探索零信任實作指南
國美國國家標準和技術 (NIST) 研究院與 Microsoft 合作打造業界標準零信任指南。
概觀
保護您的人員、裝置、應用程式和資料
零信任策略可讓您自信地瀏覽現代化安全性挑戰。
- 透過可掌握整個數位環境的廣闊可見度、風險型存取控制和自動化原則,減少安全性弱點。
- Microsoft 具備數十年的企業經驗,以及廣泛系列的供應項目來協助保護您最重要的資產並確保整個組織符合規範,定能為您提供協助。
- 自信地利用人工智慧,讓打造未來這件事不那麼令人畏懼。
- Microsoft 是受信賴的合作夥伴及獲得認可的領導者,與您一起繼續您的零信任旅程。
示範
探索零信任的基礎
從 影片系列,了解如何在貴組織中執行零信任準則和原則。
防禦區域
零信任是現代安全性的基石
探索 Microsoft 如何跨八個重點防禦區域套用零信任原則。
身分識別
使用 Microsoft Entra,搭配增強式驗證在整個數位資產中進行驗證並保護每個身分識別。
端點
清楚掌握存取網路的裝置,在使用 Microsoft Intune 授與存取權之前,先確保合規性和健全狀態。
應用程式
探索影子 IT、確保適當的應用程式內權限、依據即時分析限制存取,並使用 AI 支援且統一的 SecOps 監控和控制使用者動作。
資料
從周邊型資料保護移至資料導向保護、使用情報來分類資料,以及使用資訊、保護與治理來加密和限制存取。
基礎結構
使用遙測來偵測網路攻擊和異常狀況、自動封鎖和標幟風險行為,以及採用具有全面雲端安全性的最低權限的存取原則。
網路
確保裝置和使用者即便位於內部網路,並不代表可受到信任。搭配 Azure 網路和網路安全性服務,對所有內部通訊進行加密、按原則限制存取,並採用微區隔方法和即時威脅偵測。
AI 網路安全性
採用顛覆性的網路安全性生成式 AI 技術來改變您的工作方式以及保護貴組織的方式。
安全與治理 AI
使用零信任 建立強健的安全基礎,自信地採用 AI。
適用於端對端安全性的零信任和 AI
探索零信任和 AI 如何協助您在組織中建立復原能力及促進創新。
看看分析師的說法
了解為什麼 Microsoft 在 2023 年第 3 季的Forrester Wave™: 零信任平台提供者報告獲評為領導者。1
客戶案例
探索客戶如何使用 Microsoft 解決方案達成零信任
資源
深入了解零信任
探索最新的零信任新聞、資源和報告。
網路安全性資源
擴充您的安全性知識
探索在 AI 時代加強組織安全的策略、技巧和最佳做法。
常見問題集
常見問題集
- 零信任是一個現代安全性策略,以永不信任、一律驗證的原則為依據。零信任模型並不認為公司防火牆內的全部內容都是安全的,而是假設有缺口並驗證每個要求,將所有要求當作來自開放網路。
- 零信任的三個支柱為:
- 明確地驗證:一律根據所有可用的資料點進行驗證和授權,包括使用者識別、位置、裝置健康情況、服務或工作負載、資料分類和異常狀況。
- 使用最低權限存取權:透過即時且足夠的存取權、風險型自適性原則和資料保護來限制使用者存取,藉此協助保護資料和生產力。
- 假設有缺口:驗證端對端加密並使用分析功能,取得可見度、偵測威脅和改善防禦能力。
- 由於安全性變得更複雜,因此組織需要零信任解決方案。隨著越來越多員工遠端工作,只保護網路周邊已不足夠。組織需要可調整的解決方案,以便完整驗證每個存取要求,同時快速偵測並回應網路內部和外部的威脅。
- 零信任通過消除隱含的信任並持續驗證每個存取要求請求,簡化在複雜的 AI 驅動世界中的安全性。隨著網路威脅的增長和混合式工作的擴大,零信任:
- 透過驗證每個身分識別、裝置和交易 降低受攻擊面。
- 透過強制執行最低權限存取來限制威脅,將入侵影響降至最低。
- 透過保護 AI 模型和資料來 保護 AI 安全,同時使用 AI 進行防禦。
- 透過更安全地支援 AI、雲端和混合式工作來啟用創新。
- 零信任網路會完整驗證、授權並加密每個存取要求;套用微區隔方法和最低權限存取原則以盡量降低橫向移動;並使用情報和分析來即時偵測與回應異常狀況。
- 強大的零信任原則會在多個層級上強制執行持續驗證和最低特殊權限存取。例如, 多重要素驗證 可確保使用者使用多種方法來證明其身分識別,例如已知裝置上的 PIN 碼。條件式存取 原則會透過依據像是使用者角色、裝置健康狀態或位置等因素來授予存取權,進一步增強安全性。端點安全性解決方案 (例如適用於端點Microsoft Defender) 透過先驗證裝置完整性,再授予存取以協助強制執行合規性。同時,這些原則會降低未經授權存取的風險,並強化零信任保護。
-
若要執行零信任策略,從先識別業務優先事項並獲得領導階層的支持開始。完成實作可能需要好幾年的時間,因此您可以根據業務目標,先從容易實現的項目和優先任務開始。實作計劃通常會包含下列步驟:
推出身分識別和裝置保護措施,包括多重要素驗證、最低權限存取,以及條件式存取原則。
將端點納入裝置管理解決方案,以確保裝置和應用程式隨時保持最新狀態,且符合組織要求。
部署延伸偵測及回應解決方案來偵測、調查並回應所有端點、身分識別、雲端應用程式和電子郵件的威脅。
透過可提供完整資料可見度並套用資料外洩防護原則的解決方案,來保護及控管敏感性資料。
-
- 請瀏覽零信任指導中心,取得自助技術資源、架構和最佳做法。
- 從 零信任成熟度模型評定 開始,進行安全性態勢的高階評估。
- 深入瞭解 零信任評估工具和工作坊,取得技術、深度分析和量身打造的建議。
- SASE 是一種安全性架構,可將軟體定義廣域網路 (SD-WAN) 和零信任安全性解決方案合併到融合式雲端交付平台,讓使用者、系統、端點和遠端網路能安全地與應用程式和資源連線。
零信任 (SASE 的其中一個元件) 是一種現代化安全性策略,它會將每個存取要求視為來自開放網路。SASE 也包含 SD-WAN、安全網路閘道、雲端存取安全性代理程式和防火牆即服務,所有項目都可透過單一平台集中管理。 - VPN 是一項技術,可讓遠端員工連線到企業網路。 零信任是高階策略,當個人、裝置和服務嘗試存取公司資源時,就算這些要求是來自網路內部,也無法自動獲得信任。為了提升安全性,每當這些使用者要求存取權時,都需要取得驗證,即使他們先前已經驗證過亦是如此。
開始使用
保護一切
讓您的未來更加安全。立即探索您的安全性選項
- [1]Forrester Wave™: 零信任平台提供者,2023 年第 3 季。Carlos Rivera。2023 年 9 月 19 日。
關注 Microsoft 安全性