像今年许多人一样,我们的Microsoft员工必须迅速将其从家庭模型转换为工作模型以响应COVID-19。尽管没有人能预测世界的当前状态,但它为我们在内部实现零信任安全模型所做的投资提供了非常真实的测试。在高峰期,我们约有97%的员工可以在Microsoft发布或个人设备上在家中成功工作。
这一成功的大部分功劳归功于我们三年前开始的零信任之旅。零信任对于相对平稳地过渡到“在家工作”模式至关重要。零信任实施的主要组成部分之一是确保我们的员工无论在何处都可以访问应用程序和资源。我们使员工无论在家里,在咖啡店还是在办公室都可以在任何地方提高工作效率。
为了实现这一点,我们需要确保可以通过任何Internet连接访问我们的大部分资源。实现此目标的首选方法是使用云和现代身份验证系统对应用程序和服务进行现代化。对于无法迁移到云的旧版应用程序或服务,我们使用应用程序代理服务,该服务充当代理连接到内部部署环境的代理,同时仍然执行严格的身份验证原则。
强大的身份验证和自适应访问策略是验证过程中的关键组成部分。验证过程的很大一部分包括将设备注册到我们的设备管理系统中,以确保只有已知且健康的设备才能直接访问我们的资源。对于不在我们的管理系统中注册的设备上的用户,我们开发了虚拟化选项,使他们可以访问非托管设备上的资源。COVID-19的早期影响之一是设备短缺和无法购买新硬件。我们的虚拟化实施还帮助新员工在等待设备抵达时提供安全的访问。
这些努力的结果与VPN配置相结合,使VPN能够进行拆分隧道访问,以访问剩余的少量本地应用程序,这使Microsoft员工可以在最关键的时间在任何地方工作。
为您的应用程序实现互联网优先模型
在此博客中,我将分享一些有关实施Internet优先方法的建议,以及我们在Microsoft的努力中学到的一些知识。因为每个公司都有自己独特的文化,环境,基础架构和变更门槛,所以没有一种万能的方法。但愿,你会哪怕只是来验证你已经在正确的道路上找到一些信息非常有用。
在开始之前,我只想提一下,该博客将假定您已经完成了零信任安全模型所需的一些基本要素。这些措施包括现代化您的身份系统,使用多因素身份验证(MFA)验证登录,注册设备以及确保符合IT安全策略等。缺少这些保护措施,以移动互联网-第一姿势是不可能的。
如前所述,您的应用需要通过将其迁移到云中并实施现代身份验证服务来实现现代化。这是通向互联网的最佳途径。对于无法现代化或无法迁移到云中的应用程序(请考虑使用传统的本地应用程序),您可以利用应用程序代理来允许通过Internet的连接,并仍然保持强大的身份验证原则。
通过自适应访问策略进行安全访问
通过公共互联网访问您的应用后,您将希望根据选择实施的条件来控制访问。在Microsoft,我们基于用户上下文,设备,位置和会话风险信息,使用条件访问策略来实施精细的访问控制,例如要求进行多因素身份验证。我们还加强设备管理和卫生政策以确保雇员来自从已知的和健康的设备,一旦他们成功地实现了强大的身份验证。
根据您组织的规模,您可能希望先通过实施多因素身份验证和设备注册,然后再逐步进行生物特征认证和全面的设备健康实施来开始缓慢。查阅我们的零信任指南,了解内部遵循的身份和设备,以获取其他一些建议。
当我们推出设备注册政策时,我们了解到使用数据来衡量政策的影响使我们能够调整消息传递和部署时间表。我们启用了“日志记录模式”,该模式使我们能够启用策略并收集有关在实施强制措施时将受到影响的人员的数据。使用这些数据,我们首先定位了已经在使用兼容设备的用户。对于我们知道将受到影响的用户,我们精心设计了针对性的消息传递功能,向他们发出即将发生的更改以及它们将如何受到影响的警报。这种较慢,更合理的部署方法使我们能够更快地监视和响应问题。使用这些数据来塑造我们的部署有助于我们最大程度地减少重要政策实施的影响。
从英雄应用程序开始
选择您的第一个应用程序以移至公共互联网可以用几种不同的方法来完成。您是否要从小的和非关键性的东西开始?还是您想“翻转开关”以一次覆盖所有内容?我们决定从证明其可大规模使用的英雄应用程序开始。Office 365是一个显而易见的选择,因为它提供了最广泛的覆盖范围,因为大多数员工每天都在使用它,而不管他们扮演什么角色。我们坚信,如果我们能够成功实施Office 365,我们的大多数产品组合都将获得成功。
最终,它将归结为您的环境,支持参与的门槛和公司文化。选择最适合您的道路,然后继续前进。所有路径都将有助于提供有价值的数据和经验,这将对以后有所帮助。
优先处理其余的应用和服务
优先的应用和服务,你未来的现代化可以挑战,特别是没有颗粒可视性什么员工在你的环境中访问。当我们开始旅程时,我们有了有关人们正在访问什么的理论,但是没有数据可以备份它。我们构建了一个仪表板,该仪表板报告了仍会路由到本地应用程序和服务的应用程序和服务的实际流量,以提供我们所缺乏的可见性。这为我们提供了急需的信息,以帮助根据影响,复杂性,风险等对应用程序和服务进行优先级排序。
我们还使用此仪表板来确定我们需要与哪些应用程序或服务所有者进行协调以更新其资源。为了与这些所有者进行协调,我们在任务跟踪系统中创建了工作项,并为所有者指定了截止日期,以提供现代化或实施代理前端解决方案的计划。我们还为所有这些任务及其状态创建了一个跟踪仪表板,以简化报告过程。
然后,我们与业主紧密合作,以提供指导和最佳做法来推动他们的成功。我们每周执行办公时间,在此应用程序和服务所有者可以提出问题。这些应用程序和服务所有者以及致力于零信任的团队之间的合作伙伴关系,可以帮助我们所有人朝着相同的共同目标-员工的无障碍访问迈进。
关于我们通过仪表板了解到的内容的快速说明-人们仍在访问的本地应用程序和服务不是我们期望的。仪表板显示了一些我们不知道人们仍在使用的项目。幸运的是,仪表板帮助消除了我们甚至不知道的雾层,这对于推动我们的优先级排序工作具有不可估量的作用。
正如我在博客开头提到的那样,每个公司都是独一无二的。因此,您对零信任和投资的看法可能与街上的公司有所不同。我希望上面提供的一些见解会有所帮助,即使只是让您思考如何解决组织内部的一些挑战。
