Gegevens beveiligen met Zero Trust

  • Artikel
  • 11 minuten om te lezen

Achtergrond

Het beveiligen van gegevens is een van de primaire verantwoordelijkheden van beveiligings- en complianceteams. Gegevens moeten in rust, in gebruik en wanneer ze de eindpunten, apps,infrastructuur en netwerken die binnen het beheer van de organisatie staan, blijven beschermen. Om ervoor te zorgen dat gegevenstoegang wordt beperkt tot geautoriseerde gebruikers, moeten gegevens worden geïnventariseerd, geclassificeerd, gelabeld en, indien van toepassing, versleuteld.

De drie kernelementen van een gegevensbeschermingsstrategie zijn:

  1. Uw gegevens kennen

    Als u niet weet welke gevoelige gegevens u on-premises en in cloudservices hebt, kunt u deze niet voldoende beveiligen. U moet gegevens in uw hele organisatie ontdekken en alle gegevens classificeren op gevoeligheidsniveau.

  2. Uw gegevens beveiligen en gegevensverlies voorkomen

    Gevoelige gegevens moeten worden beschermd door beleid voor gegevensbescherming dat gegevens labelt en versleutelt of over delen blokkeert. Dit zorgt ervoor dat alleen geautoriseerde gebruikers toegang hebben tot de gegevens, zelfs wanneer gegevens buiten uw bedrijfsomgeving worden verplaatst.

  3. Controleren en herstellen

    U moet voortdurend gevoelige gegevens controleren om beleidsovertredingen en riskant gebruikersgedrag te detecteren. Op deze manier kunt u de juiste actie ondernemen, zoals het inroepen van toegang, het blokkeren van gebruikers en het verfijnen van uw beveiligingsbeleid.

Diagram van monitoringactivering en herstel.

Wanneer gegevens en gevoelige inhoud worden begrepen, gelabeld en geclassificeerd, kunnen organisaties:

  • Informeer en dwing beleidsbeslissingen af om e-mailberichten, bijlagen of documenten te blokkeren of te verwijderen.

  • Bestanden versleutelen met gevoeligheidslabels op apparaat-eindpunten.

  • Automatisch inhoud met gevoeligheidslabels classificeren via beleid en machine learning.

  • Houd gevoelige inhoud bij met behulp van beleidsregels terwijl de inhoud binnen en buiten uw digitale domein wordt verplaatst.

Data Zero Trust-implementatiedoelstellingen

Een informatiebeveiligingsstrategie moet de volledige digitale inhoud van uw organisatie omvatten. Als basislijn moet u labels definiëren, gevoelige gegevens ontdekken en het gebruik van labels en acties in uw omgeving controleren. Het gebruik van gevoeligheidslabels wordt besproken aan het einde van deze handleiding.

Opmerking

Voordat veel organisaties het Zero Trust-reisstarten, wordt de gegevensbeveiliging gekenmerkt door het volgende:

  • Access wordt bepaald door perimeterbesturingselementen, niet door gegevensgevoeligheid.

  • Gevoeligheidslabels worden handmatig toegepast, met inconsistente gegevensclassificatie.

De eerste implementatiedoelstellingen voor informatiebeveiliging zijn:

  1. De label taxonomie van uw organisatie definiëren.

  2. De informatiebeveiligingsfuncties van uw organisatie definiëren die binnen het implementatiebereik vallen.

  3. De functies in het bereik toewijzen aan uw projecttijdlijn.

  4. Bekijk de routekaart voor Microsoft-producten om op de hoogte te zijn van de functies die binnenkort beschikbaar komen en die aansluiten bij de informatiebeveiligingsreis van uw organisatie.

De bovenstaande activiteiten zijn consistent voor alle organisaties die een informatiebeveiligingsproject plannen, niet alleen voor organisaties die zich richten op het implementeren van een Zero Trust-benadering voor het beveiligen van gegevens. We zullen deze activiteiten niet verder bespreken in deze handleiding. Zie voor meer informatie:

Wanneer u een end-to-end Zero Trust-framework voor gegevens implementeert,raden we u aan eerst de focus te leggen op deze eerste implementatiedoelstellingen:

Lijstpictogram met één vinkje.

I.Toegangsbeslissingen worden beheerst door versleuteling.

II.Gegevens worden automatisch geclassificeerd en gelabeld.

Nadat deze zijn voltooid, richt u zich op deze extra implementatiedoelstellingen:

Lijstpictogram met twee vinkjes.

III.Classificatie wordt vergroot door slimme machine learning-modellen.

IV.Toegangsbeslissingen worden beheerst door een cloudbeveiligingsbeleids engine.

V.Voorkom gegevenslekken via DLP-beleid op basis van een gevoeligheidslabel en inhoudscontrole.

Mogelijkheden

Tabel met mogelijkheden.

Implementatiehandleiding voor Data Zero Trust

Deze handleiding begeleidt u stapsgewijs door een Zero Trust-benadering van de vervaldatum van gegevensbescherming. Houd er rekening mee dat deze items sterk variëren, afhankelijk van de gevoeligheid van uw gegevens en de grootte en complexiteit van uw organisatie.




Controlelijstpictogram met één vinkje.

Eerste implementatiedoelstellingen

I. Toegangsbeslissingen worden beheerst door versleuteling

Bescherm uw meest gevoelige gegevens met versleuteling om de toegang tot inhoud te beperken waar gevoeligheidslabels op worden toegepast.

Wanneer een document of e-mail is versleuteld, is de toegang tot de inhoud beperkt, zodat het:

  • Is zowel in rust als onderweg versleuteld.

  • Blijft versleuteld, ongeacht waar het zich bevindt (binnen of buiten uw organisatie), zelfs als de naam van het bestand wordt gewijzigd.

  • Kan alleen worden ontsleuteld door gebruikers die zijn geautoriseerd door de versleutelingsinstellingen van het label.

Ga als volgende stap te werk:

II. Gegevens worden automatisch geclassificeerd en gelabeld

Als u wilt voorkomen dat gegevens niet handmatig worden gelabeld of etiketten onjuist worden toegepast, moet u de gegevensclassificatie automatiseren.

Inhoud automatisch labelen in Microsoft 365-apps Enterprise- of Unified Labeling-client

Een strategische clientselectie voor Windows maakt gebruik van ingebouwde functies voor informatiebeveiliging in Microsoft Office. Als dit niet mogelijk is, is een alternatieve oplossing het gebruik van de geïntegreerde labelingclient van Azure Information Protection.

Volg deze stappen:

  1. Meer informatie over het configureren van automatische labeling voor Office apps.

  2. Gevoeligheidslabels automatisch toepassen op inhoud.

Bedrijfskritische inhoud automatisch classificeren, labelen en beveiligen met gevoelige gegevens on-premises

U kunt de AIP-scanner (Azure Information Protection) gebruiken om bestanden automatisch te classificeren en te beveiligen voor SharePoint 2013 en hoger en on-premises bestandsservers.

Ga als volgende stap te werk:




Controlelijstpictogram met twee vinkjes.

Aanvullende implementatiedoelstellingen

III. Classificatie wordt vergroot door slimme machine learning-modellen

Ondernemingen hebben grote hoeveelheden gegevens die lastig te labelen en te classificeren zijn. Nadat u de eerste twee stappen hebt voltooid, is de volgende stap het gebruik van machine learning voor een slimmere classificatie.

Microsoft 365 biedt drie manieren om inhoud te classificeren, waaronder handmatig en met automatische patroonafbakening.

Trainable classifiers (preview) zijn een derde methode die zeer geschikt is voor inhoud die niet gemakkelijk kan worden geïdentificeerd met handmatige of geautomatiseerde methoden voor het koppelen van patronen. Een classificatie leert hoe u een type inhoud kunt identificeren door honderden voorbeelden te bekijken van de inhoud die u wilt classificeren. U begint met het geven van voorbeelden die zeker in de categorie staan. Wanneer deze zijn verwerkt, test u deze door een combinatie te maken van zowel overeenkomende als niet-overeenkomende voorbeelden. In de classificatie wordt vervolgens voorspeld of een bepaald item valt in de categorie die u maakt. Vervolgens bevestigt u de resultaten en sorteert u de positieven, negatieven, onwaar-positieven en onwaar negatieven om de nauwkeurigheid van de voorspellingen te vergroten. Wanneer u de getrainde classificatie publiceert, worden items gesorteerd op locaties zoals SharePoint Online, Exchange en OneDrive en classificeert u de inhoud.

Volg deze stappen:

  1. Leer waar u trainbare classificaties kunt gebruiken.

  2. Een trainable classifier maken (voorbeeld).

IV. Access-beslissingen worden beheerst door een cloudbeveiligingsbeleids engine

Voor gegevens die zijn opgeslagen in Exchange, SharePoint en OneDrive, kunnen automatische classificatie met gevoeligheidslabels worden geïmplementeerd via beleidsregels voor gerichte locaties. Microsoft Defender voor Cloud-apps biedt extra mogelijkheden voor het beheren van gevoelige bestanden, zoals:

  • Het verwijderen van medewerkers om overmatige bevoegdheden en gegevenslekken te voorkomen.

  • Bestanden in quarantaine plaatsen voor extra controle.

  • Beleidsregels maken waarin labels proactief worden toegepast op gevoelige bestanden of in specifieke risicovolle gebruikersscenario's.

Volg deze stappen:

  1. Autolabelbeleid configureren voor SharePoint, OneDrive en Exchange.

  2. Integreer Microsoft Defender voor cloud-apps en Microsoft Information Protection en gebruik deze om ook gegevens te beveiligen in omgevingen van derden, zoals Box of G-Suite.

V. Gegevenslekken voorkomen via DLP-beleid op basis van een gevoeligheidslabel en inhoudscontrole

Om te voldoen aan bedrijfsstandaarden en branchevoorschriften, moeten organisaties gevoelige informatie beschermen en onbedoelde openbaarmaking ervan voorkomen. Gevoelige informatie kan financiële gegevens of persoonlijk identificeerbare gegevens (PII) bevatten, zoals creditcardnummers, sociale-zekerheidsnummers of gezondheidsrecords. Met een DLP-beleid (Data Loss Prevention) in het Office 365 Security Compliance Center kunt u gevoelige informatie identificeren, controleren en automatisch beveiligen in & Office 365.

Volg deze stappen:

  1. Informatie over het beveiligen van gegevens met DLP-beleid.

  2. Een DLP-beleid maken, testen en afstemmen.

  3. Gebruik DLP om acties af te dwingen (bijvoorbeeld om inhoud te beveiligen, de toegang te beperken of, in het geval van een e-mail, blokkeren om te worden verzonden) wanneer inhoud overeenkomt met een reeks voorwaarden.

Traditionele doelstellingen voor gegevensbeveiliging

Gevoeligheidslabels vormen de basis van het Zero Trust-model voor gegevens. Het definiëren van gevoeligheidsniveaus is een proces om belanghebbenden te identificeren om gegevenstypen te bespreken en te bepalen die essentieel zijn voor ondernemingen en die onderhevig zijn aan overheidsregel. Vervolgens kan een taxonomie worden gemaakt, zodat dit type gegevens kan worden geclassificeerd als zeer vertrouwelijk of vertrouwelijk, en de documenten die deze gegevens bevatten, worden dienovereenkomstig geëtiketteerd. Op dezelfde manier moet een besluit over het beveiligingsbeleid worden genomen over andere gevoeligheidsniveaus voor gegevenstype en documentlabels, zoals Algemeen Openbaar of Niet-Zakelijk. Als de beleidsbepaling is voltooid, ontdekt u bestanden op alle locaties, valideert u de inhoud in de bestanden, vergelijkt u deze met de beleidsbeslissing en labelt u de documenten op de juiste manier.

Deze activiteiten helpen risico's aan te pakken door gevoelige informatie te identificeren en te markeren om te voorkomen dat gegevens per ongeluk worden gedeeld met niet-geautoriseerde entiteiten. Ze hebben ook minimale gevolgen voor de productiviteit, omdat het delen van gegevens ononderbroken blijft doorgaan.

De volgende richtlijnen helpen u aan de slag te gaan met gevoeligheidslabels.

Diagram van de stappen binnen fase 5 van de aanvullende implementatiedoelstellingen.

Gevoeligheidslabels worden handmatig toegepast

Het definiëren van het juiste label taxonomie- en beveiligingsbeleid is de meest kritieke stap in een informatiebeveiligingsimplementatie, dus begin met het maken van een labelstrategie die de gevoeligheidsvereisten van uw organisatie voor informatie weerspiegelt.

Labels geven inhoudsgevoeligheid aan en welk bedrijfsbeleid van toepassing is. Labels zijn ook de primaire manier voor gebruikers om een vlag te markeren voor inhoud die moet worden beveiligd.

Een goede label taxonomie is intuïtief, eenvoudig te gebruiken en afgestemd op de zakelijke behoeften. Het helpt gegevenslekken en misbruik te voorkomen en voldoet aan nalevingsvereisten, maar voorkomt niet dat gebruikers hun werk kunnen doen.

Volg deze stappen:

Automatisch bedrijfskritische inhoud ontdekken met gevoelige gegevens on-premises

Met de AIP-scanner (Azure Information Protection) kunt u gevoelige informatie ontdekken, classificeren, labelen en beveiligen in uw on-premises bestandslocaties en on-premises SharePoint 2013+-sites. De AIP-scanner biedt direct inzicht in typen gegevensrisico's voordat u naar de cloud gaat.

Volg deze stappen:

  1. Controleer vereisten voor het installeren van de AIP-scanner.

  2. Configureer de scanner in de Azure-portal.

  3. Installeer de scanner.

  4. Een Azure AD-token voor de scanner krijgen.

  5. Voer een detectiecyclus uit en bekijk rapporten voor de scanner.

Labels en classificaties die beschikbaar zijn voor Office gebruikers op elk apparaat en handmatig worden toegepast op inhoud

Wanneer gevoeligheidslabels zijn gepubliceerd vanuit Microsoft 365 Compliance Center Microsoft Office een gelijkwaardig labelingscentrum, zijn er client-apps die gebruikers kunnen gebruiken om gegevens te classificeren en te beveiligen terwijl ze worden gemaakt of bewerkt, zoals de ingebouwde Microsoft Office-labelingclient of de Geïntegreerde labelingclient van Azure Information Protection.

Volg deze stappen:

  1. Vergelijk de functies voor labelingclients voor Windows-computers en bekijk de ondersteuning voor gevoeligheidslabelfuncties in Office-apps om te bepalen welke gevoeligheidsfuncties en platformvereisten belangrijk zijn voor uw scenario's.

  2. Gebruik gevoeligheidslabels in Office apps, waaronder Microsoft Team-sites, Microsoft 365 groepen (voorheen Office 365 groepen) en SharePoint sites. Gevoeligheidslabels kunnen ook worden gebruikt voor het classificeren en labelen van gevoelige gegevens in Power BI service en kunnen worden toegepast op gegevenssets, rapporten, dashboards en gegevensstromen.

Standaardlabel toegepast op nieuwe inhoud die door gebruikers is gemaakt

Wanneer u een labelbeleid publiceert, kunt u een specifiek label identificeren dat standaard moet worden toegepast op alle inhoud die is gemaakt door gebruikers en groepen die zijn opgenomen in het beleid. Dit label kan een beschermingsvloer instellen, zelfs als er geen andere actie wordt ondernomen door gebruikers of systeeminstellingen.

Ga als volgende stap te werk:

Visuele markeringen om gevoelige documenten in apps en services aan te geven

Nadat een gevoeligheidslabel is gemaakt en toegepast op een e-mailbericht of document, worden geconfigureerde beveiligingsinstellingen voor dat label afgedwongen voor de inhoud. Wanneer u Office apps gebruikt, kunnen watermerken worden toegepast op kop- of voetteksten van e-mailberichten of documenten waarop het label is toegepast.

Schermafbeelding van een Office document met een watermerk en een koptekst over vertrouwelijkheid.

Ga als volgende stap te werk:

Gegevens controleren om inzicht te krijgen in het gedrag van gebruikerslabels, classificaties en beveiliging

Nadat gevoeligheidslabels zijn gepubliceerd in uw organisatie, kunt u gegevensclassificatie gebruiken om gevoelige inhoud te identificeren, waar deze zich bevindt en blootstelling van gebruikersactiviteiten.

Het tabblad Inhoudsverkenner in het Microsoft 365 Compliancecentrum biedt een weergave van gegevens die risico lopen door de hoeveelheid en typen gevoelige gegevens in een bepaald document weer te geven die kunnen worden gefilterd op label of gevoeligheidstype om een gedetailleerde weergave te krijgen van locaties waar gevoelige gegevens worden opgeslagen. Het tabblad Activiteitsverkenner biedt een overzicht van activiteiten met betrekking tot gevoelige gegevens, gevoeligheidslabels en bewaarlabels (zoals verminderde beveiliging vanwege labeldowngrading of wijzigingen). Activiteitsverkenner helpt ook bij het onderzoeken van gebeurtenissen die kunnen leiden tot een gegevenslekkenscenario (bijvoorbeeld het verwijderen van etiketten). Als u deze activiteiten begrijpt, kunt u het juiste beleid voor bescherming of preventie van gegevensverlies identificeren om ervoor te zorgen dat uw meest gevoelige gegevens veilig zijn.

Volg deze stappen:

  1. Ga aan de slag met inhoudsverkenner om de items die zijn samengevat op de overzichtspagina voor gegevensclassificatie, inheems weer te geven.

  2. Ga aan de slag met activity explorer om de geschiedenis van activiteiten met betrekking tot gelabelde inhoud te volgen.

Producten die in deze handleiding worden behandeld

Microsoft Azure

Azure Information Protection met Unified Labeling Client en Scanner

Microsoft 365

Microsoft Defender voor cloud-apps

Conclusie

Microsoft Information Protection (MIP) is een uitgebreide, flexibele, geïntegreerde en uitvouwbare benadering voor het beschermen van gevoelige gegevens.

Diagram met Microsoft Information Protection gegevens met bedrijfsgegevens Egress gemarkeerd.

Neem contact op met uw klantsuccesteam voor meer informatie of hulp bij de implementatie.



De reeks implementatiehandleiding voor Zero Trust

Pictogram voor de inleiding

Pictogram voor identiteit

Pictogram voor eindpunten

Pictogram voor toepassingen

Pictogram voor gegevens

Pictogram voor infrastructuur

Pictogram voor netwerken

Pictogram voor zichtbaarheid, automatisering, orkestratie