koncových bodů, abyste mohli povolit vyhodnocování rizik v reálném čase?
Na základě vašich odpovědí jste v optimální fázi nulová důvěra (Zero Trust) pro identitu.
Vytvořte komplexní přístup k zabezpečení na bázi nulové důvěry (Zero Trust).
Na základě vašich odpovědí jste v pokročilé fázi nulová důvěra (Zero Trust) pro identitu.
Vytvořte komplexní přístup k zabezpečení na bázi nulové důvěry (Zero Trust).
Na základě vašich odpovědí jste v úvodní fázi nulová důvěra (Zero Trust) pro identitu.
Vytvořte komplexní přístup k zabezpečení na bázi nulové důvěry (Zero Trust).
Registrujte zařízení u zprostředkovatele identity.
- Abyste mohli monitorovat zabezpečení a rizika v různých koncových bodech používaných kteroukoli jednou osobou, musíte mít přehled o všech zařízeních a přístupových bodech, které mohou přistupovat k vašim prostředkům.
- Zařízení mohou být registrována ve službě Microsoft Entra ID, abyste měli přehled o zařízeních přistupujících do vaší sítě a mohli při rozhodování o přístupu využívat informace o stavu zařízení.
- Konfigurace a správa identit zařízení v Microsoft Entra ID
Registrujte zařízení interních uživatelů ve Správě mobilních zařízení.
- Jakmile je udělen přístup k datům, je kvůli zmírňování rizik důležité mít možnost kontrolovat, co uživatel s podnikovými daty dělá.
- Microsoft Endpoint Manager umožňuje zřizování koncových bodů, konfigurování, automatické aktualizace, vymazání zařízení a další vzdálené akce.
- Nastavte správu mobilních zařízení pro interní uživatele.
Zajistěte dodržování předpisů před udělením přístupu.
- Jakmile budete mít identity pro všechny koncové body přistupující k podnikovým prostředkům, budete chtít před udělením přístupu zajistit, aby splňovaly minimální požadavky zabezpečení, které nastavila vaše organizace.
- Microsoft Endpoint Manager vám může pomoct nastavit pravidla dodržování předpisů, která zajistí, že zařízení před udělením přístupu splňují minimální požadavky zabezpečení. Nastavte také nápravná pravidla pro nekompatibilní zařízení, aby lidé věděli, jak daný problém vyřešit.
- Nastavte pravidla na zařízeních pro přístup k prostředkům a zdrojům v organizaci pomocí Microsoft Intune.
Povolte přístupu pro nespravovaná zařízení podle potřeby.
- Povolení přístupu zaměstnancům k odpovídajícím prostředkům z nespravovaných zařízení může být důležité pro zachování produktivity. Je ale nutné, aby byla vaše data nadále chráněna.
- Správa mobilních aplikací Microsoft Intune umožňuje publikovat, nabízet, konfigurovat, zabezpečit, monitorovat a aktualizovat mobilní aplikace pro vaše uživatele a zajistit tak, že budou mít přístup k aplikacím, které potřebují ke své práci.
- Nakonfigurujte přístup pro nespravovaná zařízení.
Registrujte zařízení externích uživatelů ve Správě mobilních zařízení.
- Registrace externích zařízení – registrace zařízení externích uživatelů (jako jsou smluvní partneři, dodavatelé, partneři atd.) do vašeho řešení správy mobilních zařízení je skvělý způsob, jak můžete chránit svá data a zajistit uživatelům přístup, který potřebují ke své práci.
- Microsoft Endpoint Manager umožňuje zřizování koncových bodů, konfigurování, automatické aktualizace, vymazání zařízení a další vzdálené akce.
- Nastavte správu mobilních zařízení pro externí uživatele.
Vynucujte na svých zařízeních zásady ochrany před únikem informací.
- Jakmile je udělen přístup k datům, je důležité kontrolovat, co může daný uživatel s vašimi daty dělat. Pokud například uživatel přistupuje k dokumentu s podnikovou identitou, budete chtít zabránit tomu, aby byl tento dokument ukládán do nechráněného úložiště pro běžné uživatele nebo sdílen prostřednictvím komunikační nebo chatovací aplikace pro běžné uživatele.
- Zásady Intune App Protection vám pomůžou chránit data s registrací nebo bez registrace zařízení v řešení správy zařízení tím, že omezují přístup k firemním prostředkům a udržují data v kompetenci vašeho IT oddělení.
- Začněte se zásadami aplikací Intune.
Povolte vyhodnocování rizik zařízení v reálném čase.
- Zajištění toho, aby k podnikovým prostředkům měla povolena přístup pouze důvěryhodná zařízení v dobrém stavu, je důležitý krok v implementaci modelu nulové důvěry (Zero Trust). Jakmile budou vaše zařízení zaregistrovaná u vašeho zprostředkovatele identit, můžete tento signál zahrnout do rozhodování o přístupu a umožnit tak přístup jen bezpečným a kompatibilním zařízením.
- Prostřednictvím integrace s Microsoft Entra ID umožňuje Microsoft Endpoint Manager vynucovat rozhodování o přístupu s větší granularitou a vyladit zásady podmíněného přístupu na základě postoje vaší organizace k rizikům. Můžete například vyloučit určité platformy zařízení z přístupu k určitým aplikacím.
- Nakonfigurujte podmíněný přístup v Microsoft Defender for Endpoint
Koncové body • Otázka 1 z 6
Vynucujete řízení přístupu k aplikacím na základě zásad?
Koncové body • Otázka 2 z 6
Vynucujete u svých aplikací kontrolní mechanismy pro relace na základě zásad (například omezení viditelnosti nebo blokování stahování)?
Koncové body • Otázka 3 z 6
Připojili jste důležité firemní aplikace k platformě pro zabezpečení aplikací, abyste mohli monitorovat cloudová data a cloudové hrozby?
Koncové body • Otázka 4 z 6
Kolik privátních aplikací a prostředků vaší organizace je k dispozici bez připojení VPN nebo pevného připojení?
Koncové body • Otázka 5 z 6
Provádíte průběžné zjišťování stínového IT, vyhodnocování rizik a kontrolu neschválených aplikací?
Koncové body • Otázka 6 z 6
Uděluje se přístup pro správu k aplikacím jen podle potřeby a jen s nezbytnými oprávněními, aby se snížilo riziko spojené s trvalými oprávněními?
Na základě vašich odpovědí jste v optimální fázi nulová důvěra (Zero Trust) pro identitu.
Vytvořte komplexní přístup k zabezpečení na bázi nulové důvěry (Zero Trust).
Na základě vašich odpovědí jste v pokročilé fázi nulová důvěra (Zero Trust) pro identitu.
Vytvořte komplexní přístup k zabezpečení na bázi nulové důvěry (Zero Trust).
Na základě vašich odpovědí jste v úvodní fázi nulová důvěra (Zero Trust) pro identitu.
Vytvořte komplexní přístup k zabezpečení na bázi nulové důvěry (Zero Trust).
Vynucujte řízení přístupu u aplikací na základě zásad.
- Můžete jít nad rámec jednoduchých rozhodnutí o povolení nebo zablokování přístupu a upravit rozhodování na základě rizik – například přístup povolovat, blokovat nebo omezovat nebo požadovat další ověření, jako je vícefaktorové ověřování.
- Podmíněný přístup v Microsoft Entra ID umožňuje vynucovat vyladěné adaptivní funkce řízení přístupu, jako je například vyžadování vícefaktorového ověřování, na základě informací o kontextu uživatele, o zařízení, umístění a riziku relace.
- Nakonfigurujte podmíněný přístup pro přístup k aplikacím
Vynucujte kontrolní mechanismy pro relace založené na zásadách.
- Zastavení narušení zabezpečení a úniků dat v reálném čase dříve, než zaměstnanci záměrně nebo neúmyslně ohrozí data a organizaci, je klíčové při zmírňování rizik po udělení přístupu. Zároveň je pro firmy klíčové, aby uživatelé mohli bezpečně používat k práci svá vlastní zařízení.
- Microsoft Cloud App Security (MCAS) se integruje s podmíněným přístupem Microsoft Entra ID, takže můžete nakonfigurovat aplikace tak, aby spolupracovaly s Řízením podmíněného přístupu k aplikacím. Snadno a selektivně vynucujte řízení přístupu a relací u aplikací vaší organizace na základě všech podmínek podmíněného přístupu (například zabránění exfiltraci dat, ochrana při stahování, prevence nahrávání, blokování malwaru a další).
- Začněte tím, že vytvořte zásady relací Microsoft Cloud App Security .
Připojte své firemní aplikace ke zprostředkovateli zabezpečení cloudových aplikací (CASB).
- Viditelnost napříč aplikacemi a platformami je důležitá pro provádění akcí zásad správného řízení, jako je umísťování souborů do karantény nebo zablokování přístupu uživatelů, a také pro zmírňování všech označených rizik.
- Aplikace připojené k Microsoft Cloud App Security (MCAS) získávají okamžitou ochranu pomocí integrované detekci anomálií. Řešení MCAS používá behaviorální analýzu entit a uživatelů (UEBA) a strojové učení k detekci neobvyklého chování v cloudových aplikacích, což pomáhá identifikovat hrozby, jako je ransomware, ohrožení zabezpečení uživatelů nebo rouge aplikace.
- Připojte vaše důležité firemní cloudové aplikace k Microsoft Cloud App Security.
Poskytněte vzdálený přístup k místním aplikacím prostřednictvím proxy aplikací.
- Poskytování zabezpečeného vzdáleného přístupu uživatelům k interním aplikacím spuštěným na místním serveru je v současnosti důležité k zajištění produktivity.
- Proxy aplikací Microsoft Entra ID poskytuje zabezpečený vzdálený přístup k místním webovým aplikacím bez připojení VPN nebo duálních serverů a pravidel brány firewall. Díky integraci s Microsoft Entra ID a s funkcemi podmíněného přístupu umožňuje uživatelům přístup k webovým aplikacím prostřednictvím jednotného přihlašování a zároveň umožňuje IT oddělení konfigurovat zásady podmíněného přístupu pro přesné řízení přístupů.
- Začněte ještě dnes.
Zjišťujte a spravujte stínové IT ve vaší síti.
- Celkový počet aplikací, ke kterým přistupují zaměstnanci průměrného podniku, překračuje 1 500. To znamená více než 80 GB dat odeslaných měsíčně do různých aplikací, ze kterých je méně než 15 % spravováno firemním IT oddělením. A protože se vzdálená práce stává pro většinu skutečností, nestačí už používat zásady přístupu jen u vašich síťových zařízení.
- Microsoft Cloud App Security vám pomůže zjistit, které aplikace se používají, prozkoumat rizika u těchto aplikací, nakonfigurovat zásady k identifikování nově používaných rizikových aplikací a zrušit schválení těchto aplikací, aby byly blokovány nativně pomocí proxy nebo brány firewall. Více najdete v elektronické knize.
- Pokud chcete začít zjišťovat a vyhodnocovat cloudové aplikace, nastavte funkci Cloud Discovery v Microsoft Cloud App Security.
Spravujte přístup k virtuálním počítačům podle potřeby.
- Přístup uživatelů omezujte na přístup „jen podle potřeby“ a „jen s nezbytnými oprávněními“ (JIT/JEA) s využitím adaptivních zásad na základě rizik a s ochranou dat, abyste zajistili ochranu dat i produktivitu.
- Když svážete příchozí přenosy s funkcí Azure Virtual Machines v centru Azure Security pro přístup k virtuálním počítačům podle potřeby (JIT), budete méně vystaveni útokům a zároveň zajistíte snadný přístup pro případy, kdy se potřebujete připojit k virtuálnímu počítači.
- Povolte přístup k virtuálním počítačům podle potřeby.
Koncové body • Otázka 1 z 9
Máte v rámci hybridních a multicloudových digitálních aktiv povolená řešení pro ochranu cloudové infrastruktury?
Koncové body • Otázka 2 z 9
Má každá úloha přiřazenou identitu aplikace?
Koncové body • Otázka 3 z 9
Používá se v rámci každé úlohy segmentovaný přístup u uživatelů a prostředků (mezi počítači)?
Koncové body • Otázka 4 z 9
Má váš provozní bezpečnostní tým přístup ke specializovaným nástrojům pro detekci hrozeb u koncových bodů nebo pro detekci e-mailových útoků a útoků spojených s identitou?
Koncové body • Otázka 5 z 9
Má váš provozní bezpečnostní tým přístup k řešení pro správu akcí a informací o zabezpečení (Security Information and Event Management, SIEM), aby mohl shromažďovat a analyzovat akce a události v rámci různých zdrojů?
Koncové body • Otázka 6 z 9
Zjišťuje a prověřuje váš provozní bezpečnostní tým hrozby na základě analýzy chování?
Koncové body • Otázka 7 z 9
Využívá váš provozní bezpečnostní tým nástroje pro zajištění, automatizaci a odezvu zabezpečení (SOAR), které umožňují minimalizovat úsilí nutné k ručnímu odstranění hrozeb?
Koncové body • Otázka 8 z 9
Kontrolujete pravidelně oprávnění pro správu (minimálně každých 180 dnů), abyste zajistili, že se správcům udělují oprávnění jen v nezbytně nutném rozsahu?
Koncové body • Otázka 9 z 9
Povolili jste u správy serverů a ostatní infrastruktury přístup jen s oprávněním podle potřeby?
Na základě vašich odpovědí jste v optimální fázi nulová důvěra (Zero Trust) pro identitu.
Vytvořte komplexní přístup k zabezpečení na bázi nulové důvěry (Zero Trust).
Na základě vašich odpovědí jste v pokročilé fázi nulová důvěra (Zero Trust) pro identitu.
Vytvořte komplexní přístup k zabezpečení na bázi nulové důvěry (Zero Trust).
Na základě vašich odpovědí jste v úvodní fázi nulová důvěra (Zero Trust) pro identitu.
Vytvořte komplexní přístup k zabezpečení na bázi nulové důvěry (Zero Trust).
Používejte řešení ochrany cloudových úloh.
- Komplexní přehled o všech cloudových úlohách je velmi důležitý pro zabezpečení vašich prostředků ve vysoce distribuovaném prostředí.
- Azure Security Center je systém správy zabezpečení se sjednocenou infrastrukturou, který posiluje stav zabezpečení vašich datacenter a poskytuje rozšířenou ochranu před hrozbami ve vašich hybridních úlohách v cloudu – ať už jsou nebo nejsou v Azure – a také v místním prostředí.
- Nakonfigurujte si Azure Security Center
Přiřazujte identity aplikací.
- Přiřazení identity aplikace je důležité k zabezpečení komunikace mezi různými službami.
- Azure podporuje spravované identity z Microsoft Entra ID. Díky tomu máte snadný přístup k ostatním prostředkům chráněným službou Microsoft Entra ID, jako je trezor Azure Key Vault, ve kterém jsou bezpečně ukládány tajné kódy a přihlašovací údaje.
- Přiřaďte identitu aplikace na webu Azure Portal
Segmentujte přístup u uživatelů a prostředků.
- Segmentování přístupu pro každou úlohu je klíčovým krokem při implementaci modelu nulové důvěry (Zero Trust).
- Microsoft Azure nabízí mnoho způsobů segmentace úloh, abyste mohli spravovat přístup u uživatelů a prostředků. Segmentace sítí je celkový přístup a v Azure je možné prostředky izolovat na úrovni předplatného pomocí virtuálních sítí (VNet), pravidel partnerských vztahů sítí VNet, skupin zabezpečení sítě (NSG), skupin zabezpečení aplikací (ASG) a bran Azure Firewall.
- Vytvořte síť Azure Virtual Network , abyste umožnili vzájemnou komunikaci prostředků Azure.
Implementujte nástroje pro detekci hrozeb.
- Prevence, detekce, prověřování a reakce na pokročilé hrozby v hybridní infrastruktuře vám pomůže vylepšit stav vašeho zabezpečení.
- Microsoft Defender for Endpoint Advanced Threat Protection je platforma pro zabezpečení podnikových koncových bodů navržená tak, aby pomáhala podnikovým sítím předcházet pokročilým hrozbám, detekovat je, prověřovat a reagovat na ně.
- Naplánujte si nasazení platformy Microsoft Defender for Endpoint Advanced Threat Protection
Nasaďte správu akcí a informací o zabezpečení (Security Information and Event Management, SIEM).
- S tím, jak se neustále zvyšuje hodnota digitálních informací, se zvyšuje také počet a sofistikovanost útoků. Řešení SIEM poskytují centrální způsob, jak zmírňovat hrozby v celém prostředí.
- Azure Sentinel je nativní cloudové řešení pro správu akcí a informací o zabezpečení (SIEM) a řešení pro automatizované reakce orchestrace zabezpečení (Security Orchestration Automated Response – SOAR), které vašemu bezpečnostnímu operačnímu centru (Security Operations Center – SOC) umožňuje z jednoho místa monitorovat události zabezpečení v celém podniku. Pomáhá chránit všechny vaše prostředky tím, že shromažďuje signály z celé vaší hybridní organizace a pak pomocí inteligentní analýzy rychle identifikuje hrozby.
- Začínáme s nasazením Sentinelu .
Implementujte behaviorální analýzy.
- Když vytváříte novou infrastrukturu, musíte také zajistit zřízení pravidel pro monitorování a generování upozornění. To je důležité pro identifikaci projevů neočekávaného chování určitého prostředku.
- Microsoft Defender for Identity pomocí shromažďování signálů identifikuje, detekuje a prověřuje pokročilé hrozby, zneužité identity a škodlivé akce osob z vaší organizace namířené proti vaší organizaci.
- Další informace o službě Microsoft Defender for Identity
Nastavte automatizovaná prověřování.
- Týmy zajišťující zabezpečení si musí poradit s výzvou, jak řešit velká množství upozornění, která jsou generována ze zdánlivě nekončícího toku hrozeb. Implementace řešení s automatizovanými funkcemi prověřování a nápravy (Automated Investigation and Remediation – AIR) může pomoct vašemu týmu zajišťujícímu zabezpečení efektivněji řešit hrozby.
- Microsoft Defender for Endpoint Advanced Threat Protection zahrnuje automatizované funkce prověřování a nápravy, které pomáhají zkoumat upozornění a okamžitě řešit narušení zabezpečení. Tyto funkce mohou výrazně snížit množství upozornění a umožnit týmu zajišťujícímu zabezpečení zaměřit se na sofistikovanější hrozby a další iniciativy s vysokou hodnotou.
- Další informace o automatizovaném prověřování
Řiďte přístup k privilegovaným prostředkům a zdrojům.
- Pracovníci by měli používat přístup pro správu jen v nutných případech. Pokud jsou vyžadovány funkce pro správu, měli by uživatelé obdržet dočasný přístup pro správu.
- Privileged Identity Management (PIM) v Microsoft Entra ID umožňuje zjišťovat, omezovat a monitorovat přístupová práva u privilegovaných identit. Správa PIM může pomoct zajistit bezpečnost účtů správců omezením přístupu ke kritickým operacím pomocí řízení přístupu podle potřeby, s časovým omezením a na základě rolí.
- Začínáme se službou Privileged Identity Management
Zajistěte u privilegovaných účtů přístup s oprávněním podle potřeby.
- Pracovníci by měli používat přístup pro správu jen v nutných případech. Pokud jsou vyžadovány funkce pro správu, měli by uživatelé obdržet dočasný přístup pro správu.
- Privileged Identity Management (PIM) v Microsoft Entra ID umožňuje zjišťovat, omezovat a monitorovat přístupová práva u privilegovaných identit. Správa PIM může pomoct zajistit bezpečnost účtů správců omezením přístupu ke kritickým operacím pomocí řízení přístupu podle potřeby, s časovým omezením a na základě rolí.
- Začínáme se službou Privileged Identity Management .
Koncové body • Otázka 1 z 6
Definovala vaše organizace taxonomii klasifikace dat?
Koncové body • Otázka 2 z 6
Řídí se rozhodnutí týkající se přístupu podle citlivosti dat (tedy nikoli jednoduchými kontrolními mechanismy v perimetru sítě)?
Koncové body • Otázka 3 z 6
Jsou podniková data aktivně a nepřetržitě zjišťována podle citlivosti ve všech umístěních?
Koncové body • Otázka 4 z 6
Je rozhodování o přístupu k datům řízeno zásadami a vynucováno modulem zásad zabezpečení cloudu? (například kdekoli na internetu)
Koncové body • Otázka 5 z 6
Jsou nejcitlivější soubory trvale chráněny šifrováním, aby se zabránilo neoprávněnému přístupu nebo použití?
Koncové body • Otázka 6 z 6
Používají se kontrolní mechanismy ochrany před únikem informací k monitorování, vytváření výstrah nebo omezování toku citlivých informací (jako je například blokování e-mailů, odesílání dat nebo kopírování dat na USB zařízení)?
Na základě vašich odpovědí jste v optimální fázi nulová důvěra (Zero Trust) pro identitu.
Vytvořte komplexní přístup k zabezpečení na bázi nulové důvěry (Zero Trust).
Na základě vašich odpovědí jste v pokročilé fázi nulová důvěra (Zero Trust) pro identitu.
Vytvořte komplexní přístup k zabezpečení na bázi nulové důvěry (Zero Trust).
Na základě vašich odpovědí jste v úvodní fázi nulová důvěra (Zero Trust) pro identitu.
Vytvořte komplexní přístup k zabezpečení na bázi nulové důvěry (Zero Trust).
Definujte taxonomii klasifikace.
- Definování správné taxonomie popisování a zásad ochrany je nejdůležitějším krokem strategie ochrany dat. Začněte tedy vytvořením strategie popisování, která bude odrážet požadavky vaší organizace v oblasti citlivosti informací.
- Další informace o klasifikaci dat
- Až budete připravení, můžete začít používat popisky citlivosti.
Řiďte rozhodování o přístupu na základě citlivosti.
- Čím jsou data citlivější, tím větší kontrola ochrany a vynucování je potřeba. Podobně by měly kontrolní mechanismy odpovídat povaze rizik spojených s tím, jak a odkud se k datům přistupuje (například pokud žádost pochází z nespravovaných zařízení nebo od externích uživatelů). Microsoft Information Protection nabízí flexibilní sadu kontrolních mechanismů pro ochranu založenou na citlivosti dat a rizicích.
- Některá citlivá data je třeba chránit zásadami, které vynucují šifrování, aby k těmto datům měli přístup jenom oprávnění uživatelé.
- Nastavte popisky citlivosti a řiďte rozhodování ohledně přístupu. Nová služba Azure Purview poskytuje službu sjednoceného řízení dat, která vychází ze služby Microsoft Information Protection. Přečtěte si blog s oznámením
- Další informace můžete získat takto:
Implementujte robustní strategie pro klasifikaci dat a popisování.
- Podniky mají ohromná množství dat a může být náročné je odpovídajícím způsobem popisovat a klasifikovat. Používání strojového učení k inteligentnější automatizované klasifikaci může snížit zatížení koncových uživatelů a vést ke konzistentnějšímu používání popisků.
- Microsoft 365 nabízí tři způsoby, jak klasifikovat obsah, mezi které patří ruční způsob, automatické porovnávání vzorůa naše nové trénovatelné klasifikátory. Trénovatelné klasifikátory jsou vhodné pro obsah, který není snadno identifikovaný ručními nebo automatizovanými metodami porovnávání vzorů. U místních úložišť souborů a místních webů SharePointu verze 2013 a vyšších verzí vám může skener Azure Information Protection (AIP) pomoct zjišťovat, klasifikovat, popisovat a chránit citlivé informace.
- Podívejte se na naše pokyny pro nasazení popisování, abyste mohli začít.
Řiďte rozhodování o přístupu na základě zásad.
- Můžete jít nad rámec jednoduchých rozhodnutí o povolení nebo zablokování přístupu a upravit rozhodování o přístupu k datům na základě rizik – například přístup povolovat, blokovat nebo omezovat nebo požadovat další ověření, jako je vícefaktorové ověřování.
- Podmíněný přístup v Azure AD umožňuje vynucovat vyladěné adaptivní funkce řízení přístupu, jako je například vyžadování vícefaktorového ověřování, na základě informací o kontextu uživatele, o zařízení, umístění a riziku relace.
- Integrujte Azure Information Protection s Microsoft Cloud App Security a povolte zásady podmíněného přístupu.
Vynucujte práva pro přístup k datům a používání dat sdílených mimo rámec společnosti.
- Abyste mohli správně zmírňovat rizika bez negativního dopadu na produktivitu, musíte mít možnost kontrolovat a zabezpečit e-maily, citlivá data a dokumenty, které sdílíte mimo svou firmu.
- Azure Information Protection pomáhá zabezpečit e-maily, dokumenty a citlivá data v rámci firmy i mimo ni. Ať už se jedná o snadnou klasifikaci, vložené popisky nebo oprávnění, pomocí Azure Information Protection můžete vždy vylepšit ochranu dat bez ohledu na to, kde jsou uložena nebo s kým jsou sdílena.
- Začněte naplánováním nasazení.
Implementujte zásady ochrany před únikem informací (DLP).
- Kvůli dodržování obchodních standardů a oborových předpisů musí organizace chránit citlivé informace a bránit jejich nechtěnému zpřístupnění. Mezi citlivé informace patří finanční data nebo identifikovatelné osobní údaje, jako jsou čísla platebních karet, čísla sociálního pojištění nebo zdravotní záznamy.
- Pomocí celé řady zásad ochrana před únikem informací v Microsoft 365 můžete identifikovat, monitorovat a automaticky chránit citlivé položky napříč službami, jako jsou Teams, Exchange, SharePoint a OneDrive, aplikace Office, jako jsou Word, Excel a PowerPoint, koncové body Windows 10, cloudové aplikace jiných od společností než Microsoftu, místní sdílené složky a SharePoint a Microsoft Cloud App Security.
Koncové body • Otázka 1 z 5
Máte sítě segmentované tak, aby znemožňovaly taktiku lateral movement?
Koncové body • Otázka 2 z 5
Jaká řešení ochrany využíváte k zabezpečení sítí?
Koncové body • Otázka 3 z 5
Používáte k ochraně sítě kontrolní mechanismy pro zabezpečený přístup?
Koncové body • Otázka 4 z 5
Používáte certifikáty k šifrování veškeré komunikace v síti (včetně komunikace počítače s počítačem)?
Koncové body • Otázka 5 z 5
Používáte ochranu před internetovými útoky a filtrování založené na strojovém učení se signály založenými na kontextu?
Na základě vašich odpovědí jste v optimální fázi nulová důvěra (Zero Trust) pro identitu.
Vytvořte komplexní přístup k zabezpečení na bázi nulové důvěry (Zero Trust).
Na základě vašich odpovědí jste v pokročilé fázi nulová důvěra (Zero Trust) pro identitu.
Vytvořte komplexní přístup k zabezpečení na bázi nulové důvěry (Zero Trust).
Na základě vašich odpovědí jste v úvodní fázi nulová důvěra (Zero Trust) pro identitu.
Vytvořte komplexní přístup k zabezpečení na bázi nulové důvěry (Zero Trust).
Segmentujte své sítě.
- Segmentování sítí pomocí implementace softwarově definovaných zón s postupně zvyšující se granularitou kontroly zvyšuje náklady útočníků na to, aby mohli postupovat vaší sítí, a výrazně tak omezuje laterální postup hrozeb.
- Azure nabízí mnoho způsobů segmentace sítí, abyste mohli spravovat přístup u uživatelů a prostředků. Segmentace sítí představuje komplexní přístup. V Azure je možné prostředky izolovat na úrovni předplatného pomocí virtuálních sítí, pravidel partnerských vztahů virtuálních sítí, skupin zabezpečení sítě, skupin zabezpečení aplikací a bran Azure Firewall.
- Naplánujte si strategii segmentace.
Implementujte funkce ochrany sítě.
- Cloudové aplikace, které mají otevřené koncové body pro externí prostředí, jako je internet nebo vaše místní prostředí, jsou ohroženy útoky přicházejícími z těchto prostředí. Je důležité kontrolovat přenosy, jestli neobsahují škodlivé datové části nebo logiku.
- Azure poskytuje služby jako Azure DDoS Protection, Azure Firewalla Azure Web Application Firewall pro komplexní ochranu před hrozbami.
- Nastavte si svoje nástroje pro ochranu sítě
Nastavte šifrovaný přístup pro správu.
- Přístup správce je často vektorem kritických hrozeb. Zabezpečení přístupu je nezbytné pro prevenci ohrožení zabezpečení.
- Azure VPN Gateway je služba na bázi VPN nativní pro cloud, která umožňuje vzdálený přístup uživatelů plně integrovaný s Microsoft Entra ID, podmíněný přístup a vícefaktorové ověřování. Azure Virtual Desktop z Azure umožňuje bezpečnou vzdálenou plochu odkudkoli spravovanou službou Azure. Proxy aplikací Microsoft Entra ID publikuje vaše místní webové aplikace pomocí přístupu na principu nulové důvěry (Zero Trust).
- Azure Bastion poskytuje zabezpečené připojení prostřednictvím protokolů RDP (Remote Desktop Protocol) SSH (Secure Shell Protocol) ke všem virtuálním počítačům ve virtuální síti, ve které jsou zřízené. Používání služby Azure Bastion pomáhá chránit vaše virtuální počítače před zveřejněním portů RDP/SSH pro vnější prostředí a zároveň poskytuje zabezpečený přístup pomocí RDP/SSH.
- Nasaďte službu Azure Bastion.
Šifrujte veškerý síťový provoz.
- Organizace, které nedokážou chránit přenášená data, jsou více náchylné k útokům typu man-in-the-middle, odposlouchávání a únosům spojení. Tyto útoky mohou být prvním krokem, který útočníci používají k získání přístupu k důvěrným datům.
- Úplné (end-to-end) šifrování začíná nejprve od připojení k Azure a pokračuje až back-endové aplikaci nebo prostředku. Azure VPN Gateway usnadňuje připojení k Azure šifrovaným tunelem. Azure Front Door a Application Gateway vám pomůžou se snižováním zátěže SSL, kontrolou WAF a opětovným šifrováním. Zákazníci si mohou přenosy navrhnout tak, aby celé procházely přes SSL. Kontrola TLS brány Azure Firewall Premium umožňuje prohlížet, detekovat a blokovat škodlivé přenosy v šifrovaném připojení prostřednictvím pokročilého modulu IDPS. Úplné (end-to-end) šifrování TLS v Azure Application Gateway pomáhá šifrovat a bezpečně přenášet citlivá data do back-endu a současně využívat funkce vyrovnávání zatížení vrstvy 7. Úplné (end-to-end) šifrování TLS v Azure Application Gateway s Azure Application Gateway
Implementujte ochranu před hrozbami a filtrování na základě strojového učení.
- S tím, jak se stále zvyšuje sofistikovanost a četnost útoků, je nezbytné zajistit, aby byly organizace připraveny si s nimi poradit. Ochrana proti hrozbám a filtrování založené na strojovém učení mohou organizacím pomoct rychleji reagovat, zlepšit prověřování, automatizovat nápravu a snadněji spravovat rozsáhlá prostředí. Kromě toho je možné události agregovat z několika služeb (DDoS, WAF a FW) do Azure Sentinel, řešení Microsoft SIEM, aby se zajistila inteligentní analýza zabezpečení.
- Azure DDoS Protection umožňuje pomocí strojového učení monitorovat přenosy u aplikací hostovaných v Azure, určovat a detekovat volumetrické zahlcení přenosů a používat možnosti automatické nápravy.
- Zapněte Azure DDoS Protection – Standard.
Sledujte zabezpečení od Microsoftu