CISO 聚焦 | 关于微软自身零信任之路的十大关键问题

“零信任”的确是个既简单又复杂的事物，亦如“网络安全”。本质上来看，网络安全是制衡的艺术，因此我们必须非常清楚我们的目标：如何控制和平衡所面对的网络安全风险到我们可以接受的状态？就实际情况而言，在企业实际部署实施零信任时，可能感觉需要的组件会很多、变更范围大、牵涉面又广、不容易确定优先级，导致项目实施困难，因此很多朋友具有这个疑问。

对于这个问题而言，我们的答案非常明确，企业的零信任之路应该首先从身份验证与访问控制开始，再考虑扩展到其他访问控制组件。在零信任的六个核心访问控制组件（身份、端点、网络、基础架构、应用和数据）中，身份（用户、设备或应用服务等等）是发起访问的源头，是横跨所有访问控制组件的重要属性，同时它与业务和行为紧密结合，也是最容易实现深度访问控制的组件。

在微软的零信任架构体系中，最核心的三个基础组件是实现用户和设备身份和访问控制的Azure AD、Azure AD Conditional Access策略，以及实现设备管理和安全策略配置的 Microsoft Intune。在这三个核心基础组件实现安全集成管控的基础上，再与其他的核心安全控制能力，例如针对用户身份凭据的安全防护Azure AD Identity protection/Microsoft Defender for Identity、针对端点设备的安全防护Microsoft Defender for Endpoint和针对应用访问的安全防护Microsoft Defender for Cloud Apps 等实现集成，从而实现更为完善和强大的零信任访问控制能力。

微软一直认为身份验证与访问控制是新的（现代化的）网络安全边界。微软的零信任解决方案是以身份验证与访问控制为核心、集成针对多重资源/资源组的安全状态评估和访问控制的解决方案，是NIST 于2020年8月发布的零信任架构规范（NIST SP 800-207 Zero Trust Architecture）中所推崇的第一种零信任解决方案类型。

那么企业的零信任之路应该如何从身份验证与访问控制开始呢？企业首先需要评估一下当前使用的统一用户身份验证和访问控制的解决方案，从而明确对应的后续零信任解决方案演进路线。如果有直接可以升级或者兼容的零信任解决方案最好，如果没有则需要考虑是否升级或更换当前使用的用户身份解决方案为其他解决方案。

例如微软的活动目录是全球最广泛使用的企业On-Premises统一用户身份验证和访问控制解决方案，超过90%的世界500强企业均在使用活动目录作为核心身份基础设施。而活动目录的零信任解决方案演进路线就是微软基于Azure Active Directory的零信任解决方案，从而使用活动目录的企业就可以很方便直接地进行后续的基于微软零信任解决方案的企业零信任之路。

零信任部署可以很复杂，也可以很简单。即便零信任部署可以做的很简单，也是完全依赖于底层先进的安全技术（例如安全情报、大数据、人工智能/机器学习、云计算等等）的支持。以下三个是我认为零信任中最重要的三个安全实践或安全要求：

以上三个安全实践或安全要求也是实现零信任的核心基础要求。

On-Premises活动目录可以作为Azure Active Directory的集成基础服务，并作为Azure AD 的数据同步源，我们也可以通过微软独有的安全加固方案来提高活动目录的安全性。

至于这个问题，因为在单纯使用On-Premises 活动目录时，由于缺乏与持续动态评估的数据遥测和安全可见性的集成，导致缺少例如针对用户身份、设备健康和安全性的动态威胁分析和风险评估的集成能力，因此是不能实现完整的零信任访问控制能力。

Microsoft Defender for Identity（MDI）是基于大数据分析、对象行为分析、AI/ML等先进技术的、全球领先地活动目录 APT 入侵检测平台，主要实现针对活动目录用户、特权、应用层、系统层和网络层的APT入侵检测。基于MDI的APT入侵检测和告警功能，再集成相关的安全响应能力（SOAR），我们可以部分实现基于零信任的访问控制能力。但这并不是原生集成解决方案，因此可能存在很多安全集成方面的问题。

完整的零信任访问控制能力是完全依赖于底层先进的安全技术或IT技术，特别是安全情报、大数据、人工智能/机器学习、云计算等等。完整的零信任解决方案也需要众多组件的共同参与和集成（如下图所示），因此我们需要通过 On-Premises 活动目录和Azure AD 、以及其他安全控制能力的集成，才能实现完整的零信任解决方案部署实施。在中国的 China Azure 云上同样提供 Azure AD 的相关功能。

微软员工可以使用个人的 BYOD 设备来访问公司资源。但是根据微软的安全策略要求，对于任何需要访问公司资源的设备，无论是微软公司拥有的设备，或者员工个人的 BYOD 设备，都必须通过我们的设备管理系统 Microsoft Intune 进行管理，并进行相应的设备健康和安全性状态持续动态检测。

如果员工想要使用其个人设备访问微软公司资源，则必须注册这些设备并遵守公司统一的设备健康和安全性状态持续动态验证策略。员工可以自行直接把个人 BYOD 设备加入到微软活动目录域或者 Azure AD，从而实现后续的设备注册和管理。同时为了提高员工的用户体验，我们部署了一个设备注册门户。此门户允许用户自行完成设备的识别、注册或修改，以确保用户的端点设备连接到适当的网段。同时通过此门户，用户可以自行注册用户设备、来宾设备和 IoT 设备。

除此之外，我们也需要考虑替代选项。如果员工不想注册个人的 BYOD 设备，也可以通过以下两种替代方式访问公司的资源：

以上替代选项访问方式均强制要求员工通过多因素身份验证。

我知道这个消息听起来有点震撼 ，如我刚知道时一样，毕竟我们已经太习惯用户密码的过期策略要求了。

但是，是的，我们移除了传统的密码过期策略，即目前微软用户的传统用户密码不会过期。给大家看一下我的微软用户账户配置，密码为不过期，如下图所示：

至于“如何保障用户密码的安全性？”这个问题的核心在于我们强制使用了更高级别的用户凭据安全控制措施，即多因素身份验证。通过我们整体环境中对于多因素身份验证的强制要求，因此传统的用户密码不过期并不会降低用户身份验证和凭据的安全性。目前无论是位于微软公司网络内部还是外部，当访问微软公司网络资源时，所有账户（包含来宾账户）都需要进行多因素身份验证。

我们把来宾用户访问参照公共网络访问进行对待。我们为来宾用户提供无线网络接入，但是该无线网络要求来宾通过多因素身份验证（手机短信验证），并且该无线网络只能访问 Internet。当来宾访问到允许公开访问的微软网络资源时，同样可能会要求对方进行额外的身份验证，例如通过微软账户验证等等。

首先明确一下，虽然在国内零信任解决方案有时已经变成了“下一代VPN”的代名词，但是零信任解决方案和VPN其实是完全不同的定位。VPN的核心定位是到企业内部网络的访问连接通道，而零信任的核心定位是实现有效安全访问控制的整体安全架构，甚至VPN本身也可以是零信任访问的目标应用。零信任中移除了对于企业内部、外部网络分区的依赖，这自然也就降低了通过VPN连接企业内部网络的必要性。

在理想的情况下，所有的应用系统和服务直接面向 Internet 进行部署，用户无需VPN即可直接通过 Internet 进行访问，并基于零信任实现有效的安全访问控制。虽然我们目前已经有超过94%的企业业务应用（LOB）系统位于云端（Azure 或 SaaS），但是还有极少量特定业务应用位于企业内部网络。当用户位于企业外部网络例如 Internet 时，可以通过Microsoft IT 提供的 Azure Virtual Desktop 虚拟桌面服务或通过VPN连接到企业内部网络来进行访问。为了提高用户体验，对于所有的用户，我们自动启用了VPN连接，并会根据用户的访问目标来自动选择路由，仅访问公司网络中的特定网络资源时才会通过VPN链路进行，默认均通过 Internet 直接进行访问。

我们的终极目标是迁移所有的企业业务应用到云端，从而为用户从 Internet 访问公司网络资源时提供无缝的访问体验，并完全消除VPN的使用。

拥抱零信任不代表抛弃网络层面的访问控制。和身份一样，网络也是零信任中的核心控制组件，可以与身份和其他控制组件一起来实现更有效的纵深防御体系，微软在零信任部署中也大量采用网络微隔离。我们根据设备类别对企业网络进行分区并实现微隔离，以下是目前微软企业网络微隔离分区的示意图，并且我们也会持续根据相关需求来动态优化和调整：

无论对于微软、还是其他客户而言，物联网（IoT）设备的安全性的确是一个挑战。微软是物联网（IoT）行业的全球领导者，也具有全球领先的OT/IoT安全技术。微软针对OT/IoT的安全解决方案总体架构如下图所示：

对于在微软内部所使用的各种IoT设备，我们为其创建了专用的网络分区并实现微隔离。我们根据类别对网络进行分段并隔离物联网设备，包括高风险设备（如打印机）、可能缺乏所需安全控制的传统设备（如数字咖啡机）、以及具有符合我们标准的安全控制的现代设备（例如智能个人助理设备）等等。另外通过设备注册门户，员工可以自行注册用户设备、来宾设备和 IoT 设备。

除此之外，我们还通过微软针对OT/IoT安全的XDR解决方案 Microsoft Defender for IoT 实现全面而完善的OT/IoT设备发现和审计、安全监控和警告、主动安全风险和攻击向量评估。Microsoft Defender for IoT 针对 OT/ICS 和 Enterprise IoT 的关键安全能力如下所示，它可以通过网络流量侦听等无接触、无Agent、无中断方式进行部署和监控，并基于微软全球领先的OT/IoT安全技术生成全面和丰富的 OT/ICS/IoT 相关警告。

“零信任”是企业应对现代化安全威胁攻击的下一代安全架构，但是如在上一篇CISO 聚焦系列文章“深度解密：微软自身的零信任之路”中所介绍的，“零信任”已经不是一个新概念，甚至应该算是一个“过时”的概念（从Forrester在2010年11月首次提出“零信任网络架构（Zero Trust Network Architecture）”这个概念开始已经超过12年了，而零信任所依赖的安全技术出现甚至早于零信任这个概念提出之前，如微软最早的零信任相关技术应用是在2002年 – 距今已经超过了20年）。

虽然“零信任”不是一个新概念，但总体而言，由于各方面的原因，零信任解决方案在企业网络环境中的实际适配和落地却并不尽如人意，目前大部分企业仍然是继续采用传统的安全架构，零信任之路可能还会走很久。

从网络安全技术的演进来看，目前的企业和网络安全行业的重点还是在于实现零信任解决方案的落地、应用与集成。例如目前最新的安全访问服务边缘（SASE）技术，作为一个安全框架，它的目标是把软件定义的广域网（SD-WAN）和零信任解决方案融合到一个集成的云交付平台中，并通过这个平台把用户、系统、端点、远程网络安全地连接到所需的应用和资源。在SASE中更加强调网络连接的普适性和全球互联互通，自然就更进一步的降低了VPN的使用。

这世界上没有两只鸟是完全相同的，零信任部署也是。企业的具体需求不同、现有的安全控制措施/策略不同、安全能力不同、当前安全发展阶段不同，均会影响到零信任的部署实施。因此零信任解决方案需要充分的结合企业的实际状态和需求进行适配和落地，才能真正发挥零信任的实际功效和作用。

本质上来看，网络安全是制衡的艺术。没有绝对的网络安全，也没有永远的网络安全。网络安全无论攻防两端，都是一个动态发展、持续提高的过程，“防得了一时，防不了一世”。同样的，零信任也不是万能药，它是一个持续进化的旅程，而不是一个结果。

“万物皆可零信任”。大家潜意识的是把“零信任”看成一种技术解决方案，但是“零信任”实际上并不仅仅是一个安全防护技术解决方案，或者一个安全架构。本质上来看，“零信任”是一种通用原则、一种思维意识、以及管理风险的一种方法，我们可以在很多的场景中参考并应用“零信任”原则。在实施得当的情况下，“零信任”可以帮助企业在释放现代化技术潜力的同时，避免、限制和抵御潜在的安全威胁。

空谈无用，再好的战略，也要看具体执行，网络安全亦是如此。即便我们有非常完善的安全架构、规范和最佳实践，也知道网络安全很复杂、很麻烦、影响很大，但是毕竟需要落到实处才行。“罗马不是一天建成的”，网络安全也是。企业的相关管理人员需要“着眼大局、明确优先级、从小范围开始、快速行动”。我们必须充分考虑业务、IT和网络安全在数字化转型中的关联一致性，只有通过引入合理充分的网络安全措施，使企业组织尽可能地抵御现代化的攻击，才能支撑企业组织实现业务创新、提高生产力并最终实现数字化转型。关于企业网络安全战略和安全转型的更多建议，请参考之前的 CISO 聚焦系列文章。

⇲ Microsoft Defender for IoT

https://azure.microsoft.com/en-us/products/iot-defender/

⇲ Microsoft Defender for IoT 安全警告

https://learn.microsoft.com/zh-cn/azure/defender-for-iot/organizations/alert-engine-messages

⇲ 安全访问服务边缘（SASE）

https://www.microsoft.com/en-us/security/business/security-101/what-is-sase