Mengamankan data dengan Zero Trust

Latar belakang

Melindungi data adalah salah satu tanggung jawab utama tim keamanan dan kepatuhan. Data harus tetap terlindungi saat tidak aktif, digunakan, dan ketika meninggalkan titik akhir, aplikasi, infrastruktur, dan jaringan yang berada dalam kendali organisasi. Untuk memastikan perlindungan dan bahwa akses data dibatasi untuk pengguna yang berwenang, data harus diinventarisasi, diklasifikasikan, diberi label, dan, jika sesuai, dienkripsi.

Tiga elemen inti dari strategi perlindungan data adalah:

  1. Mengenali data Anda

    Jika Anda tidak tahu data sensitif apa yang Anda miliki di tempat dan di layanan cloud, Anda tidak dapat melindunginya secara memadai. Anda perlu menemukan data di seluruh organisasi Anda dan mengklasifikasikan semua data berdasarkan tingkat sensitivitas.

  2. Lindungi data Anda dan cegah kehilangan data

    Data sensitif perlu dilindungi oleh kebijakan perlindungan data yang memberi label dan mengenkripsi data atau memblokir berbagi berlebihan. Ini memastikan hanya pengguna yang berwenang yang dapat mengakses data, bahkan ketika data bepergian ke luar lingkungan perusahaan Anda.

  3. Memantau dan memulihkan

    Anda harus terus memantau data sensitif untuk mendeteksi pelanggaran kebijakan dan perilaku pengguna yang berisiko. Ini memungkinkan Anda untuk mengambil tindakan yang tepat, seperti mencabut akses, memblokir pengguna, dan menyempurnakan kebijakan perlindungan Anda.

Diagram of monitoring activiting and remediation.

Saat data dan konten sensitif dipahami, diberi label, dan diklasifikasikan, organisasi dapat:

  • Menginformasikan dan memberlakukan keputusan kebijakan untuk memblokir atau menghapus email, lampiran, atau dokumen.

  • Mengenkripsi file dengan label sensitivitas pada titik akhir perangkat.

  • Mengklasifikasikan konten secara otomatis dengan label sensitivitas melalui kebijakan dan pembelajaran mesin.

  • Lacak dan pantau konten sensitif menggunakan kebijakan saat konten berjalan di dalam dan di luar real estat digital Anda.

Tujuan penyebaran Data Zero Trust

Strategi perlindungan informasi perlu mencakup seluruh konten digital organisasi Anda. Sebagai garis besar, Anda perlu menentukan label, menemukan data sensitif, dan memantau penggunaan label dan tindakan di seluruh lingkungan Anda. Penggunaan label sensitivitas dibahas di akhir panduan ini.

Catatan

Sebelum banyak organisasi memulai perjalanan Zero Trust, keamanan data mereka ditandai dengan yang berikut ini:

  • Akses diatur oleh kontrol perimeter, bukan sensitivitas data.

  • Label sensitivitas diterapkan secara manual, dengan klasifikasi data yang tidak konsisten.

Tujuan penyebaran awal untuk perlindungan informasi adalah:

  1. Menentukan taksonomi label organisasi Anda.

  2. Menentukan fitur perlindungan informasi organisasi Anda yang berada dalam cakupan penyebaran.

  3. Memetakan fitur dalam cakupan ke garis waktu proyek Anda.

  4. Meninjau peta jalan produk Microsoft untuk mengetahui fitur yang akan datang yang akan selaras dengan perjalanan perlindungan informasi organisasi Anda.

Aktivitas di atas konsisten untuk semua organisasi yang merencanakan proyek perlindungan informasi, bukan hanya yang berfokus pada penerapan pendekatan Zero Trust untuk mengamankan data. Kami tidak akan membahas lebih lanjut kegiatan ini dalam panduan ini. Untuk mengetahui informasi selengkapnya, lihat:

Saat menerapkan kerangka kerja Zero Trust end-to-end untuk data, kami sarankan Anda fokus terlebih dahulu pada tujuan penyebaran awal ini:

List icon with one checkmark.

Keputusan I.Accessdiatur oleh enkripsi.

II.Data secara otomatis diklasifikasikan dan diberi label.

Setelah ini selesai, fokus pada tujuan penyebaran tambahan ini:

List icon with two checkmarks.

III.Klasifikasi dipertamahkan oleh model pembelajaran mesin pintar.

IV.Keputusan akses diatur oleh mesin kebijakan keamanan cloud.

V.Cegah kebocoran data melalui kebijakan DLP berdasarkan label sensitivitas dan inspeksi konten.

Kemampuan

Table of capabilities.

Panduan penyebaran Data Zero Trust

Panduan ini akan memandu Anda selangkah demi selangkah melalui pendekatan Zero Trust untuk kematangan perlindungan data. Perlu diingat bahwa item-item ini akan sangat bervariasi tergantung pada sensitivitas informasi Anda serta ukuran dan kompleksitas organisasi Anda.




Checklist icon with one checkmark.

Tujuan penyebaran awal

i. Keputusan akses diatur oleh enkripsi

Lindungi data Anda yang paling sensitif dengan enkripsi untuk membatasi akses ke konten tempat label sensitivitas diterapkan.

Saat dokumen atau email dienkripsi, akses ke konten dibatasi sehingga:

  • Dienkripsi baik saat istirahat maupun saat transit.

  • Tetap dienkripsi di mana pun ia berada (di dalam atau di luar organisasi Anda), bahkan jika file diganti namanya.

  • Hanya dapat didekripsi oleh pengguna yang diotorisasi oleh pengaturan enkripsi label.

Lakukan langkah ini:

II. Data secara otomatis diklasifikasikan dan diberi label

Untuk menghindari masalah dengan data yang tidak diberi label secara manual, atau label yang diterapkan secara tidak akurat, otomatiskan klasifikasi data.

Memberi label konten secara otomatis di aplikasi Microsoft 365 untuk perusahaan atau klien Pelabelan Terpadu

Pilihan klien strategis untuk Windows memanfaatkan fitur perlindungan informasi bawaan di Microsoft Office. Jika ini tidak memungkinkan, solusi alternatif adalah menggunakan klien pelabelan terpadu Perlindungan Informasi Azure.

Ikuti langkah-langkah berikut:

  1. Pelajari cara mengonfigurasi pelabelan otomatis untuk aplikasi Office.

  2. Terapkan label sensitivitas ke konten secara otomatis.

Mengklasifikasikan, memberi label, dan melindungi konten penting bisnis secara otomatis dengan data sensitif lokal

Anda bisa menggunakan pemindai Perlindungan Informasi Azure (AIP) untuk mengklasifikasikan dan melindungi file secara otomatis untuk server file SharePoint 2013 ke atas dan lokal.

Lakukan langkah ini:




Checklist icon with two checkmarks.

Tujuan penyebaran tambahan

III. Klasifikasi dipertamahkan oleh model pembelajaran mesin pintar

Perusahaan memiliki sejumlah besar data yang dapat menantang untuk memberi label dan mengklasifikasikan secara memadai. Setelah Anda menyelesaikan dua langkah pertama, langkah selanjutnya adalah menggunakan pembelajaran mesin untuk klasifikasi yang lebih cerdas.

Microsoft 365 menyediakan tiga cara untuk mengklasifikasikan konten, termasuk pencocokan polaotomatis dan manual.

Pengklasifikasi yang dapat dilatih (pratinjau) adalah metode ketiga yang cocok untuk konten yang tidak mudah diidentifikasi dengan metode pencocokan pola manual atau otomatis. Pengklasifikasi mempelajari cara mengidentifikasi jenis konten dengan melihat ratusan contoh konten yang Anda minati untuk diklasifikasikan. Anda mulai dengan memberinya contoh yang pasti dalam kategori. Setelah memprosesnya, Anda mengujinya dengan memberinya campuran contoh yang cocok dan tidak cocok. Pengklasifikasi kemudian membuat prediksi apakah ada item tertentu yang termasuk dalam kategori yang Anda bangun. Anda kemudian mengonfirmasi hasilnya, memilah positif, negatif, positif palsu, dan negatif palsu untuk membantu meningkatkan akurasi prediksinya. Saat Anda menerbitkan pengklasifikasi terlatih, pengklasifikasi tersebut mengurutkan item di lokasi seperti SharePoint Online, Exchange, dan OneDrive, dan mengklasifikasikan konten.

Ikuti langkah-langkah berikut:

  1. Pelajari di mana Anda dapat menggunakan pengklasifikasi yang dapat dilatih.

  2. Membuat pengklasifikasi yang dapat dilatih (pratinjau).

IV. Keputusan akses diatur oleh mesin kebijakan keamanan cloud

Untuk data yang disimpan di Exchange, SharePoint, dan OneDrive, klasifikasi otomatis dengan label sensitivitas dapat disebarkan melalui kebijakan ke lokasi yang ditargetkan. Aplikasi Pertahanan Microsoft untuk Cloud menyediakan kemampuan tambahan untuk mengelola file sensitif, termasuk:

  • Penghapusan kolaborator untuk mencegah hak istimewa dan kebocoran data yang berlebihan.

  • Menempatkan file ke karantina untuk tinjauan tambahan.

  • Membuat kebijakan yang secara proaktif menerapkan label ke file sensitif atau dalam skenario pengguna berisiko tertentu.

Ikuti langkah-langkah berikut:

  1. Konfigurasikan kebijakan pelabelan otomatis untuk SharePoint, OneDrive, dan Exchange.

  2. Integrasikan Aplikasi Pertahanan Microsoft untuk Cloud dan Perlindungan Informasi Microsoft dan gunakan untuk juga melindungi data di lingkungan pihak ketiga seperti Box atau G-Suite.

V. Mencegah kebocoran data melalui kebijakan DLP berdasarkan label sensitivitas dan inspeksi konten

Untuk mematuhi standar bisnis dan peraturan industri, organisasi harus melindungi informasi sensitif dan mencegah pengungkapannya yang tidak disengaja. Informasi sensitif dapat mencakup data keuangan atau informasi identitas pribadi (PII) seperti nomor kartu kredit, nomor jaminan sosial, atau catatan kesehatan. Dengan kebijakan pencegahan kehilangan data (DLP) di Pusat Kepatuhan Keamanan & Office 365, Anda dapat mengidentifikasi, memantau, dan melindungi informasi sensitif secara otomatis di seluruh Office 365.

Ikuti langkah-langkah berikut:

  1. Pelajari cara melindungi data dengan kebijakan DLP.

  2. Membuat, menguji, dan menyempurnakan kebijakan DLP.

  3. Gunakan DLP untuk menerapkan tindakan (misalnya, melindungi konten, membatasi akses, atau, dalam kasus email, memblokir agar tidak dikirimkan) saat konten cocok dengan serangkaian kondisi.

Tujuan keamanan data tradisional

Label sensitivitas adalah fondasi model Zero Trust untuk data. Menentukan tingkat sensitivitas adalah proses mengidentifikasi pemangku kepentingan untuk mendiskusikan dan menentukan jenis data yang penting bagi bisnis perusahaan dan yang tunduk pada peraturan pemerintah. Kemudian taksonomi dapat dibuat sehingga jenis data ini dapat diklasifikasikan sebagai Sangat Rahasia atau Rahasia, dan dokumen yang berisi data ini diberi label yang sesuai. Demikian pula, keputusan kebijakan keamanan harus dibuat tentang tingkat sensitivitas jenis data dan label dokumen lainnya, seperti Umum Publik atau Non-Bisnis. Dengan penentuan kebijakan selesai, temukan file di semua lokasi, validasi konten dalam file, bandingkan dengan keputusan kebijakan, dan beri label dokumen dengan tepat.

Aktivitas ini membantu mengatasi risiko dengan mengidentifikasi dan menandai informasi sensitif untuk mencegah berbagi informasi yang tidak disengaja dengan entitas yang tidak sah. Mereka juga menyebabkan dampak minimal terhadap produktivitas karena berbagi data terus tidak terganggu.

Panduan berikut akan membantu Anda memulai dengan label sensitivitas.

Diagram of the steps within phase 5 of the additional deployment objectives.

Label sensitivitas diterapkan secara manual

Menentukan kebijakan taksonomi dan perlindungan label yang tepat adalah langkah paling penting dalam penyebaran Perlindungan Informasi, jadi mulailah dengan membuat strategi pelabelan yang mencerminkan persyaratan sensitivitas organisasi Anda untuk informasi.

Label menunjukkan sensitivitas konten dan kebijakan perusahaan apa yang berlaku. Label juga merupakan cara utama bagi pengguna untuk menandai konten yang perlu dilindungi.

Taksonomi label yang baik bersifat intuitif, mudah digunakan, dan selaras dengan kebutuhan bisnis. Ini membantu mencegah kebocoran data dan penyalahgunaan dan mengatasi persyaratan kepatuhan tetapi tidak mencegah pengguna melakukan pekerjaan mereka.

Ikuti langkah-langkah berikut:

Menemukan konten penting bisnis secara otomatis dengan data sensitif lokal

Pemindai Perlindungan Informasi Azure (AIP) membantu menemukan, mengklasifikasikan, memberi label, dan melindungi informasi sensitif di repositori file lokal dan situs SharePoint 2013+ lokal Anda. Pemindai AIP memberikan wawasan langsung tentang jenis risiko data sebelum pindah ke cloud.

Ikuti langkah-langkah berikut:

  1. Tinjau prasyarat untuk menginstal pemindai AIP.

  2. Konfigurasikan pemindai di portal Microsoft Azure.

  3. Pasang pemindai.

  4. Dapatkan token Azure Active Directory untuk pemindai.

  5. Jalankan siklus penemuan dan lihat laporan untuk pemindai.

Label dan klasifikasi tersedia untuk pengguna Office di perangkat apa pun dan diterapkan secara manual ke konten

Setelah label sensitivitas diterbitkan dari Pusat Kepatuhan Microsoft 365 atau pusat pelabelan yang setara, ada aplikasi klien yang dapat dimanfaatkan pengguna untuk mengklasifikasikan dan melindungi data saat dibuat atau diedit, seperti klien pelabelan bawaan Microsoft Office asli atau klien Pelabelan Terpadu Perlindungan Informasi Azure .

Ikuti langkah-langkah berikut:

  1. Bandingkan fitur klien pelabelan untuk komputer Windows dan tinjau dukungan untuk kemampuan label sensitivitas di aplikasi Office untuk menentukan fitur sensitivitas dan persyaratan platform apa yang penting untuk skenario Anda.

  2. Mulai gunakan label sensitivitas di aplikasi Office, termasuk situs Microsoft Team, grup Microsoft 365 (sebelumnya grup Office 365), dan situs SharePoint. Label sensitivitas juga dapat digunakan untuk mengklasifikasikan dan memberi label data sensitif dalam layanan Power BI dan dapat diterapkan ke himpunan data, laporan, dasbor, dan aliran data.

Label default diterapkan ke konten baru yang dibuat oleh pengguna

Saat menerbitkan kebijakan label, Anda dapat mengidentifikasi label tertentu yang akan diterapkan secara default ke semua konten yang dibuat oleh pengguna dan grup yang disertakan dalam kebijakan. Label ini dapat mengatur lantai perlindungan, meskipun tidak ada tindakan lain yang diambil oleh pengguna atau pengaturan sistem.

Lakukan langkah ini:

Penandaan visual untuk menunjukkan dokumen sensitif di seluruh aplikasi dan layanan

Setelah label sensitivitas dibuat dan diterapkan ke email atau dokumen, pengaturan perlindungan apa pun yang dikonfigurasi untuk label tersebut diberlakukan pada konten. Saat Anda menggunakan aplikasi Office, marka air dapat diterapkan ke header atau footer email atau dokumen yang memiliki label yang diterapkan.

Screenshot of an Office document with a watermark and header about confidentiality.

Lakukan langkah ini:

Mengaudit data untuk memahami perilaku pelabelan, klasifikasi, dan perlindungan pengguna

Setelah label sensitivitas diterbitkan ke organisasi, Anda dapat menggunakan klasifikasi data untuk mengidentifikasi konten sensitif, tempat label berada, dan paparan dari aktivitas pengguna.

Tab penjelajah konten di Pusat Kepatuhan Microsoft 365 menyediakan tampilan data yang berisiko dengan menampilkan jumlah dan jenis data sensitif dalam dokumen tertentu yang dapat difilter menurut label atau jenis sensitivitas untuk mendapatkan tampilan terperinci lokasi tempat data sensitif disimpan. Tab Penjelajah aktivitas menyediakan tampilan aktivitas yang terkait dengan data sensitif, sensitivitas, dan label retensi (seperti penurunan perlindungan karena penurunan label atau perubahan). Penjelajah aktivitas juga membantu menyelidiki peristiwa yang dapat mengarah ke skenario kebocoran data (misalnya, penghapusan label). Memahami aktivitas ini memberikan kemampuan untuk mengidentifikasi kebijakan yang tepat untuk perlindungan atau pencegahan kehilangan data untuk memastikan data Anda yang paling sensitif aman.

Ikuti langkah-langkah berikut:

  1. Mulai menggunakan penjelajah konten untuk melihat item yang dirangkum secara asli di halaman gambaran umum klasifikasi data.

  2. Mulai menggunakan penjelajah aktivitas untuk memantau riwayat aktivitas yang terkait dengan konten berlabel.

Produk yang tercakup dalam panduan ini

Microsoft Azure

Perlindungan Informasi Azure dengan Klien dan Pemindai Pelabelan Terpadu

Microsoft 365

Microsoft Defender for Cloud Apps

Kesimpulan

Microsoft Information Protection (MIP) adalah pendekatan yang komprehensif, fleksibel, terintegrasi, dan dapat diperluas untuk melindungi data sensitif.

Diagram of Microsoft Information Protection for data with Corporate Egress highlighted.

Untuk informasi lebih lanjut atau bantuan terkait implementasi, silakan hubungi tim Customer Success Anda.



Seri panduan penyebaran Zero Trust

Icon for the introduction

Icon for identity

Icon for endpoints

Icon for applications

Icon for data

Icon for infrastructure

Icon for networks

Icon for visibility, automation, orchestration