Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
In un modello di Zero Trust, i dispositivi sono una parte fondamentale della valutazione dell'attendibilità. Anche quando l'identità di un utente viene convalidata, le decisioni di accesso dipendono anche dall'integrità della sicurezza, dalla configurazione e dallo stato di rischio del dispositivo. Il pilastro Dispositivi è incentrato su come garantire che i dispositivi vengano gestiti, valutati continuamente e protetti dalle minacce, consentendo decisioni di accesso in base al comportamento del dispositivo.
Le linee guida sul pilastro del dispositivo sono incentrate sulla gestione del ciclo di vita e della registrazione dei dispositivi, sull'applicazione di standard di conformità e configurazione, sulla protezione degli endpoint dalle minacce, sulla riduzione della superficie di attacco e sull'integrazione del rischio dei dispositivi nelle operazioni di accesso e sicurezza.
Implementazione del workshop
Il workshop Dispositivi illustra le aree di implementazione riepilogate nella tabella.
| Area | Dettagli |
|---|---|
| Gestire la registrazione e il ciclo di vita dei dispositivi | Registrare e effettuare il provisioning dei dispositivi usando la gestione moderna, ad esempio Microsoft Intune e Windows Autopilot. Standardizzare l'onboarding e la configurazione dei dispositivi per garantire che i dispositivi inizino in uno stato noto e attendibile e rimangano costantemente gestiti durante il ciclo di vita. |
| Definire e applicare il comportamento di conformità del dispositivo | Definire i criteri di conformità dei dispositivi in base ai requisiti di sicurezza, ad esempio versione del sistema operativo, baseline di configurazione e livello di rischio. Valutare continuamente l'integrità dei dispositivi per determinare se i dispositivi soddisfano gli standard dell'organizzazione. |
| Applicare l'accesso basato sul comportamento con l'accesso condizionale | Integrare i segnali di conformità e rischio dei dispositivi nei criteri di accesso condizionale per garantire che solo i dispositivi integri e conformi possano accedere alle risorse aziendali. Applicare controlli di accesso differenziati per dispositivi gestiti, non gestiti e ad alto rischio. |
| Proteggere la configurazione dei dispositivi e gli standard di base | Applica baseline di sicurezza e criteri di configurazione per imporre una configurazione sicura uniforme su tutti i dispositivi. Standardizzare le impostazioni per sistemi operativi, controlli di sicurezza e configurazioni di gestione per ridurre le configurazioni non configurate. |
| Ridurre la superficie di attacco del dispositivo e limitare i comportamenti rischiosi | Implementa controlli come le regole di riduzione della superficie di attacco (ASR), la protezione dagli exploit e il controllo delle applicazioni (ad esempio, App Control for Business, precedentemente Windows Defender Application Control) per limitare i comportamenti sfruttabili e restringere l'esecuzione di codice non attendibile o non autorizzato. |
| Proteggere gli endpoint con il rilevamento e la risposta delle minacce | Distribuire funzionalità di endpoint protection e rilevamento per identificare, analizzare e correggere le minacce nei dispositivi. Generare segnali di rischio dai sistemi di endpoint protection e usarli per correggere e informare le decisioni di accesso. |
| Implementare privilegi minimi e controllo amministrativo | Ridurre al minimo l'accesso dell'amministratore locale e applicare privilegi minimi nei dispositivi. Applicare il controllo degli accessi in base al ruolo e la segmentazione amministrativa per garantire che solo il personale autorizzato possa gestire le configurazioni e i criteri di gestione dei dispositivi. |
| Accesso sicuro per dispositivi non gestiti e BYOD | Abilitare l'accesso sicuro da dispositivi BYOD (Bring Your Own Device ) di proprietà personale o dispositivi non gestiti usando i criteri di protezione delle app (gestione degli accessi mobili (MAM), i controlli basati su browser o le soluzioni di virtualizzazione. Applicare controlli di protezione dei dati senza richiedere la registrazione completa del dispositivo e usare l'accesso condizionale per limitare le azioni. Ad esempio, bloccare i download o richiedere app approvate. |
| Mantenere i dispositivi up-to-date | Applicare regolarmente gli aggiornamenti del sistema operativo e delle applicazioni per garantire che i dispositivi siano protetti da vulnerabilità note. Applicare la conformità degli aggiornamenti e automatizzare i processi di applicazione di patch per mantenere una baseline dei dispositivi coerente e sicura nell'ambiente. |
| Supportare l'accesso sicuro per diversi scenari di dispositivi | Abilitare l'uso sicuro di dispositivi personali, condivisi e sul campo. Applicare controlli appropriati, ad esempio criteri di protezione delle app, modalità dispositivo condiviso o protezioni basate su sessione per proteggere l'accesso in cui la gestione completa dei dispositivi non è fattibile. |
| Integrare i segnali dei dispositivi nelle operazioni di sicurezza (SecOps) | Trasmettere i segnali di integrità, conformità e minacce dei dispositivi nei flussi di lavoro centralizzati di monitoraggio e risposta. Correlare questi segnali con identità, dati e dati di telemetria di rete per rilevare e rispondere alle minacce basate su dispositivo. |
Valutare la postura del dispositivo
Lo strumento di valutazione Zero Trust può valutare la configurazione del dispositivo in base a una serie di procedure consigliate per la sicurezza. Scopri di più.
Passaggi successivi
Esegui una valutazione, e avvia il workshop sui dispositivi.