--- title: 'Project documentation template' disqus: hackmd --- E3B3 === ## Table of Contents [TOC] ## 附錄 K Enterprise 3 Build 3 (E3B3) — SDP 和微分段 * 226 Appendix K Enterprise 3 Build 3 (E3B3) — SDP and 227 Microsegmentation.........207 * [PDF](https://www.nccoe.nist.gov/sites/default/files/2023-07/zta-nist-sp-1800-35b-preliminary-draft-3.pdf) * Microsegmentation:一種網絡安全的方法，它將網絡劃分為小的安全區域，以實現更細粒度的安全控制。 K.1 Technologies --- * P226-P232 * E3B3 使用來自 F5、Forescout、Mandiant、Microsoft、Palo Alto Networks、PC Matic 和Tenable。 也使用 DigiCert 的憑證。 有關這些合作者和他們對此專案整體貢獻的產品和技術，請參閱第 3.4 (P30 666-676)。 * 表 K-1 列出了 E3B3 ZTA 中使用的所有技術。 它列出了用於實例化每個 ZTA 組件的產品以及每個組件提供的安全功能。 * E3B3 元件的組成內容: E3B3 元件由 F5 BIG-IP、Microsoft AD、Microsoft Azure AD、Microsoft Azure AD 組成（條件存取）、Microsoft Azure AD 身分治理、Microsoft Intune、Microsoft Sentinel、 Microsoft Azure 應用程式代理程式、Microsoft Defender for Endpoint、Microsoft Azure AD 身分保護、 Microsoft Defender for Identity、Microsoft Defender for Office、Microsoft Entra 權限 管理、適用於雲端應用的 Microsoft Defender、PC Matic Pro、Tenable.io、Tenable.ad、Tenable NNM、 Mandiant 安全驗證、Forescout eyeControl、Forescout eyeExtend、Forescout eyeSight、 Forescout eyeSegment、Palo Alto Networks NGFW、Microsoft Purview – DLP、Microsoft Purview 資訊保護、Microsoft Purview 資訊保護掃描程式、Microsoft Intune VPN 隧道、Microsoft Azure Arc、Microsoft Azure Automanage、Microsoft Intune 權限訪問 工作站、Microsoft Azure 虛擬桌面 Windows 365、Microsoft Defender for Cloud、Microsoft Azure (IaaS)、Microsoft Office 365 (SaaS) 與 DigiCert CertCentral。 * 表 K-1 E3B3 產品與技術 | Component | Product | Function | | -------- | -------- | -------- | | PE | Microsoft Azure AD(Conditional Access),Microsoft Intune,Microsoft Sentinel,Forescout eyeControl, andForescout eyeExtend | 根據企業策略、支援元件和信任演算法決定是否授予、拒絕或撤銷對資源的存取權限。 | | PA | TextMicrosoft Azure AD(Conditional Access),Microsoft Intune,Microsoft Sentinel,Forescout eyeControl, andForescout eyeExten | 透過向 PEP 發送命令來執行 PE 的策略決策，PEP 建立和關閉主體和資源之間的通訊路徑。 | | PEP | Microsoft Azure AD(Conditional Access),Microsoft Intune,Microsoft Azure App Proxy, F5 BIG-IP, and Palo Alto Networks Next Generation Firewall (NGFW/新世代防火牆) | 保護託管一項或多項企業資源的信任區域； 依照 PA 的指示建立、監視和終止主體和資源之間的連結； 向 PA 轉發請求並從 PA 接收命令。 | | ICAM - Identity Management(身分管理) | Microsoft AD and Azure AD | 建立和管理企業使用者和裝置帳戶、身分記錄、角色資訊和存取屬性，這些屬性構成組織內存取決策的基礎，以確保正確的主體在適當的時間對正確的資源具有適當的存取權限。 | | ICAM - Access & Credential Management(存取和憑證管理) | Microsoft AD and Azure AD | 透過執行使用者和裝置身分驗證（例如 SSO 和 MFA）並使用身分、角色和存取屬性來確定對哪些存取請求進行授權，來管理對資源的存取。 | | ICAM - Federated Identity(聯合身份) | Microsoft AD and Azure AD | 聚合並關聯與 ZTA 授權的身分或物件相關的所有屬性。 它使一個網域的使用者能夠安全地無縫存取另一個網域的資料或系統，而不需要完全冗餘的使用者管理。<br> 聯合身份包含傳統的 ICAM 數據，支援可能屬於更大的聯合 ICAM 社區的一部分的身份，並且可能包括非企業員工。 | | ICAM - Identity Governance(身分治理) | Microsoft AD and Azure AD Identity Governance(身分治理) | 提供基於策略的集中式自動化流程來管理使用者身分和存取控制功能（例如，確保職責分離、角色管理、日誌記錄、存取審查、分析、報告），以確保符合要求和法規。 | | ICAM - MFA | Azure AD (Multi-FactorAuthentication/ 多重驗證) | 透過要求使用者不僅提供他們知道的東西（例如密碼），而且還提供他們擁有的東西（例如token）來驗證使用者身分。 | | Endpoint Security(端點安全) - UEM/MDM | Microsoft Intune | 根據企業政策管理和保護企業桌上型電腦、筆記型電腦和/或行動設備，以保護應用程式和資料； 確保設備合規性； 減輕和補救漏洞和威脅； 監控可疑活動以防止和偵測入侵； 預防、偵測和停用惡意軟體以及其他惡意或未經授權的流量； 盡可能修復受感染的文件； 提供警報並建議補救措施； 並對資料進行加密。<br>將企業應用程式和更新推送到設備，使用戶能夠下載他們有權訪問的企業應用程序，根據需要遠端刪除設備中的所有應用程式和數據，追蹤設備上的用戶活動，以及檢測和解決設備上的安全問題。 | | Endpoint Security (端點安全) -EPP | Microsoft Defender for Endpoint、Forescout eyeSight 和 PC Matic Pro |透過一套整合的端點保護技術（包括防毒、資料加密、入侵防禦、EDR 和 DLP）來偵測並阻止對端點的威脅。 可能包括旨在保護應用程式和資料的機制； 確保設備符合有關硬體、韌體、軟體和配置的策略； 監控端點的漏洞、可疑活動、入侵、感染和惡意軟體； 阻止未經授權的流量； 禁用惡意軟體並修復感染； 管理及管理軟體及更新； 監控行為和關鍵數據； 並在必要時啟用端點追蹤、故障排除和擦除。 | | Security Analytics(安全分析) - SIEM | Microsoft Sentinel | 收集並整合來自多個來源的安全資訊和安全事件資料； 關聯和分析數據，以幫助檢測異常並識別潛在的威脅和漏洞； 並記錄數據以遵守數據合規性要求。 | | Security Analytics(安全分析) - SOAR | Microsoft Azure AD Identity Protection(身分保護) |監控主體的身份，以偵測使用者帳戶或憑證可能遭到洩露的跡象並發送警報，或偵測特定存取工作階段的登入風險。 | | Security Analytics – User Behavior Analytics(安全分析—使用者行為分析) |Microsoft Azure AD Identity Protection(身分保護) | 監控和分析使用者行為以偵測可能表示攻擊的異常模式或異常情況| | Security Analytics -Security Monitoring(安全分析-安全監控) | Microsoft Defender for Identity(識別) | 根據本機 AD 訊號監控和偵測惡意或可疑的使用者操作。 | | Security Analytics - Application Protection and Response(安全分析 - 應用程式保護和回應) | 適用於 Office 的 Microsoft Defender | 保護 Exchange Online 和其他 Office 應用程式免受網路釣魚、垃圾郵件、惡意軟體和其他零時差攻擊。 | | Security Analytics - Cloud Access Permission Manager(安全分析-雲端存取權限管理器) | 微軟Entra權限管理 | 提供 Azure、Amazon Web Services 和 Google Cloud Platform 中身分使用的權限的可見性和控制。 | | Security Analytics – Endpoint Monitoring<br>(安全分析 – 端點監控) | Tenable.io 和 Forescout eyeSight | 發現所有 IP 連線的端點，並對軟體版本、配置以及連接到網路的主機（裝置或虛擬機器）的其他資訊執行連續收集、檢查和分析。 | | Security Analytics - Vulnerability Scanning and Assessment<br>(安全分析-漏洞掃描和評估) | Tenable.io 和 Tenable.ad | 掃描並評估企業基礎設施和資源的安全風險； 識別漏洞和錯誤配置； 並提供有關調查事件回應和確定事件回應優先順序的補救指南。 | | Security Analytics - Traffic Inspection<br>(安全分析-流量檢查) | Forescout eyeSight 和 Tenable NNM | 攔截、檢查和記錄網路上傳輸的相關流量。 | | Security Analytics - Network Discovery<br>(安全分析 - 網路發現) |Forescout eyeSight 和 Tenable NNM |發現、分類和評估網路上的設備和使用者帶來的風險。 | | Security Analytics - Validation of Control<br>(安全分析 - 控制驗證) | Forescout eyeSegment | 透過網路流量和交易流的可見性來驗證所實施的控制。 | | Security Analytics -Security Validation<br>(安全分析-安全驗證) | 強制安全驗證 | 提供 ZTA 中安全控制有效性狀態的可見性和證據。 透過持續驗證和衡量網路安全控制，使企業的安全能力得到監控和驗證； 也用於自動化演示，以展示 ZTA 功能。 Mandiant 安全驗證部署在整個專案的實驗室環境中，以監控和驗證建置的各個安全方面。 旨在作為參與者運行的虛擬機器部署在每個企業的每個子網路上。 這些參與者可用於啟動各種操作，以驗證安全控制是否正在支援零信任的目標。 | | Security Analytics - Security Analytics and Access Monitoring<br>(安全分析 - 安全分析和存取監控) | 適用於雲端應用程式的 Microsoft Defender | 監控雲端資源存取會話是否符合策略。 | | Data Security - Data Discovery, ClassificatioMicrosoft Purview DLP、Microsoft Purview 資訊保護與 Microsoft Purview 資訊保護掃描程序 | Microsoft Purview DLP、Microsoft Purview 資訊保護與 Microsoft Purview 資訊保護掃描程序 |發現、分類和標記雲端和本地中的敏感業務關鍵數據，並透過使用安全策略規則防止未經授權的存取並最大限度地降低資料竊取和資料外洩的風險來提供保護。 | | General - Remote Connectivity<br>(一般 - 遠端連線) | Azure AD 應用程式代理程式、Microsoft Defender for Cloud Apps、Microsoft Intune VPN 隧道和 Palo Alto Networks NGFW | Microsoft Intune VPN 隧道使用現代身份驗證和條件訪問，提供從行動裝置到本地資源的安全遠端存取。<br> Palo Alto Networks NGFW 用於為遠端使用者提供與本地資源的連接。 此外，還有兩個選項可用於支援遠端使用者連線到 IaaS 中的資源：<br>• Azure AD 應用程式代理程式可用於直接連接到私人應用程序，Microsoft Defender for Cloud Apps 可用於連接到面向公眾的應用程式。<br> • Palo Alto Networks NGFW 可用於存取本地、然後可以使用IPsec 隧道從本地連接到IaaS。 | | General - Certificate Management<br>(一般 - 證書管理) | DigiCert CertCentral TLS 管理器 |提供自動化功能來頒發、安裝、檢查、撤銷、續約和以其他方式管理 TLS 憑證。 | | General - Configuration Management<br>(常規 - 配置管理)| Microsoft Azure Arc 和 Microsoft Azure Automanage |允許透過 Azure 管理工具管理和設定本機和其他雲端中的虛擬機器和容器等資源。 | | General - Secure Admin Workstation<br>(一般 - 安全管理工作站) | Microsoft Intune 權限存取工作站 (PAW) | 提供專門用於執行敏感任務的安全配置的工作站。 | | General - Virtual Desktop<br>(一般 - 虛擬桌面)| 微軟 Azure 虛擬桌面 Windows 365 | 實現從雲端到端點或手持裝置的 Windows 桌面體驗的安全串流。 | | Resource Protection - Cloud Workload Protection <br>(資源保護 - 雲端工作負載保護)| Microsoft Defender 雲端版 | 保護雲端工作負載，使其免受已知安全風險的影響，並提供警報以實現即時反應，防止安全事件的發生。 監控進出雲端和 Web 應用程式的流量，並提供會話控制以防止敏感資訊洩露離開。 | | Resource Protection - Cloud Security Posture Management<br>(資源保護-雲端安全態勢管理) | Microsoft Defender 雲端版 | 持續評估雲端資源的安全狀況。 | | General - Cloud IaaS<br>(一般 - 雲端 IaaS) | Azure – GitLab 和 WordPress | 提供運算資源，並輔以儲存和網路功能，由雲端服務供應商託管，按需提供給客戶，並透過 GUI 和 API 公開。 | | General - Cloud SaaS<br>(一般 - 雲端 SaaS) | Digicert CertCentral、Microsoft Azure AD、Microsoft Defender for Endpoint、Microsoft Defender for Cloud、Microsoft Defender for Cloud Apps、Microsoft Identity Governance、icrosoft Intune、Microsoft Office 365、Microsoft Sentinel 與 Tenable.io | 交付供企業使用的基於雲端的軟體。 | | General -Application<br>(一般應用)| GitLab | 要保護的範例企業資源。 （在此版本中，GitLab 使用 SAML 直接與 Azure AD 集成，並且 Microsoft Sentinel 從 GitLab 提取LOG。） | | General -Application<br>(一般應用)| Guacamole | 要保護的範例企業資源。 （在此版本中，BIG-IP 充當身份感知代理，保護對 Guacamole 的訪問，並且 BIG-IP 使用 SAML 與 Azure AD 集成。此外，Microsoft Sentinel 從 Guacamole 提取LOG。） | | General - Enterprise-Managed Device<br>一般 - 企業管理的設備 | Windows 用戶端、macOS 用戶端和行動裝置（iOS 和 Android） | 要保護的端點範例。 （在此版本中，所有企業管理的裝置都註冊到 Microsoft Intune。）| | 一般 - BYOD | Windows 用戶端、macOS 用戶端和行動設備 | 要保護的端點範例。 | K.2 Build Architecture(建構架構) --- > 本節我們介紹E3B3的邏輯架構。 我們也描述了 E3B3 的實體架構並展示了其一些流程的訊息流程圖。 ### K.2.1 Logical Architecture (邏輯架構) > P233 E3B3的邏輯架構如圖K-1所示。 圖 K-1 使用編號箭頭描述主體請求存取資源所需的一般訊息流，並根據主體身分（請求使用者身分和請求端點身分）、授權和請求端點健康狀況評估此存取要求。 它還描述了支援對請求使用者和請求端點進行定期重新驗證以及對請求端點運行狀況進行定期驗證的訊息流，所有這些都必須執行以持續重新評估存取。 圖K-1中標記的步驟與圖4-1的意義相同。 然而，圖 K-1 包含實例化 E3B3 架構的特定產品。 圖 K-1 也沒有描述圖 4-1 中的任何資源管理步驟，因為 E3B3 中部署的 ZTA 技術不支援執行資源驗證和重新驗證或定期驗證資源運作狀況的功能。 > 補充 圖 4-1(P72-84) > Figure 4-1 General ZTA Reference Architecture > (圖 4-1 通用 ZTA 參考架構) > 圖 4-1 描述了獨立於部署模型的通用 ZTA 參考設計的高階邏輯架構。 > 它由三種類型的核心組件組成：PEs、PAs 和 PEPs，以及一些支援組件， 這些組件透過提供與 ICAM、端點安全、安全分析等領域相關的數據和策略規則來協助策略引擎做出決策。數據安全、資源保護。 > 本節稍後將更詳細地討論屬於每個支援組件類別的特定功能。 透過策略產生的各種資訊集 > (翻譯整理中P72-84) * Figure K-1 Logical Architecture of E3B3 * (圖) E3B3 設計採用 Microsoft Azure AD（條件存取）、Microsoft Intune、Forescout eyeControl 和 Forescout eyeExtend 作為 ZTA PE 和 PA，並且 Microsoft AD 和 Azure AD 提供 ICAM 支援。 它包括四個 PEP：Microsoft Azure AD（條件存取）、Microsoft Intune、F5 BIG4725 IP 和 Palo Alto Networks NGFW。 在附錄 H.2.3 中可以找到在網路上偵測到新端點並檢查合規性的情況下在元件之間流動以支援使用者存取請求的訊息的更詳細描述。 ### K.2.2 Physical Architecture > P234 4.5.4節描述了E3B3網路的物理架構。 > P96 4.5.4 企業3 企業 3 的高階實體架構與企業 2 相同。企業 3 和企業 2 之間的唯一差異在於每個企業使用的本地和基於雲端的 ZTA 元件。 有關 Enterprise 3 中已實現的建置中所使用的 ZTA 元件的詳細說明，請參閱附錄 E、H 和 K。 ### K.2.3 Message Flows for a Successful Resource Access Request (成功的資源存取請求的訊息流) 對於正在存取的資源位於本地的情況，附錄 F.2.3 中所述的 E3B1 的兩個訊息流仍然適用於 E3B3。 這些訊息流描述了以下用例：正在存取的本機資源僅受 Azure AD 保護（請參閱附錄 F.2.3.1），以及正在存取的本機資源受 Azure AD 與 Azure AD 結合保護。F5 BIG-IP PEP (參見附錄F.2.3.2）。 此外，附錄 H.2.3 中所述的三個附加進階訊息流也仍然適用於 E3B3。 這些訊息流描述了正在存取的私有資源位於雲端的情況（請參閱附錄 H.2.3.1）； 正在存取的面向外部的資源位於雲端（參見附錄 H.2.3.2）； 網路上發現新端點，不符合企業策略，並阻止其存取所有資源（請參閱附錄 H.2.3.3）。 本節介紹進階訊息流，每個訊息流都支援以下用例：當發生導致使用者存取權限被撤銷的事件時，已被授予資源存取權限的經過驗證的授權使用者正在參與活動存取會話。 在第一個流程中，許多 Microsoft Defender 元件正在運行以監視和保護對資源的存取（Defender for Endpoint、Defender for Cloud、Defender for Cloud Apps、Defender for Identity）。 Defender 安全入口網站可讓網路管理員在單一管理平台中查看這些 Defender 元件所產生的所有資訊。 這些 Defender 元件都會向 Microsoft Sentinel 發送可疑或異常事件資訊。 Sentinel 使用設定的自動化規則來確定偵測到的事件是否足夠危險，以至於需要撤銷使用者的現有存取權限。 Sentinel 指示 Azure AD 限制使用者存取並根據事件資訊採取其他基於政策的操作。 在第二個流程中，Intune MDM 監視端點的合規性並將日誌傳送到 Sentinel。 當 Intune 偵測到裝置狀態不再合規時，它會通知 Azure AD，後者將阻止使用者存取資源，直到端點已修復並還原合規。 在第三個流程中，當使用者存取資源時，Microsoft Purview DLP 會偵測到使用者正在嘗試向資源發送 PII，而這是策略所禁止的。 Purview DLP 阻止此資料傳輸並將日誌傳送至 Sentinel。 #### K.2.3.1 Azure AD 根據 Sentinel 轉送的LOG資訊採取操作的使用案例 > P234 圖 K-2 描述了 Azure AD 基於以下情況阻止使用者存取的用​例的訊息流： Sentinel轉送4763則訊息。 4764 圖 K-2 用例 — E3B3 — Azure 決策基於 Sentinel 日誌訊息 圖 K-2 使用案例 — E3B3 — Azure 決策基於 Sentinel 日誌訊息 (圖P235) 圖 K-2 中所述的訊息流包含以下步驟： 1. 經過身份驗證的授權使用者正在安全地存取資源。 2. 在此持續存取工作階段期間，所有 Microsoft Defender 元件（例如 Defender for Endpoint、Defender for Cloud、Defender for Cloud Apps、Defender for Identity）都會向 Microsoft Sentinel 發送有關被視為可疑或異常的事件的資訊。 3. Sentinel 配置了基於規則的分析和自動化工作流程，可根據觀察到的異常活動及其配置的分析規則來偵測可疑使用者。 Sentinel 可作為 PE，根據其自動化規則啟動自動化回應。 作為自動回應的一部分，Sentinel 決定終止使用者的存取並呼叫 Azure AD 撤銷目前會話並終止進一步的存取。 4. Azure AD 透過指示 Defender for Cloud Apps 終止使用者的存取會話來執行 Sentinel 所做的決策，而 Azure AD 也會停用使用者對資源的訪問 #### K.2.3.2 使用案例：Intune 確定端點不合規並阻止其存取資源，直到裝置狀態修復 > P236 圖 K-3 描述了 Azure AD 根據 Intune 提供的裝置不合規資訊阻止使用者存取的情況的訊息流。 圖 K-3 使用案例 — E3B3 – Intune 確定不合規的裝置將被暫時阻止存取資源，直到其修復並恢復合規狀態 (圖P236) 圖 K-3 中所述的訊息流包含以下步驟： 1. 經過身份驗證的授權使用者正在安全地存取資源。 2. 在整個持續的存取會話過程中，Intune 監視端點的合規性並將日誌傳送到 Microsoft Sentinel。 3. Intune 偵測到裝置的狀態不再合規，因此它會向 Azure AD 發出警報。 4. Azure AD 指示 Defender for Cloud Apps 阻止使用者存取資源。 5. Intune 修復設備狀態，使其符合企業策略。 6. Intune 通知 Azure AD 該裝置符合要求。 7. Azure AD 指示 Defender for Cloud Apps 允許使用者存取資源。 #### K.2.3.3 Purview DLP 阻止傳輸禁止從企業發送的資料的用例圖 K-3 描述了 Azure AD 根據 Intune 提供的裝置不合規資訊阻止使用者存取的情況的訊息流。 > P237 > 圖 K-4 描述了支援 Purview DLP 阻止使用者從資源檢索 PII 的嘗試的高階訊息流。 圖 K-4 使用案例 — E3B3 — Purview DLP 阻止從資源檢索 PII 的嘗試 (圖P237) 圖 K-4 中所述的訊息流包含以下步驟： 1. 經過身份驗證的授權使用者正在安全地存取資源。 2. 在整個持續的存取會話中，Purview DLP 和 Purview 資訊保護監視端點和資源之間傳輸的信息，以提供資料安全、文件保護和資料遺失防護。 3. Purview DLP 偵測到使用者正在嘗試從資源中檢索 PII，而根據企業策略，這是禁止的。 4. Purview DLP 阻止資料傳輸，阻止使用者從資源檢索 PII。 5. Purview DLP 向 Sentinel 發送有關 DLP 操作的日誌。 6. Sentinel 通知 Azure AD 有關 DLP 操作的資訊。 #### K.2.3.4 服務/應用程式請求存取 Microsoft 應用程式的用例 > P238 本小節討論啟用一個應用程式/服務存取 Microsoft 應用程式所需的步驟。 在此類服務到服務請求之前，請求存取 Microsoft 服務的應用程式或服務（也稱為客戶端）必須在授權伺服器/IdP（在本例中為 Microsoft Azure）中註冊。 AD）並頒發了客戶端ID 和客戶端金鑰。 也必須配置客戶端的權限。 圖 K-5 描述了應用程式/服務請求存取 Microsoft 應用程式的用例的訊息流。 Microsoft Azure AD 會向經過驗證的使用者或尋求對各種 Microsoft 服務和應用程式進行 API 呼叫的應用程式頒發存取權杖。 在此範例中，Microsoft Graph 是請求存取的範例應用程式。 (圖P238) 圖 K-5 中所述的訊息流包含以下步驟： 1. 用戶端對 Microsoft Azure AD（條件存取）進行驗證，並要求具有特定範圍（例如：User.Read.All 或 Files.Read.AsUser）的 Microsoft Graph 存取權杖。 2. Microsoft Azure AD（條件存取）驗證用戶端憑證，並確保用戶端已獲得授權（粗粒度授權）從 Graph 要求此類範圍。 然後，Azure AD 向客戶端發出有時限的存取權杖。 3. 用戶端使用指定範圍的存取令牌來呼叫Graph API。 4. Graph API 服務以客戶端請求的適當內容回應，或者如果請求的範圍不允許，則拒絕存取請求。 ## INFO :::info NIST SP 1800-35B: Implementing a Zero Trust Architecture ::: ## 文件中原始理念(概念)與結構說明 * [link](https://docs.google.com/document/d/1a8bE5AmHPV5pZaWtZkqDLI_XksBj67DhqJhO8HAw6Pc/edit?usp=sharing) ###### tags: `E3B3` `Zero Trust`