Oceń stan zabezpieczeń modelu Zero Trust
Wybierz kategorię, aby rozpocząć
Odpowiedz na kilka pytań, aby uzyskać porady dotyczące poziomu dojrzałości modelu Zero Trust Twojej organizacji i zobacz praktyczne zasoby dotyczące wdrażania.
Tożsamości
Weryfikuj i zabezpieczaj wszystkie tożsamości za pomocą silnego uwierzytelniania w obrębie całego środowiska cyfrowego.
Punkty końcowe
Korzystaj z wglądu w informacje o urządzeniach uzyskujących dostęp do sieci oraz weryfikuj stan zgodności i kondycji, zanim udzielisz dostępu.
Aplikacje
Wykrywaj niezatwierdzone rozwiązania IT i kontroluj dostęp za pomocą monitorowania i analizy w czasie rzeczywistym.
Infrastruktura
Wzmocnij obronę, używając szczegółowej kontroli dostępu, zasad dostępu z najniższym poziomem uprawnień i wykrywania zagrożeń w czasie rzeczywistym.
Dane
Klasyfikuj, oznaczaj etykietami i chroń dane w chmurze oraz lokalnie, aby udaremniać niewłaściwe udostępnianie oraz zmniejszać ryzyko wewnętrzne.
Sieć
Wyjdź poza tradycyjne zabezpieczenia sieci dzięki mikrosegmentacji, wykrywaniu zagrożeń w czasie rzeczywistym oraz kompleksowemu szyfrowaniu.
Wdróż proaktywne podejście do cyberbezpieczeństwa
Punkty końcowe • Pytanie 1 z 9
Czy masz włączone uwierzytelnianie wieloskładnikowe dla użytkowników wewnętrznych?
Punkty końcowe • Pytanie 2 z 9
Jakie formy uwierzytelniania bezhasłowego są włączone dla użytkowników?
Punkty końcowe • Pytanie 3 z 9
Które grupy użytkowników są aprowizowane z użyciem logowania jednokrotnego?
Punkty końcowe • Pytanie 4 z 9
Których z poniższych aparatów zasad zabezpieczeń używasz w celu podejmowania decyzji dotyczących dostępu do zasobów przedsiębiorstwa?
Punkty końcowe • Pytanie 5 z 9
Czy starsze uwierzytelnianie zostało wyłączone?
Punkty końcowe • Pytanie 6 z 9
Czy podczas oceniania żądań dostępu korzystasz z wykrywania w czasie rzeczywistym zagrożeń związanych z użytkownikami i logowaniem?
Punkty końcowe • Pytanie 7 z 9
Które z poniższych technologii zostały zintegrowane z Twoim rozwiązaniem do zarządzania tożsamościami i dostępem?
Punkty końcowe • Pytanie 8 z 9
Który z poniższych kontekstów jest używany w Twoich zasadach dostępu?
Punkty końcowe • Pytanie 9 z 9
Czy korzystasz ze wskaźnika bezpieczeństwa tożsamości, aby uzyskiwać wskazówki?
Na podstawie odpowiedzi znajdujesz się na optymalnym etapie modelu Zero Trust dla tożsamości.
Zastosuj kompleksowe podejście do zabezpieczeń dzięki modelowi Zero Trust.
Na podstawie odpowiedzi znajdujesz się na zaawansowanym etapie modelu Zero Trust dla tożsamości.
Zastosuj kompleksowe podejście do zabezpieczeń dzięki modelowi Zero Trust.
Na podstawie odpowiedzi znajdujesz się na początkowym etapie modelu Zero Trust dla tożsamości.
Zastosuj kompleksowe podejście do zabezpieczeń dzięki modelowi Zero Trust.
Zaimplementuj uwierzytelnianie wieloskładnikowe.
- Uwierzytelnianie wieloskładnikowe pomaga chronić aplikacje, wymagając od użytkowników, aby przed uzyskaniem dostępu potwierdzali swoją tożsamość za pomocą drugiego źródła weryfikacji, takiego jak telefon lub token.
- Usługa Microsoft Entra ID może ułatwić bezpłatne włączenie uwierzytelniania wieloskładnikowego .
- Posiadasz już dostęp do usługi Microsoft Entra ID? Zacznij wdrażać już dziś.
Udostępnij uwierzytelnianie bezhasłowe.
- Metody uwierzytelniania bezhasłowego, takie jak funkcja Windows Hello i aplikacja Microsoft Authenticator, zapewniają prostsze i bezpieczniejsze uwierzytelnianie w sieci Web i na urządzeniach przenośnych. Te metody bazują na niedawno opracowanym standardzie FIDO2. Umożliwiają użytkownikom łatwe i bezpieczne uwierzytelnianie bez haseł.
- Firma Microsoft może pomóc Ci we wdrożeniu uwierzytelniania bezhasłowego już dziś. Pobierz arkusz danych dotyczący uwierzytelniania bezhasłowego, aby dowiedzieć się więcej.
- Jeśli masz już usługę Microsoft Entra ID, dowiedz się, jak włączyć uwierzytelnianie bezhasłowe już dziś.
Zaimplementuj logowanie jednokrotne.
- Logowanie jednokrotne nie tylko wzmacnia zabezpieczenia, eliminując konieczność zarządzania wieloma poświadczeniami dla tej samej osoby, ale zapewnia też lepszą obsługę użytkowników dzięki mniejszej liczbie monitów dotyczących logowania.
- Usługa Microsoft Entra ID zapewnia obsługę logowania jednokrotnego dla popularnych aplikacji w modelu „oprogramowanie jako usługa” (SaaS), aplikacji lokalnych i aplikacji niestandardowych w dowolnej chmurze oraz dla dowolnego typu użytkowników i dowolnych tożsamości.
- Zaplanuj wdrożenie logowania jednokrotnego.
Wymuszaj mechanizmy kontroli dostępu przy użyciu adaptacyjnych zasad opartych na ryzyku.
- Zamiast podejmować proste decyzje dotyczące dostępu/blokowania, dostosuj je do tolerancji ryzyka — na przykład zezwalając na dostęp, blokując lub ograniczając go albo wymagając dodatkowych dowodów, takich jak uwierzytelnianie wieloskładnikowe.
- Korzystaj z dostępu warunkowego w usłudze Microsoft Entra ID do wymuszania precyzyjnie dostosowanej adaptacyjnej kontroli dostępu, takiej jak wymaganie uwierzytelniania wieloskładnikowego, w oparciu o kontekst użytkownika, urządzenie, lokalizację i informacje o ryzyku sesji.
- Zaplanuj wdrożenie zasad dostępu warunkowego.
Zablokuj przestarzałe funkcje uwierzytelniania.
- Jednym z najczęstszych kierunków ataku ze strony złośliwych użytkowników jest używanie skradzionych lub odtworzonych poświadczeń w starszych protokołach, takich jak SMTP, które nie mogą obsługiwać nowoczesnych mechanizmów kontroli zabezpieczeń.
- Dostęp warunkowy w usłudze Microsoft Entra ID może ułatwić blokowanie starszych funkcji uwierzytelniania. Uzyskaj więcej informacji o blokowaniu przestarzałych funkcji uwierzytelniania.
Chroń tożsamości przed naruszeniem zabezpieczeń.
- Ocena ryzyka w czasie rzeczywistym może ułatwić ochronę tożsamości przed naruszeniem zabezpieczeń w czasie logowania i podczas sesji.
- Usługa Azure Identity Protection zapewnia ciągłe wykrywanie, automatyczne korygowanie i połączone funkcje analizy w czasie rzeczywistym, aby badać ryzykownych użytkowników i logowania w celu rozwiązywania problemów z potencjalnymi lukami w zabezpieczeniach.
- Włącz ochronę tożsamości, aby rozpocząć. Przenieś dane sesji użytkowników z usługi Microsoft Cloud App Security, aby dodać do usługi Microsoft Entra ID informacje o potencjalnie ryzykownych zachowaniach użytkowników po ich uwierzytelnieniu.
Wzbogać rozwiązanie do zarządzania dostępem i tożsamościami (IAM) o dodatkowe dane.
- Im więcej danych przekażesz do rozwiązania IAM, tym lepiej możesz dostosować obsługę użytkowników końcowych i tym bardziej możesz poprawić stan zabezpieczeń dzięki szczegółowym decyzjom dotyczącym dostępu oraz lepszym informacjom o użytkownikach uzyskujących dostęp do zasobów firmy.
- Microsoft Entra ID, Microsoft Cloud App Security i Ochrona punktu końcowego w usłudze Microsoft Defender współdziałają ze sobą, aby zapewnić rozszerzone przetwarzanie sygnałów w celu podejmowania lepszych decyzji.
- Skonfiguruj dostęp warunkowy w usługach Ochrona punktu końcowego w usłudze Microsoft Defender, Microsoft Defender for Identity i Microsoft Cloud App Security.
Precyzyjnie dostosuj zasady dostępu.
- Wymuszaj szczegółową kontrolę dostępu, stosując adaptacyjne zasady dostępu na podstawie ryzyka, które zapewniają integrację punktów końcowych, aplikacji i sieci, aby lepiej chronić Twoje dane.
- Dostęp warunkowy w usłudze Microsoft Entra ID umożliwia wymuszanie precyzyjnie dostosowanych mechanizmów adaptacyjnej kontroli dostępu, takich jak wymóg uwierzytelniania wieloskładnikowego oraz dostęp na podstawie kontekstu użytkownika, urządzenia, lokalizacji i informacji o ryzyku sesji.
- Precyzyjnie dostosuj zasady dostępu warunkowego.
Popraw stan zabezpieczeń tożsamości.
- Wskaźnik bezpieczeństwa w usłudze Microsoft Entra ID pomaga oceniać stan zabezpieczeń tożsamości przez analizę poziomu zgodności Twojego środowiska z zaleceniami firmy Microsoft dotyczącymi najlepszych rozwiązań w dziedzinie zabezpieczeń.
- Uzyskaj wskaźnik bezpieczeństwa tożsamości
Punkty końcowe • Pytanie 1 z 7
Czy urządzenia są zarejestrowane u dostawcy tożsamości?
Punkty końcowe • Pytanie 2 z 7
Czy urządzenia są zarejestrowane w usłudze zarządzania urządzeniami mobilnymi dla użytkowników wewnętrznych?
Punkty końcowe • Pytanie 3 z 7
Czy urządzenia zarządzane muszą być zgodne z zasadami konfiguracji IT, zanim uzyskają dostęp?
Punkty końcowe • Pytanie 4 z 7
Czy masz model umożliwiający użytkownikom nawiązywanie połączeń z zasobami organizacyjnymi z urządzeń niezarządzanych?
Punkty końcowe • Pytanie 5 z 7
Czy urządzenia są zarejestrowane w usłudze zarządzania urządzeniami mobilnymi dla użytkowników zewnętrznych?
Punkty końcowe • Pytanie 6 z 7
Czy wymuszasz zasady ochrony przed utratą danych na wszystkich urządzeniach zarządzanych i niezarządzanych?
Punkty końcowe • Pytanie 7 z 7
Czy masz zaimplementowane wykrywanie zagrożeń w punktach końcowych, aby umożliwić ocenę ryzyka dla urządzeń w czasie rzeczywistym?
Na podstawie odpowiedzi znajdujesz się na optymalnym etapie modelu Zero Trust dla tożsamości.
Zastosuj kompleksowe podejście do zabezpieczeń dzięki modelowi Zero Trust.
Na podstawie odpowiedzi znajdujesz się na zaawansowanym etapie modelu Zero Trust dla tożsamości.
Zastosuj kompleksowe podejście do zabezpieczeń dzięki modelowi Zero Trust.
Na podstawie odpowiedzi znajdujesz się na początkowym etapie modelu Zero Trust dla tożsamości.
Zastosuj kompleksowe podejście do zabezpieczeń dzięki modelowi Zero Trust.
Zarejestruj urządzenia u dostawcy tożsamości.
- Aby monitorować bezpieczeństwo i zagrożenia w różnych punktach końcowych używanych przez dowolne osoby, potrzebne są informacje o wszystkich urządzeniach i punktach dostępu, które mogą uzyskiwać dostęp do zasobów.
- Urządzenia można rejestrować za pomocą usługi Tożsamość Microsoft Entra, co zapewnia informacje o urządzeniach uzyskujących dostęp do sieci oraz możliwość podejmowania decyzji dotyczących dostępu na podstawie informacji o kondycji i stanie urządzeń.
- Skonfiguruj tożsamości urządzeń i zarządzaj nimi w usłudze Tożsamość Microsoft Entra
Zarejestruj urządzenia w usłudze zarządzania urządzeniami mobilnymi dla użytkowników wewnętrznych.
- Gdy dostęp do danych zostanie już udzielony, możliwość kontroli korzystania z danych przedsiębiorstwa przez użytkowników ma krytyczne znaczenie dla ograniczania ryzyka.
- Usługa Microsoft Endpoint Manager zapewnia aprowizację punktów końcowych, konfigurację, aktualizacje automatyczne, czyszczenie urządzeń i inne działania zdalne.
- Skonfiguruj usługę zarządzania urządzeniami mobilnymi dla użytkowników wewnętrznych.
Zapewnij zgodność przed udzieleniem dostępu.
- Gdy zostaną określone tożsamości dla wszystkich punktów końcowych uzyskujących dostęp do zasobów firmy, przed udzieleniem dostępu należy zapewnić, że spełniają one minimalne wymagania dotyczące zabezpieczeń wyznaczone przez organizację.
- Usługa Microsoft Endpoint Manager może ułatwić określenie reguł zgodności, aby zapewnić, że urządzenia będą spełniać minimalne wymagania dotyczące zabezpieczeń przed udzieleniem dostępu. Należy też określić reguły korygowania dla niezgodnych urządzeń, aby użytkownicy wiedzieli, jak rozwiązywać problemy.
- Określ reguły dla urządzeń, aby umożliwiać uzyskiwanie dostępu do zasobów w organizacji przy użyciu usługi Intune.
Zapewnij dostęp w razie potrzeby dla urządzeń niezarządzanych.
- Umożliwienie pracownikom dostępu do odpowiednich zasobów z urządzeń niezarządzanych może być krytyczne dla utrzymania produktywności. Kluczowe jest jednak zachowanie ochrony danych.
- Zarządzanie aplikacjami mobilnymi w usłudze Microsoft Intune umożliwia publikowanie, wypychanie, konfigurowanie, zabezpieczanie, monitorowanie i aktualizowanie aplikacji mobilnych dla użytkowników, zapewniając im dostęp do aplikacji niezbędnych do wykonywania ich pracy.
- Skonfiguruj dostęp dla urządzeń niezarządzanych.
Zarejestruj urządzenia w usłudze zarządzania urządzeniami mobilnymi dla użytkowników zewnętrznych.
- Rejestracja urządzeń użytkowników zewnętrznych (podwykonawców, dostawców, partnerów itp.) w rozwiązaniu do zarządzania urządzeniami mobilnymi to doskonały sposób zapewniania ochrony danych i dostępu wymaganego do wykonywania pracy przez takich użytkowników.
- Usługa Microsoft Endpoint Manager zapewnia aprowizację punktów końcowych, konfigurację, aktualizacje automatyczne, czyszczenie urządzeń i inne działania zdalne.
- Skonfiguruj usługę zarządzania urządzeniami mobilnymi dla użytkowników zewnętrznych.
Wymuszaj zasady ochrony przed utratą danych na urządzeniach.
- Gdy dostęp do danych zostanie już udzielony, możliwość kontroli korzystania z danych przez użytkowników ma krytyczne znaczenie. Jeśli na przykład użytkownik uzyskuje dostęp do dokumentu za pomocą tożsamości firmowej, należy chronić taki dokument przed zapisaniem w niechronionej lokalizacji magazynu oraz przed udostępnieniem za pomocą aplikacji do obsługi czatów i komunikacji dla użytkowników indywidualnych.
- Zasady ochrony aplikacji w usłudze Intune pomagają chronić dane przy użyciu rejestracji urządzeń w rozwiązaniu do zarządzania urządzeniami (lub bez takiej rejestracji), ograniczając dostęp do zasobów firmy i zachowując dane pod kontrolą działu IT.
- Zacznij korzystać z zasad aplikacji w usłudze Intune.
Udostępnij ocenianie ryzyka urządzeń w czasie rzeczywistym.
- Zapewnienie dostępu do zasobów firmy tylko dla zaufanych urządzeń w dobrej kondycji jest kluczowym krokiem podczas stosowania modelu Zero Trust. Gdy urządzenia zostaną zarejestrowane u dostawcy tożsamości, możesz uwzględnić te informacje w decyzjach dotyczących dostępu, aby umożliwić dostęp tylko dla bezpiecznych i zgodnych urządzeń.
- Dzięki integracji z usługą Tożsamość Microsoft Entra funkcja Microsoft Endpoint Manager umożliwia wymuszanie bardziej szczegółowych decyzji dotyczących dostępu oraz precyzyjne dostosowywanie zasad dostępu warunkowego na podstawie tolerancji ryzyka w organizacji. Możesz na przykład uniemożliwić dostęp do określonych aplikacji na niektórych platformach urządzeń.
- Skonfiguruj dostęp warunkowy w usłudze Ochrona punktu końcowego w usłudze Microsoft Defender
Punkty końcowe • Pytanie 1 z 6
Czy wymuszasz w swoich aplikacjach mechanizmy kontroli dostępu oparte na zasadach?
Punkty końcowe • Pytanie 2 z 6
Czy wymuszasz mechanizmy kontroli sesji oparte na zasadach dla aplikacji (np. ograniczanie widoczności, blokowanie pobierania)?
Punkty końcowe • Pytanie 3 z 6
Czy aplikacje krytyczne dla działania firmy zostały połączone z platformą zabezpieczeń aplikacji, aby umożliwić monitorowanie danych i zagrożeń w chmurze?
Punkty końcowe • Pytanie 4 z 6
Jak wiele prywatnych aplikacji i zasobów Twojej organizacji jest dostępnych bez sieci VPN lub stałego połączenia przewodowego?
Punkty końcowe • Pytanie 5 z 6
Czy stosujesz ciągłe odnajdowanie niezatwierdzonych zasobów IT, ocenę ryzyka i kontrolę niezaakceptowanych aplikacji?
Punkty końcowe • Pytanie 6 z 6
Czy dostęp administracyjny do aplikacji zapewnia uprawnienia Just-In-Time/Just-Enough w celu ograniczenia ryzyka związanego z trwałymi uprawnieniami?
Na podstawie odpowiedzi znajdujesz się na optymalnym etapie modelu Zero Trust dla tożsamości.
Zastosuj kompleksowe podejście do zabezpieczeń dzięki modelowi Zero Trust.
Na podstawie odpowiedzi znajdujesz się na zaawansowanym etapie modelu Zero Trust dla tożsamości.
Zastosuj kompleksowe podejście do zabezpieczeń dzięki modelowi Zero Trust.
Na podstawie odpowiedzi znajdujesz się na początkowym etapie modelu Zero Trust dla tożsamości.
Zastosuj kompleksowe podejście do zabezpieczeń dzięki modelowi Zero Trust.
Wymuszaj kontrolę dostępu opartą na zasadach dla aplikacji.
- Zamiast podejmować proste decyzje dotyczące dostępu/blokowania, dostosuj je do tolerancji ryzyka — na przykład zezwalając na dostęp, blokując lub ograniczając go albo wymagając dodatkowych dowodów, takich jak uwierzytelnianie wieloskładnikowe.
- Dostęp warunkowy w usłudze Tożsamość Microsoft Entra umożliwia wymuszanie precyzyjnie dostosowanych mechanizmów adaptacyjnej kontroli dostępu, takich jak wymóg uwierzytelniania wieloskładnikowego oraz dostęp na podstawie kontekstu użytkownika, urządzenia, lokalizacji i informacji o ryzyku sesji.
- Skonfiguruj dostęp warunkowy dla dostępu do aplikacji
Wymuszaj mechanizmy kontroli sesji oparte na zasadach.
- Powstrzymywanie naruszeń zabezpieczeń i wycieków danych w czasie rzeczywistym, zanim pracownicy celowo lub nieumyślnie narażą dane i organizację na ryzyko, ma kluczowe znaczenie dla ograniczania ryzyka po udzieleniu dostępu. Możliwość bezpiecznego korzystania z własnych urządzeń przez pracowników również jest krytyczna dla firmy.
- Usługa Microsoft Cloud App Security (MCAS) jest zintegrowana z dostępem warunkowym w usłudze Tożsamość Microsoft Entra co pozwala skonfigurować aplikacje do współpracy z kontrolą dostępu warunkowego aplikacji. Możesz łatwo i selektywnie wymuszać mechanizmy kontroli dostępu i sesji w aplikacjach organizacji na podstawie dowolnych warunków dostępu warunkowego (np. zapobieganie wyprowadzaniu danych, ochrona przy pobieraniu, uniemożliwianie przekazywania, blokowanie złośliwego oprogramowania i nie tylko).
- Aby rozpocząć, utwórz zasady sesji w usłudze Microsoft Cloud App Security, .
Połącz aplikacje biznesowe z brokerem zabezpieczeń aplikacji w chmurze.
- Wgląd we wszystkie aplikacje i platformy ma krytyczne znaczenie dla wykonywania działań związanych z zarządzaniem, takich jak poddawanie plików kwarantannie lub zawieszanie użytkowników, a także ograniczanie oflagowanych czynników ryzyka.
- Aplikacje połączone z usługą Microsoft Cloud App Security (MCAS) natychmiast uzyskują wbudowaną ochronę z wykrywaniem anomalii. Usługa MCAS korzysta z analizy zachowań jednostek i użytkowników (UEBA) oraz uczenia maszynowego, aby wykrywać nietypowe zachowania w aplikacjach w chmurze, ułatwiając identyfikację zagrożeń takich jak oprogramowanie wymuszające okup, użytkownicy z naruszonymi zabezpieczeniami lub oszukańcze aplikacje.
- Połącz chmurowe aplikacje krytyczne dla działania firmy z usługą Microsoft Cloud App Security.
Zapewnij dostęp zdalny do aplikacji lokalnych za pośrednictwem serwera proxy aplikacji.
- Zapewnienie użytkownikom bezpiecznego dostępu zdalnego do aplikacji wewnętrznych działających na serwerze lokalnym jest obecnie krytyczne dla utrzymania produktywności.
- Serwer proxy aplikacji usługi Tożsamość Microsoft Entra zapewnia bezpieczny dostęp zdalny do lokalnych aplikacji internetowych bez używania sieci VPN, serwerów z dwoma połączeniami i reguł zapory. Jest on zintegrowany z usługą Tożsamość Microsoft Entra i funkcją dostępu warunkowego oraz zapewnia użytkownikom dostęp do aplikacji internetowych za pomocą logowania jednokrotnego i umożliwia działowi IT konfigurowanie zasad dostępu warunkowego na potrzeby precyzyjnie dostosowanej kontroli dostępu.
- Rozpocznij już dziś.
Wykrywaj niezatwierdzone zasoby IT w sieci i zarządzaj nimi.
- Łączna liczba aplikacji, do których uzyskują dostęp pracownicy w przeciętnym przedsiębiorstwie, przekracza 1500. Oznacza to, że ponad 80 GB danych jest przekazywanych miesięcznie do różnych aplikacji, z czego mniej niż 15% jest zarządzane przez dział IT. Gdy większość pracowników przechodzi na pracę zdalną, nie wystarczy już stosować zasad dostępu tylko do Twojego urządzenia sieciowego.
- Usługa Microsoft Cloud App Security może ułatwić wykrywanie używanych aplikacji, badanie związanego z nimi ryzyka, konfigurowanie zasad w celu identyfikowania nowych ryzykownych aplikacji będących w użyciu oraz określanie takich aplikacji jako niezaakceptowane, aby natywnie blokować je za pomocą serwera proxy lub urządzenia zapory. Przeczytaj e-book, aby dowiedzieć się więcej.
- Aby zacząć odnajdować aplikacje w chmurze i uzyskiwać do nich dostęp, skonfiguruj usługę Cloud Discovery w usłudze Microsoft Cloud App Security.
Zarządzaj dostępem do maszyn wirtualnych w modelu Just-In-Time.
- Ogranicz dostęp użytkowników, używając modeli Just-In-Time i Just-Enough-Access (JIT/JEA) oraz stosując adaptacyjne zasady oparte na ryzyku i ochronę danych, aby lepiej zabezpieczyć dane i zadbać o produktywność.
- Ogranicz ruch przychodzący do usługi Azure Virtual Machines za pomocą oferowanych przez usługę Azure Security Center funkcji dostępu Just-In-Time do maszyn wirtualnych, aby zmniejszyć możliwość ataków, zapewniając jednocześnie łatwy dostęp, gdy jest potrzebne nawiązanie połączenia z maszyną wirtualną.
- Włącz dostęp JIT do maszyn wirtualnych.
Punkty końcowe • Pytanie 1 z 9
Czy w Twoim hybrydowym i wielochmurowym środowisku cyfrowym są włączone rozwiązania do ochrony infrastruktury w chmurze?
Punkty końcowe • Pytanie 2 z 9
Czy każde obciążenie ma przypisaną tożsamość aplikacji?
Punkty końcowe • Pytanie 3 z 9
Czy dostęp użytkowników i zasobów (między komputerami) jest podzielony na segmenty dla każdego obciążenia?
Punkty końcowe • Pytanie 4 z 9
Czy Twój zespół ds. operacji zabezpieczeń ma dostęp do wyspecjalizowanych narzędzi do wykrywania zagrożeń dotyczących punktów końcowych, ataków e-mail i ataków związanych z tożsamościami?
Punkty końcowe • Pytanie 5 z 9
Czy Twój zespół ds. operacji zabezpieczeń ma dostęp do rozwiązania z dziedziny zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) w celu agregowania i analizowania zdarzeń w wielu zasobach?
Punkty końcowe • Pytanie 6 z 9
Czy Twój zespół ds. operacji zabezpieczeń używa analizy zachowań do wykrywania i badania zagrożeń?
Punkty końcowe • Pytanie 7 z 9
Czy Twój zespół ds. operacji zabezpieczeń używa narzędzi do orkiestracji zabezpieczeń, automatyzacji i korygowania (SOAR) w celu ograniczenia ilości pracy wykonywanej ręcznie w ramach reagowania na zagrożenia?
Punkty końcowe • Pytanie 8 z 9
Czy regularnie przeglądasz uprawnienia administracyjne (przynajmniej raz na 180 dni), aby upewnić się, że administratorzy mają tylko niezbędne uprawnienia administracyjne?
Punkty końcowe • Pytanie 9 z 9
Czy masz włączony dostęp Just-in-Time na potrzeby administrowania serwerami i inną infrastrukturą?
Na podstawie odpowiedzi znajdujesz się na optymalnym etapie modelu Zero Trust dla tożsamości.
Zastosuj kompleksowe podejście do zabezpieczeń dzięki modelowi Zero Trust.
Na podstawie odpowiedzi znajdujesz się na zaawansowanym etapie modelu Zero Trust dla tożsamości.
Zastosuj kompleksowe podejście do zabezpieczeń dzięki modelowi Zero Trust.
Na podstawie odpowiedzi znajdujesz się na początkowym etapie modelu Zero Trust dla tożsamości.
Zastosuj kompleksowe podejście do zabezpieczeń dzięki modelowi Zero Trust.
Zastosuj rozwiązanie do ochrony obciążeń w chmurze.
- Możliwość uzyskania pełnego obrazu wszystkich obciążeń w chmurze jest krytyczna dla zapewniania bezpieczeństwa zasobów w wysoce rozproszonym środowisku.
- Usługa Azure Security Center to ujednolicony system zarządzania zabezpieczeniami infrastruktury, który poprawia stan zabezpieczeń centrów danych i zapewnia zaawansowaną ochronę przed zagrożeniami dla obciążeń hybrydowych w chmurze (zarówno na platformie Azure, jak i poza nią) oraz w środowisku lokalnym.
- Skonfiguruj usługę Azure Security Center
Przypisz tożsamości aplikacji.
- Przypisanie tożsamości aplikacji jest krytyczne dla zabezpieczania komunikacji między różnymi usługami.
- Platforma Azure obsługuje tożsamości zarządzane z usługi Tożsamość Microsoft Entra, ułatwiając dostęp do innych zasobów chronionych przez usługę Tożsamość Microsoft Entra takich jak usługa Azure Key Vault, w której są bezpiecznie przechowywane wpisy tajne i poświadczenia.
- Przypisz tożsamość aplikacji w witrynie Azure Portal
Zastosuj segmentację użytkowników i dostępu do zasobów.
- Segmentacja dostępu dla każdego obciążenia jest kluczowym krokiem podczas stosowania modelu Zero Trust.
- Platforma Microsoft Azure oferuje wiele sposobów segmentacji obciążeń w celu zarządzania użytkownikami i dostępem do zasobów. Segmentacja sieci jest ogólnym podejściem, a na platformie Azure można izolować zasoby na poziomie subskrypcji, stosując sieci wirtualne, reguły wirtualnych sieci równorzędnych, sieciowe grupy zabezpieczeń, grupy zabezpieczeń aplikacji i zapory platformy Azure.
- Utwórz usługę Azure Virtual Network, aby umożliwić bezpieczną komunikację między zasobami platformy Azure.
Zaimplementuj narzędzia do wykrywania zagrożeń.
- Zapobieganie zaawansowanym zagrożeniom, wykrywanie i badanie ich oraz reagowanie na nie w całej infrastrukturze hybrydowej ułatwi poprawę stanu zabezpieczeń.
- Zaawansowana ochrona przed zagrożeniami w usłudze Ochrona punktu końcowego w usłudze Microsoft Defender to platforma zabezpieczeń punktów końcowych dla przedsiębiorstw, którą zaprojektowano, aby ułatwić przedsiębiorstwom zapobieganie zaawansowanym zagrożeniom w sieci, wykrywanie i badanie ich oraz reagowanie na nie.
- Zaplanuj wdrożenie platformy Zaawansowana ochrona przed zagrożeniami w usłudze Ochrona punktu końcowego w usłudze Microsoft Defender
Wdróż rozwiązanie do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM).
- W miarę tego, jak rośnie wartość informacji cyfrowych, rosną też liczba i złożoność ataków. Rozwiązanie SIEM umożliwia centralne zapobieganie zagrożeniom w całym przedsiębiorstwie.
- Usługa Azure Sentinel to natywne chmurowe rozwiązanie do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) oraz zautomatyzowanego reagowania przez koordynację zabezpieczeń (SOAR), dzięki któremu centrum ds. bezpieczeństwa może w jednym miejscu monitorować zdarzenia zabezpieczeń w całym przedsiębiorstwie. Pomaga ona chronić wszystkie Twoje zasoby, zbierając sygnały z całej organizacji hybrydowej i stosując inteligentną analizę, aby szybko identyfikować zagrożenia.
- Wdróż usługę Sentinel, aby rozpocząć.
Zaimplementuj analizę zachowań.
- Tworząc nową infrastrukturę, należy też pamiętać o ustanowieniu reguł monitorowania i zgłaszania alertów. Ma to kluczowe znaczenie dla identyfikacji zasobów zachowujących się w nieoczekiwany sposób.
- Usługa Microsoft Defender for Identity umożliwia zbieranie sygnałów, aby identyfikować, wykrywać i badać zaawansowane zagrożenia, tożsamości z naruszonymi zabezpieczeniami oraz złośliwe działania użytkowników wewnętrznych skierowane przeciwko Twojej organizacji.
- Dowiedz się więcej o usłudze Microsoft Defender for Identity
Skonfiguruj zautomatyzowane badania.
- Zespoły ds. operacji zabezpieczeń mają trudności z obsługą dużej liczby alertów generowanych przez napływ zagrożeń, który wydaje się nie mieć końca. Implementacja rozwiązania z funkcjami zautomatyzowanych badań i reakcji (AIR) może ułatwić Twojemu zespołowi ds. operacji zabezpieczeń skuteczniejsze reagowanie na zagrożenia.
- Zaawansowana ochrona przed zagrożeniami w usłudze Ochrona punktu końcowego w usłudze Microsoft Defender obejmuje funkcje zautomatyzowanych badań i reakcji, aby ułatwić badanie alertów i podejmowanie natychmiastowych działań w celu usuwania naruszeń zabezpieczeń. Te funkcje mogą znacznie ograniczyć liczbę alertów, co pozwala skoncentrować operacje zabezpieczeń na bardziej zaawansowanych zagrożeniach i innych inicjatywach o wysokiej wartości.
- Dowiedz się więcej o zautomatyzowanych badaniach.
Zarządzaj dostępem do zasobów uprzywilejowanych.
- Personel powinien jak najrzadziej korzystać z dostępu administracyjnego. Gdy są wymagane funkcje administracyjne, użytkownicy powinni otrzymywać tymczasowy dostęp administracyjny.
- Funkcja Privileged Identity Management (PIM) w usłudze Tożsamość Microsoft Entra umożliwia wykrywanie, ograniczanie i monitorowanie praw dostępu dla tożsamości uprzywilejowanych. Funkcja PIM pomaga zapewnić bezpieczeństwo kont administratorów, ograniczając dostęp do krytycznych operacji za pomocą kontroli dostępu na podstawie ról z ograniczeniami czasowymi w modelu Just-In-Time.
- Aby rozpocząć, wdróż funkcję Privileged Identity Management
Zapewnij dostęp Just-In-Time do kont uprzywilejowanych.
- Personel powinien jak najrzadziej korzystać z dostępu administracyjnego. Gdy są wymagane funkcje administracyjne, użytkownicy powinni otrzymywać tymczasowy dostęp administracyjny.
- Funkcja Privileged Identity Management (PIM) w usłudze Tożsamość Microsoft Entra umożliwia wykrywanie, ograniczanie i monitorowanie praw dostępu dla tożsamości uprzywilejowanych. Funkcja PIM pomaga zapewnić bezpieczeństwo kont administratorów, ograniczając dostęp do krytycznych operacji za pomocą kontroli dostępu na podstawie ról z ograniczeniami czasowymi w modelu Just-In-Time.
- Aby rozpocząć, wdróż funkcję Privileged Identity Management.
Punkty końcowe • Pytanie 1 z 6
Czy w Twojej organizacji zdefiniowano taksonomię klasyfikacji danych?
Punkty końcowe • Pytanie 2 z 6
Czy decyzje dotyczące dostępu do danych są podejmowane na podstawie ich poufności, a nie za pomocą prostych mechanizmów kontroli sieci obwodowej?
Punkty końcowe • Pytanie 3 z 6
Czy jest stosowane aktywne i ciągłe odnajdowanie danych firmy według poufności w dowolnej lokalizacji?
Punkty końcowe • Pytanie 4 z 6
Czy decyzje dotyczące dostępu do danych są podejmowane na podstawie zasad i wymuszane przez aparat zasad zabezpieczeń w chmurze (np. dostępność w dowolnym miejscu w Internecie)?
Punkty końcowe • Pytanie 5 z 6
Czy większość plików poufnych jest trwale chroniona za pomocą szyfrowania, aby zapobiec nieautoryzowanemu dostępowi i użyciu?
Punkty końcowe • Pytanie 6 z 6
Czy są stosowane mechanizmy kontroli zapobiegające utracie danych, aby zapewnić monitorowanie, generowanie alertów lub ograniczanie przepływu informacji poufnych (np. blokowanie wiadomości e-mail, operacji przekazywania lub kopiowania na nośniki USB)?
Na podstawie odpowiedzi znajdujesz się na optymalnym etapie modelu Zero Trust dla tożsamości.
Zastosuj kompleksowe podejście do zabezpieczeń dzięki modelowi Zero Trust.
Na podstawie odpowiedzi znajdujesz się na zaawansowanym etapie modelu Zero Trust dla tożsamości.
Zastosuj kompleksowe podejście do zabezpieczeń dzięki modelowi Zero Trust.
Na podstawie odpowiedzi znajdujesz się na początkowym etapie modelu Zero Trust dla tożsamości.
Zastosuj kompleksowe podejście do zabezpieczeń dzięki modelowi Zero Trust.
Zdefiniuj taksonomię klasyfikacji.
- Zdefiniowanie właściwej taksonomii etykiet i zasad ochrony jest najbardziej krytycznym krokiem w strategii ochrony danych, więc zacznij od utworzenia strategii etykietowania, która odzwierciedli wymagania organizacji dotyczące poufności informacji.
- Uzyskaj informacje o klasyfikacji danych.
- Gdy wszystko będzie gotowe, zacznij pracę z etykietami poufności.
Podejmuj decyzje dotyczące dostępu na podstawie poufności.
- Im bardziej poufne są dane, tym więcej wymagają kontroli i wymuszania ochrony. Podobnie mechanizmy kontroli powinny być współmierne do charakteru zagrożeń związanych ze sposobem i miejscem uzyskiwania dostępu do danych (np. jeśli żądanie pochodzi z niezarządzanych urządzeń lub od użytkowników zewnętrznych). Usługa Microsoft Information Protection oferuje elastyczny zestaw ochronnych mechanizmów kontroli na podstawie poufności danych i ryzyka.
- Niektóre dane poufne wymagają ochrony przez zasady wymuszające szyfrowanie, aby zapewnić, że tylko autoryzowani użytkownicy będą mieć dostęp do takich danych.
- Skonfiguruj etykiety poufności, aby zarządzać podejmowaniem decyzji dotyczących dostępu. Nowa usługa Azure Purview zapewnia ujednolicone zarządzanie danymi oparte na usłudze Microsoft Information Protection. Przeczytaj blog z ogłoszeniem
- w celu uzyskania dodatkowych informacji.
Zaimplementuj niezawodną strategię klasyfikacji i etykietowania danych.
- Przedsiębiorstwa mają olbrzymie ilości danych, co może utrudniać ich odpowiednie etykietowanie i klasyfikowanie. Inteligentniejsza, zautomatyzowana klasyfikacja za pomocą uczenia maszynowego może zmniejszyć obciążenie użytkowników końcowych i zapewnić spójniejszą obsługę etykietowania.
- Platforma Microsoft 365 oferuje trzy metody klasyfikowania zawartości: klasyfikacja ręczna, zautomatyzowane porównywanie ze wzorcem i nasze nowe klasyfikatory z możliwością trenowania. Klasyfikatory z możliwością trenowania dobrze nadają się do obsługi zawartości, której nie można łatwo identyfikować za pomocą metod ręcznych i zautomatyzowanego porównywania ze wzorcem. W przypadku lokalnych repozytoriów plików i lokalnych witryn programu SharePoint 2013 (lub nowszych wersji) skaner usługi Azure Information Protection (AIP) może ułatwić odnajdowanie, klasyfikację, etykietowanie i ochronę informacji poufnych.
- Aby rozpocząć, zobacz wskazówki dotyczące wdrażania etykietowania.
Podejmuj decyzje dotyczące dostępu na podstawie zasad.
- Zamiast prostych decyzji dotyczących dostępu/blokowania podejmuj decyzje dotyczące dostępu do danych na podstawie tolerancji ryzyka — na przykład zezwalając na dostęp, blokując lub ograniczając go albo wymagając dodatkowych dowodów, takich jak uwierzytelnianie wieloskładnikowe.
- Dostęp warunkowy w usłudze Azure AD umożliwia wymuszanie precyzyjnie dostosowanych mechanizmów adaptacyjnej kontroli dostępu, takich jak wymóg uwierzytelniania wieloskładnikowego oraz dostęp na podstawie kontekstu użytkownika, urządzenia, lokalizacji i informacji o ryzyku sesji.
- Zintegruj usługę Azure Information Protection z usługą Microsoft Cloud App Security, aby umożliwić korzystanie z zasad dostępu warunkowego.
Wymuszaj prawa dostępu i użytkowania dla danych udostępnianych poza obrębem firmy.
- Aby odpowiednio ograniczać ryzyko bez negatywnego wpływu na produktywność, konieczna jest kontrola i ochrona wiadomości e-mail, dokumentów i danych poufnych, które są udostępniane na zewnątrz firmy.
- Usługa Azure Information Protection pomaga chronić wiadomości e-mail, dokumenty i dane poufne w obrębie firmy i poza nim. Od łatwej klasyfikacji do osadzonych etykiet i uprawnień — zawsze możesz rozszerzyć ochronę danych przy użyciu usługi Azure Information Protection, niezależnie od tego, gdzie są one przechowywane i komu są udostępniane.
- Zaplanuj wdrożenie, aby rozpocząć.
Zaimplementuj zasady ochrony przed utratą danych (DLP).
- Aby zapewnić zgodność ze standardami biznesowymi i przepisami branżowymi, organizacje muszą chronić informacje poufne i zapobiegać ich nieumyślnemu ujawnianiu. Informacje poufne mogą obejmować dane finansowe lub osobowe, takie jak numery kart kredytowych, numery PESEL lub dokumentacja medyczna.
- Skorzystaj z zestawu zasad DLP na platformie Microsoft 365, aby identyfikować, monitorować i automatycznie chronić elementy poufne w usługach takich jak Teams, Exchange, SharePoint i OneDrive, w aplikacjach pakietu Office takich jak Word, Excel i PowerPoint oraz w punktach końcowych z systemem Windows 10, chmurowych aplikacjach oferowanych przez firmy inne niż Microsoft, lokalnych udziałach plików, programie SharePoint i usłudze Microsoft Cloud App Security.
Punkty końcowe • Pytanie 1 z 5
Czy Twoje sieci są podzielone na segmenty, aby zapobiec penetracji sieci?
Punkty końcowe • Pytanie 2 z 5
Jakie środki ochrony stosujesz do ochrony swoich sieci?
Punkty końcowe • Pytanie 3 z 5
Czy stosujesz mechanizmy kontroli bezpiecznego dostępu, aby chronić sieć?
Punkty końcowe • Pytanie 4 z 5
Czy szyfrujesz całą swoją komunikację sieciową (w tym komunikację między komputerami), używając certyfikatów?
Punkty końcowe • Pytanie 5 z 5
Czy używasz ochrony przed zagrożeniami opartej na uczeniu maszynowym oraz filtrowania za pomocą sygnałów opartych na kontekście?
Na podstawie odpowiedzi znajdujesz się na optymalnym etapie modelu Zero Trust dla tożsamości.
Zastosuj kompleksowe podejście do zabezpieczeń dzięki modelowi Zero Trust.
Na podstawie odpowiedzi znajdujesz się na zaawansowanym etapie modelu Zero Trust dla tożsamości.
Zastosuj kompleksowe podejście do zabezpieczeń dzięki modelowi Zero Trust.
Na podstawie odpowiedzi znajdujesz się na podstawowym etapie modelu Zero Trust dla tożsamości.
Zastosuj kompleksowe podejście do zabezpieczeń dzięki modelowi Zero Trust.
Zastosuj segmentację sieci.
- Segmentacja sieci przez zaimplementowanie obwodów zdefiniowanych w oprogramowaniu z rosnącą szczegółowością mechanizmów kontroli zwiększa koszt propagacji w sieci dla osób atakujących, znacznie ograniczając penetrację sieci przez zagrożenia.
- Platforma Azure oferuje wiele sposobów segmentacji sieci w celu zarządzania użytkownikami i dostępem do zasobów. Segmentacja sieci jest ogólnym podejściem. Na platformie Azure można izolować zasoby na poziomie subskrypcji, stosując sieci wirtualne, reguły wirtualnych sieci równorzędnych, sieciowe grupy zabezpieczeń, grupy zabezpieczeń aplikacji i usługę Azure Firewall.
- Zaplanuj strategię segmentacji.
Dodaj mechanizmy ochrony sieci.
- Aplikacje w chmurze, które udostępniają punkty końcowe dla środowisk zewnętrznych, takich jak Internet lub środowisko lokalne, są zagrożone atakami pochodzącymi z tych środowisk. Ważne jest skanowanie ruchu pod kątem złośliwych obciążeń lub logiki.
- Platforma Azure udostępnia usługi takie jak Azure DDoS Protection Service, Azure Firewall i Azure Web Application Firewall, które zapewniają kompleksową ochronę przed zagrożeniami.
- Skonfiguruj narzędzia do ochrony sieci
Skonfiguruj szyfrowany dostęp administracyjny.
- Dostęp administracyjny często jest krytycznym czynnikiem zagrożeń. Ochrona dostępu jest kluczowa dla zapobiegania naruszeniom zabezpieczeń.
- Azure VPN Gateway to natywna dla chmury usługa VPN o wysokiej skalowalności, która umożliwia dostęp zdalny dla użytkowników w pełni zintegrowany z usługą Tożsamość Microsoft Entra, dostępem warunkowym i uwierzytelnianiem wieloskładnikowym. Usługa Azure Virtual Desktop z platformy Azure zapewnia bezpieczne środowisko pulpitu zdalnego z dowolnego miejsca, zarządzane przez serwer proxy aplikacji usługi Tożsamość Microsoft Entra platformy Azure publikuje Twoje lokalne aplikacje internetowe przy użyciu podejścia Zero Trust do dostępu.
- Usługa Azure Bastion zapewnia bezpieczną łączność za pomocą protokołów Remote Desktop Protocol (RDP) i Secure Shell Protocol (SSH) z wszystkimi maszynami wirtualnymi w sieci wirtualnej, w której została aprowizowana. Za pomocą usługi Azure Bastion można łatwiej chronić maszyny wirtualne przed udostępnianiem portów RDP/SSH na zewnątrz, zapewniając jednocześnie bezpieczny dostęp przy użyciu protokołu RDP/SSH.
- Wdróż usługę Azure Bastion.
Szyfruj cały ruch sieciowy.
- Organizacje, które nie chronią danych podczas przesyłania, są bardziej podatne na ataki typu man-in-the-middle, podsłuchiwanie ruchu i przejmowanie sesji. Takie ataki mogą być pierwszym krokiem podejmowanym przez osoby atakujące w celu uzyskania dostępu do danych poufnych.
- Kompleksowe szyfrowanie zaczyna się od połączenia z platformą Azure i obejmuje całą komunikację aż do aplikacji lub zasobu zaplecza. Usługa Azure VPN Gateway ułatwia łączenie się z platformą Azure za pośrednictwem szyfrowanego tunelu. Usługi Azure Front Door i Application Gateway mogą ułatwić odciążanie protokołu SSL, inspekcję zapory aplikacji internetowej i ponowne szyfrowanie. Klienci mogą zaprojektować swój ruch tak, aby był kompleksowo przekazywany przez protokół SSL. Inspekcja protokołu TLS w usłudze Azure Firewall Premium pozwala wyświetlać, wykrywać i blokować złośliwy ruch w ramach szyfrowanego połączenia za pomocą zaawansowanego aparatu IDPS. Kompleksowe szyfrowanie za pomocą protokołu TLS w usłudze Azure Application Gateway ułatwia szyfrowanie i bezpieczne transmitowanie danych poufnych do zaplecza z jednoczesnym korzystaniem z funkcji równoważenia obciążenia w warstwie 7. Kompleksowe szyfrowanie za pomocą protokołu TLS w usłudze Azure Application Gateway za pomocą usługi Azure Application Gateway.
Zaimplementuj ochronę przed zagrożeniami i filtrowanie oparte na uczeniu maszynowym.
- W obliczu rosnącej złożoności i częstotliwości ataków organizacja musi zapewnić, że jest odpowiednio wyposażona do reagowania na nie. Filtrowanie i ochrona przed zagrożeniami oparta na uczeniu maszynowym mogą ułatwić organizacjom szybsze reagowanie, usprawnić badania, zautomatyzować korygowanie i uprościć zarządzanie skalowaniem. Ponadto można agregować zdarzenia z wielu usług (DDoS, WAF i FW) w rozwiązaniu SIEM firmy Microsoft i usłudze Azure Sentinel, aby zapewnić inteligentną analizę zabezpieczeń.
- Usługa Azure DDoS Protection korzysta z uczenia maszynowego, aby ułatwić monitorowanie ruchu aplikacji hostowanych na platformie Azure, określanie punktów odniesienia i wykrywanie zmasowanych ilości ruchu oraz stosowanie automatycznego korygowania.
- Włącz usługę Azure DDoS Protection Standard.
Obserwuj rozwiązania zabezpieczające firmy Microsoft