Vyhodnotenie úrovne zabezpečenia s nulovou dôverou (Zero Trust)
Začnite výberom kategórie
Odpovedzte na niekoľko otázok a získajte rady o úrovni vyspelosti organizácie v oblasti nulovej dôvery (Zero Trust) a pozrite si praktické zdroje nasadenia.
Identity
Overte a zabezpečte každú identitu pomocou silného overovania všetkých digitálnych prostriedkov.
Koncové body
Získajte prehľad o zariadeniach, ktoré sa pripájajú k sieti, a pred udelením prístupu skontrolujte zabezpečenie súladu a stav.
Aplikácie
Zoznámte sa s tieňovým IT a kontrolujte prístup prostredníctvom analýzy a monitorovania v reálnom čase.
Infraštruktúra
Posilnite obranu využitím podrobnejšieho riadenia prístupu, princípov prístupu s najmenším oprávnením a zisťovania hrozieb v reálnom čase.
Údaje
Klasifikujte, označujte a chráňte údaje v cloude i lokálne údaje, aby ste zabránili nevhodnému zdieľaniu a rizikám zvnútra.
Sieť
Posuňte sa za hranice tradičného zabezpečenia siete vďaka mikrosegmentácii, zisťovaniu hrozieb v reálnom čase a komplexnému šifrovaniu.
Prijatie proaktívneho prístupu k kybernetickej bezpečnosti
Koncové body • Otázka 1 z 9
Povolili ste interným používateľom viacfaktorové overovanie?
Koncové body • Otázka 2 z 9
Ktoré formy overovania bez hesiel majú vaši používatelia povolené?
Koncové body • Otázka 3 z 9
Ktoré skupiny používateľov majú zriadenú možnosť jediného prihlásenia (SSO)?
Koncové body • Otázka 4 z 9
Ktoré z nasledujúcich mechanizmov politiky zabezpečenia používate pri rozhodovaní o prístupe k podnikovým zdrojom?
Koncové body • Otázka 5 z 9
Zakázali ste starší typ overovania?
Koncové body • Otázka 6 z 9
Používate pri vyhodnocovaní žiadostí o prístup zisťovanie rizík v súvislosti s používateľom a prihlásením v reálnom čase?
Koncové body • Otázka 7 z 9
Ktoré z nasledujúcich technológií ste integrovali so svojím riešením na správu identít a prístupu?
Koncové body • Otázka 8 z 9
Ktorý z týchto kontextov používate v politikách prístupu?
Koncové body • Otázka 9 z 9
Používate na pomoc ukazovateľ bezpečnosti identít?
Na základe vašich odpovedí sa nachádzate v optimálnej fáze nulovej dôvery (Zero Trust) pre identitu.
Vytvorte komplexný prístup k zabezpečeniu pomocou nulovej dôvery (Zero Trust).
Na základe vašich odpovedí sa nachádzate v pokročilej fáze nulovej dôvery (Zero Trust) pre identitu.
Vytvorte komplexný prístup k zabezpečeniu pomocou nulovej dôvery (Zero Trust).
Na základe vašich odpovedí sa nachádzate v úvodnej fáze nulovej dôvery (Zero Trust) pre identitu.
Vytvorte komplexný prístup k zabezpečeniu pomocou nulovej dôvery (Zero Trust).
Implementujte viacfaktorové overovanie.
- Viacfaktorové overovanie pomáha chrániť vaše aplikácie tým, že od používateľov vyžaduje, aby pred udelením prístupu potvrdili svoju identitu pomocou druhého zdroja overenia, napríklad telefónom alebo tokenom.
- Microsoft Entra ID vám umožní povoliť viacfaktorové overovanie zadarmo.
- Už máte Microsoft Entra ID? Spustite nasadenie ešte dnes.
Povolenie overovania bez hesiel.
- Metódy overovania bez hesla, ako napríklad Windows Hello a Microsoft Authenticator, poskytujú jednoduchšie a bezpečnejšie overovanie na webe a v mobilných zariadeniach. Tieto metódy založené na nedávno vyvinutom štandarde FIDO2 umožňujú používateľom jednoduché a bezpečné overovanie bez toho, aby sa od nich vyžadovalo heslo.
- Spoločnosť Microsoft vám môže ešte dnes pomôcť prijať overovanie bez hesla. Stiahnite si údajový hárok o overovaní bez hesiel a získajte ďalšie informácie.
- Ak už máte službu Microsoft Entra ID, zistite, ako môžete povoliť overovanie bez hesiel ešte dnes.
Implementujte jediné prihlásenie (SSO).
- Jediné prihlásenie (SSO) nielenže posilňuje zabezpečenie tým, že odstraňuje potrebu spravovania viacerých prihlasovacích údajov pre tú istú osobu, ale zároveň poskytuje lepšiu používateľskú skúsenosť s menším počtom výziev na prihlásenie.
- Služba Microsoft Entra ID umožňuje využívať SSO v aplikáciách SaaS (softvér ako služba), lokálnych aplikáciách a vlastných aplikáciách, ktoré sa nachádzajú v akomkoľvek cloude pre akýkoľvek typ používateľov a akúkoľvek identitu.
- Naplánujte nasadenie SSO.
Vynúťte kontrolné mechanizmy prístupu pomocou adaptívnych politík na základe rizík.
- Posuňte sa nad rámec jednoduchých rozhodnutí o prístupe alebo blokovaní a prispôsobte rozhodnutia na základe úrovne rizík, ako napríklad povolenie prístupu, blokovanie, obmedzenie prístupu alebo vyžadovanie dodatočných dôkazov, napríklad viacfaktorového overovania.
- Podmienený prístup v službe Microsoft Entra ID umožňuje vynucovať vyladené adaptívne kontrolné mechanizmy prístupu, napríklad vyžadovanie viacfaktorového overovania na základe kontextu používateľa, zariadenia, umiestnenia a informácií o rizikách relácie.
- Naplánujte nasadenie podmieneného prístupu.
Zablokujte staršie typy overovania.
- Jedným z najbežnejších vektorov útoku zlomyseľných účastníkov je použitie odcudzených alebo prehrávaných prihlasovacích údajov v starších protokoloch, ako napríklad SMTP, ktoré nedokážu zvládať moderné bezpečnostné výzvy.
- Podmienený prístup v službe Microsoft Entra ID vám pomôže zablokovať starší typ overovania. Získajte ďalšie informácie o blokovaní staršieho typu overovania.
Chráňte identity pred zneužitím.
- Hodnotenia rizík v reálnom čase môžu chrániť pred zneužitím identity v čase prihlásenia a počas relácií.
- Azure Identity Protection poskytuje neustále zisťovanie v reálnom čase, automatizované opravy a prepojené analytické nástroje na skúmanie riskantných používateľov a prihlásení s cieľom riešiť potenciálne riziká.
- Ak chcete začať,povoľte ochranu identity. Preneste údaje z relácie používateľov zo služby Microsoft Cloud App Securitys cieľom obohatiť službu Microsoft Entra ID o možné riskantné správanie používateľov po ich overení.
Obohaťte svoje riešenie spravovania identít a prístupu (IAM) o viac údajov.
- Čím viac údajov dodáte do svojho riešenia správy identít a prístupu (IAM), tým viac môžete zlepšiť svoju úroveň zabezpečenia vďaka podrobným rozhodnutiam o prístupe, lepšiemu prehľadu o používateľoch, ktorí majú prístup k podnikovým zdrojom, a tým viac môžete prispôsobiť prostredie koncovým používateľom.
- Microsoft Entra ID, Microsoft Cloud App Security a Microsoft Defender pre koncové body spolupracujú a poskytujú rozšírené signály na lepšie rozhodovanie.
- Nakonfigurujte podmienený prístup v službách Microsoft Defender pre koncové body, Microsoft Defender na ochranu identity a Microsoft Cloud App Security.
Dolaďte si politiky prístupu.
- Vynucujte podrobnú kontrolu prístupu pomocou politík adaptívneho prístupu založeného na rizikách, ktoré sa integrujú medzi koncovými bodmi, aplikáciami a sieťami na lepšiu ochranu údajov.
- Podmienený prístup v službe Microsoft Entra ID umožňuje vynucovať vyladené adaptívne kontrolné mechanizmy prístupu, napríklad vyžadovanie viacfaktorového overovania na základe kontextu používateľa, zariadenia, umiestnenia a informácií o rizikách relácie.
- Vylaďte svoje politiky podmieneného prístupu.
Zlepšite si úroveň zabezpečenia identít.
- Ukazovateľ bezpečnosti identít v službe Microsoft Entra ID vám pomôže vyhodnotiť vašu úroveň zabezpečenia identít pomocou analýzy toho, do akej miery je vaše prostredie v súlade s odporúčaniami spoločnosti Microsoft v oblasti najvhodnejších postupov pre zabezpečenie.
- Získajte ukazovateľ bezpečnosti identít
Koncové body • Otázka 1 z 7
Sú zariadenia zaregistrované u poskytovateľa identity?
Koncové body • Otázka 2 z 7
Sú zariadenia zaregistrované v správe mobilných zariadení pre interných používateľov?
Koncové body • Otázka 3 z 7
Vyžaduje sa na udelenie prístupu, aby boli spravované zariadenia kompatibilné s politikami konfigurácie IT?
Koncové body • Otázka 4 z 7
Máte k dispozícii model, pomocou ktorého sa používatelia môžu pripojiť k zdrojom organizácie aj z nespravovaných zariadení?
Koncové body • Otázka 5 z 7
Sú zariadenia zaregistrované v správe mobilných zariadení pre externých používateľov?
Koncové body • Otázka 6 z 7
Vynucujete politiky ochrany pred únikom údajov vo všetkých spravovaných aj nespravovaných zariadeniach?
Koncové body • Otázka 7 z 7
Už ste implementovali riešenie na detekciu hrozieb v rámci koncových bodov, aby ste mohli v reálnom čase vyhodnocovať riziká spojené so zariadeniami?
Na základe vašich odpovedí sa nachádzate v optimálnej fáze nulovej dôvery (Zero Trust) pre identitu.
Vytvorte komplexný prístup k zabezpečeniu pomocou nulovej dôvery (Zero Trust).
Na základe vašich odpovedí sa nachádzate v pokročilej fáze nulovej dôvery (Zero Trust) pre identitu.
Vytvorte komplexný prístup k zabezpečeniu pomocou nulovej dôvery (Zero Trust).
Na základe vašich odpovedí sa nachádzate v úvodnej fáze nulovej dôvery (Zero Trust) pre identitu.
Vytvorte komplexný prístup k zabezpečeniu pomocou nulovej dôvery (Zero Trust).
Zaregistrujte zariadenia u poskytovateľa identity.
- Ak chcete monitorovať zabezpečenie a riziko vo viacerých koncových bodoch používaných jednou osobou, musíte mať prehľad vo všetkých zariadeniach a prístupových bodoch, ktoré môžu mať prístup k vašim zdrojom.
- Zariadenia je možné zaregistrovať pomocou služby Microsoft Entra ID, čo vám poskytne prehľad o zariadeniach, ktoré získavajú prístup do vašej siete, a možnosť využívať informácie o funkciách a stave zariadenia pri rozhodnutiach o prístupe.
- Konfigurácia a spravovanie identít zariadení v službe Microsoft Entra ID
Zaregistrujte zariadenia do Správy mobilných zariadení pre interných používateľov.
- Po poskytnutí prístupu k údajom je na zníženie rizika dôležitá schopnosť kontrolovať, čo používateľ s podnikovými údajmi robí.
- Microsoft Endpoint Manager umožňuje zriaďovanie koncových bodov, konfiguráciu, automatické aktualizácie, vymazanie údajov zo zariadenia a iné akcie na diaľku.
- Nastavte spravovanie mobilných zariadení pre interných používateľov.
Pred udelením prístupu skontrolujte dodržiavania súladu.
- Keď máte identity pre všetky koncové body, ktoré získavajú prístup k podnikovým zdrojom, pred udelením prístupu chcete zabezpečiť, aby spĺňali minimálne požiadavky zabezpečenia nastavené vašou organizáciou.
- Microsoft Endpoint Manager vám môže pomôcť nastaviť pravidlá dodržiavania súladu s cieľom zabezpečiť, aby zariadenia pred udelením prístupu spĺňali minimálne požiadavky zabezpečenia. Nastavte aj pravidlá opráv pre zariadenia, ktoré nedodržiavajú súlad, aby ľudia vedeli, ako problém vyriešiť.
- Nastavte pravidlá v zariadeniach a povoľte prístup k zdrojom vo vašej organizácii prostredníctvom služby Intune.
Podľa potreby povoľte prístup pre nespravované zariadenia.
- Povolenie prístupu zamestnancov k príslušným zdrojom z nespravovaných zariadení môže byť dôležité na zachovanie produktivity. Je však nevyhnutné, aby boli vaše údaje vždy chránené.
- Správa mobilných aplikácií služby Microsoft Intune vám umožňuje publikovať, zobrazovať, konfigurovať, zabezpečovať, monitorovať a aktualizovať mobilné aplikácie pre používateľov a zabezpečiť tak prístup k aplikáciám, ktoré potrebujú na vykonávanie svojej práce.
- Nakonfigurujte prístup pre nespravované zariadenia.
Zaregistrujte zariadenia do správy mobilných zariadení pre externých používateľov.
- Registrácia externých zariadení Registrácia zariadení od externých používateľov (napríklad dodávateľov, dodávateľov, partnerov atď.) do riešenia správy mobilných zariadení (MDM) je skvelý spôsob, ako zabezpečiť ochranu vašich údajov a poskytnúť používateľom prístup, ktorý potrebujú na prácu.
- Microsoft Endpoint Manager poskytuje zriaďovanie koncových bodov, konfiguráciu, automatické aktualizácie, vymazanie údajov zo zariadenia a iné akcie na diaľku.
- Nastavte spravovanie mobilných zariadení pre externých používateľov.
Vynucujte vo svojich zariadeniach politiky ochrany pred únikom údajov.
- Po poskytnutí prístupu k údajom je dôležitá kontrola toho, čo môže používateľ s vašimi údajmi robiť. Ak napríklad používateľ získava prístup k dokumentu pomocou podnikovej identity, chcete zabrániť uloženiu tohto dokumentu v nezabezpečených ukladacích priestoroch spotrebiteľov alebo jeho zdieľaniu prostredníctvom spotrebiteľskej aplikácie na komunikáciu či chat.
- Politiky ochrany služby Intune pomôžu chrániť údaje s registráciou zariadení alebo bez nej v riešení správy zariadení prostredníctvom obmedzenia prístupu k zdrojom spoločnosti a udržiavaním údajov v kompetencii IT oddelenia.
- Začnite s politikami aplikácie Intune.
Povoľte vyhodnocovanie rizík spojených so zariadeniami v reálnom čase.
- Zabezpečenie prístupu k podnikovým zdrojom len pre bezpečné a dôveryhodné zariadenia je dôležitým krokom na ceste k nulovej dôvere (Zero Trust). Po zaregistrovaní zariadení u poskytovateľa identity môžete tento signál uviesť do svojich rozhodnutí o prístupe a povoliť tak prístup len bezpečným zariadeniam, ktoré spĺňajú požiadavky dodržiavania súladu.
- Vďaka integrácii so službou Microsoft Entra ID vám Microsoft Endpoint Manager umožňuje vynucovať podrobnejšie rozhodnutia o prístupe a doladiť politiky podmieneného prístupu na základe úrovne rizika vašej organizácie. Príkladom je vylúčenie určitých platforiem zariadení z prístupu ku konkrétnym aplikáciám.
- Konfigurácia podmieneného prístupu v Microsoft Defenderi pre koncové body
Koncové body • Otázka 1 z 6
Vynucujete v aplikáciách kontrolné mechanizmy prístupu na základe politík?
Koncové body • Otázka 2 z 6
Vynucujete v aplikáciách kontrolné mechanizmy relácií na základe politík (napríklad obmedzenie viditeľnosti alebo blokovanie sťahovania)?
Koncové body • Otázka 3 z 6
Pripojili ste dôležité podnikové aplikácie k platforme zabezpečenia aplikácií na monitorovanie cloudových údajov a cloudových hrozieb?
Koncové body • Otázka 4 z 6
Koľko súkromných aplikácií a zdrojov vašej organizácie je k dispozícii bez pripojenia VPN alebo pevného pripojenia?
Koncové body • Otázka 5 z 6
Využívate priebežne Shadow IT Discovery, vyhodnocovanie rizík a kontrolu neschválených aplikácií?
Koncové body • Otázka 6 z 6
Poskytujete správcovský prístup k aplikáciám presne na čas a len s potrebnými oprávneniami, čím sa znižuje riziko trvalých povolení?
Na základe vašich odpovedí sa nachádzate v optimálnej fáze nulovej dôvery (Zero Trust) pre identitu.
Vytvorte komplexný prístup k zabezpečeniu pomocou nulovej dôvery (Zero Trust).
Na základe vašich odpovedí sa nachádzate v pokročilej fáze nulovej dôvery (Zero Trust) pre identitu.
Vytvorte komplexný prístup k zabezpečeniu pomocou nulovej dôvery (Zero Trust).
Na základe vašich odpovedí sa nachádzate v úvodnej fáze nulovej dôvery (Zero Trust) pre identitu.
Vytvorte komplexný prístup k zabezpečeniu pomocou nulovej dôvery (Zero Trust).
Vynucujte kontrolné mechanizmy prístupu k aplikáciám na základe politík.
- Posuňte sa nad rámec jednoduchých rozhodnutí o prístupe alebo blokovaní a prispôsobte rozhodnutia na základe úrovne rizík, ako napríklad povolenie prístupu, blokovanie, obmedzenie prístupu alebo vyžadovanie dodatočných dôkazov, napríklad viacfaktorového overovania.
- Podmienený prístup v službe Microsoft Entra ID umožňuje vynucovať vyladené adaptívne kontrolné mechanizmy prístupu, napríklad vyžadovanie viacfaktorového overovania na základe kontextu používateľa, zariadenia, umiestnenia a informácií o rizikách relácie.
- Konfigurácia podmieneného prístupu pre prístup k aplikáciám
Vynucujte kontrolné mechanizmy relácie na základe politík.
- Zastavenie narušení a únikov údajov v reálnom čase ešte predtým, ako zamestnanci úmyselne alebo neúmyselne ohrozia bezpečnosť údajov a organizácií, je na zníženie rizika po poskytnutí prístupu kľúčové. Zároveň je pre podniky dôležité umožniť zamestnancom bezpečne využívať vlastné zariadenia.
- Microsoft Cloud App Security(MCAS) sa integruje s podmieneným prístupom v službe Microsoft Entra ID, takže môžete nakonfigurovať aplikácie tak, aby fungovali s riadením podmieneného prístupu k aplikáciám. Jednoducho a selektívne vynucujte ovládacie prvky prístupu a relácií v aplikáciách organizácie na základe akejkoľvek podmienky v podmienenom prístupe (napríklad zabránenie exfiltrácii údajov, ochrana pri sťahovaní, zabránenie nahrávaniu, blokovanie malvéru a ďalších).
- Ak chcete začať, vytvorte politiku relácie služby Microsoft Cloud App Security.
Pripojte podnikové aplikácie k agentovi zabezpečenia cloudových aplikácií (CASB).
- Prehľad v rámci aplikácií a platforiem je veľmi dôležitý na vykonávanie akcií riadenia, ako je napríklad presúvanie súborov do karantény alebo zablokovanie používateľov, ako aj zníženie označeného rizika.
- Aplikácie pripojené k službe Microsoft Cloud App Security (MCAS) získajú okamžitú predpripravenú ochranu so vstavanou detekciou anomálií. Microsoft Cloud App Security používa analýzu správania entít a používateľov (UEBA) a strojové učenie na zisťovanie nezvyčajného správania v cloudových aplikáciách, čo pomáha identifikovať bezpečnostné hrozby, ako napríklad ransomware, zneužitie údajov používateľov alebo falošné aplikácie.
- Pripojte svoje dôležité podnikové aplikácie k službe Microsoft Cloud App Security.
Poskytujte vzdialený prístup k lokálnym aplikáciám prostredníctvom proxy aplikácií.
- Poskytovanie zabezpečeného vzdialeného prístupu k interným aplikáciám spusteným na lokálnom serveri pre používateľov je v súčasnosti nevyhnutné na zachovanie produktivity.
- Služba Microsoft Entra ID Application Proxy poskytuje zabezpečený vzdialený prístup k lokálnym webovým aplikáciám bez siete VPN alebo bez serverov s viacerými sieťovými rozhraniami a pravidlami brány firewall. Vďaka integrácii so službou Microsoft Entra ID a s podmieneným prístupom umožňuje používateľom získať prístup k webovým aplikáciám prostredníctvom jediného prihlásenia a IT pracovníkom zároveň umožňuje nakonfigurovať politiky podmieneného prístupu na vyladené riadenie prístupu.
- Začnite už dnes.
Odhaľujte a spravujte tieňové IT v sieti.
- Celkový počet aplikácií, ku ktorým majú zamestnanci prístup v priemernom podniku, presahuje 1 500. To sa rovná viac ako 80 GB údajov nahraných mesačne do rôznych aplikácií, z ktorých menej ako 15 % spravuje IT oddelenie. Keďže práca na diaľku sa pre väčšinu stáva realitou, nestačí už používať politiky prístupu len vo vašom sieťovom zariadení.
- Microsoft Cloud App Security vám pomôže zistiť, ktoré aplikácie sa používajú, preskúmať riziko týchto aplikácií, nakonfigurovať politiky na identifikáciu nových používaných rizikových aplikácií, zrušiť povolenie týchto aplikácií a zablokovať ich tak natívne pomocou servera proxy alebo brány firewall zariadenia. V elektronickej knihe sa dozviete viac.
- Ak chcete začať zisťovať a vyhodnocovať cloudové aplikácie, nastavte riešenie Cloud Discoveryv službe Microsoft Cloud App Security.
Spravujte prístup k virtuálnym počítačom pomocou funkcie Presne na čas.
- Obmedzte prístup používateľov pomocou prístupu presne na čas a len s potrebným prístupom, pomocou adaptívnych politík založených na rizikách a pomocou ochrany údajov. Zabezpečíte tak ochranu údajov aj produktivity.
- Obmedzte prichádzajúce prenosy pre virtuálne počítače so službou Azure s Centrami zabezpečenia pre Azure funkciou prístupu k virtuálnemu počítaču presne na čas, čo umožní znížiť riziko vystavenia útokom a zároveň poskytovať jednoduchý prístup, keď sa potrebujete pripojiť k virtuálnemu počítaču.
- Povoľte prístup k virtuálnemu počítaču presne na čas.
Koncové body • Otázka 1 z 9
Povolili ste vo svojom hybridnom a multicloudovom digitálnom majetku riešenia na ochranu cloudovej infraštruktúry?
Koncové body • Otázka 2 z 9
Má každý workload priradenú identitu aplikácie?
Koncové body • Otázka 3 z 9
Je používateľský prístup a prístup k zdrojom (medzi počítačmi) rozdelený pre každý workload zvlášť?
Koncové body • Otázka 4 z 9
Má váš tím pre bezpečnostné operácie prístup k špeciálnym nástrojom na zisťovanie hrozieb pre koncové body, e-mailové útoky a útoky na identitu?
Koncové body • Otázka 5 z 9
Má váš tím pre bezpečnostné operácie prístup k riešeniu na správu informácií a udalostí zabezpečenia (SIEM), aby mohol agregovať a analyzovať udalosti v rámci rôznych zdrojov?
Koncové body • Otázka 6 z 9
Využíva váš tím pre bezpečnostné operácie analýzy správania na zisťovanie a vyšetrovanie hrozieb?
Koncové body • Otázka 7 z 9
Využíva váš tím pre bezpečnostné operácie nástroje SOAR (organizácia krokov zabezpečenia, automatizácia a náprava) na zníženie potreby manuálnej aktivity v rámci reagovania na hrozby?
Koncové body • Otázka 8 z 9
Kontrolujete oprávnenia správcu pravidelne (aspoň každých 180 dní), aby ste sa uistili, že správcovia majú primerané práva správcu?
Koncové body • Otázka 9 z 9
Povolili ste v rámci spravovania serverov a ďalšej infraštruktúry prístup presne na čas?
Na základe vašich odpovedí sa nachádzate v optimálnej fáze nulovej dôvery (Zero Trust) pre identitu.
Vytvorte komplexný prístup k zabezpečeniu pomocou nulovej dôvery (Zero Trust).
Na základe vašich odpovedí sa nachádzate v pokročilej fáze nulovej dôvery (Zero Trust) pre identitu.
Vytvorte komplexný prístup k zabezpečeniu pomocou nulovej dôvery (Zero Trust).
Na základe vašich odpovedí sa nachádzate v úvodnej fáze nulovej dôvery (Zero Trust) pre identitu.
Vytvorte komplexný prístup k zabezpečeniu pomocou nulovej dôvery (Zero Trust).
Použite riešenia na ochranu cloudových workloadov.
- Komplexné zobrazenie všetkých workloadov v cloude je nevyhnutné na zabezpečenie zdrojov vo vysoko distribuovanom prostredí.
- Centrum zabezpečenia pre Azure je zjednotený systém riadenia zabezpečenia infraštruktúry, ktorý posilní úroveň zabezpečenia vašich údajových centier a poskytne rozšírenú ochranu pred bezpečnostnými hrozbami v rámci hybridných workloadov v cloude (či už sú v Azure, alebo nie) aj lokálne.
- Konfigurácia Centra zabezpečenia pre Azure
Priraďte identity aplikácií.
- Priradenie identity aplikácie je dôležité na zabezpečenie komunikácie medzi rôznymi službami.
- Azure podporuje spravované identity zo služby Microsoft Entra ID, vďaka čomu máte jednoduchý prístup k iným zdrojom chráneným službou Microsoft Entra ID, ako je napríklad Azure Key Vault, kde sú bezpečne uložené tajné kódy a prihlasovacie údaje.
- Priradenie identity aplikácie na portáli Azure
Segmentujte prístup používateľov a zdrojov.
- Segmentácia prístupu pre každý workload je kľúčovým krokom na vašej ceste k nulovej dôvere (Zero Trust).
- Microsoft Azure ponúka mnoho spôsobov segmentácie workloadov na spravovanie prístupu používateľov a zdrojov. Segmentácia siete je celkový prístup a v rámci služby Azure môžu byť zdroje izolované na úrovni predplatného pomocou virtuálnych sietí (VNet), pravidiel peeringu VNet, skupín zabezpečenia siete (NSG), skupín zabezpečenia aplikácií (ASG) a brán firewall služby Azure.
- Vytvorte virtuálnu sieť Azure a povoľte svojim zdrojom v Azure bezpečnú komunikáciu.
Implementujte nástroje na zisťovanie hrozieb.
- Zabránenie pokročilým bezpečnostným hrozbám v rámci hybridnej infraštruktúry, ich zisťovanie, skúmanie a odpovedanie na ne pomôže zlepšiť vašu úroveň zabezpečenia.
- Rozšírená ochrana pred bezpečnostnými hrozbami pre Microsoft Defender pre koncové body je podniková platforma zabezpečenia koncových bodov, ktorá pomáha podnikovým sieťam predchádzať pokročilým hrozbám, rozpoznávať ich, skúmať ich a reagovať na ne.
- Naplánovanie nasadenia rozšírenej ochrany pred bezpečnostnými hrozbami pre Microsoft Defender pre koncové body
Nasaďte riešenia SIEM (Security Information and Event Management).
- Keďže hodnota digitálnych informácií sa neustále zvyšuje, zvyšuje sa aj počet a sofistikovanosť útokov. SIEM poskytuje centrálny spôsob zmierňovania hrozieb v rámci celého majetku.
- Azure Sentinel je cloudové riešenie SIEM (security information event management) a SOAR (security orchestration automated response), ktoré umožní vášmu stredisku zabezpečenia prevádzky pracovať z jednej prehľadnej tably a monitorovať udalosti zabezpečenia v rámci vášho podniku. Pomáha chrániť všetky aktíva zhromažďovaním signálov z celej hybridnej organizácie a následne použiť inteligentné analýzy na rýchlu identifikáciu hrozieb.
- Ak chcete začať, nasaďte Sentinel.
Implementujte analýzy správania.
- Pri vytváraní novej infraštruktúry je potrebné zabezpečiť, aby ste zaviedli aj pravidlá na monitorovanie a vydávanie upozornení. Toto je kľúčom na identifikáciu toho, kedy zdroj zobrazuje neočakávané správanie.
- Microsoft Defender na ochranu identity umožňuje zhromažďovanie signálov na identifikovanie, zisťovanie a skúmanie pokročilých hrozieb, ohrozených identít a škodlivých aktivít insiderov namierených na vašu organizáciu.
- Získajte ďalšie informácie o riešení Microsoft Defender na ochranu identity
Nastavte automatizované skúmania.
- Tímy zabezpečenia prevádzky čelia problémom pri riešení mnohých upozornení, ktoré vznikajú v zdanlivo nekončiacom toku hrozieb. Implementácia riešenia s možnosťami automatizovaného skúmania a náprav (AIR) môže vášmu tímu zabezpečenia prevádzky pomôcť pohotovejšie a efektívnejšie riešiť hrozby.
- Rozšírená ochrana pred bezpečnostnými hrozbami pre Microsoft Defender pre koncové body zahŕňa možnosti automatizovaného skúmania a náprav, ktoré pomáhajú preskúmať upozornenia a prijať okamžité kroky na vyriešenie narušení. Tieto možnosti môžu výrazne znížiť objem upozornení a umožniť tímu zabezpečenia prevádzky zamerať sa na sofistikovanejšie hrozby a iné iniciatívy s vysokou hodnotou.
- Získajte ďalšie informácie o automatizovaných skúmaniach.
Riaďte prístup k privilegovaným prostriedkom.
- Prístup správcu by mal personál používať striedmo. Ak sú potrebné funkcie správcu, mali by používatelia získať dočasný prístup správcu.
- Privileged Identity Management (PIM) v službe Microsoft Entra ID umožňuje zisťovanie, obmedzovanie a monitorovanie prístupových práv pre privilegované identity. Technológia Privileged Identity Management vám pomôže zaistiť, aby vaše kontá správcu zostali zabezpečené, a to pomocou obmedzenia prístupu k dôležitým operáciám pomocou kontrolného mechanizmu prístupu presne na čas, prístupu s časovým ohraničením a prístupu podľa rolí.
- Ak chcete začať, nasaďte službu Privileged Identity Management
Poskytnite privilegovaným kontám prístup presne na čas (JIT).
- Prístup správcu by mal personál používať striedmo. Ak sú potrebné funkcie správcu, mali by používatelia získať dočasný prístup správcu.
- Privileged Identity Management (PIM) v službe Microsoft Entra ID umožňuje zisťovanie, obmedzovanie a monitorovanie prístupových práv pre privilegované identity. Technológia Privileged Identity Management vám pomôže zaistiť, aby vaše kontá správcu zostali zabezpečené, a to pomocou obmedzenia prístupu k dôležitým operáciám pomocou kontrolného mechanizmu prístupu presne na čas, prístupu s časovým ohraničením a prístupu podľa rolí.
- Ak chcete začať, nasaďte službu Privileged Identity Management.
Koncové body • Otázka 1 z 6
Má vaša organizácia definovanú taxonómiu klasifikácie údajov?
Koncové body • Otázka 2 z 6
Sú rozhodnutia o prístupe k údajom riadené citlivosťou údajov (alebo skôr jednoduchými kontrolnými mechanizmami nárazníkovej oblasti siete)?
Koncové body • Otázka 3 z 6
Sú podnikové údaje aktívne a priebežne zisťované citlivosťou na ľubovoľnom mieste?
Koncové body • Otázka 4 z 6
Sú rozhodnutia o prístupe k údajom riadené politikou a vynucované nástrojom politiky zabezpečenia cloudu (napríklad dostupnosť kdekoľvek na internete)?
Koncové body • Otázka 5 z 6
Sú najcitlivejšie súbory trvale chránené šifrovaním, aby sa zabránilo neoprávnenému prístupu a používaniu?
Koncové body • Otázka 6 z 6
Sú zavedené kontrolné mechanizmy ochrany pred únikom údajov na monitorovanie toku citlivých údajov (napríklad blokovanie e-mailov, nahrávania alebo kopírovania na USB), upozornenie naň alebo jeho obmedzenie?
Na základe vašich odpovedí sa nachádzate v optimálnej fáze nulovej dôvery (Zero Trust) pre identitu.
Vytvorte komplexný prístup k zabezpečeniu pomocou nulovej dôvery (Zero Trust).
Na základe vašich odpovedí sa nachádzate v pokročilej fáze nulovej dôvery (Zero Trust) pre identitu.
Vytvorte komplexný prístup k zabezpečeniu pomocou nulovej dôvery (Zero Trust).
Na základe vašich odpovedí sa nachádzate v úvodnej fáze nulovej dôvery (Zero Trust) pre identitu.
Vytvorte komplexný prístup k zabezpečeniu pomocou nulovej dôvery (Zero Trust).
Definujte taxonómiu klasifikácie.
- Definovanie správnej taxonómie označení a politík ochrany je najdôležitejším krokom stratégie ochrany údajov, preto začnite vytvorením stratégie označovania, ktorá bude odrážať požiadavky vašej organizácie na citlivosť informácií.
- Získajte informácie o klasifikácii údajov.
- Keď budete pripravení, začnite používať označenia citlivosti.
Riaďte rozhodnutia o prístupe na základe citlivosti.
- Čím sú údaje citlivejšie, tým prísnejšie riadenie ochrany a jej vynucovanie je potrebné. Podobne by aj kontrolné mechanizmy mali zodpovedať charakteru rizík spojených s tým, ako a odkiaľ sa k údajom získava prístup (ak napríklad žiadosť pochádza z nespravovaných zariadení alebo od externých používateľov). Microsoft Information Protection ponúka flexibilnú množinu kontrolných mechanizmov ochrany založených na citlivosti údajov a riziku.
- Niektoré citlivé údaje potrebujú ochranu politikami, ktoré vynucujú šifrovanie, aby sa zabezpečilo, že k údajom budú mať prístup iba oprávnení používatelia.
- Nastavenie označení citlivosti riadi rozhodovanie o prístupe. Nová služba Azure Purview poskytuje zjednotenú službu riadenia údajov, ktorá vychádza zo služby Microsoft Information Protection. Prečítajte si blog s oznámením
- , kde nájdete ďalšie informácie.
Implementujte výkonnú stratégiu klasifikácie a označovania údajov.
- Podniky majú veľké množstvá údajov, ktoré môžu byť náročné na adekvátne označenie a klasifikáciu. Používanie strojového učenia na inteligentnejšiu a automatizovanú klasifikáciu pomôže znížiť záťaž koncových používateľov a viesť ku konzistentnejšiemu označovaniu.
- Microsoft 365 poskytuje tri spôsoby klasifikácie obsahu vrátane manuálneho spôsobu, automatizovaného porovnávania vzorov a nových trénovateľných klasifikátorov. Trénovateľné klasifikátory sú vhodné pre obsah, ktorý nie je jednoducho identifikovateľný manuálnymi či automatizovanými metódami porovnávania vzoru. V prípade lokálnych odkladacích priestorov súborov a lokálnych lokalít SharePointu 2013+ vám skener Azure Information Protection(AIP) pomôže zisťovať, klasifikovať, označovať a chrániť citlivé informácie.
- Ak chcete začať, pozrite si naše pokyny k nasadeniu označovania.
Riadenie rozhodnutí o prístupe na základe politiky.
- Posuňte sa nad rámec jednoduchých rozhodnutí o prístupe alebo blokovaní a prispôsobte rozhodnutia na základe úrovne rizík, ako napríklad povolenie prístupu, blokovanie, obmedzenie prístupu alebo vyžadovanie dodatočných dôkazov, napríklad viacfaktorového overovania.
- Podmienený prístup v službe Azure AD umožňuje vynucovať vyladené adaptívne kontrolné mechanizmy prístupu, napríklad vyžadovanie viacfaktorového overovania na základe kontextu používateľa, zariadenia, umiestnenia a informácií o rizikách relácie.
- Integrujte službu Azure Information Protection so službou Microsoft Cloud App Security na povolenie politík podmieneného prístupu.
Vynúťte prístup a práva na používanie údajov zdieľaných mimo spoločnosti.
- Ak chcete správne zmierňovať riziká bez toho, aby to malo negatívny vplyv na produktivitu, musíte mať možnosť kontrolovať a zabezpečiť e-maily, dokumenty a citlivé údaje, ktoré zdieľate mimo svojej spoločnosti.
- Služba Azure Information Protection pomáha zabezpečiť e-maily, dokumenty a citlivé údaje v rámci spoločnosti aj mimo nej. Od jednoduchej klasifikácie až po vložené označenia a povolenia – ochranu údajov môžete kedykoľvek zlepšiť pomocou služby Azure Information Protection bez ohľadu na to, kde sú tieto údaje uložené alebo s kým sa zdieľajú.
- Ak chcete začať, naplánujte si nasadenie.
Implementujte politiky ochrany pred únikom údajov (DLP).
- Ak chcú organizácie dosiahnuť súlad s obchodnými normami a predpismi platnými v danom odvetví, musia chrániť citlivé informácie a zabrániť ich neúmyselnému zverejneniu. Citlivé informácie môžu zahŕňať finančné údaje alebo osobné údaje, ako sú napríklad čísla kreditných kariet, čísla sociálneho zabezpečenia alebo zdravotné záznamy.
- V Microsofte 365 môžete používať širokú škálu politík DLP na identifikáciu, monitorovanie a automatickú ochranu citlivých položiek v službách, ako sú Teams, Exchange, SharePoint a OneDrive, aplikáciách balíka Office ako Word, Excel a PowerPoint, koncových bodoch s Windowsom 10, cloudových aplikáciách od iných spoločností ako Microsoft či lokálnom zdieľaní súborov i v službách SharePoint a Microsoft Cloud App Security.
Koncové body • Otázka 1 z 5
Sú vaše siete segmentované, aby ste zabránili laterálnemu pohybu?
Koncové body • Otázka 2 z 5
Čo používate na ochranu svojej siete?
Koncové body • Otázka 3 z 5
Používate na ochranu siete kontrolné mechanizmy zabezpečenia prístupu?
Koncové body • Otázka 4 z 5
Šifrujete celú sieťovú komunikáciu (vrátane komunikácie medzi počítačmi) pomocou certifikátov?
Koncové body • Otázka 5 z 5
Používate ochranu pred bezpečnostnými hrozbami vychádzajúcu zo strojového učenia a filtrovanie s kontextovými signálmi?
Na základe vašich odpovedí sa nachádzate v optimálnej fáze nulovej dôvery (Zero Trust) pre identitu.
Vytvorte komplexný prístup k zabezpečeniu pomocou nulovej dôvery (Zero Trust).
Na základe vašich odpovedí sa nachádzate v pokročilej fáze nulovej dôvery (Zero Trust) pre identitu.
Vytvorte komplexný prístup k zabezpečeniu pomocou nulovej dôvery (Zero Trust).
Na základe vašich odpovedí sa nachádzate v úvodnej fáze nulovej dôvery (Zero Trust) pre identitu.
Vytvorte komplexný prístup k zabezpečeniu pomocou nulovej dôvery (Zero Trust).
Segmentujte siete.
- Segmentovanie sietí pomocou implementácie obvodov definovaných softvérom s čoraz podrobnejšími kontrolnými mechanizmami zvyšuje útočníkom náklady na šírenie vo vašej sieti, čím sa výrazne zníži nechcený laterálny pohyb hrozieb.
- Azure ponúka mnoho spôsobov segmentácie sietí na spravovanie prístupu používateľov a zdrojov. Segmentácia siete je celkový prístup. V rámci služby Azure môžu byť zdroje izolované na úrovni predplatného pomocou virtuálnych sietí, pravidiel peeringu virtuálnych sietí, skupín zabezpečenia siete, skupín zabezpečenia aplikácií a brán firewall služby Azure.
- Naplánujte si stratégiu segmentácie.
Zaveďte spôsoby ochrany siete.
- Cloudové aplikácie, ktoré majú otvorené koncové body pre externé prostredia, ako je napríklad internet alebo vaše lokálne nároky na miesto, sú ohrozené útokmi prichádzajúcimi z týchto prostredí. Je nevyhnutné, aby ste vyhľadávali v prenosoch škodlivé údajové časti alebo škodlivú logiku.
- Azure poskytuje služby ako Azure DDoS Protection Service, Azure Firewall a Azure Web Application Firewall, ktoré poskytujú komplexnú ochranu pred bezpečnostnými hrozbami.
- Nastavte nástroje na ochranu siete
Nastavte šifrovaný prístup správcu.
- Prístup správcu je často dôležitým vektorom hrozieb. Zabezpečenie prístupu je základný kameň predchádzania zneužitiu.
- Azure VPN Gateway je cloudová škálovateľná služba VPN, ktorá umožňuje vzdialený prístup používateľov plne integrovaný so službou Microsoft Entra ID, podmienený prístup a viacfaktorové overovanie. Azure Virtual Desktop od Azure umožňuje zabezpečenú vzdialenú pracovnú plochu odkiaľkoľvek, ktorú spravuje Azure Microsoft Entra ID Application Proxy publikuje vaše lokálne webové aplikácie pomocou prístupu nulovej dôvery (Zero Trust).
- Azure Bastion poskytuje zabezpečené pripojenie protokolu vzdialenej plochy (RDP) a protokolu SSH (Secure Shell Protocol) ku všetkým virtuálnym počítačom vo virtuálnej sieti, v ktorej sa poskytuje. Používanie služby Azure Bastion pomáha chrániť vaše virtuálne počítače pred vystavením portov RDP/SSH vonkajšiemu svetu a zároveň poskytuje zabezpečený prístup pomocou protokolu RDP/SSH.
- Nasaďte Azure Bastion.
Šifrujte všetky sieťové prenosy.
- Organizácie, ktoré nedokážu chrániť údaje pri prenose, sú viac citlivé na útoky z pozície medzičlánku, odpočúvanie a únos relácií. Tieto útoky môžu byť prvým krokom, ktorý útočníci podniknú, aby získali prístup k dôverným údajom.
- Komplexné šifrovanie sa spustí pripojením k službe Azure a bude pokračovať serverovou aplikáciou alebo zdrojom. Azure VPN Gateway uľahčuje pripojenie k službe Azure cez šifrovaný tunel. Azure Front Door a Application Gateway vám pomôžu so zníženou záťažou SSL, kontrolou WAF a opätovným šifrovaním. Zákazníci môžu navrhnúť svoje prenosy tak, aby prebiehalo komplexné šifrovanie SSL. Kontrola TLS služby Azure Firewall Premium umožňuje zobrazovať, zisťovať a blokovať škodlivé prenosy v rámci šifrovaného pripojenia prostredníctvom rozšíreného nástroja IDPS. Komplexné šifrovanie TLS v službe Azure Application Gateway vám pomáha šifrovať a bezpečne prenášať citlivé údaje na server a zároveň využívať funkcie vyrovnávania zaťaženia Layer-7. Komplexné šifrovanie TLS v službe Azure Application Gateway so službou Azure Application Gateway.
Implementácia ochrany pred bezpečnostnými hrozbami a filtrovania na základe strojového učenia.
- Vzhľadom na to, že sofistikovanosť a frekvencia útokov sa neustále zvyšuje, organizácie musia byť dobre vybavené, aby im mohli čeliť. Ochrana a filtrovanie hrozieb na základe strojového učenia pomôžu organizáciám rýchlejšie reagovať, zlepšiť skúmanie, automatizovať nápravy a jednoduchšie spravovať rozsah. Okrem toho je možné udalosti agregovať z viacerých služieb (DDoS, WAF a FW) do riešení Microsoft SIEM a Azure Sentinel, aby bolo možné poskytnúť inteligentné analýzy zabezpečenia.
- Azure DDos Protection používa strojové učenie na monitorovanie prenosov aplikácií hosťovaných v službe Azure na zisťovanie základnej úrovne a problémov s objemovými prenosmi a používanie automatických zmierňovaní.
- Zapnite službu Azure DDoS Protection Standard.
Sledujte zabezpečenie od spoločnosti Microsoft