Zabezpečení dat s nulovým vztahem důvěryhodnosti

Pozadí

Ochrana dat je jednou z hlavních povinností týmů zabezpečení a dodržování předpisů. Data by měla zůstat chráněná, zatímco neaktivní uložená, používána a když opustí koncové body, aplikace, infrastrukturu a sítě , které jsou pod kontrolou organizace. Aby byla zajištěna ochrana a přístup k datům je omezený na autorizované uživatele, měla by být data inventarizována, klasifikovaná, označená a případně zašifrovaná.

Mezi tři základní prvky strategie ochrany dat patří:

  1. Znalost dat

    Pokud nevíte, jaká citlivá data máte místně a v cloudových službách, nemůžete je odpovídajícím způsobem chránit. Potřebujete zjišťovat data v celé organizaci a klasifikovat všechna data podle úrovně citlivosti.

  2. Ochrana dat a zabránění ztrátě dat

    Citlivá data musí být chráněná zásadami ochrany dat, které označují a šifrují data nebo blokují nadměrné sdílení. Tím zajistíte, že k datům budou mít přístup jenom autorizovaní uživatelé, a to i v případě, že data pocházejí mimo vaše firemní prostředí.

  3. Monitorování a náprava

    Měli byste průběžně monitorovat citlivá data, abyste zjistili porušení zásad a rizikové chování uživatelů. To vám umožní provést odpovídající akce, jako je odvolání přístupu, blokování uživatelů a upřesnění zásad ochrany.

Diagram of monitoring activiting and remediation.

Když jsou data a citlivý obsah srozumitelný, označený a klasifikovaný, můžou organizace:

  • Informujte a vynucujte rozhodnutí o zásadách blokování nebo odebírání e-mailů, příloh nebo dokumentů.

  • Zašifrujte soubory pomocí popisků citlivosti na koncových bodech zařízení.

  • Automatická klasifikace obsahu pomocí popisků citlivosti prostřednictvím zásad a strojového učení

  • Sledujte a monitorujte citlivý obsah pomocí zásad při cestování mezi obsahem a mimo vaše digitální aktiva.

Cíle nasazení nulové důvěryhodnosti dat

Strategie ochrany informací musí zahrnovat celý digitální obsah vaší organizace. Jako směrný plán je potřeba definovat popisky, zjišťovat citlivá data a monitorovat použití popisků a akcí ve vašem prostředí. Použití popisků citlivosti je popsáno na konci této příručky.

Poznámka

Než mnoho organizací zahájí cestu nulové důvěryhodnosti, jejich zabezpečení dat je charakterizováno následujícími:

  • Přístup se řídí hraniční kontrolou, nikoli citlivostí dat.

  • Popisky citlivosti se použijí ručně s nekonzistentní klasifikací dat.

Počáteční cíle nasazení pro ochranu informací jsou:

  1. Definování taxonomie popisků vaší organizace

  2. Definování funkcí ochrany informací vaší organizace, které jsou v rozsahu nasazení.

  3. Mapování funkcí v rozsahu na časovou osu projektu

  4. Projděte si plán produktů Microsoftu a seznamte se s funkcemi, které budou odpovídat cestě ochrany informací vaší organizace.

Výše uvedené aktivity jsou konzistentní pro všechny organizace, které plánují projekt ochrany informací, nejen ty, které se zaměřují na implementaci přístupu nulové důvěryhodnosti k zabezpečení dat. Tyto aktivity v této příručce nebudeme dále probírat. Další informace naleznete v tématu:

Při implementaci komplexní architektury nulové důvěryhodnosti pro data doporučujeme nejprve zaměřit se na tyto počáteční cíle nasazení:

List icon with one checkmark.

Rozhodnutío přístupu se řídí šifrováním.

II.Data jsou automaticky klasifikovaná a označená.

Po dokončení se zaměřte na tyto další cíle nasazení:

List icon with two checkmarks.

III.Klasifikace se rozšiřuje o modely inteligentního strojového učení.

IV.Rozhodnutí o přístupu se řídí modulem zásad zabezpečení cloudu.

Ochranapřed únikem dat prostřednictvím zásad ochrany před únikem informací na základě popisku citlivosti a kontroly obsahu

Možnosti

Table of capabilities.

Průvodce nasazením nulové důvěryhodnosti dat

Tento průvodce vás provede podrobným přístupem nulové důvěryhodnosti k vyspělosti ochrany dat. Mějte na paměti, že se tyto položky budou výrazně lišit v závislosti na citlivosti vašich informací a velikosti a složitosti vaší organizace.




Checklist icon with one checkmark.

Počáteční cíle nasazení

I. Rozhodnutí o přístupu se řídí šifrováním.

Chraňte nejcitlivější data pomocí šifrování, abyste omezili přístup k obsahu, na který se použijí popisky citlivosti.

Když je dokument nebo e-mail šifrovaný, přístup k obsahu je omezený tak, aby:

  • Je šifrovaný v klidovém stavu i při přenosu.

  • Zůstane zašifrovaný bez ohledu na to, kde se nachází (uvnitř nebo mimo vaši organizaci), i když se soubor přejmenuje.

  • Dešifrovat můžou jenom uživatelé autorizovaní nastavením šifrování popisku.

Proveďte tento krok:

II. Data se automaticky klasifikují a označí

Abyste se vyhnuli problémům s tím, že data nejsou označená ručně nebo popisky, které se používají nepřesně, automatizujte klasifikaci dat.

Automaticky popisovat obsah v klientovi Microsoft 365 Apps for Enterprise nebo Unified Labeling

Strategický výběr klienta pro Windows využívá integrované funkce ochrany informací v Microsoft Office. Pokud to není možné, alternativním řešením by bylo použít klienta sjednoceného popisování služby Azure Information Protection.

Postupujte takto:

  1. Zjistěte, jak nakonfigurovat automatické popisování pro aplikace Office.

  2. Automaticky použijte popisky citlivosti na obsah.

Automatická klasifikace, označování a ochrana důležitého obchodního obsahu s využitím citlivých dat v místním prostředí

Pomocí skeneru Azure Information Protection (AIP) můžete automaticky klasifikovat a chránit soubory pro SharePoint 2013 a vyšší a místní souborové servery.

Proveďte tento krok:




Checklist icon with two checkmarks.

Další cíle nasazení

III. Klasifikace se rozšiřuje o modely inteligentního strojového učení.

Podniky mají obrovské množství dat, která můžou být náročná na odpovídající označení a klasifikaci. Jakmile dokončíte první dva kroky, dalším krokem je použití strojového učení pro inteligentnější klasifikaci.

Microsoft 365 nabízí tři způsoby klasifikace obsahu, včetně ručního a automatického porovnávání vzorů.

Trénovatelné klasifikátory (Preview) jsou třetí metodou, která je vhodná pro obsah, který není snadno identifikován ručními nebo automatizovanými metodami porovnávání vzorů. Klasifikátor zjistí, jak identifikovat typ obsahu, a to tak, že se podíváte na stovky příkladů obsahu, který vás zajímá o klasifikaci. Začnete tím, že dodáte příklady, které jsou rozhodně v kategorii. Jakmile je zpracuje, otestujete ho tak, že ho dáte kombinaci shodných i nekohodovaných příkladů. Klasifikátor pak předpovídá, jestli daná položka spadá do kategorie, kterou vytváříte. Pak potvrdíte jeho výsledky, vyřazujete pozitivní výsledky, negativní výsledky, falešně pozitivní výsledky a falešně negativní výsledky, které vám pomůžou zvýšit přesnost předpovědí. Při publikování trénovaného klasifikátoru seřadí položky v umístěních, jako je SharePoint Online, Exchange a OneDrive, a klasifikuje obsah.

Postupujte takto:

  1. Zjistěte , kde můžete používat trénovatelné klasifikátory.

  2. Vytvoření trénovatelného klasifikátoru (Preview)

IV. Rozhodnutí o přístupu se řídí modulem zásad zabezpečení cloudu.

U dat uložených v Exchangi, SharePointu a OneDrivu je možné automatickou klasifikaci popisků citlivosti nasadit prostřednictvím zásad do cílových umístění. Microsoft Defender for Cloud Apps poskytuje další možnosti pro správu citlivých souborů, včetně následujících:

  • Odebrání spolupracovníků, aby se zabránilo nadměrnému oprávnění a úniku dat.

  • Umístění souborů do karantény pro další kontrolu

  • Vytváření zásad, které proaktivně aplikují popisky na citlivé soubory nebo v konkrétních rizikových scénářích uživatelů

Postupujte takto:

  1. Nakonfigurujte zásady automatického označování pro SharePoint, OneDrive a Exchange.

  2. Integrujte Microsoft Defender for Cloud Apps a Microsoft Information Protection a použijte ho k ochraně dat také v prostředích třetích stran, jako je Box nebo G-Suite.

V. Prevence úniku dat prostřednictvím zásad ochrany před únikem informací na základě popisku citlivosti a kontroly obsahu

Aby organizace vyhověly obchodním standardům a oborovým předpisům, musí chránit citlivé informace a zabránit jejich neúmyslným zveřejněním. Citlivé informace můžou zahrnovat finanční údaje nebo identifikovatelné osobní údaje (PII), jako jsou čísla platebních karet, čísla sociálního pojištění nebo zdravotní záznamy. Pomocí zásad ochrany před únikem informací v Centru dodržování předpisů zabezpečení & Office 365 můžete identifikovat, monitorovat a automaticky chránit citlivé informace v Office 365.

Postupujte takto:

  1. Zjistěte, jak chránit data pomocí zásad ochrany před únikem informací.

  2. Vytvoření, testování a ladění zásad ochrany před únikem informací

  3. Pomocí ochrany před únikem informací můžete vynutit akce (např. chránit obsah, omezit přístup nebo v případě e-mailu, blokovat přenos), pokud obsah odpovídá sadě podmínek.

Tradiční cíle zabezpečení dat

Popisky citlivosti jsou základem modelu nulové důvěryhodnosti pro data. Definování úrovní citlivosti je proces identifikace zúčastněných stran, které prodiskutují a určují datové typy, které jsou pro podnikové firmy kritické a které podléhají vládnímu nařízení. Pak lze vytvořit taxonomii, aby tento typ dat mohl být klasifikován jako vysoce důvěrný nebo důvěrný a dokumenty, které obsahují tato data, jsou označeny odpovídajícím způsobem. Podobně by mělo být provedeno rozhodnutí o zásadách zabezpečení o dalších úrovních citlivosti datových typů a popiscích dokumentů, jako jsou obecné veřejné nebo ne-obchodní. Po dokončení určování zásad vyhledejte soubory ve všech umístěních, ověřte obsah v souborech, porovnejte je s rozhodnutím o zásadách a odpovídajícím způsobem označte dokumenty.

Tyto aktivity pomáhají řešit rizika tím, že identifikují a označí citlivé informace, aby se zabránilo náhodnému sdílení informací s neoprávněnými entitami. Způsobují také minimální dopad na produktivitu, protože sdílení dat pokračuje bez přerušení.

Následující doprovodné materiály vám pomůžou začít s popisky citlivosti.

Diagram of the steps within phase 5 of the additional deployment objectives.

Popisky citlivosti se použijí ručně.

Definování správné taxonomie popisků azásadchm zásadám ochrany je nejdůležitějším krokem při nasazení služby Information Protection. Začněte vytvořením strategie popisování , která odpovídá požadavkům vaší organizace na

Popisky označují citlivost obsahu a to, jaké zásady společnosti platí. Popisky jsou také primárním způsobem, jak uživatelé označit obsah, který je potřeba chránit.

Dobrá taxonomie popisků je intuitivní, snadno použitelná a sladěná s obchodními potřebami. Pomáhá zabránit úniku dat a zneužití a řeší požadavky na dodržování předpisů, ale nebrání uživatelům ve své práci.

Postupujte takto:

Automatické zjišťování důležitého obchodního obsahu s místními citlivými daty

Skener AIP (Azure Information Protection) pomáhá zjišťovat, klasifikovat, označit a chránit citlivé informace v místních úložištích souborů a na místních webech SharePointu 2013 a novějších. Skener AIP poskytuje okamžitý přehled o typech rizik dat před přechodem do cloudu.

Postupujte takto:

  1. Zkontrolujte požadavky pro instalaci skeneru AIP.

  2. Nakonfigurujte skener na webu Azure Portal.

  3. Nainstalujte skener.

  4. Získejte token Azure AD pro skener.

  5. Spusťte cyklus zjišťování a zobrazte sestavy skeneru.

Popisky a klasifikace dostupné uživatelům Office na jakémkoli zařízení a ručně použité na obsah

Po publikování popisků citlivosti z Centra dodržování předpisů Microsoftu 365 nebo ekvivalentního centra popisků mohou uživatelé využít ke klasifikaci a ochraně dat při jejich vytváření nebo úpravách, jako je nativní klient microsoft Office integrovaný popisování nebo klient sjednoceného popisování služby Azure Information Protection .

Postupujte takto:

  1. Porovnejte funkce klienta popisků pro počítače s Windows a zkontrolujte podporu funkcí popisků citlivosti v aplikacích Office a zjistěte, jaké funkce citlivosti a požadavky na platformu jsou pro vaše scénáře důležité.

  2. Začněte používat popisky citlivosti v aplikacích Office, včetně týmových webů Microsoftu, skupin Microsoftu 365 (dříve skupin Office 365) a sharepointových webů. Popisky citlivosti se dají použít také ke klasifikaci a označování citlivých dat ve službě Power BI a dají se použít u datových sad, sestav, řídicích panelů a toků dat.

Výchozí popisek použitý u nového obsahu vytvořeného uživateli

Při publikování zásad štítků můžete identifikovat konkrétní popisek, který se má použít ve výchozím nastavení pro veškerý obsah vytvořený uživateli a skupinami zahrnutými v zásadách. Tento popisek může nastavit podlahu ochrany, i když uživatelé nebo nastavení systému neprovedou žádnou jinou akci.

Proveďte tento krok:

Vizuální označení označující citlivé dokumenty napříč aplikacemi a službami

Po vytvoření a použití popisku citlivosti u e-mailu nebo dokumentu se u obsahu vynucují všechna nakonfigurovaná nastavení ochrany pro tento popisek. Když používáte aplikace Office, můžete vodoznaky použít u záhlaví nebo zápatí e-mailů nebo dokumentů s použitým popiskem.

Screenshot of an Office document with a watermark and header about confidentiality.

Proveďte tento krok:

Auditování dat pro pochopení chování popisků, klasifikace a ochrany uživatelů

Jakmile budou popisky citlivosti publikovány ve vaší organizaci, můžete pomocí klasifikace dat identifikovat citlivý obsah, kde se nachází, a vystavení z aktivit uživatelů.

Karta Průzkumníka obsahu v Centru dodržování předpisů Microsoftu 365 poskytuje zobrazení dat v riziku zobrazením množství a typů citlivých dat v konkrétním dokumentu, který je možné filtrovat podle popisku nebo typu citlivosti, abyste získali podrobné zobrazení umístění, kde jsou uložena citlivá data. Karta Průzkumníka aktivit poskytuje zobrazení aktivit souvisejících s citlivými daty, citlivostí a popisky uchovávání informací (například zmenšenou ochranu kvůli downgradu popisků nebo změnám). Průzkumník aktivit také pomáhá prozkoumat události, které by mohly vést ke scénáři úniku dat (např. odebrání popisků). Porozumění těmto aktivitám poskytuje možnost identifikovat správné zásady ochrany nebo ochrany před únikem informací, aby se zajistila zabezpečení vašich nejcitlivějších dat.

Postupujte takto:

  1. Začněte s Průzkumníkem obsahu a nativně zobrazte položky shrnuté na stránce přehledu klasifikace dat.

  2. Začněte s Průzkumníkem aktivit a sledujte historii aktivit souvisejících s označeným obsahem.

Produkty popsané v této příručce

Microsoft Azure

Azure Information Protection s klientem a skenerem sjednoceného popisování

Microsoft 365

Microsoft Defender for Cloud Apps

Závěr

Microsoft Information Protection (MIP) je komplexní, flexibilní, integrovaný a rozšiřitelný přístup k ochraně citlivých dat.

Diagram of Microsoft Information Protection for data with Corporate Egress highlighted.

Pokud potřebujete další informace nebo pomoc s implementací, obraťte se na tým úspěchu zákazníka.



Série průvodců nasazením nulové důvěryhodnosti

Icon for the introduction

Icon for identity

Icon for endpoints

Icon for applications

Icon for data

Icon for infrastructure

Icon for networks

Icon for visibility, automation, orchestration