揭示“零信任”为资安基石 近三千位报名者在线与会

（2020年10月23日，台北）疫情加速产业结构转变，亦加速了资安数码转型，在混合办公逐渐成为新常态下，台湾微软于10/19至10/23首次举办在线“2020 Microsoft Security Summit微软资安高峰会”，吸引近三千位报名者参与在线盛会，除了分享诸多案例颇析与资料治理等议题，更提出零信任的三大关键原则，包括1) 一律不信任地验证、2) 一律使用最低权限存取、3) 一律假设处于高风险环境；此外，微软甫发表，揭橥混合办公资安三大架构：零信任基础架构、装置管理和资料治理(Data Governance)与合规性，亦于大会中分享各架构的解决方案与做法，助企业在转变工作模式时能持续透过智慧资安快速部署，将资安威胁降至最低。

零信任三大关键要素　快速掌握现代化资安布署核心思维

新冠肺炎疫情爆发后，两个月内就带动了相当于两年进度的数码转型，期间“资安”扮演的控管守门人角色功不可没。根据微软调查报告显示，疫情爆发后十日内，企业为因应疫情主要推动两大变革：导入零信任架构及业务弹性化，以确保企业核心业务与服务，在面临疫情威胁期仍可维持安全的正常维运。调查中有54%资安长因业务弹性计划顺利协助企业渡过难关；更有89%企业将50%生产力转至远端工作形式，且有42%企业将在疫后继续采取远端办公型态。而随著工作型态改变，所带来的资安风险、管理成本将加重考验企业负担。同时微软也发现，为因应疫情，企业在资安预算及招聘人数皆有提高，云端技术及零信任(Zero Trust) 更是企业未来的投资焦点。

不管是实体或在线网络，零信任思维涵盖多重因素验证MFA (Multi-factor authentication)、装置维运、应用程序和API、数据、IT基础设施、网络等六大要素，并将所有员工划入安全控管范围。零信任安全结构围绕三个关键原则：

l   一律不信任地验证：相较于对企业网络中或使用 VPN 链接的使用者及装置进行隐含验证请务必采零信任方式，明确验证每一笔交易，如此即可透过所有可用资料点进行强大的验证与授权，包括使用者身分识别、位置、装置维运状况、服务或工作负载、资料分类与异常状况。

l   一律使用最低权限存取：仅在人员需要的时候，针对其手边的工作授予一定时限的权限。

l   一律假设处于高风险环境：将漏洞与企业资产列入预期考量，并套用针对个别区段以实时分析等技巧来加速侦测攻击。

“微软一直致力投注资源并全力助客户部署资安，在线微软资安高峰会是微软智慧资安加上产业洞察、客户经验汲取后的完整呈现，让企业了解混合办公趋势下如何著力资安布建，而零信任策略更是首要关键。”台湾微软Microsoft 365事业部副总经理陈慧蓉 表示：“台湾面对5G时代来临及混合办公模式新常态，可预见5G将赋予数十亿的物联网装置新功能以及更多的数据交流，据调查显示，与2019年下半年相比，2020年上半年的物联网威胁总攻击量增长了约35％，因此端点、装置的身分识别和访问管理更为重要，也更显企业超前部署的下个重点，智慧资安部署刻不容缓。”

混合办公资安三大架构　远离内部资安风险危机

企业的资安风险主要来自内部风险，包含员工违反内部政策、离职员工窃取资料、数据泄漏，而这样的行为往往不易被发现，据调查，有59%自愿或非自愿离开组织的员工表示在离职时带走机密资料。台湾微软资安产品经理张士龙说明：“借由主动管理内部风险，增加违反内部政策行为与资料外泄的能见度、订定补救措施，及强化企业全体员工对于零信任的认知与落实零信任管理机制，是混合工作新常态下企业须著手的资安基础，透过事先法规遵循、机器学习识别隐藏员工行为、集成式的工作流程，将可加快识别内部重大风险来源，并采取解决措施。”

最新释出的指出，随著越来越多的企业将资安导入远端工作需求要素中，无论是短期还是长期、网络安全都为运营弹性奠定了基础，企业应定期评估其风险，并结合人力和技术产品和服务来执行关键流程，微软建议企业在实行混合办公时，资安应著重部署三大架构：

1.         零信任基础架构：

企业IT架构最初设置并未为远端工作模式提供大规模、实时过渡等突发情形预备。当员工转为几乎 100% 的远端工作时，架构负载也随之增加，不仅使得软件使用体验降级，企业 VPN 通道更造成阻碍。有鉴于此，企业资安团队须创建完整的 VPN 安全策略，防止未经授权的访问、管理授权使用者访问权限。而鉴于密码被猜测、网络钓鱼、恶意软件窃取或重复使用的频率，人们将密码与某种形式的强凭据配对也至关重要。Azure AD可透过MFA验证使用者身分，阻止非托管设备直接存取公司系统，作为资安防御的第一道防线。根据报告指出，已禁用旧式身份验证的组织中，Azure AD 帐户的危害比启用旧式身份验证的帐户少 67%。

2.         装置管理：为确保企业资料随时受保护状态，Microsoft Intune 以云端为基础，著重于行动装置管理 (MDM) 和行动应用程序管理 (MAM)，协助企业掌握组织装置的使用方式，也可设定特定原则来控制装置应用程序，例如防止电子邮件传送给组织外部的人。Microsoft Intune可与 Azure Active Directory (Azure AD) 集成，以控制存取权限、内容，更可结合 Microsoft 365 让员工在其所有装置上都保有生产力。

此外，对于非托管装置，透过 Windows 虚拟桌面 (WVD) 以丰富的桌面环境的形式提供替代访问管理，企业IT 人员只需在短短几分钟，即可完成员工权限控管设定，透过统一配置、发布、管理、权限管控等服务，可控制谁通过标识的设备存取信息，快速部署并最大化运用公司IT资源，降低多重嫁接费用支出，更进一步大幅节省IT人员时间、设备成本，维持员工高度生产战力。

3.         资料治理(Data Governance)与合规性：

为有效管理和保护重要的企业资料，资安团队需认识和识别混合环境中的数据内容，侦测使用者行为，透过加密、权限控管和视觉化标记等方式保护数据及避免资料外泄，并将数据自动化的留存、删除、储存及进行合规纪录。Compliance Manager 提供了庞大的数据库，将复杂的法规要求转换为特定的技术控制，并提供风险评估的量化方法，不仅可扩大监管覆盖范围，更可透过内置的自动化功能检测使用者设置和指南，帮助企业管理资安威胁风险。

          如欲了解更多微软智慧资安的最新进展与观点，请至参考更多详细内容；如欲了解微软资安解决方案部署信息，请至查询。

本文由:完美体育(中国)-官方 提供

关键字： 完美体育(中国)-官方