随着疫情的发展,“混合办公”逐渐成为企业新常态,也因此加速了安全的数字转型需求。《微软数字防御报告2020》就揭示了混合办公安全三大架构:零信任基础架构、设备管理和资料治理(Data Governance)与合规性。
微软指出,企业的安全风险主要来自内部风险,包含员工违反内部政策、离职员工窃取资料、数据泄露,而这样的行为往往不易被发现;据调查,有59%自愿或非自愿离开组织的员工表示在离职时带走机密资料。
根据《微软数字防御报告2020》显示,随着越来越多的企业将安全导入远程工作需求要素中,无论是短期还是长期、网络安全都为运营弹性奠定了基础,企业应定期评估其风险,并结合人力和技术产品和服务来执行关键流程,微软建议企业在实行混合办公时,安全应着重部署三大架构:
零信任基础架构
企业IT架构最初设置并未为远程工作模式提供大规模、即时过渡等突发情形预备。当员工转为几乎100%的远程工作时,架构负载也随之增加,不仅使得软件使用体验降级,企业VPN信道更造成阻碍。有鉴于此,企业安全团队须创建完整的VPN安全策略,防止未经授权的访问、管理授权用户访问权限。
鉴于密码被猜测、网络钓鱼、恶意软件窃取或重复使用的频率,人们将密码与某种形式的强凭据配对也至关重要。
设备管理
为确保企业资料随时受保护状态,以云计算为基础的生产力工具平台,着重于移动设备管理和移动应用程序管理,协助企业掌握组织设备的使用方式,也可设置特定原则来控制设备应用程序,例如防止电子邮件发送给组织外部的人。
此外,对于非托管设备,通过虚拟桌面以丰富的桌面环境的形式提供替代访问管理,企业IT人员只需在短短几分钟,即可完成员工权限管控设置,通过统一配置、发布、管理、权限管控等服务,可控制谁通过标志的设备访问信息,快速部署并最大化运用公司IT资源,降低多重嫁接费用支出,更进一步大幅节省IT人员时间、设备成本,维持员工高度生产战力。
资料治理与合规性
为有效管理和保护重要的企业资料,安全团队需认识和识别混合环境中的数据内容,侦测用户行为,通过加密、权限管控和可视化标记等方式保护数据及避免资料外泄,并将数据自动化的留存、删除、存储及进行合规记录。
(首图来源:台湾微软)