微軟認為“零信任”是任何組織的安全計劃的重要組成部分。我們與云安全聯(lián)盟（一個推廣云計算最佳實踐的非營利組織）合作，將多名高級首席信息安全官聚集在一起，討論并分享他們對零信任歷程的見解。

　　在我們的第一次討論中，我們與來自著名能源、金融、保險和制造企業(yè)的10位首席信息安全官坐在虛擬圓桌會議上，了解哪些是他們認為行之有效的，哪些是零信任安全模型仍需要調整的地方。我們的集體目標是相互學習，并與其他網絡安全領域的專業(yè)人士分享。

　　“零信任：從不信任，永遠驗證。”

　　零信任假設所有的訪問都是有風險的，并驗證每一個請求，就像它始終來自一個不受控的網絡一樣。這意味著無論是防火墻內外、終端上、服務器上還是云中，安全防護機制永遠不相信任何人或任何事件。

　　“零信任”策略

　　在您的企業(yè)中引入零信任策略需要在所有基礎要素上實施管控，例如：身份、設備、應用、數(shù)據(jù)、基礎設施和網絡。

　　策略 #1 - 使用身份控制訪問權限

　　身份代表用戶、服務和物聯(lián)網設備——是網絡、終端和應用的共同點。在零信任安全模型中，它們作為一種強大、靈活和細化的方式來控制對數(shù)據(jù)的訪問。當任何身份試圖訪問任何資源時，安全防護機制應通過強身份驗證來驗證身份，確保訪問請求符合典型的身份行為，并確認該身份遵循最小權限訪問原則。

　　策略 #2 - 提升身份認證

　　將多因素認證或持續(xù)認證納入身份管理策略，可大幅改善企業(yè)的信息安全狀況。一位圓桌會議的與會者分享說，通過將身份管理擴展到持續(xù)認證功能，他們的企業(yè)現(xiàn)在可以在用戶的常用 IP 地址或常規(guī)行為模式發(fā)生變化時進行身份驗證。只要能通過其他方法進行驗證，并且最終用戶不需要為了驗證額外進行任何操作，那么就可以每隔五分鐘甚至每秒鐘進行一次持續(xù)驗證。比如，終端可以成為多因素驗證的因素之一等。

　　策略 #3 - 納入無密碼認證

　　無密碼認證用兩個或兩個以上的驗證因素取代傳統(tǒng)密碼，并以一對加密密鑰來保證安全性。注冊時，設備會創(chuàng)建一個公鑰和私鑰。私鑰可以借助本地安全硬件來進行解鎖，如常規(guī)的手機呼叫驗證、PIN 碼登錄、生物識別認證（指紋掃描、面部識別或虹膜識別），甚至對于涉及訪問及維護企業(yè)敏感信息、應用、服務和設備的員工，可以添加需要配合指紋或 PIN 使用的安全密鑰或者獨立的芯片卡，確保正確的人在最低權限下獲取了需要的內容。

　　策略 #4 - 細分企業(yè)網絡

　　網絡分割可能是企業(yè) IT 的典型痛點，因為防火墻代表著早期的分割，這會讓開發(fā)和測試工作變得復雜。最終，許多 IT 團隊更多依靠安全團隊來解決網絡連接和訪問的問題。然而，分割網絡并進行更深層次的網絡內微觀分割對于零信任來說非常重要，因為在混合辦公的世界中，所有關鍵業(yè)務數(shù)據(jù)都是通過網絡基礎設施訪問的。對于網絡的控制起到了至關重要的作用，提高可視性并有助于防止惡意攻擊者在網絡中橫向移動。

　　策略 #5 - 保護設備

　　在零信任策略中，訪問企業(yè)數(shù)據(jù)和運行企業(yè)應用的設備無論是企業(yè)所有的還是個人所有的手機或平板電腦，也就是所謂的“員工自有設備”（BYOD），都將采用相同的安全策略。需要連接企業(yè)網絡的內部員工、供應商、合作伙伴甚至訪客的設備都是可以由 IT 部門完全管理的。而無論這些 PC、Mac、服務器、物聯(lián)網設備、筆記本電腦、平板電腦、智能手機或可穿戴設備位于企業(yè)內部網絡、企業(yè)訪客網絡、家庭寬帶甚至在咖啡館或者機場候機廳接入的公共互聯(lián)網，都是如此。在混合辦公的世界里，大量且多樣性可訪問企業(yè)信息的設備是最難以監(jiān)管的部分。如果允許未打補丁或者有安全隱患的設備接入企業(yè)內部網絡，那無疑會大大提高企業(yè)的信息安全風險。

　　策略 #6 - 對企業(yè)應用進行細分

　　要從云應用和服務中充分受益，需要在提供訪問和維持控制之間找到一個平衡，以確保應用及其包含的數(shù)據(jù)受到保護。通過對應用的管控來發(fā)現(xiàn)影子 IT，確保適當?shù)膽脙鹊臋嘞?，根?jù)實時分析結果對訪問來進行把關，監(jiān)控異常行為，限制用戶的非常規(guī)操作，并驗證安全配置選項。

　　策略 #7 - 定義角色和訪問控制

　　隨著遠程工作的迅速普及，所有企業(yè)必須考慮尋找現(xiàn)代安全控制的方式。將員工在企業(yè)數(shù)字資產中需要進行的操作進行角色化的定義，并與策略聯(lián)系起來，作為授權、單點登錄、無密碼訪問的一部分是非常高效的。然而，每一個定義的角色都必須在現(xiàn)在和未來進行管理和維護，所以要有選擇地創(chuàng)建多少種角色，這樣就不會給后期的管理和維護工作帶來繁重的工作。

　　邁向“零信任”的歷程

　　在混合辦公的世界中，信息安全防護方案應該從假設突破的關鍵零信任原則開始。但通常情況下都被復雜性和分散性阻礙了發(fā)展。我們致力于幫助所有組織解決這個問題，因為我們?yōu)樗腥藰嫿ò踩沫h(huán)境，并從云端交付。

　　誠然這些都始于集成解決方案，讓您的組織專注于重要的事情，并為您的所有平臺和所有云中數(shù)字資產提供可視性。我們推出了一套整體方案，將最佳的 SIEM 集成體系結構和響應（XDR）工具直接構建在云中，這為您提供了最好的產品和最佳的集成體驗，因此 IT 部門再也不需要通過每天“奔波”于大量的管理平臺來保護企業(yè)信息安全。

　　使用 Microsoft Defender for Endpoint 和 Defender for Office 365 的用戶可以從 Microsoft 365 Defender 門戶調查和處理威脅。它提供了統(tǒng)一的警報、用戶和調查頁面，以便進行深入的自動分析和直觀的可視化效果，并提供了一個新的學習中心，您可以利用具有最佳實踐和操作方法的指導資源對企業(yè)信息安全進行加固。

　　新的威脅分析提供了一組來自 Microsoft 安全研究專家的報告，可幫助您直接在 Microsoft 365 Defender 中了解、預防和緩解威脅，如近期的 Solorigate 攻擊等。

　　我們正在將安全核心引入 Windows Server 和邊緣設備，以幫助最大限度地降低物聯(lián)網和混合云環(huán)境中的固件漏洞和高級惡意軟件的風險。

　　各企業(yè)在開始施行零信任之旅時，關注的側重點各不相同。圓桌會議參與者所代表的一些企業(yè)從用戶身份和訪問管理開始了他們的零信任之旅，而其他企業(yè)則從網絡宏觀和微觀細分或應用方面開始。這些信息安全官一致認為，制定施行零信任策略的整體戰(zhàn)略至關重要，在整個企業(yè)中大面積推廣零信任之前，應該從小處著手，建立信心。

　　這通常意味著需要采取分階段的方法，根據(jù)企業(yè)“零信任”的成熟度、可用資源和優(yōu)先級，針對特定領域來進行。例如，您可以從云中的新項目開始，或在開發(fā)人員和測試環(huán)境中進行前期試驗。一旦您建立了信心，我們建議將零信任策略覆蓋到整個企業(yè)數(shù)字財產，同時將其作為一種集成的安全理念和端到端的戰(zhàn)略推進。在這個旅程中，您并不孤單。成功的企業(yè)已經走過了這條道路，我們很高興與您一起走過每一步。