在Microsoft实现零信任安全模型
云的服务,移动计算,事物互联网(物联网)的越来越越来越越来越多,并将自己的设备(BYOD)改变了现代企业的技术景观。安全架构依赖于网络防火墙和虚拟专用网络(VPN)来隔离和限制对企业技术资源和服务的访问权限不再足以让经常需要访问超出传统企业网络边界存在的应用程序和资源的劳动力。将互联网转移为选择网络以及连续不断发展的威胁LED Microsoft采用零信任安全模型。这段旅程开始了几年前,几年来将继续发展。
基于验证的信任 - 为了信任的原则,必须首先验证零信任消除传统公司网络中假定的固有信任。零信任架构通过在授予访问权限之前,通过建立强大的身份验证,验证设备符合性,并确保仅明确授权资源的最低权限访问,从而降低所有环境跨所有环境的风险。
Zero Trust要求在事务发生之前经过验证和经过验证的系统(用户身份,设备,网络和应用程序)之间的每一个事务。在理想的零信任环境中,需要以下行为:
验证身份并在随处的多因素身份验证验证和安全。使用Multifactor身份验证消除了密码expiration,最终将消除密码。添加生物识别性的使用确保了对用户备份身份的强大认证。
设备管理和验证为健康。设备健康验证是必需的。所有设备类型和操作系统都必须符合所需的最小健康状态作为访问任何Microsoft资源的条件。
遥测是普遍存在的。普遍存器数据和遥测用于了解当前的安全状态,识别覆盖范围内的空隙,验证新控件的影响,并在环境中关联所有应用程序和服务之间的数据。强大且标准化的审计,监控和遥测功能是用户,设备,应用程序,服务和访问模式的核心要求。
强制执行最小权限访问权限。仅限于执行作业功能所需的应用程序,服务和基础架构的访问。必须消除提供广泛访问的访问解决方案,或者必须删除对没有分割或者特定资源的网络,例如广泛访问VPN。
我们在Microsoft确定了四种核心方案,以帮助实现零信任。这些方案满足强有力的身份,注册设备管理和设备健康验证,替代访问对非托管设备的要求,以及验证应用程序运行状况。这里描述了核心方案:
场景2.员工可以将设备注册到现代管理系统中,该系统强制执行设备运行状况,以控制对公司资源的访问。
场景3. Microsoft员工和商务客人使用非托管设备时可以访问公司资源的安全方法。
方案4.访问资源的访问范围仅限于所需的最低限定权限 - 以执行指定的函数。
微软正在采取结构化方法,以避免许多技术和组织,并需要将携带多年来的投资。下图表示我们的目标是在接下来的两到三年内完全实现的零信任目标的高级别视图,分组为我们的核心零信任柱。我们将不断评估这些目标并在必要时调整它们。虽然这些目标不代表零信任努力和工作流的全部范围,但它们在微软捕获了最重要的零信任努力领域
我们初步实施零信任的范围专注于我们企业 - 我们的员工,合作伙伴和供应商使用的共同公司服务。我们的零信任实施针对Microsoft员工在iOS,Android,MacOS和Windows(Linux是最终目标)这样的平台上使用日常员工每日(例如,Microsoft Office Apps,Business Apps)的核心应用程序集。正如我们所进展的那样,我们的焦点已扩展到包括Microsoft中使用的所有应用程序。必须通过我们的设备管理系统管理访问公司资源的任何公司拥有或个人设备。
要开始增强环境的安全性,我们使用智能卡实现了MFA,以控制对服务器的管理访问权限。我们稍后扩展了多因素身份验证要求,以包括从公司网络外部访问资源的所有用户。连接到企业资源的移动设备的大规模增加将我们从物理智能卡中推广到基于电话的挑战(电话系数),后来使用Azure Authenticator应用程序进入更现代化的体验。
该领域的最新进展是Windows Hello的广泛部署对于生物识别身份验证。虽然Windows Hello在环境中没有完全消除密码,但它显着减少了密码使用率并使我们删除了我们的密码到期策略。此外,在访问Microsoft资源时,所有帐户都需要多因素认证验证,包括访客帐户。
我们迈向设备验证的第一步是将设备注册到设备管理系统中。自从完成Windows,Mac,iOS和Android的设备管理的推出以来。许多高流量的应用程序和服务,如Microsoft 365和VPN,为用户访问执行设备运行状况。此外,我们还开始使用设备管理来启用适当的设备运行状况验证,这是一个允许我们为访问Microsoft资源的设备设置和强制运行策略的基础组件。我们正在使用Windows AutoPilot进行设备配置,这确保了向员工提供的所有新的Windows设备都已注册我们的现代设备管理系统。
访问公司无线网络的设备也必须注册在设备管理系统中。这包括Microsoft拥有的设备和Personal Byod设备。如果员工希望使用他们的个人设备访问Microsoft资源,则必须注册设备并遵守管理公司拥有设备的相同设备健康策略。对于设备管理中注册不是一个选项的设备,我们创建了一个名为Windows虚拟桌面的安全访问模型。 Virtual Desktop与符合设备管理要求的虚拟机创建会话。这允许个体使用非托管设备安全地访问选择Microsoft资源。此外,我们创建了一种基于浏览器的体验,允许访问具有有限功能的Microsoft 365应用程序。
验证设备支柱中仍有工作仍然存在。我们正在为Linux设备启用设备管理,并扩展强制执行设备管理的应用程序数量最终包括所有应用程序和服务。我们还在通过虚拟桌面服务连接时扩展了可用的资源数量。最后,我们正在扩展设备健康策略,以更加强大,并在所有应用程序和服务中启用验证。
在验证访问支柱中,我们的重点是跨意内置网络分段用户和设备,将所有Microsoft员工迁移以使用Internet作为默认网络,并自动将用户和设备从用户和设备路由到适当的网络段。我们对我们的网络分割努力取得了重大进展。我们已成功部署了用于用户和设备的多个网络段,包括在所有Microsoft建筑物上创建新的Internet默认无线网络。所有用户都接收到其系统的策略更新,从而使基于Internet的网络成为其新的默认值。
作为新无线网络卷展栏的一部分,我们还部署了设备注册门户。该门户允许用户自识别,注册或修改设备以确保设备连接到适当的网络段。通过此门户,用户可以注册客户设备,用户设备和IOT设备。
我们还创建了专门的段,包括各种机构的各种IOT设备和场景的目的地段。我们几乎完成了在Microsoft Offices中的最高优先权物联网设备的迁移到适当的段中。
在验证访问柱中,我们仍有很多工作要做。我们正在遵循具有类似有线网络投资的无线网络的投资。对于IOT,我们需要完成Microsoft办公室中剩余的高优先级设备的迁移,然后在我们的数据中心中启动高优先级设备。迁移这些设备后,我们将开始迁移较低优先级设备。最后,我们为设备和用户构建自动检测,这将将它们路由到适当的段,而无需在设备注册门户中注册。
在“验证服务支柱”中,我们的努力将在所有应用程序和服务中提供有条件的访问。为了实现完整的条件访问验证,主要工作需要现代化的遗留应用程序或实现无法自然支持条件访问系统的应用程序和服务的解决方案。这具有消除VPN和公司网络依赖的额外好处。我们为所有用户启用了Auto-VPN,它会通过适当的连接自动路由用户。我们的目标是消除对VPN的需求,并为从互联网访问公司资源的无缝体验。使用Auto-VPN,用户的系统将透明地确定如何连接到资源,绕过VPN以直接从Internet可用的资源或连接到仅在公司网络上可用的资源时使用VPN。
在Covid-19大流行中,我们的大部分用户人口过渡到家庭工作。此转换提供了增加使用远程网络连接的使用。在此环境中,我们成功地确定并聘请了申请所有者来启动计划,以便在没有VPN的情况下通过Internet访问这些应用程序或服务。
虽然我们已经采取了仍然使用VPN的现代化遗留应用程序和服务的第一步,但我们正在建立明确的计划和时间表,以便能够从互联网访问访问。我们还计划投资于扩展超出Microsoft 365和VPN之外的有条件访问的应用程序和服务组合。
图2提供了一种简化的参考架构,用于我们实现零信任的方法。此过程的主要组件是用于设备管理和设备安全策略配置,Azure Active Directory(Azure AD)的设备运行状况验证的条件访问,以及用于用户和设备库存的Azure AD的Azure Active Directory(Azure AD)。
系统通过将设备配置要求推向受管设备来使用Intune。然后,该设备生成健康声明,其存储在Azure广告中。当设备用户请求访问资源时,设备运行状况被验证为具有Azure AD的认证交换的一部分。
我们向零信任模型的过渡取得了重大进展。在过去的两年中,我们通过使用Windows Hello进行业务,增加了强大的认证和基于生物识别的身份验证的覆盖范围,增加了身份认证强度。我们已经部署了所有主要平台的设备管理和设备健康验证功能,并将很快添加Linux。我们还推出了一个Windows虚拟桌面系统,可以从非托管设备安全访问公司资源。
随着我们继续我们的进展,我们正在恢复信任的持续投资。 我们正在扩展设备和应用程序的健康验证功能,增加虚拟桌面功能以覆盖更多用例,并在我们的有线网络上实现更好的控制。 我们还完成了IOT迁移和分段和现代化或退休遗留应用程序,使我们能够弃用VPN。 每个采用零信任的企业都需要确定最适合其独特环境的方法。 这包括平衡具有访问方法的风险配置文件,定义在其环境中实现零信任的范围,并确定他们希望用户需要访问其公司资源的特定验证。 在所有这一切中,令人鼓舞的零信任的全组织拥抱对于成功至关重要,无论你决定开始你的过渡。
