实战：用Microsoft 365搭建零信任网络

传统基于周边的网络防御已经过时。基于周边的网络是假设网络中所有的系统都可信。然而，现如今利用移动端工作的人越来越多，迁移至公共云服务的人越来越多，而自有设备(BYOD)模式的接受度也越来越广，这些都让周边安全控制的相关性越来越弱。如果网络不能从传统防御中做出相应演变，就会变得非常脆弱：攻击者可以破坏受信任边界中的某个端点，然后快速将破坏蔓延至整个网络。

2013年，美国电商公司Target遭遇了一次大规模的信用卡数据泄露事故，超过四千万客户的信用卡信息被泄露。因为立标公司的合作商可以远程访问立标公司的网络，所以攻击者利用带有恶意软件的邮件从其合作商处窃取凭据。随后，他们利用所窃凭据进入了立标公司的网络，有效绕开其周边防御机制。进入目标网络后，攻击者就在立标公司全美的支付系统中安装了恶意软件，并窃取客户信用卡信息。

“零信任网络”打破了以前根据周边网络位置给予信任的理念。相反，“零信任”架构利用设备和用户的信任声明访问组织数据和资源。通常“零信任”网络模式包含下列几点：

• 身份信息提供者：用于追踪用户及与用户相关的信息。

• 设备目录：用于保存访问企业资源的设备列表及相关设备信息 （例如设备类型、完整性等） 。

• 政策评估服务：确定用户或设备是否符合安全管理人员设定的政策。

• 访问代理：利用上述信号授权或拒绝对组织资源进行访问。

图一：“零信任”网络模式的基本组成要素

通过动态信任决策访问资源可以让企业从任何设备访问其特定资产，同时又严格限制了对其高价值资产和兼容设备的访问。在定向攻击和数据泄露攻击中，攻击者会破坏组织内的某个设备，然后再利用所窃凭据以“跳跃”的方式在网络中横向移动。基于“零信任”网络的方案如果配以正确的用户和设备信任政策，就有助于防止攻击者利用窃取的网络凭据访问网络。

零信任是网络安全演化的下一步。网络攻击的状态推动着各组织采取“假定入侵”的意识，但是这种方法不应该有限制。零信任网络会保护企业数据和资源，同时又确保了各组织创建一个现代化的工作环境，让员工随时随地参与工作，效率更高。

基于Azure AD有条件访问的零信任网络

目前，员工可用各类设备和应用随时随地访问组织资源。而只依赖访问白名单的访问控制政策是不够的。要控制到安全与产能的平衡，安全主管还需要考虑资源被访问的方式。

微软可提供“零信任”网络的案例和策略。Azure Active Directory有条件访问是客户部署“零信任”网络的基础模块。有条件访问和Azure Active Directory Identity Protection可基于用户，设备，位置和每次资源请求的对话风险等做出动态访问控制决策。他们把经验证的与Windows设备安全状态相关的运行时信号和用户对话和身份的信任度结合起来，以实现最佳的安全状态。

有条件的访问提供了一套可用于控制整体环境的政策，在这样的环境中，用户可以访问企业资源。对于访问的考量包括用户角色、群成员关系、设备健康与合规性、移动应用、位置和登录风险。这些考虑用来决定是否允许访问、拒绝访问或使用附加验证（例如多要素验证）、限期访问或限制权限访问。有条件的访问适用于任何配置为通过Azure Active Directory访问的应用。

图二：有条件访问的“零信任”网络

为了实现“零信任”模式，微软集成了Microsoft 365的若干组件和功能：Windows Defender Advanced Threat Protection、Azure Active Directory、Windows Defender System Guard以及Microsoft Intune。

Windows Defender高级威胁防护

Windows Defender高级威胁防护（ATP）是一个端点保护平台（EPP），也是一种端点检测响应（EDR）技术，它可以提供情报驱动型保护、入侵后检测、调查和自动响应功能。它结合了嵌入式行为传感器、机器学习和安全分析，可持续监控设备状态，并在必要时采取补救措施。Windows Defender ATP会自动隔离受损机器和被入侵用户，阻止其范围云资源，以缓解入侵带来的影响，

例如，攻击者使用Pass-the-Hash（PtH）和“Pass the ticket for Kerberos”技巧可直接从受损设备处提取经过哈希处理的用户凭据。哈希处理过的凭据可用于后续操作，这样攻击者就可以从一个系统跳到另一个系统，或是提升特权等级。虽然Windows Defender Credential Guard可以通过保护NTLM哈希散列和域凭据来阻止此类攻击，但是安全管理员仍然希望知道出现过这类攻击。

Windows Defender ATP曝光了这类攻击，并为受损设备生成了威胁等级。在有条件访问的运行环境中，Windows Defender ATP会为机器分配威胁等级，此等级后续会用于确定是否授予客户端设备访问企业资源的口令。Windows Defender ATP使用广泛的安全功能和信号，包括：

• 丰富的机器学习和行为检测

• 漏洞保护

• 凭据保护

• 应用隔离

• 反病毒

• 网络保护

• Web保护

Windows Defender System Guard运行时认证

在系统启动和持续运行过程中，Windows Defender System Guard保护并维持系统的完整性。在假定入侵的状态下，安全管理人员有必要远程认证设备的安全状态。2018年4月Windows 10更新后，Windows Defender System Guard运行时认证则有利于形成设备完整性。它会生成被Root硬件的启动时间和运行时情况，反映设备健康状况。由Windows Defender ATP消耗这些测量标准，然后为指派给设备的威胁等级提供支持。

Windows Defender Sytem Guard的最重要目标是确认系统完整性未被破坏。在这种以硬件为依靠的高完整度可信框架下，客户可以要求出具署名报告，以证明（在安全承诺特许的保障范围内）设备安全状态未被篡改。Windows Defender ATP客户可以通过Windows Defender ATP的入口查看所有设备的安全状态，发生任何安全入侵时都可进行检测和纠正。

Windows Defender System Guard运行时认证利用了虚拟化安全（VBS）中的硬件Root的安全技术来检测攻击。在开启虚拟安全模式的设备上，Windows Defender System Guard运行时认证是在一个独立的环境中运行，因此可以抵抗内核级别的攻击。

Windows Defender System Guard运行时认证会持续声明系统在运行期间的安全姿态。这些声明旨在捕捉违反Windows安全承诺的行为，如禁用进程保护。

Azure AD

Azure AD是一个云端的身份和访问管理方案，企业可用此方案管控应用的访问，并保护云端和企业内部的用户身份信息。除了这个目录和身份管理功能之外，作为一个访问控制引擎，Azure AD还提供：

• 单点登录：每个都有一个可访问企业资源的账户，以确保更高效产出。用户可以使用同样的账户单点登录云服务和企业内部Web应用。多要素验证丰富了用户验证的级别。

• 应用访问自动预配置：用户访问应用可自动完成预配置或者基于其群组关系，地理定位和雇佣状态取消预配置。

作为一个访问管理引擎，Azure AD掌握了足够的信息以确定是否授权用户访问组织内部资源，其利用的信息包括：

• 群组和用户许可

• 被访问的应用

• 用于登录的设备（例如，设备是否符合Intune要求）

• 所用设备的操作系统

• 地理位置或登录的IP

• 登录的客户端应用

• 登录时间

• 登录风险，这代表了登录可能不是由账户主人授权（通过Azure AD身份保护的多机器学习或启发式检测来计算）

• 用户风险，这代表可能有入侵者盗用账户（Azure AD身份保护高级机器学习利用大量内外资源对标注数据做改进，它负责对此风险进行计算）

• 更多信息要素持续更新中

当用户试图访问任何与Azure AD相关的应用时（如SaaS应用，运行于云上的自定义应用或企业内部Web应用），系统会实时评估和实施有条件的访问政策。当检测到可疑行为时，Azure AD会进行纠正，如拦截高风险用户，如果凭据受损，则重置用户密码，强制执行使用条款等。

授权访问企业应用的决策会以访问口令的形式发送到客户端设备。此决定主要是考量是否符合Azure AD有条件访问政策。如果符合，客户端就会收到授权口令。而此政策或许会要求提供有限访问（例如不可下载数据），或是要通过Microsoft Cloud App Security进行对话监控。

Microsoft Intune

Microsoft Intune被用于管理组织中的移动设备，个人电脑和应用。Microsoft Intune和Azure可管理组织内有价值的资产和数据，并具有可视性，有能力根据Azure Information Protection、Asset Tagging或Microsoft Cloud App Security等构建来推断信任请求。

Microsoft Intune负责客户设备的登记、注册和管理。它支持的设备类型很广泛：移动设备（安卓和iOS系统）、笔记本（Windows和macOS）以及员工的自持设备。Intune把Windows Defender ATP提供的机器威胁级别和其他服从性信号结合起来，以确定设备处于合规状态。Azure AD利用这种合规状态来拦截或允许设备访问企业资源。有条件的访问政策可以两种方式配置到Intune中：

• 基于应用：仅限被管理的应用访问企业资源。

• 基于设备：仅限被管理的合规设备访问企业资源。

工作时的有条件访问

有条件访问的价值可用一个例子来说明。（注意：举例中使用的名字是虚构的，但是本例子阐述了有条件访问在不同情境下保护企业数据和资源的方式。）

假设SurelyMoney是全球最有名金融机构之一，该公司要帮上百万客户进行商业操作。该公司使用Microsoft 365 E5套件，他们的安全企业管理员强制要求实施有条件访问。

一名攻击者伺机窃取公司的客户和商务交易信息。攻击者向该公司员工发送了一些看似无害的邮件，但这些邮件都携带恶意附件。某位员工不小心在公司设备上打开了其中一个邮件附件，损害了这台设备。攻击者就可以获取该员工的用户凭据，然后访问公司应用。

Windows Defender ATP可以持续监控设备的状态，检测入侵行为，然后标出被损害的设备。此设备的信息会传到Azure AD和Intune上，然后会拒绝该设备对企业应用的访问。受损设备和用户凭据都会被屏蔽，且不允许再访问企业资源。一旦设备被Windows Defender ATP自动修复，用户就可在修复后的设备上重新获得访问授权。

这个例子表明了有条件访问和Windows Defender ATP如何合力阻止恶意软件的后续行为，提供攻击隔离，并保障企业资源的安全。

Azure AD应用，如Office 365、Exchange Online、SPO等

假设SurelyMoney的主管们将大量价值较高的机密文件保存在Microsoft SharePoint中，这是一个Office 365应用。攻击者会借助一台被入侵设备，试图窃取这些文件。然而，有条件访问与Office 365应用间的紧密相连，可阻止这种情况的发生。

Office 365应用，如Microsoft Word，Microsoft PowerPoint和Microsoft Excel，允许员工协作完成工作。不同的用户拥有不同的授权，这取决于他们工作的性质和敏感程度，他们所属的部门等。有条件访问使这些应用的访问管理更加便捷，因为它们都深深地与有条件访问的评估结合在一起。通过有条件访问的实施，安全管理人员可以部署自定义政策，部分授权或完全授权应用访问企业资源。

图三：供Azure AD应用使用的零信任网络模式

企业流程线（LOB）应用

假设SurelyMoney有一个连接Azure AD的自定义追踪交易应用。该应用会保留客户执行的所有交易记录。那当攻击者试图访用盗取的用户凭据访问该应用时，有条件访问政策会组织这种情况的发生。

每个组织都有任务关键型和业务指向型应用，它们都直接与员工的效率挂钩。这些通常包括与电子商务系统、知识追踪系统、文件管理系统等相关的自定义应用。合规性和风险政策的要求依靠系统来决定，当这些应用不符合时，Azure AD就不会给它们授权访问的口令。

图四：为企业流程线应用扩展的零信任网络模式

企业内部的网页应用

现在的员工希望随时随地在任意设备上就可以工作，以提高产能。他们希望在自己的设备上工作，有可能是平板、手机或是笔记本。他们期待可以在这些设备上访问公司内部的应用。Azure AD应用代理允许远程访问外部应用，允许从被监管或未被监管的设备上进行有条件访问。

假设SurelyMoney创建了拥有自主产权的代码签名应用。那么被入侵设备的用户肯定属于代码签名小组。对于公司内部应用的访问请求则会通过Azure AD应用代理。攻击者试图利用被入侵用户凭据访问该应用，但有条件访问会阻止这种尝试。

如果没有设置有条件访问，那么攻击者或许就能创建任意的恶意应用，然后用代码签名，再部署到整个Intune。这些应用会被推送到登记在Intune的每台设备上，然后，攻击者就可以或许大量敏感信息。这类攻击以前出现过，所以企业最好不要让这种事情发生。

图五：用于内部网页应用的零信任网络模式

持续创新

目前，有条件访问可以实现和网页应用间的无缝操作。严格意义上讲，零信任模式要求所有网络请求都经过访问控制代理，根据设备和用户信任模式进行评估。这些网络请求包括各种以前的通信协议和访问方式，如FTP，RDP，SMB等。

通过利用设备和用户信任声明发送对组织内资源的访问请求，有条件访问能提供综合且灵活的政策，这些政策可以保护企业数据，还能保障用户的产能。我们将持续创新，以满足现代公司中，员工超出企业网络范围的工作需求。

本文由安全内参翻译自 Microsoft Secure