微軟在會中除了分享諸多案例頗析與資料治理等議題,更提出零信任安全結構圍繞三個關鍵原則:
- 一律不信任地驗證:相較於對企業網路中或使用 VPN 連結的使用者及裝置進行隱含驗證請務必採零信任方式,明確驗證每一筆交易,如此即可透過所有可用資料點進行強大的驗證與授權,包括使用者身分識別、位置、裝置維運狀況、服務或工作負載、資料分類與異常狀況。
- 一律使用最低權限存取:僅在人員需要的時候,針對其手邊的工作授予一定時限的權限。
- 一律假設處於高風險環境:將漏洞與企業資產列入預期考量,並套用針對個別區段以即時分析等技巧來加速偵測攻擊。
台灣微軟 Microsoft 365事業部副總經理陳慧蓉 表示:「台灣面對5G時代來臨及混合辦公模式新常態,可預見5G將賦予數十億的物聯網裝置新功能以及更多的數據交流,據調查顯示,與2019年下半年相比,2020年上半年的物聯網威脅總攻擊量增長了約35%,因此端點、裝置的身分識別和訪問管理更為重要,也更顯企業超前部署的下個重點,智慧資安部署刻不容緩。」
台灣微軟資安產品經理張士龍說明:「藉由主動管理內部風險,增加違反內部政策行為與資料外洩的能見度、訂定補救措施,及強化企業全體員工對於零信任的認知與落實零信任管理機制,是混合工作新常態下企業須著手的資安基礎,透過事先法規遵循、機器學習識別隱藏員工行為、整合式的工作流程,將可加快識別內部重大風險來源,並採取解決措施。」
微軟甫發表《微軟數位防禦報告2020》,建議企業在實行混合辦公時,資安應著重部署三大架構:
零信任基礎架構
企業 IT 架構最初設置並未為遠端工作模式提供大規模、即時過渡等突發情形預備。當員工轉為幾乎 100% 的遠端工作時,架構負載也隨之增加,不僅使得軟體使用體驗降級,企業 VPN 通道更造成阻礙。有鑑於此,企業資安團隊須建立完整的 VPN 安全策略,防止未經授權的訪問、管理授權使用者訪問權限。而鑒於密碼被猜測、網路釣魚、惡意軟體竊取或重複使用的頻率,人們將密碼與某種形式的強憑據配對也至關重要。Azure AD 可透過 MFA 驗證使用者身分,阻止非託管設備直接存取公司系統,作為資安防禦的第一道防線。根據報告指出,已禁用舊式身份驗證的組織中,Azure AD 帳戶的危害比啟用舊式身份驗證的帳戶少 67%。
裝置管理
為確保企業資料隨時受保護狀態,Microsoft Intune 以雲端為基礎,著重於行動裝置管理 (MDM) 和行動應用程式管理 (MAM),協助企業掌握組織裝置的使用方式,也可設定特定原則來控制裝置應用程式,例如防止電子郵件傳送給組織外部的人。Microsoft Intune可與 Azure Active Directory (Azure AD) 整合,以控制存取權限、內容,更可結合 Microsoft 365 讓員工在其所有裝置上都保有生產力。
此外,對於非託管裝置,透過 Windows 虛擬桌面 (WVD) 以豐富的桌面環境的形式提供替代訪問管理,企業 IT 人員只需在短短幾分鐘,即可完成員工權限控管設定,透過統一配置、發布、管理、權限管控等服務,可控制誰通過標識的設備存取資訊,快速部署並最大化運用公司 IT 資源,降低多重嫁接費用支出,大幅節省 IT 人員時間、設備成本,維持員工高度生產戰力。
資料治理(Data Governance)與合規性
為有效管理和保護重要的企業資料,資安團隊需認識和識別混合環境中的數據內容,偵測使用者行為,透過加密、權限控管和視覺化標記等方式保護數據及避免資料外洩,並將數據自動化的留存、刪除、儲存及進行合規紀錄。Compliance Manager 提供了龐大的數據庫,將複雜的法規要求轉換為特定的技術控制,並提供風險評估的量化方法,不僅可擴大監管覆蓋範圍,更可透過內置的自動化功能檢測使用者設置和指南,幫助企業管理資安威脅風險。
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!