评估零信任安全状况
选择类别以开始使用
回答几个问题以获得有关组织的零信任成熟度级别的建议,并查看实用的部署资源。
积极主动地应对网络安全问题
终结点 • 问题 1/9
你是否为内部用户启用了多重身份验证?
终结点 • 问题 2/9
你为用户启用了哪些形式的无密码身份验证?
终结点 • 问题 3/9
你的哪些用户组预配了单一登录 (SSO)?
终结点 • 问题 4/9
你使用以下哪些安全策略引擎来制定企业资源的访问决策?
终结点 • 问题 5/9
你是否禁用了旧式身份验证?
终结点 • 问题 6/9
在评估访问请求时,你是否使用实时用户和登录风险检测?
终结点 • 问题 7/9
你的标识和访问管理解决方案集成了以下哪些技术?
终结点 • 问题 8/9
你的访问策略中使用了以下哪个情景?
终结点 • 问题 9/9
你是否使用标识安全功能分数作为指导?
实施多重身份验证。
启用无密码身份验证。
- 无密码身份验证方法(例如 Windows Hello 和 Microsoft Authenticator)可在 Web 和移动设备上提供更简单、更安全的身份验证体验。这些方法基于最近开发的 FIDO2 标准,让用户可以在不需要密码的情况下轻松、安全地进行身份验证。
- Microsoft 可以帮助你立即采用无密码身份验证。 下载无密码身份验证数据表 以了解详细信息。
- 如果你已经有 Microsoft Entra ID,请立即查看如何启用无密码身份验证。
实施单一登录 (SSO)。
- SSO 不仅增强了安全性,而且提供了更好的用户体验,前者通过无需为同一个人管理多个凭据实现,后者通过减少登录提示实现。
- Microsoft Entra ID 提供 SSO 体验来为任意用户类型和任意标识填充驻留在任何云中的软件即服务 (SaaS) 应用、本地应用和定制的应用。
- 规划 SSO 部署。
通过基于风险的自适应策略来实施访问控制。
- 不再只是简单地决定允许/阻止访问,而是基于风险偏好定制决策,例如允许访问、阻止、限制访问,或者要求进行多重身份验证等额外的证明。
- 使用 Microsoft Entra ID 中的条件访问实施精细自适应访问控制,例如基于用户上下文、设备、位置和会话风险信息,要求实施多重身份验证。
- 规划条件访问部署。
阻止旧式身份验证。
- 恶意操作者最常见的攻击途径之一是针对旧协议(例如 SMTP,这些协议不能应对新式安全挑战)使用盗取/重播的凭据。
- Microsoft Entra ID 中的条件访问可以帮助你阻止旧式身份验证。查看有关阻止旧式身份验证的详细信息。
防范标识泄露。
- 实时风险评估有助于在登录时和会话过程中防范标识泄露。
- Azure 标识保护 提供实时持续检测、自动修正和联网情报来调查有风险的用户和登录,以解决潜在的漏洞。
- 启用标识保护 以开始使用。从 Microsoft Cloud App Security 引入用户会话数据,以使用在用户通过身份验证后可能存在风险的行为充实 Microsoft Entra ID。
使用更多数据丰富你的标识和访问管理 (IAM) 解决方案。
- 为 IAM 解决方案提供的数据越多,就越能通过精细访问控制和更深入地了解访问公司资源的用户来改进安全状况,更好地为最终用户定制体验。
- Microsoft Entra ID、 Microsoft Cloud App Security和 Microsoft Defender for Endpoint 全部协同工作,提供丰富的信号处理,以做出更好的决策。
- 在 Microsoft Defender for Endpoint、 Microsoft Defender for Identity 和 Microsoft Cloud App Security 中配置条件访问。
微调访问策略。
- 通过跨终结点、应用和网络集成的基于风险的自适应访问策略来实施精细访问控制,以便更好地保护你的数据。
- Microsoft Entra ID 中的条件访问可让你实施精细自适应访问控制,例如基于用户上下文、设备、位置和会话风险信息,要求实施多重身份验证。
- 微调 条件访问策略。
改善你的标识安全状况。
- Microsoft Entra ID 中的标识安全功能分数可以通过分析你的环境与 Microsoft 安全最佳做法建议的差异,帮助你评估标识安全状况。
- 获取标识安全功能分数
终结点 • 问题 1/7
是否已向标识提供者注册了设备?
终结点 • 问题 2/7
设备是否已注册移动设备管理供内部用户使用?
终结点 • 问题 3/7
在授予访问权限之前,受管理设备是否需要符合 IT 配置策略?
终结点 • 问题 4/7
你是否具有供用户从非托管设备连接到组织资源的模型?
终结点 • 问题 5/7
设备是否已注册到移动设备管理中供外部用户使用?
终结点 • 问题 6/7
你是否在所有受管理和不受管理设备上实施了数据丢失防护 (DLP) 策略?
终结点 • 问题 7/7
你是否实施了终结点威胁检测以启用实时设备风险评估?
向标识提供者注册设备。
- 为了监视由任何一个人使用的多个终结点的安全和风险,需要能够查看可能访问你的资源的所有设备和访问终结点。
- 可以将设备注册到 Microsoft Entra ID,让你能够查看访问网络的设备,并能在进行访问决策时利用设备健康状态和状态信息。
- 在 Microsoft Entra ID 中配置和管理设备标识
将设备注册到移动设备管理以供内部用户使用。
- 授予数据访问权限后,能够控制用户对你的公司数据执行的操作对于降低风险至关重要。
- Microsoft Endpoint Manager 可以进行终结点预配、配置、自动更新、设备擦除和其他远程操作。
- 为内部用户设置 移动设备管理 。
授予访问权限之前确保合规。
- 拥有访问公司资源的所有终结点的标识之后,授予访问权限之前,请确保它们满足你的组织设定的最低安全要求。
- Microsoft Endpoint Manager 可以帮助你设置合规性规则,以便在授予访问权限之前确保设备满足最低安全要求。此外,请为不合规设备设置修正规则,使用户了解如何解决问题。
- 在设备上设置规则 以允许使用 Intune 访问组织中的资源。
根据需要为不受管理的设备启用访问权限。
- 允许员工从不受管理的设备访问适当的资源,对于维持生产力可能至关重要。但是,必需确保数据仍受到保护。
- 通过 Microsoft Intune 移动应用管理,可以为用户发布、推送、配置、保护、监视和更新移动应用,确保其能够访问工作所需的应用。
- 为 非托管设备配置访问权限。
将设备注册到移动设备管理以供外部用户使用。
- 注册外部设备 将外部用户(例如承包商、供应商、合作伙伴等)的设备注册到你的 MDM 解决方案,对于确保数据受到保护并且这些用户具有工作所需的访问权限至关重要。
- Microsoft Endpoint Manager 提供终结点预配、配置、自动更新、设备擦除和其他远程操作。
- 为外部用户设置移动设备管理 。
在设备上实施数据丢失防护策略。
- 授予访问权限后,控制用户能对你的数据进行的操作至关重要。例如,如果用户使用公司标识访问文档,可以阻止将该文档保存到不受保护的客户存储位置,或者阻止通过客户通信或聊天应用进行共享。
- 无论是否在设备管理解决方案中注册设备,Intune 应用保护策略 都将帮助保护数据;它会限制访问公司资源,将数据保持你的 IT 部门的控制范围内。
- 开始使用 Intune 应用策略。
启用实时设备风险评估。
- 确保仅允许正常运行的受信任设备访问公司资源,是零信任旅程中的关键一步。向标识提供商注册设备后,可以将该信号引入访问决策过程,以便仅允许安全且合规的设备进行访问。
- Microsoft Endpoint Manager 与 Microsoft Entra ID 集成,让你能够实施更精细的访问决策,并根据组织的风险偏好微调条件访问策略。例如,阻止某些设备平台访问特定的应用。
- 在 Microsoft Defender for Endpoint 中配置条件访问
终结点 • 问题 1/6
你是否正在为应用程序实施基于策略的访问控制?
终结点 • 问题 2/6
你是否正在为应用实施基于策略的会话控制(例如,限制可见性、阻止下载)?
终结点 • 问题 3/6
你是否将业务关键型应用连接到应用安全平台以监视云数据和云威胁?
终结点 • 问题 4/6
在没有 VPN 或硬连线连接的情况下,你的组织中有多少专用应用和资源可用?
终结点 • 问题 5/6
你是否持续对未获准应用进行影子 IT 发现、风险评估和控制?
终结点 • 问题 6/6
是否为应用程序的管理访问权限赋予了即时/刚好足够的特权以降低永久性权限的风险?
对应用实施基于策略的访问控制。
- 不再只是简单地决定允许或阻止访问,而是基于风险偏好定制决策,例如允许访问、阻止、限制访问,或者要求进行多重身份验证等额外的证明。
- Microsoft Entra ID 中的条件访问可让你实施精细自适应访问控制,例如基于用户上下文、设备、位置和会话风险信息,要求实施多重身份验证。
- 为应用访问配置条件访问
实施基于策略的会话控制。
- 在员工有意或无意使数据和组织面临风险之前实时停止信息泄露,是在授予访问权限后降低风险的关键。同时,允许用户安全地使用其自己的设备高效工作对企业至关重要。
- Microsoft Cloud App Security (MCAS) 与 Microsoft Entra ID 条件访问集成,因此你可以配置应用以使用条件访问应用控制。根据条件访问中的任何条件(例如防止数据外泄、下载保护、防止上传、阻止恶意软件等),轻松且有选择性地对组织的应用实施访问和会话控制。
- 创建 Microsoft Cloud App Security 会话策略 以开始使用。
将你的业务应用连接到云应用程序安全代理 (CASB)。
- 跨应用和平台的可见性对于执行治理操作(例如隔离文件或暂停用户以及降低任何已标记的风险)很关键。
- 连接到 Microsoft Cloud App Security (MCAS) 的应用 会立即获得包含内置异常检测的现成保护。MCAS 使用实体与用户行为分析 (UEBA) 和机器学习来检测各云应用中的异常行为,帮助识别威胁,例如勒索软件、被盗用的用户或流氓应用。
- 连接你的业务关键型云应用 到 Microsoft Cloud App Security。
通过应用代理提供对本地应用的远程访问权限。
- 允许用户安全地远程访问在本地服务器上运行的内部应用,对于维持现在的生产力至关重要。
- Microsoft Entra ID 应用程序代理允许在不使用 VPN 或双宿主服务器和防火墙规则的情况下安全地远程访问本地 Web 应用。 它与 Microsoft Entra ID 和条件访问集成,让用户能够通过单一登录访问 Web 应用,并允许 IT 人员配置条件访问策略以微调访问控制。
- 立即开始使用 。
发现和管理网络中的影子 IT。
- 一般企业中员工访问的应用总数超过 1,500 个。这相当于每个月向各个应用上传超过 80 GB 的数据,其中只有不到 15% 受其 IT 部门管理。并且随着大多数人实现远程办公,仅向你的网络设备应用条件访问策略是不够的。
- Microsoft Cloud App Security 可以帮助你发现正在使用的应用,了解这些应用的风险,配置策略以识别正在使用的新的有风险的应用,以及取消授权这些应用以阻止其原生使用你的代理或防火墙设备。请参阅 电子书以了解详细信息。
- 若要开始发现和访问云应用,请在 Microsoft Cloud App Security 中设置 云发现 。
使用即时访问权限管理虚拟机访问。
- 通过即时和刚好足够的访问权限 (JIT/JEA)、基于风险的自适应策略以及数据保护来限制用户的访问,以保护数据并保障生产力。
- 将入站流量锁定到 通过 Azure 安全中心实现的 Azure 虚拟机 即时 (JIT) 虚拟机 (VM) 访问功能,以缩小可能遭到攻击的范围,并在需要连接到 VM 时提供轻松访问。
- 启用即时虚拟机访问。
终结点 • 问题 1/9
你是否跨混合及多个云数字资产启用了云工作负载保护解决方案?
终结点 • 问题 2/9
你是否已为每个工作负载分配了应用标识?
终结点 • 问题 3/9
你是否针对每个工作负载细分了用户和资源(计算机到计算机)的访问权限?
终结点 • 问题 4/9
你的安全运营团队是否有权使用针对终结点、电子邮件攻击和标识攻击的专用威胁检测工具?
终结点 • 问题 5/9
你的安全运营团队是否有权访问安全信息和事件管理 (SIEM) 解决方案,以汇总和分析跨多个来源的事件?
终结点 • 问题 6/9
你的安全运营团队是否使用行为分析来检测和调查威胁?
终结点 • 问题 7/9
你的安全运营团队是否使用安全业务流程、自动化和修正 (SOAR) 工具来减少威胁响应中的手动工作量?
终结点 • 问题 8/9
你是否定期查看管理特权(至少每 180 天一次)以确保管理员只有刚好足够的管理权限?
终结点 • 问题 9/9
你是否启用了即时访问以管理服务器和其他基础结构?
使用云工作负载保护解决方案。
- 全面了解你的所有云工作负载,对于在高度分散的环境中保持资源安全至关重要。
- Azure 安全中心 是一个统一的基础结构安全管理系统,它能强化你的数据中心的安全状况,并为你在云中(无论是否位于 Azure 中)和本地的混合工作负载提供高级威胁防护。
- 配置 Azure 安全中心
分配应用标识。
- 分配应用标识对于保护不同服务之间的通信至关重要。
- Azure 支持 Microsoft Entra ID 中的托管标识,可以轻松访问其他受 Microsoft Entra ID 保护的资源,例如用于安全存储机密和凭据的 Azure Key Vault。
- 在 Azure 门户中分配应用标识
对用户和资源访问权限进行分段。
- 对每个工作负载的访问权限进行分段,是零信任旅程中关键的一步。
- Microsoft Azure 提供很多方式来对工作负载进行分段,以管理用户和资源访问权限。网段是整体方法,而在 Azure 中,可以通过虚拟网络 (VNet)、VNet 对等互联规则 (NSG)、应用程序安全组 (ASG) 和 Azure 防火墙,在订阅级别隔离资源。
- 创建 Azure 虚拟网络 ,支持你的 Azure 资源安全通信。
实现威胁检测工具。
- 防止、检测、调查和响应混合基础结构中的高级威胁,将有助于改进你的安全状况。
- Microsoft Defender for Endpoint 高级威胁防护 是一个企业终结点安全平台,设计用于帮助企业网络阻止、检测、调查和响应高级威胁。
- 规划 Microsoft Defender for Endpoint 高级威胁防护 部署
部署安全信息和事件管理 (SIEM) 解决方案。
- 随着数字信息的价值持续提升,攻击的数量和复杂程度也不断提升。SIEM 提供一个集中的方式,来跨整个资产减轻威胁。
- Azure Sentinel 是原生于云的安全信息事件管理 (SIEM) 和安全业务流程自动化响应 (SOAR) 解决方案,它让你的安全运营中心 (SOC) 能够从单个窗格中监视整个企业中的安全事件。它会从整个混合组织收集信号,然后应用智能分析来快速识别威胁,从而帮助保护你的所有资产。
- 部署 Sentinel 以开始使用。
实现行为分析。
- 创建新的基础结构时,你需要确保同时设立用于监视和发起警报的规则。这对于识别资源何时显示出意外的行为非常关键。
- Microsoft Defender for Identity 允许信号收集来识别、检测和调查针对组织的高级威胁、被盗用的标识和内部人员恶意操作。
- 详细了解 Microsoft Defender for Identity
设置自动调查。
- 在处理由似乎永无止尽的威胁流引发的众多警报方面,安全运营团队面临着许多挑战。实现具有自动调查和修正 (AIR) 功能的解决方案,可以帮助你的安全运营团队更高效、更有效地应对威胁。
- Microsoft Defender for Endpoint 高级威胁防护 包含自动调查和修正功能,可帮助检查警报并立即采取措施来解决泄露问题。这些功能可以大幅减少警报的量,让安全运营团队能够专注于更复杂的威胁和其他高价值计划。
- 详细了解 自动调查。
管理对特权资源的访问权限。
- 工作人员应谨慎使用管理访问权限。需要管理功能时,用户应接收临时管理访问权限。
- 通过 Microsoft Entra ID 中的 Privileged Identity Management (PIM),可以发现、限制和监视特权标识的访问权限。 PIM 使用即时、有时限的基于角色的访问控制,限制对关键操作的访问,确保你的管理员帐户保持安全。
- 部署 Privileged Identity Management 以开始使用
为获得特权的帐户提供即时访问权限。
- 工作人员应谨慎使用管理访问权限。需要管理功能时,用户应接收临时管理访问权限。
- 通过 Microsoft Entra ID 中的 Privileged Identity Management (PIM),可以发现、限制和监视特权标识的访问权限。 PIM 使用即时、有时限的基于角色的访问控制,限制对关键操作的访问,确保你的管理员帐户保持安全。
- 部署 Privileged Identity Management 以开始使用。
终结点 • 问题 1/6
你的组织是否定义了数据分类标准?
终结点 • 问题 2/6
访问决策是否受数据敏感度而不是简单的网络边界控制?
终结点 • 问题 3/6
是否在任何位置按敏感度主动持续发现企业数据?
终结点 • 问题 4/6
数据访问决策是否受策略控制并由云安全策略引擎实施?(例如在 Internet 上随处可访问)
终结点 • 问题 5/6
你是否通过加密持续保护最敏感的文件,以防止未经授权的访问和/或使用?
终结点 • 问题 6/6
你是否实施了数据丢失防护控制措施来监视、提醒和/或限制敏感信息的流动(例如,阻止电子邮件、阻止上传或阻止复制到 USB)?
根据敏感度管理访问决策。
- 数据越敏感,就越需要保护控制和实施。类似地,控制措施也应对应于与访问数据的方式和位置(例如请求是否来源于不受管理的设备或外部用户)相关的风险的本质。 Microsoft 信息保护 提供一组基于数据敏感度和风险的灵活保护控制措施。
- 某些敏感数据需要通过实施加密的策略来保护,以确保只有经授权的用户能够访问这些数据。
- 设置敏感度标签 管理的访问决策。新的 Azure Purview 提供基于 Microsoft 信息保护的统一数据管理服务。阅读 公告博客
- 以了解详细信息。
实施稳健数据分类和标签应用策略。
- 企业有大量的数据,对其进行充分的标签应用和分类可能具有挑战性。使用机器学习实现更智能的自动分类,可以帮助减轻最终用户的负担,带来更一致的标签应用体验。
- Microsoft 365 提供三种内容分类方式,包括手动、 自动化模式匹配和我们新的 可训练分类器。可训练分类器非常适用于通过手动或自动模式匹配方法不易识别的内容。对于本地文件存储库和本地 SharePoint 2013+ 站点, Azure 信息保护 (AIP) 扫描程序 可以帮助发现、分类、应用标签和保护敏感信息。
- 请参阅我们的 标签部署指南 以开始使用。
根据策略管理访问决策。
- 不再只是简单地决定允许或阻止访问,而是基于风险偏好为数据定制访问决策,例如允许访问、阻止、限制访问,或者要求进行多重身份验证等额外的证明。
- Azure AD 中的条件访问 可让你实施精细自适应访问控制,例如基于用户上下文、设备、位置和会话风险信息,要求实施多重身份验证。
- 集成 Azure 信息保护 与 Microsoft Cloud App Security 以启用条件访问策略。
对在公司范围外共享的数据实施访问和使用权限。
- 你需要能够控制和保护在公司外共享的电子邮件、文档和敏感数据,以便适当地降低风险而不对生产力造成负面影响。
- Azure 信息保护可帮助保护你在公司范围内外共享的电子邮件、文档和敏感数据。从简单的分类到嵌入式标签和权限,可以通过 Azure 信息保护持续改进数据保护,无论数据存储在何处、与谁共享。
- 规划部署以开始使用。
实施数据丢失防护 (DLP) 策略。
- 为符合业务标准和行业法规,组织必须保护敏感信息,防止无意中泄漏。敏感信息可能包括财务数据或个人身份信息 (PII),例如信用卡号码、社会安全码或医疗记录。
- 使用 Microsoft 365 中的一系列 DLP 策略 来识别、监视和自动保护各服务中的敏感项,例如 Teams、Exchange、SharePoint、OneDrive、Office 应用(例如 Word、Excel 和 PowerPoint)、Windows 10 终结点、非 Microsoft 云应用、本地文件共享以及 Microsoft Cloud App Security。
终结点 • 问题 1/5
你的网络是否已分割,以防止横向移动?
终结点 • 问题 2/5
你有哪些用于保护网络的保护措施?
终结点 • 问题 3/5
你是否使用安全访问控制来保护你的网络?
终结点 • 问题 4/5
你是否使用证书对所有网络通信(包括计算机到计算机)进行加密?
终结点 • 问题 5/5
你是否使用基于机器学习的威胁防护并使用基于内容的信号进行筛选?
对你的网络进行分段。
- 通过实施软件定义的边界对网络进行分段并进行更精细的控制,会提升攻击者在你的网络中传播的“成本”,从而大幅减少威胁的横向移动。
- Azure 提供很多方式来对网络进行分段,以管理用户和资源访问权限。网络分段是整体方法。在 Azure 中,可以通过虚拟网络、虚拟网络对等互连规则、网络安全组、应用程序安全组和 Azure 防火墙,在订阅级别隔离资源。
- 规划分段策略。
实施网络保护。
- 向外部环境(例如 Internet 或本地空间)公开终结点的云应用程序有遭受来自这些环境的攻击的风险。因此必须扫描流量以查找恶意工作负载或逻辑。
- Azure 提供 Azure DDoS 防护服务、 Azure 防火墙和 Azure Web 应用程序防火墙 等服务,以提供全面的威胁防护。
- 设置 网络保护工具
设置加密管理员访问。
- 管理员访问权限通常是关键的威胁途径。保护访问权限对于防止信息泄露至关重要。
- Azure VPN 网关是一项云原生、大规模的 VPN 服务,可让用户进行远程访问,并完全集成了 Microsoft Entra ID、条件访问和多重身份验证。 Azure 中的Azure 虚拟桌面提供可随时随地使用的安全远程桌面体验,由 Azure 管理。 Microsoft Entra ID 应用程序代理使用零信任访问方法发布本地 Web 应用。
- Azure Bastion 为预配它的虚拟网络中的所有虚拟机提供安全的远程桌面协议 (RDP) 和安全外壳协议 (SSH) 连接。使用 Azure Bastion,可防止你的虚拟机向外界公开 RDP/SSH 端口,同时仍使用 RDP/SSH 提供安全访问。
- 部署 Azure Bastion。
加密所有网络流量。
- 不能保护传输中的数据的组织更容易遭受中间人攻击、窃听和会话劫持。这些攻击可能是攻击者用于获取机密数据访问权限的第一步。
- 端到端保护从连接到 Azure 开始,一直延续到后端应用程序或资源。 Azure VPN 网关 允许通过加密隧道更轻松地连接到 Azure。 Azure Front Door 和 应用程序网关 有助于 SSL 卸载、WAF 检查和重新加密。客户可以设计其流量,使其经过 SSL 端到端。 Azure 防火墙高级 TLS 检查 允许你通过其高级 IDPS 引擎查看、检测和阻止加密连接中的恶意流量。 Azure 应用程序网关中的端到端 TLS 加密 可帮助你加密敏感数据并将其安全地传输到后端,同时利用第 7 层负载均衡功能。 Azure 应用程序网关中的端到端 TLS 加密 与 Azure 应用程序网关。
实施基于机器学习的威胁防护和筛选。
- 随着攻击的复杂程度和频率持续提升,组织必须确保其能够处理这些攻击。基于机器学习的威胁防护和筛选可以帮助组织更轻松地加快响应、改进调查、自动修正和大规模进行管理。此外,事件可以从多个服务(DDoS、WAF 和 FW)聚合到 Microsoft SIEM、Azure Sentinel,以提供智能安全分析。
- Azure DDoS 防护 使用机器学习来帮助监视 Azure 托管的应用程序流量,指定基线以及检测流量爆发,并应用自动修正。
- 打开 Azure DDoS 防护标准。
关注 Microsoft 安全