在登陆区域中整合零信任做法

零信任是一种安全策略，可在其中将产品和服务纳入设计和实现，以遵循以下安全原则：

• 显式验证：始终基于所有可用数据点进行身份验证和授权访问。

• 使用最小特权访问：将用户限制为足够访问，并使用工具提供实时访问，并考虑自适应基于风险的策略。

• 假设违规：尽量减少爆炸半径和段访问，主动查找威胁，并不断改进防御。

如果组织遵守零信任策略，则应将特定于零信任的部署目标纳入登陆区域设计区域。 登陆区域是 Azure 中工作负荷的基础，因此请务必准备登陆区域以零信任采用。

本文提供了将零信任做法集成到登陆区域的指南，并说明了遵守零信任原则的位置需要登陆区域以外的解决方案。

零信任支柱和登陆区域设计区域

在 Azure 登陆区域部署中实施零信任做法时，应首先考虑每个登陆区域设计区域的零信任指南。

有关设计登陆区域的注意事项以及每个区域中关键决策的指南，请参阅 Azure 登陆区域设计区域。

零信任模型具有由概念和部署目标组织的支柱。 有关详细信息，请参阅部署零信任解决方案。

这些支柱提供了特定的部署目标，可帮助组织符合零信任原则。 这些目标超出了技术配置。 例如，网络支柱具有网络分段的部署目标。 该目标不提供有关如何在 Azure 中配置隔离网络的信息，而是提供有关创建体系结构模式的指导。 在实现部署目标时，需要考虑其他设计决策。

下图显示了登陆区域设计区域。

下表将零信任支柱与体系结构中显示的设计区域相关联。

图例	登陆区域设计区域	零信任支柱
	Azure 计费和Microsoft Entra 租户	标识支柱
	标识和访问管理	标识支柱， 应用程序支柱， 数据支柱
	资源组织	标识支柱
	治理	可见性、自动化和业务流程支柱
	Management	终结点支柱， 应用程序支柱， 数据支柱， 基础结构支柱
	网络拓扑和连接	网络支柱
	安全性	所有零信任支柱
	平台自动化和 DevOps	可见性、自动化和业务流程支柱

并非所有零信任部署目标都是登陆区域的一部分。 许多零信任部署目标用于设计和将单个工作负荷发布到 Azure。

以下各部分将审查每个支柱，并提供有关实现部署目标的注意事项和建议。

保护标识

有关保护标识的部署目标的信息，请参阅使用 零信任 保护标识。 若要实现这些部署目标，可以应用标识联合、条件访问、标识治理和实时数据操作。

标识注意事项

• 可以使用 Azure 登陆区域参考实现 将现有标识平台扩展到 Azure 的资源，并通过实施 Azure 最佳做法来管理标识平台。

• 可以在 Microsoft Entra 租户中为零信任做法配置许多控件。 还可以控制对使用 Microsoft Entra ID 的 Microsoft 365 和其他云服务的访问。

• 必须规划超出 Azure 登陆区域中的配置要求。

标识建议

• 制定一个计划，用于管理除 Azure 资源以外的Microsoft Entra ID 中的标识。 例如，您可以使用：

  • 与本地标识系统联合。
  • 条件访问策略。
  • 授权的用户、设备、位置或行为信息。

• 为标识资源（例如域控制器）使用单独的订阅部署 Azure 登陆区域，以便更好地保护对资源的访问。

• 尽可能使用 Microsoft Entra 托管标识。

保护终结点

有关保护终结点的部署目标的信息，请参阅具有零信任的安全终结点。 若要实现这些部署目标，可以：

• 向云标识提供者注册终结点，以仅通过云管理的合规终结点和应用提供对资源的访问。

• 对注册 自带设备 （BYOD）计划的公司设备和个人设备强制实施数据丢失防护（DLP）和访问控制。

• 使用终结点威胁检测监视设备风险以进行身份验证。

终结点注意事项

• 终结点部署目标适用于最终用户计算设备，例如笔记本电脑、台式计算机和移动设备。

• 在采用终结点零信任做法时，必须在 Azure 和 Azure 外部实现解决方案。

• 可以使用工具（如 Microsoft Intune 和其他设备管理解决方案）来实现部署目标。

• 如果在 Azure 中有终结点（例如在 Azure 虚拟桌面中），则可以在 Intune 中注册客户端体验，并应用 Azure 策略和控制来限制对基础结构的访问。

终结点建议

• 除了实施 Azure 登陆区域的计划外，还制定一个计划，用于管理具有零信任做法的终结点。

• 有关设备和服务器的其他信息，请参阅 安全基础结构。

安全应用程序

有关保护应用程序的部署目标的信息，请参阅使用 零信任 保护应用程序。 若要实现这些部署目标，可以：

• 使用 API 深入了解应用程序。

• 应用策略来保护敏感信息。

• 应用自适应访问控制。

• 限制影子 IT 的覆盖范围。

应用程序注意事项

• 应用程序的部署目标侧重于管理组织中的第三方和第一方应用程序。

• 这些目标不能解决保护应用程序基础结构的问题。 相反，它们解决了保护应用程序（尤其是云应用程序）的使用问题。

• Azure 登陆区域做法不提供应用程序目标的详细控制措施。 这些控件配置为应用程序配置的一部分。

应用程序建议

• 使用 Microsoft Defender for Cloud Apps 管理对应用程序的访问。

• 使用 Defender for Cloud Apps 中包含的标准化策略来强制实施做法。

• 制定计划，将应用程序加入应用程序访问实践。 不要信任组织托管的应用程序，而不是信任第三方应用程序。

保护数据

有关保护数据的部署目标的信息，请参阅使用零信任保护数据。 若要实现这些目标，可以：

• 对数据进行分类和标记。
• 启用访问控制。
• 实现数据丢失保护。

有关日志记录和管理数据资源的信息，请参阅 Azure 登陆区域参考实现。

零信任方法涉及对数据的广泛控制。 从实施的立场来看， Microsoft Purview 提供了数据管理、保护和风险管理的工具。 可以将 Microsoft Purview 用作云规模分析部署的一部分，以提供可大规模实现的解决方案。

数据注意事项

• 根据登陆区域订阅民主化原则，可以为数据资源创建访问和网络隔离，并建立日志记录做法。

  参考实现中有用于记录和管理数据资源的策略。

• 除了保护 Azure 资源之外，还需要其他控制才能满足部署目标。 零信任数据安全性涉及对数据进行分类、标记数据以区分敏感度以及控制数据访问。 它还扩展到数据库和文件系统之外。 需要考虑如何在 Microsoft Teams、Microsoft 365 组 和 SharePoint 中保护数据。

数据建议

• Microsoft Purview 提供了用于数据管理、保护和风险管理的工具。

• 实现 Microsoft Purview 作为云规模分析部署的一部分，以大规模实现工作负荷。

保护基础结构

有关保护基础结构的部署目标的信息，请参阅使用 零信任 保护基础结构。 若要实现这些目标，可以：

• 监视工作负荷中的异常行为。
• 管理基础结构标识。
• 限制人工访问。
• 细分资源。

基础结构注意事项

• 基础结构部署目标包括：

  • 管理 Azure 资源。
  • 管理操作系统环境。
  • 访问系统。
  • 应用特定于工作负荷的控件。

• 可以使用登陆区域订阅模型为 Azure 资源创建明确的安全边界，并在资源级别根据需要分配有限的权限。

• 组织需要组织其工作负荷进行管理。

基础结构建议

• 使用标准的 Azure 登陆区域策略 来阻止不合规的部署和资源，并强制实施日志记录模式。

• 在 Microsoft Entra ID 中配置 Privileged Identity Management ，以提供对高特权角色的实时访问。

• 在 Defender for Cloud 中为登陆区域配置 实时访问 ，以限制对虚拟机的访问。

• 创建一个计划，用于监视和管理在 Azure 中部署的单个工作负荷。

保护网络

有关保护网络的部署目标的信息，请参阅具有零信任的安全网络。 若要实现这些目标，可以：

• 实现网络分段。
• 使用云原生筛选。
• 实现最低访问权限。

网络注意事项

• 为了确保平台资源支持零信任安全模型，必须部署能够进行 HTTPS 流量检查的防火墙，并将标识和管理网络资源与中心隔离开来。

• 除了连接订阅中的网络资源外，还需要创建计划来在其辐射虚拟网络中对单个工作负荷进行微分段。 例如，可以定义流量模式并为每个工作负荷网络创建细化网络安全组。

网络建议

• 使用以下特定于零信任的部署指南部署 Azure 登陆区域：

  • 使用零信任网络原则部署 Azure 登陆区域门户加速器
  • 使用零信任网络原则部署网络
  • 具有零信任网络原则的 Azure 登陆区域 Terraform 部署

• 有关如何将零信任原则应用于应用程序交付的信息，请参阅 Web 应用程序的零信任网络。

• 有关如何为工作负荷网络创建计划的信息，请参阅使用 Azure 零信任部署计划。

可见性、自动化和业务流程

有关可见性、自动化和业务流程的部署目标的信息，请参阅零信任的可见性、自动化和业务流程。 若要实现这些目标，可以：

• 建立可见性。
• 启用自动化。
• 通过练习持续改进来启用其他控制。

可见性、自动化和业务流程注意事项

• Azure 登陆区域参考实现包含Microsoft Sentinel 的部署，可用于在 Azure 环境中快速建立可见性。

• 参考实现为 Azure 日志记录提供策略，但其他服务需要其他集成。

• 应将自动化工具（如 Azure DevOps 和 GitHub）配置为发送信号。

可见性、自动化和业务流程建议

• 将 Microsoft Sentinel 部署为 Azure 登陆区域的一部分。

• 创建一个计划，将来自 Microsoft Entra ID 和工具的信号集成到 Microsoft 365 到 Microsoft Sentinel 工作区。

• 创建用于执行威胁搜寻练习和持续安全改进的计划。

后续步骤

• 适用于 Azure 的 Microsoft 云采用框架中的安全性
• 将零信任原则应用于 Azure 服务
• 评估零信任安全状况