傳統防火牆建立在「牆內可信、牆外不可信」的基礎假設上。但當您的應用系統、資料與員工裝置大量移到雲端與遠端後,其實這道牆的防護已經消失,企業面對此風險,零信任架構(Zero Trust)是最佳的防護盾手段之一:不再預設任何使用者或裝置可信,每一次存取都必須重新驗證。
目錄
目錄
為什麼企業上雲後,傳統防火牆已經不夠?
(1) 為什麼傳統防火牆已經不再足夠,企業將面臨什麼樣的風險?
過去的資安模型把安全責任交給網路邊界,預設防火牆內的活動、使用行為會比防火牆外安全。這在面對早期的網路掃描與直接入侵時有效,但對今日的威脅顯然已經不夠,遠端辦公、SaaS 應用、地端系統與雲端資源交錯使用,單靠防火牆難以涵蓋所有風險。宏庭科技可協助企業從帳號權限、端點安全、雲端設定與日誌監控開始盤點出最容易被攻擊的缺口,再規劃 Azure 資安導入順序。
- 遠端辦公,讓傳統網路邊界逐漸消失。
- 帳號外洩,往往比主機被攻擊更常見。
- SaaS、雲端與地端混合環境,難以靠單一防火牆管理。
- 攻擊者常從帳號、端點、權限與設定錯誤切入。
微軟指出,傳統模型依賴網路邊界、並假設邊界內的資產較為安全,但這已無法因應現代攻擊[1]。常見的原因有:員工自帶裝置、混合辦公,資料經常在傳統公司網路邊界之外被存取,並與外部夥伴共享,應用系統也從地端搬到混合與雲端環境[2]。一旦攻擊者取得一組帳號密碼,就很可能長驅直入,甚至直接接管企業的內部資料。
(2) Azure 零信任架構有哪些防護重點? ISO 27001重要嗎?
企業應該用 ISO 27001 建立一套可稽核、可持續改進的資訊安全管理系統(ISMS),把資安納入明確的管理控制之下。Microsoft Azure、Dynamics 365 及其他線上服務,會定期接受獨立第三方的 ISO/IEC 27001 稽核[3];目前 Azure Public 每年由第三方認證機構稽核一次,獨立驗證安全控制項確實到位且有效運作[12]。這代表您部署在 Azure 上的工作負載,從一開始就站在通過稽核的基礎之上。
為協助客戶落地,宏庭科技提供對應 ISO/IEC 27001 合規領域與控制項的 Azure Policy 內建法規遵循方案[13],把抽象的控制項對應到可實際檢查的政策。下表整理常見控制項與對應的 Azure 服務:
| 常見資安控制項 | 對應 Azure 服務 | 說明 |
|---|---|---|
| 身分驗證與存取控制 | Microsoft Entra ID、條件式存取 | 強式驗證、依風險授權 |
| 端點與裝置合規 | Microsoft Intune、Defender for Endpoint | 裝置合規政策、威脅回應 |
| 日誌記錄與監控 | Microsoft Sentinel、Azure Monitor | 事件彙整、長期保存、稽核軌跡 |
| 資料保護與分類 | Microsoft Purview、DLP | 敏感資料分類與外洩防護 |
| 組態與政策遵循 | Azure Policy 法規遵循方案 | 對應 ISO 27001 控制項自動評估 |
| 威脅偵測與回應 | Defender for Cloud | 工作負載保護與弱點評估 |
延伸閱讀:Azure ISO/IEC 27001 合規說明; ISO 27001 Azure Policy 法規遵循對應
延伸閱讀:Azure 信任雲合規總覽
(3) Azure 零信任架構有哪些防護重點?
零信任的核心精神是永不信任、持續驗證,Azure 用 6大防護支柱落實這個理念,彼此環環相扣,缺一不可,構建全面的防護網:
身分(Identity)
以 Entra ID 驗證每一次存取,搭配多因素驗證與條件式存取,確保登入者真的是本人,而非盜用憑證的攻擊者。
端點(Endpoint)
納管所有連線裝置,確認其合規狀態後才放行,降低被受駭或未更新裝置成為入侵跳板的風險。
應用程式(Apps)
監控雲端與地端應用的存取行為,偵測異常使用並控管權限,避免影子 IT 失控。
資料(Data)
為資料分類、加密與標記,即使外洩也難以被解讀,把損害降到最低。
基礎結構(Infrastructure)
持續監控伺服器與容器設定,即時修補弱點,防止設定錯誤被利用。
網路(Network)
以微分段隔離流量,阻止威脅在內部橫向擴散,縮小受害範圍。
延伸閱讀:Microsoft Zero Trust 安全策略; Azure ISO/IEC 27001 合規說明
延伸閱讀:Zero Trust 安全基礎(Microsoft Learn)
根據微軟官方資料建議,企業應優先處理身分:Microsoft Entra ID 提供強式驗證,是端點安全的整合點,也是以使用者為中心、確保最小權限存取的核心。
在宏庭科技的服務經驗裡,Microsoft Entra 條件式存取(Conditional Access)是決策引擎,依使用者身分、環境、裝置健康狀態與風險,在存取當下明確驗證後決定是否放行[7]。
| 零信任支柱 | 主要 Azure 對應服務 | 核心作用 |
|---|---|---|
| 身分 | Microsoft Entra ID、條件式存取、MFA | 強式驗證、最小權限、依風險動態授權 |
| 端點 | Microsoft Intune、Defender for Endpoint | 裝置合規管理、端點威脅偵測與回應 |
| 資料 | Microsoft Purview 資訊保護、DLP | 資料分類、標籤、防止外洩 |
| 應用程式 | Defender for Cloud Apps | 控管雲端應用存取、發現影子 IT |
| 基礎架構 | Azure Policy、Defender for Cloud | 組態管理、工作負載保護 |
| 網路 | Azure Firewall、NSG、Private Link | 網路分段、加密、流量控管 |
(上表服務對應整理自微軟零信任部署指引,實際導入組合依企業環境而定。)
延伸閱讀:零信任技術支柱總覽; 身分:零信任第一支柱
延伸閱讀:Microsoft Zero Trust 安全策略
Microsoft Defender 與 Microsoft Sentinel 有什麼不一樣?
Microsoft Defender 和 Microsoft Sentinel 不需要二選一,而是相互配合的兩個角色。
(1) Microsoft Defender:在工作負載現場偵測與回應威脅
Microsoft Defender 是一套延伸偵測與回應(XDR)解決方案,從雲端應用、電子郵件安全、身分與存取管理等多項服務,拉取原始遙測資料,運用 AI 與機器學習自動分析、調查並即時回應,還會把安全警示關聯成較大的事件[8]。更簡單的說明,就是Defender 負責「保護與偵測威脅」,在威脅出現的可以直接處理。
(2) Microsoft Sentinel:跨來源整合、分析與管理資安事件
Microsoft Sentinel 則是雲端原生的 SIEM 解決方案,提供安全資訊與事件管理(SIEM)以及安全協調,同時也是 SIEM/SOAR 平台,自動化與回應(SOAR)能力[9]。它可跨多雲與多平台環境收集資料,結合AI、自動化與威脅情報,支援威脅偵測、調查、回應與主動獵捕[10]。對需要 SOC、長期日誌保存與跨平台可視性的企業而言,這正是「資安監控 SOC 雲端方案」的核心。
集中蒐集日誌
整合 Azure、地端與第三方來源的日誌,建立全景式的資安事件視野,不再有監控死角。
AI 威脅偵測
以機器學習找出異常行為,降低誤報並縮短威脅發現時間,讓有限的人力專注在真正的風險上。
SOAR 自動回應
用劇本(Playbook)自動隔離帳號或封鎖來源 IP,第一時間止血,大幅減輕 SOC 人力負擔。
(3) 兩者如何相互配合
兩者並非擇一。Microsoft Defender把跨身分、端點、電子郵件與雲端應用的訊號彙整成事件,Microsoft Sentinel 則透過內建連接器與產業標準,連接眾多安全來源,將多個低可信度訊號關聯成完整的攻擊視圖與排序後的警示[11]。把 Sentinel 工作區匯入 Defender 入口網站後,SOC 團隊就能在同一個介面完成事件回應——這也是 Microsoft Sentinel SIEM 教學常見的第一步。
| 比較面向 | Microsoft Defender(XDR) | Microsoft Sentinel(SIEM/SOAR) |
|---|---|---|
| 定位 | 保護與偵測威脅 | 整合、分析與管理資安事件 |
| 資料範圍 | 微軟第一方訊號為主 | 跨多雲、地端與第三方來源 |
| 主要能力 | 即時偵測、自動回應 | 日誌彙整、關聯分析、SOAR 自動化 |
| 適合情境 | 微軟為主的環境、現場防護 | 具 SOC、需長期保存與跨平台獵捕 |
| 兩者關係 | 把訊號彙整成事件 | 把跨來源訊號關聯成完整攻擊鏈 |
延伸閱讀:什麼是 Microsoft Sentinel SIEM; 整合 SIEM 與 XDR 的事件回應
延伸閱讀:以 Sentinel 與 Defender XDR 實作零信任
ISO 27001 合規該如何對應 Azure 資安方案?
不同產業對合規的要求不同,建議先確認必須符合的標準,再規劃對應的資安監控方案,避免投資錯位。
| 需求 | 重點 | 對應 |
| 基礎防護 | 身分控管 | Entra ID |
| 即時監控 | 威脅偵測 | Microsoft Defender / Microsoft Sentinel |
| 國際合規 | 稽核認證 | ISO 27001 |
宏庭科技如何協助企業導入零信任架構以及 Azure 資安?
宏庭科技建議企業可從容易見效之處著手,並依商業目標排序,企業導入零信任不必一步到位,建議依風險高低與成效快慢分階段推進,先補強最大的破口再逐步完善。
導入優先順序建議:
- 先強化身分:全面啟用多因素驗證。
- 再控管裝置:建立端點合規政策。
- 接著分段網路:隔離關鍵核心系統。
- 然後資料治理:分類並加密敏感資料。
- 持續監控:交由 Sentinel 統一把關。
宏庭科技作為具備國際合規能量的雲端服務商,宏庭科技協助企業把零信任與 ISO 27001 從規格化為可運作的雲端環境。
(1) 國際合規認證,與您一同滿足稽核要求
宏庭科技通過 ISO9007、ISO27001、ISO27017 認證,是具備國際合規的廠商;搭配 Azure 平台本身通過的 ISO 27001 稽核,能在合規導入過程中減少您與稽核單位之間的摩擦。
(2) 四大雲整合與在地維運能量
- 四大雲服務商:宏庭科技為四大雲(含 Azure)整合服務商,能依需求規劃最合適的雲端資安架構。
- 集團背景:母公司為博弘雲端,隸屬遠東集團,資源與穩定度具規模支撐。
- 實績規模:服務 2,000+ 企業客戶、累積 1,000+ 雲端認證,導入經驗豐富。
- ISO 27001:宏庭科技本身亦通過 ISO 27001,理解合規落地的實務細節。
(3) 宏庭科技服務的具體保障
- 最高管理權(Owner):客戶保有訂閱最高管理權,掌控權留在您手上。
- 零停機退場:需轉換服務時可零停機退場,不綁架您的營運。
- 台灣在地開票:在地開立發票,含 5% 營業稅與電子發票,符合台灣財務作業。
- 完整維運與持續監控:提供完整維運服務並持續監控,讓資安防護不只是上線那一刻。
從零信任架構規劃、Azure 資安服務部署,到 ISO 27001 合規落地與後續維運,宏庭科技都能一站到位。
宏庭科技如何協助企業控管 Microsoft Sentinel(原Azure Sentinel)的成本?
Microsoft Sentinel(原Azure Sentinel)的價值在於集中蒐集日誌、偵測威脅與自動化回應,但企業若沒有先規劃資料來源,成本容易隨著日誌量快速增加。建議先確認哪些系統屬於高風險資產,例如 Entra ID、Microsoft 365、Azure Activity、防火牆、VPN、端點安全事件,再分階段導入監控。
宏庭科技可協助企業設定必要日誌來源、資料保存期限、告警分級與預算警示,避免一開始就把所有資料全數匯入 Sentinel。對 IT 人力有限的企業來說,先把最關鍵的帳號登入、異常存取與高風險操作納入監控,通常比追求完整但難以維護的監控架構更實際。
馬上聯絡專屬顧問,宏庭科技為您搞定 Azure 雲端大小事。
延伸閱讀:Azure ISO/IEC 27001 合規說明; Microsoft Zero Trust 安全策略
常見問題 FAQ
Q1、零信任架構導入企業,第一步該從哪裡開始?需要一次完成全部嗎?
A:不需要。建議先從身分驗證、條件式存取與端點控管開始,這些項目最容易降低帳號外洩與未授權存取風險。等基礎防護穩定後,再逐步擴充到資料治理、網路分段與 Sentinel 監控。依照宏庭科技的經驗,Microsoft Entra ID 提供強式驗證,是端點安全的整合點與最小權限存取的核心[7]。根據微軟的建議,通常也是先處理容易見效的項目,再依商業目標排序,然後逐步擴大[4]。
Q2、Microsoft Sentinel 與Microsoft Defender 一定要兩個都用嗎?
A:不一定,要看規模大小與企業的需求。例如以現場防護為重的環境,Defender 可能就足夠;具備SOC、需要長期日誌保存與跨多雲獵捕的企業,則適合再加上 Sentinel。兩者是互補的層次,不是競爭關係。
Q3、Azure 通過 ISO 27001,我的系統就自動合規了嗎?
A:不會。Azure 平台通過稽核是您合規的基礎,但在共同責任模型下,您仍須對自己的資料、身分與設定負責,並自行委請評估員稽核您自身的實作[3]。
Q4、中小企業也需要導入零信任嗎?
A:需要。資安威脅不分企業規模,零信任可分階段導入,中小企業先從多因素驗證與端點控管著手,成本可控、見效又快。尤其零信任導入橫跨身分、端點、資料等多個領域,宏庭科技可依您的環境規劃優先順序,從見效快的項目開始,搭配完整維運與持續監控,降低自行摸索的成本,協助企業儘速跨過撞牆期。
Q5、宏庭科技可以協助企業代管 Microsoft Sentinel 嗎?Microsoft Sentinel 費用會不會很高?
A:可以。宏庭科技可協助企業規劃 Microsoft Sentinel 日誌來源、分析規則、告警分級、自動化劇本與報表,並依企業 IT 人力狀況,提供後續調校與維運建議,降低內部團隊負擔。費用則是取決於日誌量、保存天數與監控範圍。企業不該一開始就把所有資料全收進來,建議可以先定義高風險系統與必要日誌,再透過預算警示與資料保留策略控管成本,一般首次導入的企業通常不知從何開始著手,如果您有這樣的困擾,宏庭科技的經驗是企業最佳助力。
馬上聯絡專屬顧問,宏庭科技為你搞定 Azure 雲端大小事
關於宏庭科技
宏庭科技為四大雲整合服務商,母公司博弘雲端隸屬遠東集團,已服務 2,000+ 企業客戶、累積 1,000+ 雲端認證,並通過 ISO 27001 認證。我們提供從零信任規劃、Azure 資安部署到 ISO 27001 合規落地的一站式服務,並保有客戶最高管理權、支援零停機退場、台灣在地開票(含 5% 營業稅與電子發票),搭配完整維運與持續監控。
馬上聯絡專屬顧問,宏庭科技為您搞定 Azure 雲端大小事。
延伸閱讀彙整
[1] Zero Trust Security and Strategy(Microsoft Security)
[2] Zero Trust 身分、端點等功能領域與存取評估(Microsoft Learn)
[3] ISO/IEC 27001 – Azure Compliance(Microsoft Learn)
[4] Zero Trust as a security foundation(Microsoft Learn)
[5] Zero Trust deployment for technology pillars overview(Microsoft Learn)
[6] Zero Trust technology pillars 領域劃分(Microsoft Learn)
[7] Identity, the first pillar of Zero Trust(Microsoft Learn)
[8] Zero Trust Security with Microsoft Sentinel and Defender XDR(Microsoft Learn)
[9] What is Microsoft Sentinel SIEM(Microsoft Learn)
[10] What is Microsoft Sentinel SIEM/SOAR 能力(Microsoft Learn)
[11] Incident Response with XDR and Integrated SIEM(Microsoft Learn)
[12] ISO/IEC 27001:2013/2022 Information Security Management(Microsoft Learn)
[13] ISO 27001 Azure Policy Regulatory Compliance(Microsoft Learn)