Архітектура Zero Trust дозволяє Стефані працювати гнучко та безпечно
Зустрічайте Стефані. Вона працює у відділі маркетингу глобальної туристичної онлайн-компанії Amazing Trips. Організація пропонує гібридне робоче середовище, що надає співробітникам гнучкості під час роботи в офісі, вдома або навіть у місцях, де вони подорожують. Сьогодні Стефані прямує до лондонського офісу на зустріч.
9 ранку – користувач авторизується
Стефані починає свій день із входу в свій ноутбук. Вона вводить свій логін і пароль. Без її відома її пристрій підключається до Microsoft Entra ID (раніше Azure AD), який перевіряє, що вона є визнаним працівником AmazingTrips. Її просять підтвердити свою автентичність, натиснувши кнопку в програмі Microsoft Authenticator на телефоні. Ця багатофакторна автентифікація (MFA) необхідна, щоб гарантувати, що ніхто не отримав доступ до ноутбука Стефані без її відома. З точки зору служби кібербезпеки, це означає, що особу користувача ретельно перевірено.
Перевірка відповідності пристрою
Перш ніж надати Стефані доступ, система перевіряє стан відповідності пристрою через Microsoft Intune (Диспетчер кінцевих пристроїв). Пристрій має відповідати політикам безпеки організації, забезпечуючи його захист та актуальність.
У разі будь-яких не відповідностей під час цього процесу екосистема безпеки Microsoft, наявна в платформі Microsoft 365, вимагатиме додаткових перевірок або інших дій, визначених політиками безпеки та критеріями Zero Trust. Якщо пристрій Стефані не відповідає вимогам безпеки, тобто застарілий антивірус або відсутня політика безпеки, процес входу буде перенаправлено до ізольованої віртуальної мережі для оновлення політик і виправлень.
10:00 – доступ до програм і застосунків
Перевіривши свої мейли та поспілкувавшись з командою, Стефані потрібно отримати доступ до сайту SharePoint, щоб попрацювати над матеріалами маркетингової кампанії для запуску нового конфіденційного продукту. Microsoft Entra ID оцінює запит Стефані на основі її ролі, місцеперебування, сумісності пристрою та чутливості програми. Політики умовного доступу гарантують надання лише необхідного доступу відповідно до принципу найменших привілеїв. Microsoft Defender for Identity керує ризиком ідентифікації та виявляє розширені кіберзагрози на основі ідентифікації в організації в режимі реального часу. Оскільки Стефані відповідає вимогам і не становить жодного рівня ризику, вона отримує доступ до файлів, над якими їй потрібно працювати.
11:00 - захист даних в дії
Попри те, що Стефані працює з конфіденційними документами, Microsoft Purview Information Protection автоматично класифікує та позначає інформацію, над якою вона працювала. Завдяки цьому забезпечується безпека програм та даних. Коли вносяться зміни або створюються нові матеріали, документи шифруються, забезпечуючи захист даних як під час передачі, так і під час зберігання.
12:00 - підключення з нового місця
Стефані потрібно поїхати з лондонського офісу до Парижа на Eurostar, щоб зустрітися з французькою командою маркетингу. Вона хоче продовжувати працювати, поки їде в поїзді. Система Zero Trust повторно оцінює запит Стефані на доступ, враховуючи нове місцеперебування та мережу. Доступ може бути обмежено, або Стефані може бути запропоновано додаткову перевірку, що є демонстрацією принципу «постійної перевірки».
14:00 – виявлення загрози та реагування
Протягом дня Microsoft 365 Defender стежить за пристроєм, ідентифікацією, програмами Стефані тощо на наявність аномальної поведінки. Система виявила, що Стефані зараз у Франції – не в тій країні, де вона була зранку. Ця потенційно підозріла активність викликає сповіщення про «неможливу подорож», і система автоматично підсилює умовний доступ (Conditional Access). Якщо підтверджено, що вхід з Лондона та Азії протягом хвилинного інтервалу – це загроза, підозрілий доступ блокується без будь-якого впливу на поточний доступ і програми Стефані, що значно зменшує потенційну шкоду.
15:00 – спільна робота над конфіденційними проєктами
Після наполегливої роботи над підготовкою матеріалів кампанії Стефані потрібен хтось із продуктової команди, щоб переглянути результати її роботи. Вона надсилає своєму колезі Сему посилання на файли SharePoint. Однак, коли Сем натискає на посилання, щоб подати запит на доступ до файлів, у доступі відмовляється, оскільки він не визначений як член команди маркетингу та не відповідає вимогам політики. Сем повинен натиснути кнопку, щоб подати запит на доступ.
Як власнику матеріалів, запит на доступ надсилається Стефані, яка може негайно схвалити запит Сема, і вони зможуть разом працювати над матеріалами. Цей доступ до файлів проєкту контролюється за допомогою Microsoft Entra ID із дозволами, які динамічно налаштовуються на основі конфіденційності проєкту та ролей учасників.
17.30 – закінчення робочого дня
Коли Стефані виходить із системи, система продовжує стежити за будь-якою незвичною діяльністю, пов’язаною з особистістю або пристроєм користувача, вона готова реагувати на загрози, навіть коли неактивна.
22:00 – вхід з мобільного пристрою
Після вечері з французькою командою Стефані хоче перевірити свою електронну пошту. Вона використовує свій мобільний телефон. Стефані знову проходить подібну автентифікацію, у фоновому режимі працює Entra ID, гарантуючи, що цей вхід з нового пристрою усе ще здійснює вона. Також політика AmazingTrips може вимагати від Стефані зареєструвати свій мобільний телефон у Microsoft Intune, щоб гарантувати захист цього пристрою.