随着组织拥抱数字化转型和混合工作模式，端点既成为关键的生产力推动因素，也成为重大的安全隐患。笔记本电脑、台式机、智能手机甚至物联网设备构成了数据完整性和组织弹性之战的前线。为确保这一多样化的领域安全，端点安全不应被视为单一产品，而应被视为多层架构学科。

本文分为两部分：

• 第一部分探讨了支撑所有端点安全控制的基础原则以及需要牢记的关键考虑因素。
• 第二部分在此基础上，介绍了设计安全、可管理和合规的端点环境所需的架构元素和控制域，并以一个可视化框架结束，以帮助架构师掌握全局。

基础原则：端点策略的基石

每个强大的安全架构都始于原则。对于端点，以下七个原则起着指导作用：

• 纵深防御：避免依赖任何单一控制。使用分层防御来预防、检测和响应威胁。
• 零信任姿态：默认情况下不信任任何事物。每个访问尝试（无论是来自用户还是设备）都必须经过验证。
• 默认和设计安全：设备应配备安全配置出厂。用户在部署后无需“保护”系统。
• 标准化和自动化：通过定义一致的配置并自动化部署和更新来降低复杂性和人为错误。
• 可见性和监控：无法监控就无法保护。确保能够实时观察所有设备。
• 及时更新和响应：必须在漏洞被利用之前修补漏洞。自动化是关键。
• 用户意识和责任：安全不仅仅是技术问题，用户必须了解自己的角色和风险。

端点安全架构的控制域

1. 批准的设备和操作系统

   • 标准化设备和批准的操作系统：组织中使用的所有硬件应预先批准和标准化。在配置之前，设备必须进行漏洞扫描，配备批准的操作系统，并预先配置安全基线。这些设备应连接到组织的资产管理和监控系统。
   • 设备注册和登记：每个设备（包括自带设备，如个人智能手机或平板电脑）必须在移动设备管理（MDM）或统一端点管理（UEM）平台（如 Microsoft Intune）中注册。这确保了可见性、集中控制和合规性执行。
   • 专用设备（信息亭等）：用于专用角色的设备（如信息亭、工业控制系统、销售点终端）必须进行单独的风险评估。这些设备应经过功能测试、安全配置并限制网络访问以减少暴露。应评估物理放置和防篡改机制，以避免未经授权的访问或操作。

2. 设备身份验证和控制

   • 身份验证要求（密码、登录、生物识别）：端点访问必须由强大的用户身份验证机制保护。密码应遵循复杂性要求并定期轮换。在可能的情况下，应实施生物识别登录或基于智能卡的访问，以在不影响用户体验的情况下增强安全性。
   • 集中式身份管理（SSO、AD）：所有设备应通过集中式身份平台（如 Active Directory 或单点登录（SSO）系统）进行身份验证。这确保了一致的策略执行、简化了访问撤销，并实现了与第三方服务的安全集成联合。
   • 可信网络访问（设备认证、状态验证）：在连接到任何内部资源之前，设备必须验证其可信度。这通常通过基于证书的身份验证和端点状态检查来实现，验证安全工具的存在、最近的补丁状态和策略合规性。不符合要求的设备应被隔离或限制。
   • 锁定屏幕和会话超时：所有端点必须实施不活动超时。设备在短时间（例如 5 - 10 分钟）不活动后应自动锁定，以防止在无人看管时未经授权的访问。用户在恢复时需要重新进行身份验证。
   • 设备命名和标识：每个端点必须遵循反映其所有者、部门或功能的结构化命名约定。这简化了资产跟踪、自动化策略应用和事件调查中的日志关联。
   • 设备撤销：当端点丢失、被盗或退役时，组织必须能够立即撤销其访问权限。这包括禁用证书、撤销身份验证令牌、从 MDM/UEM 注册中删除设备以及远程擦除企业数据。

3. 端点配置和加固要求

   • 基线配置标准：每个端点必须配置有预定义的基线配置。这包括操作系统设置、浏览器配置、网络控制和应用程序级设置，这些设置与组织策略和合规要求保持一致。基线应根据威胁情报和不断发展的最佳实践定期审查和更新。
   • 不必要的服务和功能：为减少攻击面，必须禁用或卸载所有非必要的服务、协议和软件组件。这包括遗留协议（如 SMBv1）、默认管理共享和未使用的远程访问工具。端点配置脚本应在初始设置时自动执行此过程。
   • 安全启动和 BIOS/UEFI 配置：所有系统必须启用安全启动，以确保只有签名和验证的操作系统可以加载。BIOS/UEFI 设置必须设置密码保护，并且应禁用不必要的启动选项。固件更新应集中管理并以受控方式应用。
   • 应用程序白名单：仅允许在设备上运行来自经过验证的软件存储库的批准应用程序。应用程序控制工具（如 Microsoft AppLocker 或 WDAC（Windows Defender 应用程序控制））可以实施这些限制，防止未经授权或恶意软件的执行。
   • 配置漂移监控：一旦加固，必须监控每个端点的配置是否有未经授权或意外的更改。应使用端点合规性和配置管理工具来检测漂移、触发警报并自动纠正偏差，以确保持续符合基线标准。

4. 特权分配和管理

   • 特权分配（RBAC）：必须在所有端点上实施基于角色的访问控制。根据用户的工作职责严格授予访问权限，确保遵循最小特权原则。管理员权限必须严格限制，并仅在操作必要时授予。
   • 单独的管理访问：管理员必须维护用于管理任务的单独帐户。这些帐户不应用于日常活动，如电子邮件或网页浏览，以降低通过网络钓鱼或恶意软件泄露凭证的风险。
   • 即时（JIT）访问：而不是授予持久的管理员权限，使用 JIT 访问模型。通过自动化工作流临时提升管理员权限，提供限时访问，该访问在任务完成后自动撤销并记录。
   • 监控和日志记录：所有特权活动都必须详细记录。应使用集中式日志系统（如 SIEM）来捕获事件，例如特权升级、敏感配置更改和对关键系统的访问。这些日志必须受到保护，防止被篡改。
   • 特权审查：必须定期进行访问审查，以验证特权分配是否仍然适当。任何过时或未使用的管理员权限都必须撤销，并且所有提升的访问权限必须由系统所有者或 IT 安全团队定期认证。

5. 补丁和漏洞管理

   • 强制补丁：所有端点必须遵守严格的补丁策略，要求及时更新操作系统、固件和应用程序，包括第三方软件。应立即部署关键补丁，而其他补丁应遵循定义的补丁窗口，以减少业务影响。
   • 自动化补丁部署：为了减少人为错误并提高一致性，应使用 Microsoft SCCM、Intune 或其他端点管理平台等工具自动化补丁管理。自动化工作流应处理补丁分发、安装和重新启动计划，适用于各种设备类型。
   • 漏洞扫描：必须使用 Qualys、Nessus 或 OpenVAS 等工具定期进行定期和临时漏洞评估。这些扫描有助于识别未修补的系统、过时的软件和不安全的配置，否则这些问题可能会被忽视。
   • 补丁合规性报告：应持续监控和报告补丁部署和安装成功率。合规性仪表板应突出显示不符合要求的系统，帮助确定修复的优先级，并支持内部或监管审计。
   • 变更控制：所有补丁活动，特别是涉及敏感系统的活动，都应遵循正式的变更管理程序。这包括在暂存环境中进行预部署测试、记录批准并确保在出现意外影响时有回滚计划。

6. 恶意软件保护和防病毒

   • 强制反恶意软件控制（运行批准的 EDR）：所有端点必须运行组织批准的端点检测和响应（EDR）软件。这确保了高级恶意软件保护、行为分析和对恶意活动的持续监控。EDR 必须具有防篡改功能并可集中管理。
   • 自动化签名和引擎更新：防病毒和 EDR 引擎必须配置为自动更新其威胁签名、启发式规则和扫描引擎。这确保了防御措施能够有效抵御最新的恶意软件菌株和零日威胁。
   • 主动威胁检测和隔离：EDR 平台必须能够实时检测威胁、进行行为分析并自动隔离感染的端点。在检测到可疑行为或恶意软件时，系统应能够隔离文件或断开设备与网络的连接。
   • 补救和事件管理：检测到的威胁应触发定义的补救工作流。这些可能包括系统恢复、恶意文件删除或端点重新映像。与事件响应团队和剧本的集成可确保快速遏制和调查。
   • 终端用户意识和预防：必须定期对用户进行恶意软件预防最佳实践培训，例如识别网络钓鱼尝试、避免可疑下载和安全处理电子邮件附件。意识宣传活动和网络钓鱼模拟可以加强警惕性。
   • 审计和功效验证：必须定期通过模拟攻击、红队演习或独立评估来测试防病毒和 EDR 控制的有效性。应审查 EDR 系统的审计日志，以查找误报、未检测到的情况和警报准确性。

7. 软件安装和更新的控制

   • 仅授权软件：端点必须仅限于运行已由组织明确批准的软件。应维护授权软件列表并定期审查，以消除不必要或过时的应用程序。这限制了未经审查或潜在恶意程序带来的风险。
   • 集中式软件部署（SCCM、JAMF 等）：所有安装和更新都应使用部署工具（如 Microsoft SCCM、JAMF 或 Intune）集中管理。这些工具提供一致的配置，减少配置错误的可能性，并确保所有设备的补丁合规性。
   • 用户限制（无未经授权的安装）：标准用户不得具有安装、更新或删除应用程序的权限，除非事先获得批准。应限制管理员权限，并仅通过管理请求工作流授予特殊用例的权限。
   • 更新管理：应以受控且及时的方式管理应用程序更新。应制定批准的更新窗口、自动化和回滚功能，以确保在不影响运营的情况下解决关键漏洞。
   • 审计和补救：必须定期捕获和审计所有软件安装和更改的日志。未经授权的软件或未经授权的安装应触发自动警报并启动预定义的补救措施，包括隔离、删除或升级到 IT 安全团队。

8. 输入/输出设备和可移动媒体的控制

   • 可移动媒体限制（加密要求）：必须严格控制可移动存储设备（USB、外部硬盘、SD 卡等）的使用。仅允许使用加密媒体，并且访问应限于特定角色或用例。复制到此类设备的数据应自动加密。
   • 设备控制软件（端口限制）：端点保护平台必须包括设备控制功能，以限制或禁用物理端口，如 USB、FireWire 和 CD/DVD。应强制执行策略，以阻止未经授权的外围设备连接到企业设备。
   • 数据丢失预防（DLP）：必须使用 DLP 技术来监控和控制敏感数据通过输入/输出通道的移动。这些工具可以实时检测策略违规，并根据预定义规则执行阻止、警报或加密。
   • 日志记录和监控：必须记录所有到和从可移动媒体的文件传输，包括文件名、时间戳和用户身份。这些日志必须集中存储并作为常规安全监控的一部分进行审查，以发现异常或未经授权的行为。
   • 媒体处置：当可移动媒体不再需要或已达到使用寿命时，必须对其进行安全擦除或物理销毁。消毒程序应符合 NIST 800-88 等公认标准，以确保无法恢复数据。

9. 端点数据存储安全

   • 本地数据存储最小化：为了降低数据暴露和丢失的风险，端点应避免在本地存储敏感或关键业务数据。相反，应鼓励或要求用户使用具有适当访问控制的安全、集中式存储解决方案，如网络驱动器或云服务。
   • 敏感数据分类：存储在端点上的所有数据必须根据其敏感性进行分类，如公共、内部、机密或受监管。此分类告知应应用哪些安全控制，包括访问限制、加密和监控。
   • 本地数据保护：任何必要的本地数据必须通过加密和细粒度访问控制进行保护。端点保护工具应执行策略，防止未加密的敏感数据保存到本地驱动器或复制到不受信任的目的地。
   • 备份和恢复：必须使用自动化解决方案定期备份关键端点数据。备份策略应包括版本控制、加密和安全传输。应定期测试恢复程序，以确保在数据损坏、勒索软件或硬件故障等情况下的数据完整性和业务连续性。

10. 端点的加密要求

    • 全磁盘加密：所有公司笔记本电脑、台式机和工作站必须使用全磁盘加密（FDE）进行保护。这确保在丢失或被盗时，本地存储的所有数据对未经授权的个人不可读。应集中部署和强制执行诸如 BitLocker（Windows）或 FileVault（macOS）之类的解决方案。
    • 移动设备加密：访问企业数据的智能手机和平板电脑也必须加密。移动设备管理（MDM）平台应在操作系统级别强制执行加密策略，并限制对不符合要求的设备的访问。
    • 可移动媒体加密：外部存储设备（包括 USB 驱动器、SD 卡和便携式硬盘）必须使用硬件或软件加密。应阻止未加密的媒体在企业系统上挂载，并强制使用组织批准的加密工具。
    • 加密密钥管理：必须使用集中式密钥管理系统（KMS）安全地生成、存储和轮换密钥。密钥访问应遵循最小特权原则并可审计，以支持合规性。
    • 验证和合规性：必须定期审计所有端点和存储介质的加密状态。未能通过加密检查的设备应标记为进行补救，并且合规性报告应与治理仪表板集成，以支持风险评估和监管要求。

有关完整指南（包括详细的控制域和可视化架构图），请参阅本文的第二部分。