Zabezpieczanie danych przy użyciu zera zaufania
Tło
Zero Trust to strategia zabezpieczeń używana do projektowania zasad zabezpieczeń dla organizacji. Usługa Zero Trust pomaga zabezpieczyć zasoby firmowe, implementując następujące zasady zabezpieczeń:
Sprawdź jawnie. Zawsze uwierzytelniaj się i autoryzuj na podstawie wszystkich dostępnych punktów danych, w tym tożsamości użytkownika, lokalizacji, kondycji urządzenia, usługi lub obciążenia, klasyfikacji danych i anomalii.
Użyj dostępu z najmniejszymi uprawnieniami. Ogranicz dostęp użytkowników za pomocą technologii just in time (JIT) i just-enough-access (JEA), zasad adaptacyjnych opartych na ryzyku i ochrony danych, aby zapewnić bezpieczeństwo zarówno danych, jak i produktywności.
Przyjmij naruszenie. Zminimalizuj promień wybuchu i dostęp segmentu. Zweryfikuj kompleksowe szyfrowanie i korzystaj z analizy, aby uzyskać widoczność, zwiększyć wykrywanie zagrożeń i poprawić ochronę.
Usługa Microsoft Purview proponuje pięć podstawowych elementów strategii ochrony danych w głębi systemu i implementację zero trust dla danych:
Klasyfikacja i etykietowanie danych
Jeśli nie wiesz, jakie poufne dane masz lokalnie i w usługach w chmurze, nie możesz odpowiednio ich chronić. Odnajdywanie i wykrywanie danych w całej organizacji i klasyfikowanie ich według poziomu poufności.Ochrona informacji
Warunkowy i najmniej uprzywilejowany dostęp do poufnych danych zmniejsza ryzyko bezpieczeństwa danych. Stosowanie barier kontroli dostępu opartej na poufności, zarządzania prawami i szyfrowania, w przypadku gdy mechanizmy kontroli środowiska są niewystarczające. Użyj oznaczeń poufności informacji, aby zwiększyć świadomość i zgodność z zasadami zabezpieczeń.Zapobieganie utracie danych
Kontrola dostępu rozwiązuje tylko część problemu. Sprawdzanie i kontrolowanie ryzykownych działań i przenoszenia danych, które mogą spowodować zdarzenie zabezpieczeń lub zgodności danych, umożliwia organizacjom zapobieganie nadmiernemu udostępnianiu poufnych danych.Zarządzanie ryzykiem niejawnych testerów
Dostęp do danych może nie zawsze dostarczać całą historię. Zminimalizuj ryzyko związane z danymi, włączając wykrywanie zachowań z szerokiej gamy sygnałów oraz działając na potencjalnie złośliwych i nieumyślnych działaniach w organizacji, które mogą być prekursorami lub wskazaniem naruszenia danych.Ład danych
Proaktywne zarządzanie cyklem życia poufnych danych zmniejsza jego narażenie. Ogranicz liczbę kopii lub propagacji poufnych danych i usuń dane, które nie są już potrzebne, aby zminimalizować ryzyko naruszenia zabezpieczeń danych.
Cele wdrożenia usługi Data Zero Trust
|
Zalecamy skoncentrowanie się na tych początkowych celach wdrażania podczas implementowania kompleksowej platformy Zero Trust dla danych: |
|
|
|
I. Klasyfikuj i etykietuj dane. Automatycznie klasyfikuj i etykietuj dane tam, gdzie to możliwe. Zastosuj ręcznie, gdzie nie jest. II. Stosowanie szyfrowania, kontroli dostępu i oznaczeń zawartości. Stosowanie szyfrowania, gdy ochrona i kontrola dostępu są niewystarczające. III. Kontrolowanie dostępu do danych. Kontroluj dostęp do poufnych danych, aby były lepiej chronione. Upewnij się, że decyzje dotyczące zasad dostępu i użycia są włącznie z poufnością danych. |
|
W miarę osiągania powyższych celów dodaj następujące dodatkowe cele wdrażania: |
|
|
|
IV. Zapobiegaj wyciekom danych. Używaj zasad DLP, które są sterowane ryzykownych sygnałów i poufności danych. V. Zarządzanie ryzykiem. Zarządzanie ryzykiem, które może prowadzić do zdarzenia zabezpieczeń danych, sprawdzając ryzykowne działania użytkowników i wzorce aktywności danych, które mogą spowodować zdarzenie dotyczące zabezpieczeń danych lub zgodności. VI. Zmniejsz narażenie na dane. Zmniejszanie narażenia na dane dzięki ładowi danych i ciągłej minimalizacji danych |
Przewodnik wdrażania zero trust dla danych
Ten przewodnik przeprowadzi Cię krok po kroku przez podejście Zero Trust do ochrony danych. Należy pamiętać, że te elementy będą się znacznie różnić w zależności od poufności informacji oraz rozmiaru i złożoności organizacji.
Jako prekursor każdej implementacji zabezpieczeń danych firma Microsoft zaleca utworzenie struktury klasyfikacji danych i taksonomii etykiet poufności definiujących kategorie wysokiego poziomu ryzyka bezpieczeństwa danych. Ta taksonomia będzie służyć do uproszczenia wszystkiego, od spisu danych lub szczegółowych informacji o aktywności, do zarządzania zasadami w celu zbadania priorytetyzacji.
Aby uzyskać więcej informacji, zobacz:
|
|
Początkowe cele wdrożenia |
I. Klasyfikowanie, etykietowanie i odnajdywanie poufnych danych
Strategia ochrony informacji musi obejmować całą zawartość cyfrową organizacji.
Klasyfikacje i etykiety poufności umożliwiają zrozumienie, gdzie znajdują się poufne dane, sposób ich przemieszczania i implementowanie odpowiednich mechanizmów kontroli dostępu i użycia zgodnie z zasadami zerowego zaufania:
Użyj automatycznej klasyfikacji i etykietowania, aby wykrywać poufne informacje i skalować odnajdywanie w infrastrukturze danych.
Używanie ręcznego etykietowania dokumentów i kontenerów oraz ręcznego curate zestawów danych używanych w analizie, gdzie klasyfikacja i czułość są najlepiej ustalane przez znanych użytkowników.
Wykonaj te kroki:
Po skonfigurowaniu i przetestowaniu klasyfikacji i etykietowania skalowanie w górę odnajdywania danych w obrębie infrastruktury danych.
Wykonaj następujące kroki, aby rozszerzyć odnajdywanie poza usługi Microsoft 365:
Odnajdywanie i ochrona poufnych informacji w aplikacjach SaaS
Dowiedz się więcej o skanowaniach i pozyskiwaniu w portalu ładu usługi Microsoft Purview
Podczas odnajdywania, klasyfikowania i etykietowania danych użyj tych szczegółowych informacji, aby skorygować ryzyko i poinformować inicjatywy związane z zarządzaniem zasadami.
Wykonaj te kroki:
II. Stosowanie szyfrowania, kontroli dostępu i oznaczeń zawartości
Uproszczenie implementacji najmniejszych uprawnień przy użyciu etykiet poufności w celu ochrony najbardziej poufnych danych za pomocą szyfrowania i kontroli dostępu. Użyj oznaczeń zawartości, aby zwiększyć świadomość i możliwość śledzenia użytkowników.
Ochrona dokumentów i wiadomości e-mail
Usługa Microsoft Purview Information Protection umożliwia dostęp i kontrolę użycia na podstawie etykiet poufności lub uprawnień zdefiniowanych przez użytkownika dla dokumentów i wiadomości e-mail. Można również opcjonalnie stosować oznaczenia i szyfrować informacje, które znajdują się w lub przepływają do mniejszych środowisk zaufania wewnętrznych lub zewnętrznych dla organizacji. Zapewnia ochronę magazynowanych, przesyłanych i używanych do obsługi aplikacji.
Wykonaj te kroki:
- Przeglądanie opcji szyfrowania na platformie Microsoft 365
- Ograniczanie dostępu do zawartości i użycia przy użyciu etykiet poufności
Ochrona dokumentów w programach Exchange, SharePoint i OneDrive
W przypadku danych przechowywanych w programach Exchange, SharePoint i OneDrive automatyczna klasyfikacja z etykietami poufności można wdrożyć za pośrednictwem zasad w lokalizacjach docelowych w celu ograniczenia dostępu i zarządzania szyfrowaniem na autoryzowanym ruchu wychodzącym.
Wykonaj ten krok:
III. Kontrola dostępu do danych
Zapewnienie dostępu do poufnych danych musi być kontrolowane, aby były lepiej chronione. Upewnij się, że decyzje dotyczące zasad dostępu i użycia są włącznie z poufnością danych.
Kontrolowanie dostępu do danych i ich udostępniania w usłudze Teams, Grupy Microsoft 365 i witrynach programu SharePoint
Użyj etykiet poufności kontenerów, aby zaimplementować ograniczenia dostępu warunkowego i udostępniania w usłudze Microsoft Teams, Grupy Microsoft 365 lub witrynach programu SharePoint.
Wykonaj ten krok:
Kontrolowanie dostępu do danych w aplikacjach SaaS
Microsoft Defender dla Chmury Apps zapewnia dodatkowe możliwości dostępu warunkowego i zarządzania poufnymi plikami w środowiskach platformy Microsoft 365 i innych firm, takich jak Box lub Google Workspace, w tym:
Usuwanie uprawnień w celu rozwiązania nadmiernego poziomu uprawnień i zapobiegania wyciekom danych.
Pliki kwarantowania do przeglądu.
Stosowanie etykiet do poufnych plików.
Wykonaj te kroki:
Napiwek
Zapoznaj się z tematem Integrowanie aplikacji SaaS for Zero Trust z platformą Microsoft 365 , aby dowiedzieć się, jak zastosować zasady zero trustu, aby ułatwić zarządzanie zasobami cyfrowymi aplikacji w chmurze.
Kontrolowanie dostępu do magazynu IaaS/PaaS
Wdróż obowiązkowe zasady kontroli dostępu do zasobów IaaS/PaaS zawierających poufne dane.
Wykonaj ten krok:
IV. Zapobieganie wyciekowi danych
Kontrola dostępu do danych jest niezbędna, ale niewystarczająca kontrola nad przenoszeniem danych oraz zapobieganie nieumyślnym lub nieautoryzowanym wyciekom lub utracie danych. Jest to rola zapobiegania utracie danych i zarządzania ryzykiem poufnym, które opisano w sekcji IV.
Użyj zasad DLP usługi Microsoft Purview, aby identyfikować, sprawdzać i automatycznie chronić poufne dane w następujących obszarach:
Usługi platformy Microsoft 365, takie jak Teams, Exchange, SharePoint i OneDrive
aplikacja pakietu Office licacje, takie jak Word, Excel i PowerPoint
Punkty końcowe systemów Windows 10, Windows 11 i macOS (trzy najnowsze wersje)
lokalne udziały plików i lokalny program SharePoint
aplikacje w chmurze firmy innej niż Microsoft.
Wykonaj te kroki:
Dowiedz się więcej o pulpicie nawigacyjnym alertów ochrony przed utratą danych
Przeglądanie działań dotyczących danych za pomocą Eksploratora działań
V. Zarządzanie ryzykiem niejawnych testerów
Implementacje najmniejszych uprawnień pomagają zminimalizować znane zagrożenia, ale ważne jest również, aby skorelować dodatkowe sygnały behawioralne użytkowników związane z zabezpieczeniami, sprawdzać wzorce dostępu do poufnych danych oraz do szerokiego wykrywania, badania i możliwości wyszukiwania zagrożeń.
Podejmij te kroki:
Dowiedz się więcej o zarządzaniu ryzykiem niejawnych testerów
Badanie działań związanych z zarządzaniem ryzykiem wewnętrznych
VI. Usuwanie niepotrzebnych informacji poufnych
Organizacje mogą zmniejszyć narażenie na dane, zarządzając cyklem życia poufnych danych.
Usuń wszystkie uprawnienia, w których jesteś w stanie, usuwając poufne dane, gdy nie są już cenne lub dopuszczalne dla organizacji.
Wykonaj ten krok:
Zminimalizuj duplikowanie poufnych danych, preferując udostępnianie i używanie w miejscu, a nie transferów danych.
Wykonaj ten krok:
Produkty omówione w tym przewodniku
aplikacje Microsoft Defender dla Chmury
Aby uzyskać więcej informacji lub pomoc dotyczącą implementacji, skontaktuj się z zespołem ds. sukcesu klienta.
Seria przewodników wdrażania zero trust
