隨著企業(yè)逐步上云，員工每天訪問的移動業(yè)務應用日益激增，全球范圍內的聯網設備也空前增多，企業(yè)的安全風險也顯而易見。同時，伴隨疫情的長尾影響，移動智能辦公需求不斷增加，靈活多樣的辦公場所也給黑客增加了新的攻擊點，企業(yè)數據和信息安全也因此面臨極大挑戰(zhàn)。由此“Zero Trust-零信任”成為熱點話題。12月22日，“這就是數字化”——數字化百家講堂第一季第18期，微軟云解決方案架構師朱駕宇作為主講嘉賓，從抵御數字威脅的方面剖析了當前環(huán)境下企業(yè)所面對的風險和挑戰(zhàn)，為企業(yè)由淺到深、逐層延展、全面構建零信任安全架構提供了方法。

萬物互聯時代，云應用迎來了爆炸式增長，同時，在疫情常態(tài)化下，越來越多的組織開啟了遠程辦公模式，這使得員工不得不通過非公司管理的設備連接至公司內部網絡，至此，企業(yè)新的邊界已經不再是由組織的物理位置所能定義的，而應當擴展到可以訪問主機、存儲或公司資源和服務的每個接入點，防止未經授權訪問公司系統(tǒng)比以往顯得更加重要。

微軟零信任架構

微軟零信任架構的核心是保護資源的安全性，通過細分資源訪問控制防止非法訪問和橫向移動。身份、設備、應用程序、基礎設施、網絡、數據是微軟零信任安全架構的6個基本元素。

訪問主體是身份和設備。訪問資源是數據、應用、基礎架構以及網絡。架構的核心是安全策略執(zhí)行，它可提供實時策略評估。通過分析信號并應用組織策略和威脅情報來提供保護。在授予對數據、應用程序、基礎設施和網絡的訪問權限之前，它可確保身份得到驗證和驗證，并且設備是安全的。此外，它提供持續(xù)、全面的應用可見性與分析以及自動化。

強身份驗證

身份定義了整個零信任控制的基礎。當身份嘗試訪問資源時，系統(tǒng)需要通過多重身份驗證（MFA）來驗證該身份標識，確保來自該身份是合理且合規(guī)的，同時保證通過強制力強制實施了最少權限訪問原則。

連接所有用戶和應用

Azure AD可以幫助企業(yè)將應用程序暴露在云端，通過Azure AD的策略找到代理，最后應用到本地。例如在疫情突發(fā)時，員工可以通過這樣的方式訪問公司內部APP，確保企業(yè)實現應用的訪問控制、用戶操作以及安全運行。

實時監(jiān)控會話

實時監(jiān)控系統(tǒng)會對用戶端的信息進行判斷，并針對不同操作系統(tǒng)進行診斷，并對風險進行評估，對每個應用根據不同的風險等級采取閱讀或下載的限制。

用戶行為分析

用戶行為分析（UEBA）會對用戶本身的行為全面分析，例如發(fā)現高風險用戶后會對該用戶進行數據下載和業(yè)務訪問權限的限制。

Azure AD 身份治理

Azure AD可以對企業(yè)整體的身份進行管理，共分為用戶注冊、職責分配、授權及配置策略、訪問權限審核及調整、職責變更五大環(huán)節(jié)進行閉環(huán)管理。

Azure AD功能可分為B2E、B2B、B2C三大應用場景，包含單點登錄、通過條件訪問實現零信任安全管控、全生命周期的權限管控等。

零信任安全的實施是一個長期持續(xù)的過程，實施的每一個階段都可以幫助企業(yè)降低風險，建立整個數字資產內的信任體系，同時也需要根據企業(yè)當前的零信任成熟度、可用資源和優(yōu)先級，有的放矢，對相應領域進行投入和變革，確保每項短期和長期的投入都與當前業(yè)務需求保持一致。