微軟認為“零信任”是任何組織的安全計劃的重要組成部分。我們與云安全聯(lián)盟（一個推廣云計算最佳實踐的非營利組織）合作，將多名高級首席信息安全官聚集在一起，討論并分享他們對零信任歷程的見解。

　　在我們的第一次討論中，我們與來自著名能源、金融、保險和制造企業(yè)的10位首席信息安全官坐在虛擬圓桌會議上，了解哪些是他們認為行之有效的，哪些是零信任安全模型仍需要調(diào)整的地方。我們的集體目標是相互學習，并與其他網(wǎng)絡(luò)安全領(lǐng)域的專業(yè)人士分享。

　　“零信任：從不信任，永遠驗證?！?/p>

　　零信任假設(shè)所有的訪問都是有風險的，并驗證每一個請求，就像它始終來自一個不受控的網(wǎng)絡(luò)一樣。這意味著無論是防火墻內(nèi)外、終端上、服務(wù)器上還是云中，安全防護機制永遠不相信任何人或任何事件。

　　“零信任”策略

　　在您的企業(yè)中引入零信任策略需要在所有基礎(chǔ)要素上實施管控，例如：身份、設(shè)備、應(yīng)用、數(shù)據(jù)、基礎(chǔ)設(shè)施和網(wǎng)絡(luò)。

　　策略 #1 - 使用身份控制訪問權(quán)限

　　身份代表用戶、服務(wù)和物聯(lián)網(wǎng)設(shè)備——是網(wǎng)絡(luò)、終端和應(yīng)用的共同點。在零信任安全模型中，它們作為一種強大、靈活和細化的方式來控制對數(shù)據(jù)的訪問。當任何身份試圖訪問任何資源時，安全防護機制應(yīng)通過強身份驗證來驗證身份，確保訪問請求符合典型的身份行為，并確認該身份遵循最小權(quán)限訪問原則。

　　策略 #2 - 提升身份認證

　　將多因素認證或持續(xù)認證納入身份管理策略，可大幅改善企業(yè)的信息安全狀況。一位圓桌會議的與會者分享說，通過將身份管理擴展到持續(xù)認證功能，他們的企業(yè)現(xiàn)在可以在用戶的常用 IP 地址或常規(guī)行為模式發(fā)生變化時進行身份驗證。只要能通過其他方法進行驗證，并且最終用戶不需要為了驗證額外進行任何操作，那么就可以每隔五分鐘甚至每秒鐘進行一次持續(xù)驗證。比如，終端可以成為多因素驗證的因素之一等。

　　策略 #3 - 納入無密碼認證

　　無密碼認證用兩個或兩個以上的驗證因素取代傳統(tǒng)密碼，并以一對加密密鑰來保證安全性。注冊時，設(shè)備會創(chuàng)建一個公鑰和私鑰。私鑰可以借助本地安全硬件來進行解鎖，如常規(guī)的手機呼叫驗證、PIN 碼登錄、生物識別認證（指紋掃描、面部識別或虹膜識別），甚至對于涉及訪問及維護企業(yè)敏感信息、應(yīng)用、服務(wù)和設(shè)備的員工，可以添加需要配合指紋或 PIN 使用的安全密鑰或者獨立的芯片卡，確保正確的人在最低權(quán)限下獲取了需要的內(nèi)容。

　　策略 #4 - 細分企業(yè)網(wǎng)絡(luò)

　　網(wǎng)絡(luò)分割可能是企業(yè) IT 的典型痛點，因為防火墻代表著早期的分割，這會讓開發(fā)和測試工作變得復雜。最終，許多 IT 團隊更多依靠安全團隊來解決網(wǎng)絡(luò)連接和訪問的問題。然而，分割網(wǎng)絡(luò)并進行更深層次的網(wǎng)絡(luò)內(nèi)微觀分割對于零信任來說非常重要，因為在混合辦公的世界中，所有關(guān)鍵業(yè)務(wù)數(shù)據(jù)都是通過網(wǎng)絡(luò)基礎(chǔ)設(shè)施訪問的。對于網(wǎng)絡(luò)的控制起到了至關(guān)重要的作用，提高可視性并有助于防止惡意攻擊者在網(wǎng)絡(luò)中橫向移動。

　　策略 #5 - 保護設(shè)備

　　在零信任策略中，訪問企業(yè)數(shù)據(jù)和運行企業(yè)應(yīng)用的設(shè)備無論是企業(yè)所有的還是個人所有的手機或平板電腦，也就是所謂的“員工自有設(shè)備”（BYOD），都將采用相同的安全策略。需要連接企業(yè)網(wǎng)絡(luò)的內(nèi)部員工、供應(yīng)商、合作伙伴甚至訪客的設(shè)備都是可以由 IT 部門完全管理的。而無論這些 PC、Mac、服務(wù)器、物聯(lián)網(wǎng)設(shè)備、筆記本電腦、平板電腦、智能手機或可穿戴設(shè)備位于企業(yè)內(nèi)部網(wǎng)絡(luò)、企業(yè)訪客網(wǎng)絡(luò)、家庭寬帶甚至在咖啡館或者機場候機廳接入的公共互聯(lián)網(wǎng)，都是如此。在混合辦公的世界里，大量且多樣性可訪問企業(yè)信息的設(shè)備是最難以監(jiān)管的部分。如果允許未打補丁或者有安全隱患的設(shè)備接入企業(yè)內(nèi)部網(wǎng)絡(luò)，那無疑會大大提高企業(yè)的信息安全風險。

　　策略 #6 - 對企業(yè)應(yīng)用進行細分

　　要從云應(yīng)用和服務(wù)中充分受益，需要在提供訪問和維持控制之間找到一個平衡，以確保應(yīng)用及其包含的數(shù)據(jù)受到保護。通過對應(yīng)用的管控來發(fā)現(xiàn)影子 IT，確保適當?shù)膽?yīng)用內(nèi)的權(quán)限，根據(jù)實時分析結(jié)果對訪問來進行把關(guān)，監(jiān)控異常行為，限制用戶的非常規(guī)操作，并驗證安全配置選項。

　　策略 #7 - 定義角色和訪問控制

　　隨著遠程工作的迅速普及，所有企業(yè)必須考慮尋找現(xiàn)代安全控制的方式。將員工在企業(yè)數(shù)字資產(chǎn)中需要進行的操作進行角色化的定義，并與策略聯(lián)系起來，作為授權(quán)、單點登錄、無密碼訪問的一部分是非常高效的。然而，每一個定義的角色都必須在現(xiàn)在和未來進行管理和維護，所以要有選擇地創(chuàng)建多少種角色，這樣就不會給后期的管理和維護工作帶來繁重的工作。

　　邁向“零信任”的歷程

　　在混合辦公的世界中，信息安全防護方案應(yīng)該從假設(shè)突破的關(guān)鍵零信任原則開始。但通常情況下都被復雜性和分散性阻礙了發(fā)展。我們致力于幫助所有組織解決這個問題，因為我們?yōu)樗腥藰?gòu)建安全的環(huán)境，并從云端交付。

　　誠然這些都始于集成解決方案，讓您的組織專注于重要的事情，并為您的所有平臺和所有云中數(shù)字資產(chǎn)提供可視性。我們推出了一套整體方案，將最佳的 SIEM 集成體系結(jié)構(gòu)和響應(yīng)（XDR）工具直接構(gòu)建在云中，這為您提供了最好的產(chǎn)品和最佳的集成體驗，因此 IT 部門再也不需要通過每天“奔波”于大量的管理平臺來保護企業(yè)信息安全。

　　使用 Microsoft Defender for Endpoint 和 Defender for Office 365 的用戶可以從 Microsoft 365 Defender 門戶調(diào)查和處理威脅。它提供了統(tǒng)一的警報、用戶和調(diào)查頁面，以便進行深入的自動分析和直觀的可視化效果，并提供了一個新的學習中心，您可以利用具有最佳實踐和操作方法的指導資源對企業(yè)信息安全進行加固。

　　新的威脅分析提供了一組來自 Microsoft 安全研究專家的報告，可幫助您直接在 Microsoft 365 Defender 中了解、預(yù)防和緩解威脅，如近期的 Solorigate 攻擊等。

　　我們正在將安全核心引入 Windows Server 和邊緣設(shè)備，以幫助最大限度地降低物聯(lián)網(wǎng)和混合云環(huán)境中的固件漏洞和高級惡意軟件的風險。

　　各企業(yè)在開始施行零信任之旅時，關(guān)注的側(cè)重點各不相同。圓桌會議參與者所代表的一些企業(yè)從用戶身份和訪問管理開始了他們的零信任之旅，而其他企業(yè)則從網(wǎng)絡(luò)宏觀和微觀細分或應(yīng)用方面開始。這些信息安全官一致認為，制定施行零信任策略的整體戰(zhàn)略至關(guān)重要，在整個企業(yè)中大面積推廣零信任之前，應(yīng)該從小處著手，建立信心。

　　這通常意味著需要采取分階段的方法，根據(jù)企業(yè)“零信任”的成熟度、可用資源和優(yōu)先級，針對特定領(lǐng)域來進行。例如，您可以從云中的新項目開始，或在開發(fā)人員和測試環(huán)境中進行前期試驗。一旦您建立了信心，我們建議將零信任策略覆蓋到整個企業(yè)數(shù)字財產(chǎn)，同時將其作為一種集成的安全理念和端到端的戰(zhàn)略推進。在這個旅程中，您并不孤單。成功的企業(yè)已經(jīng)走過了這條道路，我們很高興與您一起走過每一步。