今年の多くの場合と同様に、Microsoft の従業員は、COVID-19 に対応して在宅勤務モデルに迅速に移行する必要がありました。世界の現状を予測することは誰にもできませんでしたが、 ゼロ トラスト セキュリティモデルを社内で実装するために行った投資の非常に現実的なテストを提供してくれました。ピーク時には従業員の約 97% が、Microsoft が発行したデバイスまたは個人のデバイスを使用して、在宅勤務に成功していました。
この成功の功績の多くは、私たちが 3 年以上前に開始したゼロ トラストへの取り組みによるものです。ゼロトラストは、この在宅勤務モデルへの移行を比較的スムーズに行う上で非常に重要です。ゼロ トラスト実装の主要な要素の 1 つは、従業員が場所に関係なくアプリケーションとリソースにアクセスできるようにすることです。自宅、喫茶店、オフィスなど、従業員がどこにいても生産性を発揮できるようにします。
これを実現するには、インターネット接続を介してほとんどのリソースにアクセスできるようにする必要がありました。これを実現するための推奨される方法は、クラウドと最新の認証システムを使用してアプリケーションとサービスを最新化することです。クラウドに移行できないレガシー アプリケーションまたはサービスの場合、強力な認証原則を適用しながら、オンプレミス環境に接続するためのブローカーとして機能するアプリケーション プロキシ サービスを使用します。
強力な認証と適応型アクセス ポリシーは、検証プロセスの重要な要素です。この検証プロセスの大部分には、デバイス管理システムにデバイスを登録して、既知の正常なデバイスのみがリソースに直接アクセスできるようにすることが含まれていました。管理システムに登録されていないデバイスのユーザーのために、管理されていないデバイスのリソースにアクセスできるようにする仮想化オプションを開発しました。 COVID-19 の初期の影響の 1 つは、デバイスの不足と、新しいハードウェアを調達できないことでした。仮想化の実装は、新入社員がデバイスの到着を待つ間、安全なアクセスを提供するのにも役立ちました。
これらの取り組みの成果と、残りのオンプレミス アプリケーションへのアクセス用のスプリット トンネリングを有効にする VPN 構成を組み合わせることで、Microsoft の従業員は最も重要な時間にどこでも作業できるようになりました。
アプリケーションにインターネット ファースト モデルを実装する
このブログでは、インターネット ファーストのアプローチの実装に関するいくつかの推奨事項と、ここマイクロソフトでの取り組みで学んだことのいくつかを共有します。 すべての企業には独自の文化、環境、インフラストラクチャ、および変化に対するしきい値があるため、万能のアプローチはありません。うまくいけば、あなたがすでに正しい道を進んでいることを確認するためだけであっても、この情報のいくつかが役立つことがわかります.
本題に入る前に、このブログでは、 ゼロ トラスト セキュリティモデルに必要な基本要素のいくつかが完了していることを前提としていることをお伝えしたいと思います。これには、ID システムの最新化、サインインの検証が含まれます 多要素認証 (MFA)、デバイスの登録、IT セキュリティ ポリシーへの準拠の確保など。これらの保護がなければ、インターネットファーストの姿勢に移行することはできません。
前述のように、アプリをクラウドに移行し、最新の認証サービスを実装することで、アプリを最新化する必要があります。これは、インターネット アクセスへの最適な方法です。 モダナイズまたはクラウドへの移行ができないアプリ (従来のオンプレミス アプリを考えてください) の場合、アプリ プロキシを利用してインターネット経由の接続を許可し、強力な認証原則を維持することができます。
適応型アクセス ポリシーによるセキュアなアクセス
公共のインターネット経由でアプリにアクセスできるようになったら、選択した条件に基づいてアクセスを制御する必要があります。 Microsoft では、 条件付きアクセス ポリシーを使用して、ユーザー コンテキスト、デバイス、場所、およびセッション リスク情報に基づいて、多要素認証を要求するなど、きめ細かなアクセス制御を適用しています。また、デバイス管理と正常性ポリシーを適用して、従業員が強力な認証に成功したら、既知の正常なデバイスからアクセスできるようにします。
組織の規模によっては、多要素認証とデバイスの登録を最初に実装してから、生体認証と完全なデバイスの正常性の適用まで徐々に開始することをお勧めします。追加の推奨事項については、社内でフォローしているIDとデバイスのゼロ トラスト ガイダンスを確認してください。
デバイス登録ポリシーを展開したとき、データを使用してポリシーの影響を測定することで、メッセージングと展開のスケジュールを調整できることがわかりました。 「ログ モード」を有効にしました。これにより、ポリシーを有効にして、施行に移行したときに誰が影響を受けるかについてのデータを収集できました。このデータを使用して、まず、準拠したデバイスをすでに使用しているユーザーをターゲットにしました。影響を受けることがわかっているユーザーに対しては、今後の変更とその影響について警告するターゲットを絞ったメッセージを作成しました。このゆっくりとした慎重な展開アプローチにより、問題をより迅速に監視して対応することができました。このデータを使用してロールアウトを形成することで、重要なポリシーの実装による影響を最小限に抑えることができました。
ヒーロー アプリケーションから開始する
パブリック インターネットに移行する最初のアプリケーションを選択するには、いくつかの方法があります。小さくて重要でないことから始めたいですか?それとも、「スイッチを入れて」すべてを一度にカバーしたいですか?私たちは、大規模に機能することを証明したヒーロー アプリケーションから始めることにしました。 Office 365 は当然の選択でした。これは、ほとんどの従業員が役割に関係なく毎日使用しているため、最も幅広い範囲をカバーしていたためです。Office 365 を正常に実装できれば、ほとんどのポートフォリオで成功できると確信していました。
最終的には、環境、サポート契約のしきい値、および企業文化に要約されます。自分にとって最適な道を選び、突き進んでください。すべてのパスは、後で役立つ貴重なデータと経験を提供するのに役立ちます。
残りのアプリとサービスを優先する
次にモダナイズするアプリやサービスに優先順位を付けるのは、特に従業員が環境内で何にアクセスしているかを詳細に把握できなければ、困難な場合があります。私たちが旅を始めたとき、人々が何にアクセスしているのかについての理論はありましたが、それを裏付けるデータはありませんでした。アプリケーションとサービスへの実際のトラフィック量を報告するダッシュボードを構築し、オンプレミスのアプリケーションとサービスにまだルーティングされているため、不足していた可視性を提供します。これにより、影響、複雑さ、リスクなどに基づいてアプリやサービスに優先順位を付けるために必要な情報が得られました。
また、このダッシュボードを使用して、リソースを最新化するために調整する必要があるアプリケーションまたはサービスの所有者を特定しました。これらの所有者と調整するために、タスク追跡システムで作業項目を作成し、プロキシ フロント エンド ソリューションをモダナイズまたは実装する計画を提供する期限を所有者に割り当てました。また、これらすべてのタスクとそのステータスの追跡ダッシュボードを作成して、レポートを簡単に作成できるようにしました。
次に、所有者と緊密に協力して、成功を促進するためのガイダンスとベスト プラクティスを提供しました。アプリケーションとサービスの所有者が質問できる毎週のオフィスアワーを実施しています。これらのアプリケーションおよびサービスの所有者と、ゼロ トラストに取り組んでいるチームとの間のパートナーシップは、従業員がスムーズにアクセスできるようにするという同じ共通の目標に向かって前進するのに役立ちます。
ダッシュボードから学んだことの簡単なメモ – 人々がまだアクセスしているオンプレミスのアプリケーションとサービスは、私たちが期待していたものではありませんでした。ダッシュボードには、人々がまだ使用していることに気付いていなかったいくつかのアイテムが表示されました。幸いなことに、ダッシュボードは、私たちが存在さえ知らなかった霧の層を取り除くのに役立ち、優先順位付けの取り組みを推進する上で非常に貴重でした.
このブログの冒頭で述べたように、すべての企業はユニークです。そのため、ゼロ トラストと投資についての考え方は、向かいの会社とは異なる場合があります。上記の洞察の一部が、組織内でこれらの課題のいくつかを解決する方法について考えさせるためだけのものであっても、お役に立てば幸いです。
Microsoft IT (情報技術) の詳細については、 IT ショーケースをご覧ください。マイクロソフト セキュリティ ソリューションの詳細については、 当社のウェブサイトをご覧ください。をブックマーク セキュリティブログ セキュリティ問題に関する当社の専門家の報道に遅れずについていくために。また、フォローしてください @MSFTセキュリティ サイバーセキュリティに関する最新ニュースをご覧ください。
Comments