作者：Goce Argirov，认证培训师｜顾问｜解决方案架构师｜基础设施和安全 Goce Argirov，Microsoft 认证培训师｜咨询师｜解决方案架构师｜Azure 基础设施和安全公司 Semos Education

Azure AD是您零信任战略的核心

安全工作的重点是建立强大的外围防御，将恶意黑客拒之门外的时代早已过去。周界外的任何东西都被视为敌意，而在墙内，一个组织的系统是值得信任的。

今天的安全态势是假设漏洞，这是一种指导安全投资、设计决策和运营安全实践的思维方式。从本质上讲，假设漏洞引导你换位思考，改变你的心态：你已经被攻破了，或者你会被攻破--没有其他结果。

2012年，在接受采访时，中央情报局前局长和国家安全局退役将军说："从根本上说，如果有人想进入，他们就会进入。"从根本上说，如果有人想进入， 他们得到的。好吧，好。接受这一点。"

在那段时间里，很多人都不太明白他的真实意思，但这句话是假设突破方法的核心。

数据泄露会造成毁灭性的经济损失，并影响一个组织多年的声誉。从业务损失到监管罚款和补救成本，数据泄露会产生深远的影响。由IBM赞助的Ponemon研究所进行的2019年数据泄露研究发现，2019年数据泄露的全球平均成本为392万美元，比2018年的研究增加了1.5%。

考虑到这些，你可能会说：好吧，现在怎么办？从我的角度来看，实施零信任架构是下一步的目标!

无论你就"零信任模式"询问哪位安全专家，他们都会同意这是阻止数据泄露和简化企业合规性路径的最佳方式。"永远不信任，永远验证"零信任通过消除未知和未管理的设备，限制横向移动，帮助保护企业资源安全。

2010年，Forrester Research的首席分析师John Kindervag创建了零信任模型。这个模型指出，你永远不应该假设信任，而是要不断验证信任。当用户、设备和数据都驻扎在组织的防火墙内时，它们被假定为可信任。这种假设的信任使得恶意黑客入侵端点设备后，可以轻松地进行横向移动。

实施真正的"零信任"模式或"零信任架构"需要对所有组件--用户身份、设备、网络和应用进行验证并证明其可信度。零信任在授予对企业资源的访问之前，先验证身份和设备的健康状况。在授予访问权时，应用最小权限原则限制用户只访问那些明确授权给每个用户的资源，从而降低环境中横向移动的风险。在理想的零信任环境中，必须具备以下四个要素。

• 到处都有强大的身份认证（通过认证进行用户验证
• 设备被纳入设备管理，其健康状况得到验证。
• 最低限度的用户权限（只限于需要的访问）。
• 核查服务的健康状况(未来目标)

实施零信任安全模式

迁移到"零信任"安全模式，与传统的基于网络的方法相比，可以同时提高安全性，并在用户需要访问的地方更好地启用。零信任模式需要有信号来告知决策，有政策来做出访问决策，有执行能力来有效地执行这些决策。

Azure AD中的条件访问 箭在弦上

在今天的工作环境中，我们已经看到，用户可以在任何设备上工作，无论是使用组织提供的笔记本电脑，还是使用个人智能手机，并且可以在任何地点工作，从家里、在办公室或在移动中工作。员工期望能够无缝访问他们工作所需的东西。虽然对生产力的需求并不随着访问环境的改变而改变，但每个连接的风险程度却在不断变化。并非所有的设备、应用程序或网络都是安全的，攻击者很可能会利用任何漏洞来访问你的用户和/或资源。因此，保护身份至关重要，但这还不够。管理和验证身份是保护环境的第一步。通过Azure AD提供用户身份，并在必要时连接您的内部活动目录服务，使您能够集中每个用户的身份，以便能够根据设备、组和应用程序建立策略。

如前所述，"零信任"方法需要灵活的安全政策，以满足用户访问数据和资源的要求。此外，"好"安全的一个重要方面是，合法用户几乎看不到它。过多的摩擦会抑制生产力，合法用户会想方设法规避阻碍其生产力的规定，从而产生（额外的）风险。虽然你可以对每个用户实施多因素认证（MFA），但理想的情况下，最大限度地提高生产力是希望让合法用户以最小的干扰来完成工作，同时阻止恶意人员。Azure AD使您能够为组织中的用户设置条件访问策略，以帮助保护混合或云环境的安全。条件访问是Azure 活动目录用来汇集信号、做出决策和执行组织策略的工具。

在Azure AD中配置条件访问策略

建议您针对以下情况对您的组织实施适当的政策：

• 用户和用户组：为了降低敏感数据泄露的风险，界定哪些用户或用户组可以访问应用程序或资源，特别要注意人力资源或财务数据等高度敏感的信息源。

• 连接风险。Azure AD中的机器学习算法会评估每个连接，并根据账户合法所有者以外的人试图连接的可能性，给它一个低、中、高风险的分数。任何具有中等风险的人在连接时都必须接受多因素认证（MFA）的挑战。如果连接为高风险，则必须阻止访问。这种情况需要Azure AD身份保护。

• 设备平台：对于这个条件，你可以为每个设备平台定义一个策略，阻止访问，例如要求符合Microsoft Intune，或者要求设备加入到域中。

• 地点：如果是一个安全政策有限的国家，或者如果无线网络没有安全保障，那么地点可能是有风险的。此外，仅仅因为它不是组织通常开展活动的地方，也可能存在风险。您可以更改来自不在安全 IP 地址列表中或因其他原因而具有风险的地点的连接的访问要求。当用户在企业网络之外访问服务时，必须强制使用多因素认证。

• 设备状态：您可以使用此条件为不由组织管理的设备设置策略。

• 客户端应用程序：用户可以使用不同的客户端应用程序类型访问许多应用程序，如Web应用程序、移动应用程序或办公生产力应用程序。如果使用导致已知问题的客户端应用程序类型进行访问尝试，您可以强制执行安全策略，或者您可以要求只有受管设备访问某些类型的应用程序。

• 云应用程序：该条件指定了敏感应用程序的独特策略。例如，您可以要求在Azure AD检测到风险连接或用户试图使用非托管设备访问时，将阻止Workday等人力资源应用程序。

当条件满足时，你可以选择Azure AD在控制方面执行的策略。

• 需要多因素认证来证明身份。
• 修改用户在云应用中可以进行的操作。
• 限制对敏感数据的访问，如限制下载或共享功能。
• 要求重置密码。
• 阻止进入。

Azure AD中的条件访问允许您通过定义一组指定条件和控制的策略来执行您的"约定规则"。您可以按员工、按设备或按组设置访问级别。AD中Azure 的条件访问是基于身份的安全策略的枢纽。以前，你应该指定"不得在公司网络之外进行访问"或"不得从个人设备进行访问"；今天，在条件下提供了阻止或授权访问的能力。

使用Azure 活动目录实施零信任方法 在Azure AD中的条件访问允许执行安全策略，当满足某些条件时，这些策略会自动触发。如果上下文数据表明用户已经受到威胁，或者如果用户在这些条件下不太可能登录，您可以阻止访问。当系统根据连接条件检测到中等风险时，您可以应用额外的认证要求。

请注意，AD 中Azure 的条件访问是 Azure AD Premium 功能（P1 或 P2）。所有访问应用程序或受条件访问策略限制的资源的用户都必须拥有Azure AD Premium许可证。

AZURE ACTIVE DIRECTORY的条件性访问：hAzurettps://docs.microsoft.com/en-us/ /active-directory/active-directoryconditional-access。

"永远不要相信，永远要核实"